LES FORMALITES PREALABLES A TOUT TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

Les données à caractère personnels engagent trois acteurs: le propriétaire des données, le responsable du traitement et l’organe chargé de la protection.

Le propriétaire des données est la personne à qui appartiennent ces données. Il peut y exercer tous les droits inhérents à la propriété et est en principe libre de les transmettre à toute autre personne. C’est en général lui qui, à l’occasion de ses activités, les transmet au responsable du traitement. Quant à l’organe de protection, c’est la personne dont le rôle principal est de veiller au respect des dispositions de la loi sur la protection des données à caractère personnel. C’est une personne morale de droit public, entité étatique. En côte d’ivoire, ce rôle est dévolu à l’autorité de régulation des communications dite ARTCI. Est appelée responsable du traitement, la personne (physique ou morale) qui prend l’initiative de traiter des données personnels. Il peut engager sa responsabilité en cas de traitement fautive et préjudiciable au propriétaire des données. On entend par « traitement », au sens de la loi sur la protection des données, toute opération ou ensemble d’opérations par lesquelles une personne collecte, exploite, enregistre, organise, conserve, adapte, modifie, extrait, sauvegarde, copie, consulte, rapproche ou interconnecte, verrouille, crypte, efface ou détruit des données personnels.

Mise à part certains traitements interdits, par principe il n’est pas interdit de traiter des données à caractère personnel. Ce qui est interdit, c’est un traitement fait en violation des dispositions légales et/ou qui porterait préjudice au propriétaire des données traités. D’où la nécessité de prendre des mesures pour protéger ces derniers. Au nombre de ces mesures figurent le respect de formalités avant toute mise en œuvre d’un traitement.

Le responsable du traitement devra, selon les cas, soit le déclarer à l’ARTCI, soit obtenir une autorisation auprès de cet organe.

·        La déclaration préalable du traitement envisagé à l’ARTCI

Le traitement des données à caractère personnel est soumis au respect de l’obligation de déclaration préalable à l’organe de protection. Toute personne désireuse d’effectuer un traitement de données (quel qu’en soit la nature) doit en faire la déclaration à l’ARTCI. La déclaration est un acte par lequel l’on porte à la connaissance de l’ARTCI, autorité de protection, l’opération ou l’ensemble d’opérations envisagées. A priori cet acte prend la forme d’un écrit. Il peut être transmis à l’ARTCI, soit par voie postale ou tout autre moyen contre remise d’un accusé de réception, soit par voie électronique.

La déclaration préalable est une obligation légale. Tout responsable de traitement y contrevenant s’expose à des sanctions. Cependant, dans certains cas le traitement n’est pas soumis à déclaration préalable. En effet, la loi sur la protection des données personnel, en son article 6, établi une liste exhaustive des traitements exonérés de déclaration préalable. C’est le cas des traitements effectués par une personne physique dans le seul cadre de ses activités personnelles, domestiques ou familiales. Sont également concernés d’autres types de traitement. D’une part, le traitement des données rendues public par une loi ou un règlement, et le traitement des données dont l’objet est de tenir un registre destiné à un usage exclusivement privé. D’autre part, le traitement de données pour lequel le responsable du traitement a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues par la loi sur la protection des données, sauf lorsqu’un transfert de données dans un pays étranger est envisagé.

Pour certains traitements une simple déclaration à l’ARTCI ne suffit pas. Le législateur a instauré une obligation bien plus contraignante.

·        L’autorisation préalable au traitement

Le responsable du traitement doit obtenir l’autorisation de l’autorité de protection. Dans ce cas il adresse à l’ARTCI une demande d’autorisation. La demande peut aboutir soit à une autorisation de traitement, soit à un refus. Les traitements soumis à autorisation préalable sont limitativement énumérés par la loi sur la protection des données et le décret n°2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations, de présentation des demandes, d’octroi et de retrait des autorisations pour le traitement des données à caractère personnel respectivement en leurs articles 7 et 6. Sont concernées le traitement portant sur des données génétiques, médicales, sur la recherche scientifique (dans le domaine médicale), y compris les données relatives à l’état de santé pour la sauvegarde des intérêts vitaux de la personne concernée ou de toute personne si celle-ci se trouve frappée d’une incapacité physique ou juridique de donner son consentement, et le traitement des données relatives aux infractions, aux condamnations ou mesures de sûretés prononcées par les juridictions à l’encontre du propriétaire des données. Il faut y ajouter le traitement des données génétiques nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice de la personne concernée et le traitement pour la constatation de faits ou pour la manifestation de la vérité dans le cadre d’une procédure judiciaire ou d’une enquête pénale. Outre ces quatre premières catégories, il y a aussi les traitements portant sur un numéro d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphone lorsque ledit traitement n’est pas déjà encadré par d’autres dispositions légales ou réglementaires et celui comportant des données biométriques. Les traitements ayant un motif d’intérêt public, notamment à des fins historiques, statistiques ou scientifiques et ceux effectués dans le cadre des activités légitimes d’une fondation, d’une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale n’échappent pas eux aussi à l’obligation d’autorisation préalable. Pour finir, il ne faut pas manquer de citer le transfert des données personnel à l’étranger et l’interconnexion de fichiers contenant des données personnels.

La déclaration préalable et la demande d’autorisation sont deux procédés qui imprègnent au traitement des données personnels un important formalisme. Cela dans le seul avantage des propriétaires de données d’autant plus qu’ils seraient de nature à dissuader toute personne souhaitant traiter des données. Il faudrait alors veiller au strict respect de ses formalités et appliquer les sanctions prévues. Il n y a qu’ainsi que les données personnels seront protégées.

N.B : les modalités de la déclaration et de l’autorisation préalable feront l’objet d’une fiche annexe.