Léon BRANDRE, est Expert en Management et Protection des Données à caractère personnel. Il est le Directeur général de GROUPE DPSE (Groupe Data Privacy Solution Expert), Premier Cabinet Conseil Ivoirien spécialisé dans l'accompagnement de mise en conformité à la loi relative à la protection des données à caractère personnel et au Règlement Général sur la Protection des Données (RGPD).

Pour en savoir davantage sur la protection des données à caractère personnel, nous avons eu des échanges avec lui. Dans cet entretien, il explique la situation de protection des données à caractère personnel en Côte d’Ivoire. Aussi constate-t-il que la législation en la matière en Côte d’Ivoire reste méconnue par « le citoyen et certaines entreprises ». « Dès lors, beaucoup d'autres activités de vulgarisation doivent être conduite », propose l’expert.

Se prononçant sur la nouvelle politique de confidentialité de WathsApp qui a créé des remous, il estime que WhatsApp ne doit pas opposer à ces utilisateurs l'acceptation forcée de cette nouvelle finalité au retrait de l'application. Et invite l’Afrique à emboiter le pas aux autorités Européennes pour protéger les données de leurs citoyens.

---

Qu’est-ce qu’on doit entendre par données à caractère personnel ? En d’autres termes qu’est-ce qu’on met dans ce qu’on appelle données à caractère personnel...

Ce qu'on doit entendre par donnée à caractère personnel c'est toute information relative à une personne physique qui permet de l'identifier directement ou indirectement.

Ces informations peuvent concerner le nom et prénom de la personne physique, le numéro de téléphone, le carte d'identité, une photo, un enregistrement vocal, une adresse IP, une adresse postale ou e-mail.

En tout cas toute information qui est susceptible d'identifier ou de rendre identifiable une personne physique. La loi s'adresse uniquement à la personne physique d'où la préservation à sa vie privée.

Quels sont les principes que doit respecter celui qui traite nos données ?

La loi ivoirienne 2013-450 relative à la protection des données à caractère personnel donne obligation au responsable de traitement de respecter 7 principes fondamentaux dans le traitement des données.

Il s’agit de :

• Les principes de licéité de loyauté et de légitimité (article 15) :

Pour pouvoir être mis en œuvre, le traitement doit se fonder sur une base légale. Ce qui donne le droit au responsable de traitement de traiter les données à caractère personnel.

La loyauté fait référence au droit à l'information des personnes concernées.

• Le principe de finalité (article 16 alinéa 1) :

Avant toute collecte et traitement de données, le responsable de traitement doit précisément annoncer aux personnes concernées les objectifs de la collecte des données.

• Le principe de proportionnalité (article 16 alinéa 2) :

Ce principe suppose que les données à caractère personnel qui ont été collecté sont en adéquation avec la finalité. Les données collectées doivent donc être adéquates, non excessives et pertinentes au regard de la finalité.

• Le principe d'exactitude (article 17) :

Les données doivent être exactes et mises à jour.

• Le principe de transparence (article 18)

Ce principe implique une information obligatoire et claire de la part du responsable du traitement portant sur les données à caractère personnel. Ainsi, la personne concernée doit être informée sur un certain nombre d'éléments (identité et coordonnées du responsable du traitement, la finalité du traitement, existence des droits d'accès, rectification et autres)

• Le principe de sécurité et confidentialité des données (article 20) :

Ce principe consiste à prendre les mesures nécessaires pour garantir l'intégrité, la confidentialité des données et éviter leur divulgation.

• Le principe de la limitation de la durée de conservation (article 16 alinéa 3) :

Le responsable de traitement a l'obligation de conserver les données pendant une période définie en fonction de l'objectif visé. Lorsque l'objectif est atteint les données doivent être archivées et ensuite supprimées.

Quelle est la situation de protection des données à caractère personnel en Côte d’Ivoire ? Je veux parler d’existence de législation....

Au regard de l'importance que revêt les données personnelles de nos jours, l'Etat de Côte d'Ivoire s'est dotée depuis 2013 d'une loi relative à la protection des données à caractère personnel ainsi que d'une Autorité de protection. Cela est une avancée considérable pour la protection des données en Côte d'Ivoire. Plusieurs actions et sensibilisations ont été menées par l'Etat de Côte d'Ivoire. Cependant selon moi ces actions n'ont pas encore atteint le résultat escompté. Nous constatons que cette législation reste encore méconnue par le citoyen lambda et même par certaines entreprises à ce jour. Dès lors, beaucoup d'autres activités de vulgarisation doivent être conduite.

Est-ce que nous disposons de règlement général relatif à la protection des données (RGPD) personnelles ?

Le Règlement Général sur la Protection des Données (RGPD) entré en vigueur depuis le 25 Mai 2018, est un texte venu servir de référence pour tous les pays membres de l’Union Européenne. Il ne vient pas défendre une idée nouvelle dans la mesure où l’UE avait déjà porté un regard sur la question des données depuis 1995. Il vient toutefois avec un caractère obligatoire et se rend directement applicable dans tout Etat membre.

Toutefois en Afrique il existe plusieurs textes notamment la convention de l’union Africaine sur la cybersécurité et la protection des données à caractère personnel adoptée le 27 janvier 2014 et l’Acte additionnel A/SA.1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO du 16 Février 2010.

Ces différents textes apportent un encadrement au traitement des données à caractère personnel, sans pour autant avoir la même portée que le RGPD. En effet, ils ne viennent que donner des recommandations aux différents Etats membres de l’Union Africaine et de la CEDEAO qui en sont signataires ou adhérents.

Cette rencontre est une opportunité. WhatsApp qui impose de partager les données des utilisateurs avec Facebook. Quelle est votre appréciation ?

Le remous causé par la mise à jour de WhatsApp a été l'évènement majeur qui permet de prendre conscience de l'importance des données à caractère personnel.

En effet, la nouvelle politique de WhatsApp vise à imposer aux utilisateurs une nouvelle finalité qui est le partage de leurs données aux différentes filiales de Facebook. Sauf qu'en matière de protection des données à caractère personnel, le principe de légitimité exige que le consentement doit être éclairé, spécifique, libre et univoque.

Par ailleurs, il faut préciser que cette nouvelle finalité n'a aucun lien avec la finalité initiale qui était l'envoi de messagerie instantanée car en principe une nouvelle finalité requiert nécessairement le consentement de ces utilisateurs. Ce qui n'a pas été le cas pour WhatsApp qui a exigé d'accepter sa politique de confidentialité ou de la quitter.

En conclusion, WhatsApp ne doit pas opposer à ces utilisateurs l'acceptation forcée de cette nouvelle finalité au retrait de l'application.

Le constat c’est qu’avec les citoyens européens ne sont pas concernés parce que protégés par des dispositions réglementaires de l’Union européenne ?

Effectivement, WhatsApp a produit deux (2) politiques de confidentialité selon qu’on se trouve en Europe ou dans les autres continents. Il faut noter que les citoyens Européens bénéficient de la force contraignante du RGPD, adopté pour garantir leur protection en matière de protection des données à caractère personnel. D’ailleurs, Facebook (dont WhatsApp est une entité) a déjà été sanctionné pour le non-respect des dispositions de ce règlement, notamment en 2017 où il a été condamné a verser la somme de 110 millions d’euros par la CNIL, autorité française de protection des données personnelles. Les autorités des autres continents notamment l’Afrique ont donc intérêts à emboiter le pas aux autorités Européennes pour protéger les données de leurs citoyens.

Interview réalisée par Salif D. CHEICKNA