Village de la Justice www.village-justice.com
Les apports du droit européen au droit togolais de la protection des données. Par Brice de Souza, Juriste.
Parution : mercredi 2 juin 2021
Adresse de l'article original :
https://www.village-justice.com/articles/essai-sur-apport-droit-europeen-protection-des-donnees-personnelles-droit,39298.html
Reproduction interdite sans autorisation de l'auteur.

Cet article tente de dresser un tableau comparatif des dispositions de la loi togolaise relative à la protection des données personnelles et du RGPD (européen). En résumé, le droit togolais de la protection des données personnel est un droit en plein essor et innovant. Quand bien même, il se rapproche du RGPD, il garde des traces de son originalité qui sont d’ailleurs sujettes à discussions.

Lors d’un transfert de somme d’argent par le service T-money [1], l’opérateur recueille fréquemment le numéro de téléphone du destinataire. Le numéro de téléphone ainsi collecté constitue une donnée personnelle. Un autre exemple, dans le cadre de la pandémie du Covid19 [2], un certain nombre d’information ont été collectés par les employeurs et ou les organismes de santé tel le nom, le prénom, les informations obtenues lors du test, le dossier médical. Il s’agit là encore de données personnelles !

C’est pourquoi, dans la mesure où le droit européen est pionnier en la matière, il nous a paru nécessaire de mener cette étude entre le droit européen et le droit togolais de la protection des données personnelles afin de bénéficier de son expertise d’où le sujet : essai sur l’apport du droit européen de la protection des données personnelles au droit togolais de la protection des données personnelles.

Omniprésent dans nos habitudes et dont le non-encadrement pourrait porter atteinte à la liberté individuelle des togolais, le législateur togolais a ainsi adopté la loi togolaise relative à la protection des données à caractère personnel dit LTPDP [3] pour combler le vide juridique qui existait. Cette loi s’ajoute à la loi togolaise relative à la cyber sécurité [4] et forment tous deux un arsenal juridique pour faire face aux dérives que peuvent présenter les activités informatiques. Ce faisant, le Togo se met ainsi en conformité avec l’Acte additionnel du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace Cedeao [5] et avec la Convention de l’Union Africaine sur l’harmonisation des « cyberlegislations » en Afrique [6].

Il faut relever le fait que cette législation s’inspire largement à quelques exceptions près du règlement n° 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD [7].

La LTPDP définit certaines notions en son article 4 telles que la donnée personnelle, le traitement, le responsable de traitement, le sous-traitant, la personne concernée, qui méritent que l’on s’y attarde. En effet, la donnée personnelle est définie, au sens de l’article 4 de la LTPDP [8], comme toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Il s’agit par exemple du nom, du mail, de l’adresse, des opinions religieuses, politiques, les battements du cœur, le nombre de pas de marche, l’empreinte digitale, l’adresse IP [9], les cookies [10] etc .... Pour que la loi puisse s’appliquer, encore faut-il qu’il y ait traitement.

On entend par traitement [11], toute opération ou ensemble d’opérations prévues à l’article 2 de la présente loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel. La collecte du numéro de téléphone dans l’exemple relatif au T-Money est ainsi un traitement de données personnelles.

Le traitement des données personnelles se déroule sous l’égide d’un responsable de traitement [12]. Il s’agit aux termes dudit article de toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités. En revanche, lorsque le traitement est effectué par pour toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du responsable de traitement, on parle de sous-traitant [13]. La personne concernée est la personne physique dont les données à caractère personnel font l’objet d’un traitement.

Historiquement, en 1970, a été adoptée la première loi au monde visant la protection des données personnelles par le Land de Hesse, en Allemagne. A la suite du succès de cette loi, une loi fédérale fut adoptée en 1977 puis révisée en 1990.

Plus tard, en 1973, la Suède a adopté une loi nationale de protection des données à caractère personnel. Puis en 1978, la France a adopté sa première loi relative à la protection des données personnelles [14].

Les pays africains à l’instar du Bénin [15], de la Côte d’ivoire [16], du Burkina-Faso [17], du Ghana [18], du Maroc [19], du Sénégal et du Congo [20] ont également adopté une loi relative à la protection des données personnelles.

Novice en matière de protection des données personnelles, se pose la question suivante par rapport à la loi togolaise relative à la protection des données personnelles. Les dispositions prévues par le législateur togolais suffisent-ils à assurer une protection efficiente des données personnelles des citoyens togolais ?

En effet, si la teneur de la loi togolaise relative à la protection des données personnelles quoique louable et salvatrice, sa mise en œuvre pourrait se heurter à des difficultés rencontrées jadis par d’autres pays [21]. C’est pourquoi, cet article tente de donner des indications pouvant être utilisées pour la mise en œuvre de cette loi à la lumière du RGPD dans la mesure du possible.

Par ailleurs, l’étude de ce sujet se justifie d’une part par le fait que certains Etats à l’instar du Brésil, de l’Etat de Californie [22] se sont inspirés du droit européen de la protection des données pour améliorer la protection des données dans leurs Etats.

D’autre part, la mise en balance des intérêts entre protection de la vie privée et traitements des données personnelles à des fins économiques, historiques, administratives, etc... justifie cette étude.

A cette fin, il convient d’étudier l’apport du droit européen de la protection des données personnelles, au cadre juridique de la loi togolaise relative à la protection des données personnelles (I) puis au cadre institutionnel de la loi togolaise relative à la protection des données personnelles (II) qu’elle définit.

Pour lire l’article dans son intégralité, cliquez sur le lien ci-dessous :

Brice de Souza Data Privacy Officer, Juriste en droit des activités spatiales et des télécommunications

[1Il s’agit d’un service de transfert d’argent mobile opéré par l’opérateur mobile Togocom. C’est le même procédé pour Flooz développé par l’opérateur Moov Africa

[2C’est le cas de l’application SafeTogo et StopCovid en France destiné à identifier les porteurs du virus et leur déplacement.

[3Loi n° 2019-014 du 29 octobre 2019 relative à la protection des données a caractère personnel.

[4Loi n° 2018 - 026 du 07/12/18 sur la cyber sécurité et la lutte contre la cybercriminalité.

[5L’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace Cedeao disponible sur le site : https://www.afapdp.org/wp-content/uploads/2018/06/CEDEAO-
Acte-2010-01-protection-des-donnees.pdf (Consulté le 9 août 2020).

[6Convention de l’Union Africaine sur l’harmonisation des « cyberlegislations » en Afrique disponible sur le site : https://www.afapdp.org/wp-content/uploads/2018/06/CONV-UA-CYBER-PDP-2014.pdf (Consulté le 9 août
2020).

[7Règlement disponible sur : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679 (Consulté le 9 août 2020).

[8L’article 4 RGPD énonce que toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le législateur togolais et le législateur européen retiennent tous deux, une définition large de la notion de données personnelles.

[9CJUE, 19 Oct. 2016, Breyer, C-582/14, pts 31 et s. Une adresse IP (Internet Protocol) est le numéro permettant d’identifier un ordinateur ou un autre appareil dans un réseau. Elle est dite dynamique lorsqu’elle change en fonction des paramètres de configuration sur le serveur DHCP (Dynamic Host Configuration protocol qui est un serveur qui délivre des adresses IP aux ordinateurs connectés à un réseau) chaque fois que l’utilisateur allume de nouveau son ordinateur. En revanche, elle est dite statique lorsqu’elle est fixe c’est-à-dire lorsqu’elle ne change pas chaque fois que l’utilisateur allume son ordinateur.

[10Les cookies encore appelés témoins de connexion ou encore traceurs sont définis par le G29 comme « une courte combinaison alphanumérique stockée sur l’emplacement terminal de la personne concernée par un fournisseur de réseau ».
De façon plus claire, la CNIL la définit comme étant « une suite d’informations, généralement de petite taille et identifié par un nom qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez ». Il peut être déposé sur le disque dur de l’utilisateur directement par l’éditeur du site (cookies d’origine) ou par des tiers (cookies tiers). On distingue les cookies intrusifs (cookies liés à la publicité ciblée, et traceurs de réseaux sociaux) des cookies non intrusifs (cookies de navigation, cookies techniques, cookies utilisés à des fins d’authentification) En France, l’utilisation des cookies est encadrée par une délibération de la CNIL de 2013 disponible sur legifrance. Un projet de règlement européen visant à encadrer l’utilisation des cookies est en cours de discussion ; il s’agit de la proposition de règlement eprivacy disponible ici. Voir en ce sens De Souza (B), La protection des données à caractère personnel dans les communications électroniques, mémoire sous la direction de BLANC (N), p 15-17.

[11La CJUE a jugé que l’activité d’un moteur de recherche consistant à trouver des informations publiées par des tiers, à les indexer, à les stocker temporairement et à les mettre à la disposition des internautes selon un ordre de référence donné est un traitement. CJUE, 13 Mai 2014, Google Spain, C-131/12.

[12La notion de responsable conjoint du traitement depuis un arrêt de la CJUE, 5 juin 2018, aff C-210/16 englobe l’administrateur d’une page fan hébergée sur un réseau social. Certes, le responsable de traitement n’est pas l’hébergeur selon un arrêt de la Cour d’Appel de Paris, pôle 1-Ch.8, arrêt du 1 er Mars 2019, mais ne peut-il pas être qualifié de sous-traitant au sens du RGPD et de LIL ? (https://www.legalis.net/actualite/lhebergeur-nest-pas-responsable-de-traitement-de-donnees-personnelles/

[13Sur la distinction entre responsable de traitement et sous-traitants, voir les lignes directrices de l’EPDS relatif à ce sujet : https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf

[14Il s’agit de loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi a été mise en conformité avec le RGPD par une loi du 20 juin 2018 avec le RGPD. Une ordonnance relative à l’application de ladite loi a été également adoptée le 12 décembre 2018 : Ordonnance n°2018-1225 du 12 décembre 2018.

[15Loi n° 2009-09 portant protection des données à caractère personnel en République du Bénin disponible sur le
site : https://www.afapdp.org/wp-content/uploads/2018/05/Benin-LOI-SUR-PROTECTION-DES-DONNEES-A-CARACTERE-PERSONNEL-2009.pdf

[16Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel https://www.artci.ci/images/stories/pdf/lois/loi_2013_450.pdf

[17Loi 010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel.

[18Data Protection Act, 2012 (Act 843).

[19Loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel.

[20Loi n° 29-2019 portant protection des données à caractère personnel.

[21C’est le cas par exemple du RGPD.

[22Le California Consumer Protection Act ne loi californienne sur la confidentialité des données qui réglemente la manière dont les entreprises du monde entier peuvent traiter les informations personnelles des résidents de la Californie.Le CCPA est entré en vigueur le 1er janvier 2020. C’est la première loi de ce type aux Etats-Unis.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).