Lors d’un transfert de somme d’argent par le service T-money [1], l’opérateur recueille fréquemment le numéro de téléphone du destinataire. Le numéro de téléphone ainsi collecté constitue une donnée personnelle. Un autre exemple, dans le cadre de la pandémie du Covid19 [2], un certain nombre d’information ont été collectés par les employeurs et ou les organismes de santé tel le nom, le prénom, les informations obtenues lors du test, le dossier médical. Il s’agit là encore de données personnelles !
C’est pourquoi, dans la mesure où le droit européen est pionnier en la matière, il nous a paru nécessaire de mener cette étude entre le droit européen et le droit togolais de la protection des données personnelles afin de bénéficier de son expertise d’où le sujet : essai sur l’apport du droit européen de la protection des données personnelles au droit togolais de la protection des données personnelles.
Omniprésent dans nos habitudes et dont le non-encadrement pourrait porter atteinte à la liberté individuelle des togolais, le législateur togolais a ainsi adopté la loi togolaise relative à la protection des données à caractère personnel dit LTPDP [3] pour combler le vide juridique qui existait. Cette loi s’ajoute à la loi togolaise relative à la cyber sécurité [4] et forment tous deux un arsenal juridique pour faire face aux dérives que peuvent présenter les activités informatiques. Ce faisant, le Togo se met ainsi en conformité avec l’Acte additionnel du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace Cedeao [5] et avec la Convention de l’Union Africaine sur l’harmonisation des « cyberlegislations » en Afrique [6].
Il faut relever le fait que cette législation s’inspire largement à quelques exceptions près du règlement n° 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD [7].
La LTPDP définit certaines notions en son article 4 telles que la donnée personnelle, le traitement, le responsable de traitement, le sous-traitant, la personne concernée, qui méritent que l’on s’y attarde. En effet, la donnée personnelle est définie, au sens de l’article 4 de la LTPDP [8], comme toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.
Il s’agit par exemple du nom, du mail, de l’adresse, des opinions religieuses, politiques, les battements du cœur, le nombre de pas de marche, l’empreinte digitale, l’adresse IP [9], les cookies [10] etc .... Pour que la loi puisse s’appliquer, encore faut-il qu’il y ait traitement.
On entend par traitement [11], toute opération ou ensemble d’opérations prévues à l’article 2 de la présente loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel. La collecte du numéro de téléphone dans l’exemple relatif au T-Money est ainsi un traitement de données personnelles.
Le traitement des données personnelles se déroule sous l’égide d’un responsable de traitement [12]. Il s’agit aux termes dudit article de toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités. En revanche, lorsque le traitement est effectué par pour toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du responsable de traitement, on parle de sous-traitant [13]. La personne concernée est la personne physique dont les données à caractère personnel font l’objet d’un traitement.
Historiquement, en 1970, a été adoptée la première loi au monde visant la protection des données personnelles par le Land de Hesse, en Allemagne. A la suite du succès de cette loi, une loi fédérale fut adoptée en 1977 puis révisée en 1990.
Plus tard, en 1973, la Suède a adopté une loi nationale de protection des données à caractère personnel. Puis en 1978, la France a adopté sa première loi relative à la protection des données personnelles [14].
Les pays africains à l’instar du Bénin [15], de la Côte d’ivoire [16], du Burkina-Faso [17], du Ghana [18], du Maroc [19], du Sénégal et du Congo [20] ont également adopté une loi relative à la protection des données personnelles.
Novice en matière de protection des données personnelles, se pose la question suivante par rapport à la loi togolaise relative à la protection des données personnelles. Les dispositions prévues par le législateur togolais suffisent-ils à assurer une protection efficiente des données personnelles des citoyens togolais ?
En effet, si la teneur de la loi togolaise relative à la protection des données personnelles quoique louable et salvatrice, sa mise en œuvre pourrait se heurter à des difficultés rencontrées jadis par d’autres pays [21]. C’est pourquoi, cet article tente de donner des indications pouvant être utilisées pour la mise en œuvre de cette loi à la lumière du RGPD dans la mesure du possible.
Par ailleurs, l’étude de ce sujet se justifie d’une part par le fait que certains Etats à l’instar du Brésil, de l’Etat de Californie [22] se sont inspirés du droit européen de la protection des données pour améliorer la protection des données dans leurs Etats.
D’autre part, la mise en balance des intérêts entre protection de la vie privée et traitements des données personnelles à des fins économiques, historiques, administratives, etc... justifie cette étude.
A cette fin, il convient d’étudier l’apport du droit européen de la protection des données personnelles, au cadre juridique de la loi togolaise relative à la protection des données personnelles (I) puis au cadre institutionnel de la loi togolaise relative à la protection des données personnelles (II) qu’elle définit.
Pour lire l’article dans son intégralité, cliquez sur le lien ci-dessous :