Le numérique prend de plus en plus de place dans nos vies que ce soit au niveau personnel ou professionnel. Cette émergence des nouvelles technologies de l’information a pour corolaire le partage de certaines données ou informations par les utilisateurs parfois de façon volontaire, parfois sans leur consentement. Ceci soulève la question de la protection juridique de ces données qui peuvent parfois être sensibles car relevant de la sécurité ou de la santé des individus.

Le rôle de tout Etat est de protéger les citoyens, parfois contre eux-mêmes. Règlementer le traitement des données à caractère personnel par des personnes physiques, des entités publiques ou privées, rentre dans ce cadre.

La question de la protection des données à caractère personnel a fait l’objet au niveau continental de la signature de la convention de l’Union Africaine sur la cyber sécurité et la protection des données à caractère personnel le 27 juin 2014. Avant cette convention de l’Union Africaine, les Etats membre de la Cedeao avait adopté le 16 février 2010 l’acte additionnel A.SA.1/01/10[1] relatif à la protection des données à caractère personnel dans l’espace ouest-africain. Ces instruments dont l’objectif est de créer un cadre légal harmonisé des traitements des données à caractère personnel ont inspiré les pouvoirs publics togolais qui ont ainsi adopté la Loi n° 2019-014 du 23 octobre 2019 relative à la protection des données à caractère personnel au Togo.

  • Qu’entend-on par données à caractère personnel ?

On entend par données à caractère personnel, toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique (article 4 de la loi 2019-014).

Parmi les données personnelles telles que définies précédemment, certaines peuvent revêtir un caractère sensible. Ainsi, par données sensibles, on entend « toutes les données à caractère personnel relatives à l’origine raciale ou ethnique, aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives [2]».

Dans l’absolu, le traitement (collecte, stockage, transmission à des tiers etc.) des données sensibles est interdit conformément à l’article 21 de la loi 2019-014[3]. Il existe néanmoins des exceptions comme dans le cas où le traitement porte sur des données manifestement rendues publiques par la personne concernée ou que cette dernière a donné son consentement par écrit à tel traitement etc.

  • Objet de la loi

Selon l’article premier de la loi 2019-014, elle a pour objet de réglementer la collecte, le traitement, la transmission, le stockage, l’usage et la protection des données à caractère personnel. Outre la réglementation, elle devrait garantir que tout traitement des données à caractère personnel, sous quelque forme que ce soit, ne porte atteinte aux libertés et aux droits fondamentaux des personnes physiques. D’une manière générale, elle constituera dans l’arsenal juridique togolais un garde-fou pour que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

  • Cadre institutionnel et administratif

La loi 2019-014 a créé une autorité nationale chargée de la protection des données à caractère personnel dénommée « Instance de Protection des Données à Caractère Personnel », en abrégé « IPDCP ».

L’IPDC est une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi 2019-014. Elle a pour mission, entre autre :

  • D’informer les personnes concernées et les responsables de traitement de leurs droits et obligations et s’assure que les TIC ne comportent pas de menace au regard des libertés publiques et de la vie privée.
  • En plus de recevoir les formalités préalables à la mise en œuvre de traitements des données à caractère personnel, l’IPDCP reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données à caractère personnel et informe leurs auteurs des suites données à celles-ci.
  • L’instance a également l’obligation d’informer sans délai le Procureur de la République des infractions dont elle a connaissance.

En tant qu’entité autonome, l’IPDCP bénéficie de larges pouvoirs d’investigation, de réglementation et de sanction pour garantir au citoyen, la protection de ses données. De façon concrète, lorsqu’un citoyen togolais s’inquiète ou a des doutes sur le traitement de ses données personnelles par une entreprise ou une administration, il peut saisir l’IPDCP qui pourra contraindre l’entreprise ou l’administration concernée à respecter la loi, sous peine de sanctions.

  • Champ d’application de la loi:

La loi 2019-014 s’applique, entre autres, à toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé (article 2).

La loi a établi 3 régimes différents pour les traitements des données à caractère personnel à savoir le régime de déclaration, d’autorisation et de demande d’avis.

Le régime de déclaration

Il soumet simplement le traitement des données personnelles à une procédure de déclaration auprès de l’instance de protection des données à caractère personnel qui délivre un récépissé dans un délai de 1 mois. L’obtention du récépissé donne ainsi droit à la mise en œuvre du traitement. (Article 6). Néanmoins, pour les catégories les plus courantes de traitement des données à caractère personnel dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, l’Instance de protection des données à caractère personnel établit et publie des normes destinées à simplifier ou à exonérer l’obligation de déclaration (Article 7).

  • Les traitements soumis au régime d’autorisation

La loi énumère les traitements qui nécessitent une autorisation de l’instance de protection des données à caractère personnel. Il s’agit des traitements portant sur des données génétiques et la recherche dans le domaine de la santé, les données relatives aux infractions, condamnations ou mesures de sûreté, les données ayant pour objet une interconnexion de fichiers (voir article 33), les données portant sur un numéro national d’identification ou tout autre identifiant de portée générale, les données personnelles comportant des données biométriques et en fin les traitement des données personnelles ayant un motif d’intérêt public, notamment à des fins historiques, statistiques ou scientifiques.

  • Les traitements soumis au régime de la demande d’avis

Les traitements qui nécessitent un avis motivé de l’instance de protection des données à caractère personnel sont les traitements automatisés d’informations nominatives opérés pour le compte de l’Etat, d’un établissement public ou d’une collectivité locale ou d’une personne morale de droit privé gérant un service public. Il s’agit des traitements opérés dans le cadre d’un recensement de la population, la sureté de l’Etat, la défense ou la sécurité publiques, impôts, taxes etc.

Conformément à la loi 2019-014, toute personne dispose d’un droit à l’information, d’accès, d’opposition, de rectification et de suppression des données personnelles la concernant recueillies par les entités publiques ou privées. L’exercice de ces droits doit se faire dans le respect des conditions fixées par ladite loi en son chapitre III relatif aux droits de la personne dont les données font l’objet d’un traitement.

Liens utiles :

Journal Officiel de la République Togolaise : https://jo.gouv.tg/sites/default/files/JO/JOS_29_10_2019-64E%20ANNEE-N%C2%B026%20TER.pdf

Assemblée Nationale Togolaise :  https://assemblee-nationale.tg/lois_adoptees/loi-relative-a-la-protection-des-donnees-a-caractere-personnel/

Ministère de l’économie numérique : https://numerique.gouv.tg/le-gouvernement-adopte-le-decret-portant-organisation-et-fonctionnement-de-linstance-de-protection-des-donnees-a-caractere-personnel-ipdcp/

[1] Document accessible via le lien suivant : https://www.afapdp.org/wp-content/uploads/2018/06/CEDEAO-Acte-2010-01-protection-des-donnees.pdf

[2] Article 4 de la loi 2019-014

[3] Article 21 : « Il est interdit de procéder à la collecte et à tout traitement qui révèlent l’origine raciale, ethnique, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l’état de santé de la personne concernée. »

Commentaires