Par Désiré Allechi, Juriste.
 
Guide de lecture.
 

L’application du RGPD et de la loi ivoirienne au responsable de traitement et au sous-traitant.

Les responsables de traitement sont désormais au cœur de la réglementation européenne sur la protection des données personnelles. En effet, vu le caractère extraterritorial du RGPD, ces derniers, bien que n’exerçant pas tout le temps sur le territoire européen, se trouvent obligés de s’y conformer pour éviter une double sanction au regard de la loi ivoirienne. Il s’impose donc pour ces derniers une obligation de connaissance de leur soumission à ce texte (le RGPD) en plus de celui de leur texte national sur la protection des données à caractère personnel (DCP).
Nous évoquerons brièvement dans cet article la loi ivoirienne et le RGPD.

Le Règlement Général relatif à la Protection des données personnelles et à leur libre circulation dans l’espace européen (dit RGPD) adopté le 27 avril 2016 est entré en vigueur le 25 mai 2018.
Ce règlement qui vient renforcer le contrôle des personnes concernées sur leurs données personnelles, est d’application directe dans tous les Etats de l’Union Européenne. Toutefois, est-il important de noter que ce texte européen a des répercussions non négligeables partout dans le monde. Ce texte influence les activités législatives du fait des innovations, garanties qu’il apporte d’où l’adoption par l’Etat de Californie du California Consumer PrivacyAct (CCPA) qui semble conforme au RGPD dans son ensemble.

Quant à la loi ivoirienne n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, elle est entrée en vigueur le 12 août 2013 mais le législateur a donné un délai de six mois aux entreprises pour se conformer à la loi. De ce fait, la loi ivoirienne est devenue applicable à partir du 13 février 2014.

La loi ivoirienne relative à la protection des DCP a été la pionnière dans l’adoption de dispositions novatrices et a devancé le RGPD, qui était à l’étape de projet de règlement au moment de son adoption. Ainsi, ces deux textes de loi apparaissent très proches du point de vue de leur contenu.

Aujourd’hui, l’Autorité ivoirienne de protection des DCP, dont les missions ont été dévolues à l’ARTCI, (Autorité de Régulation des Télécommunications/TIC de Côte-d’Ivoire) usant de son pouvoir normatif, prend des décisions pour améliorer le cadre législatif en s’inspirant des dispositions du RGPD. L’intégration des dispositions du RGPD dans les différents dispositifs juridiques pourrait se justifier au premier abord par la qualité de ce texte mais il est important de préciser que ce texte a vocation à s’appliquer même en dehors de l’Union Européenne. On est donc en présence d’un texte juridique qui a une portée extraterritoriale.

Le caractère extraterritorial de ce texte amène donc à se poser légitimement la question de savoir dans quelle mesure cette application est faite et quels en sont les critères et les modalités.
L’entrée en vigueur du RGPD a suscité un certain intérêt auprès des pouvoirs publics et des entreprises partout dans le monde en matière de protection des données à caractère personnel.
En effet, certains Etats ne disposant pas de textes spécifiques en matière de protection de données personnelles ont été amené à en prévoir. Cette décision de légiférer, même si elle est salutaire pour les personnes concernées c’est-à-dire les personnes physiques dont les données font l’objet de traitement, n’est pas une décision ex nihilo. Cette décision est due en grande partie à l’impact extraterritorial du RGPD, notamment en termes de restriction économique due à l’interdiction de transférer les données à caractère personnel vers les pays tiers qui n’offrent pas de protection adéquate et en termes de sanction pécuniaire.
En effet, depuis son entrée en vigueur le RGPD touche de plein fouet les responsables de traitements et sous-traitants indépendamment de leur situation géographique dès lors que le traitement est mis en œuvre hors de l’UE par une entité qui traite des données personnelles des citoyens européens ou une entité qui a un lien juridique avec une entité établie au sein de l’UE.

Il est nécessaire de lever l’équivoque quant à l’application ou la soumission des responsables de traitement au RGPD. S’agissant de la loi ivoirienne, celle-ci prévoit une application territoriale de son dispositif aux responsables de traitement et aux sous-traitants.
En effet, conformément à son article 3, le champ d’application territorial de la loi ivoirienne se limite à son territoire. Selon l’article 3 de la loi précitée : « sont soumis aux dispositions de la loi, tout traitement de données mis en œuvre sur le territoire national ». Ainsi, la loi ivoirienne est une loi territoriale. Cela dit que la loi ivoirienne s’applique si l’une quelconque des opérations de traitement des données à caractère personnel est effectuée sur le territoire de l’Etat ivoirien. Ainsi, si un responsable de traitement collecte, traite, efface… des données en Côte d’ivoire, il est automatiquement soumis à la loi ivoirienne. S’il est établi sur le territoire ivoirien il est également soumis à la loi ivoirienne. S’agissant du sous-traitant, les conditions d’application de la loi ivoirienne sont également les mêmes. En clair si le sous-traitant agissant au nom et pour le compte du responsable de traitement est établi sur le territoire ivoirien il est soumis au droit ivoirien. La loi ivoirienne sur la protection des données à caractère personnel fonde son application sur le critère de l’établissement. Le RGPD quant à lui prévoit deux critères comme fondement de son application qui sont les critères d’établissement (comme c’est le cas avec la loi ivoirienne sur les DCP bien qu’il existe quelques spécificités) et de ciblage (à la différence de la loi ivoirienne précitée).
En effet, l’article 3.1 du RGPD dispose que : « le présent règlement s’applique au traitement de données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ».

Il ressort que tout traitement de données personnelles effectué en Europe est soumis au RGPD. En outre, faut-il ajouter que le seul fait que le responsable ou son sous-traitant soit établi sur le territoire européen suffit pour l’application du droit européen. Concrètement, si un sous-traitant établi en Europe effectue un traitement de données personnelles sur le territoire européen pour le compte de son responsable de traitement qui lui est établi en Côte-d’Ivoire, ce sous-traitant est soumis au RGPD.

En clair, selon ce critère point n’est besoin que le traitement des données se fasse sur le territoire de l’Union car le seul établissement du sous-traitant ou du responsable de traitement sur le territoire de l’Union Européenne est suffisant pour l’application du RGPD. L’on note donc un dépassement notable d’avec le critère d’application de la loi ivoirienne en ce sens que la loi ivoirienne sur les DCP ne subordonne son application qu’à la mise en œuvre de l’une quelconque des opérations de traitement sur le territoire.
Suivant le critère du ciblage (article 3.2.a et b), critère non prévu par la loi ivoirienne, le RGPD s’applique à tout responsable de traitement ou sous-traitant qui cible des personnes concernées qui résident sur le territoire européen.

En clair, toutes les fois qu’une entreprise ivoirienne proposera notamment des services à destination des personnes indépendamment de leur nationalité mais qui vivent sur le territoire européen alors cette entreprise sera soumise au RGPD. Ce critère touche notamment les entreprises de e-commerce qui proposent leurs produits aux personnes physiques venant de divers horizons. Il convient donc en pratique de déterminer à quel type de population cette offre est destinée pour éviter d’être soumis et à la loi ivoirienne et au RGPD.
Il existe dans la loi ivoirienne n°2013-546 du 30 juillet 2013 relative aux transactions électroniques des critères de compétences des juridictions ivoiriennes et de rattachement à la loi ivoirienne.
Ainsi conformément à l’article 8 alinéa 1 de ladite loi : « les activités entrant dans le champ du commerce électronique sont soumises aux lois ivoiriennes, dès lors que l’une des parties est établie en Côte-d’Ivoire, y a une résidence ou est de nationalité ivoirienne ».
L’article 9 de la loi précitée précise également des critères d’application de la loi ivoirienne que sont la langue utilisée par les parties, la monnaie employée, les produits proposés, le nom de domaine utilisé par le site proposant ladite prestation, ce en l’absence de détermination de la loi applicable par les parties.

Concrètement, pour une entreprise ivoirienne de e-commerce, il conviendra par exemple d’indiquer le drapeau de la Côte-d’Ivoire sur son site pour indiquer à tout client le type de population destinataire de ses services. La connaissance de la détermination du champ d’application de ces dispositifs juridiques revêt une importance capitale.
En effet, dans le cas d’espèce évoqué ci-dessus, faut-il noter que l’inobservation de cette consigne (la détermination de la population ciblée notamment par le drapeau notamment), entraine de facto la soumission de l’entreprise au RGPD parce que s’adressant également aux clients situés sur le territoire européen, aura des conséquences importantes pour ladite entreprise.

En tout état de cause, en cas d’inobservation des prescriptions du RGPD notamment pour les manquements aux droits des personnes concernées (toutes les fois que l’un des critères d’application du RGPD serait rempli), cette entreprise s’expose à une amende de 4% de son chiffre d’affaire annuel mondial ou 20 millions d’euros.
Cette entreprise sera sanctionnée pour les manquements à la loi ivoirienne de 2013 sur la protection des données à caractère personnel toutes les fois que les faits en cause seraient constitutifs ou feraient l’objet d’une sanction sans préjudice de toute sanction préalablement prononcée sur la base du RGPD.
Cette entreprise encourt en clair une double sanction ce qui est non négligeable au vu des sanctions colossales qui sont prévues par ces textes. C’est donc un enjeu majeur pour toutes les entreprises (responsables de traitement, sous-traitants) de connaitre les règles spécifiques prévues par ces textes au regard de l’application extraterritoriale du RGPD et les sanctions pécuniaires inédites prévues par ce texte.

Désiré Allechi,
Juriste Spécialiste du Droit des TIC

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

19 votes
Commenter cet article

Vos commentaires

  • par Tembiné fatou , Le 14 octobre 2020 à 00:03

    Bonjour Monsieur Désiré Allechi,
    je vous suis reconnaissante pour l’intérêt porter sur le sujet de la protection des données personnelles .
    En effet, étant en année de Master je travaille présentement sur le thème énonce plus haut mais dans les centres d’appel.

    je vous serez grée d’avoir plus d’information et si possible en discuter de vive voix.

    Fatou Tembiné

  • par Joseph Désiré ALOBE , Le 27 avril 2020 à 19:47

    Bonjour Désiré ALLECHI, merci pour cet article qui met en lumière le contenu de notre loi relative au DCP.

A lire aussi dans la même rubrique :

Sur le Village de la Justice aujourd'hui...



141 940 membres, 19869 articles, 126 035 messages sur les forums, 2 600 annonces d'emploi et stage... et 2 800 000 visites du site par mois. *

Le "Calendrier de l'Après" >

Chaque jour de semaine de janvier, une info, une idée, par le Village de la justice !

Focus sur >

Observatoire de l'interprofessionnalité des métiers du droit.




LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs