A l’heure du numérique, marquée par la montée en puissance des outils de communication, la protection des données à caractère personnel revêt une importance capitale.
Les cabinets d’avocats ivoiriens, destinataires privilégiés des données collectées, doivent garantir leur sécurité.

Une donnée à caractère personnel est une information permettant directement ou indirectement d’identifier une personne physique par référence à un ou plusieurs éléments qui lui sont propres. Il peut s’agir de contacts téléphoniques, noms et prénoms, photos d’identité, numéros de compte bancaire, des données biométriques, et même courriels etc.

A l’heure du numérique, marquée par la montée en puissance des outils de communication tels que Facebook, Twitter, Instagram et autres, les données à caractère personnel revêtent une importance capitale. Elles constituent même un enjeu de puissance économique, voire politique.

Leurs modes de production, leurs moyens de collecte et d’analyse se sont démultipliés et offrent des potentiels de valorisation inédits, mettant notamment l’expérience client au cœur des préoccupations.
La nature même du métier d’avocat fait de lui le destinataire de nombreuses informations confidentielles qui peuvent dans certains cas se révéler être des données personnelles au sens de la loi n°2013-450 du 19 juin 2013 portant protection de données à caractère personnel.

Au sens de cette loi, les données à caractère personnel désignent toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Cette loi est entrée en vigueur le 13 août 2013. Elle a pour objet de transposer dans la législation nationale l’Acte Additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO. Elle intègre également des dispositions pertinentes non prévues par le texte de la CEDEAO, mais contenues dans d’autres instruments juridiques internationaux (Conseil de l’Europe : convention pour la protection des personnes à l’égard du traitement des données à caractère personnel et autres textes).

Elle connait un vaste champ d’application, de la couverture à la collecte, au traitement, à la transmission, au stockage et à l’utilisation des données à caractère personnel par une personne physique, l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé, ainsi que tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier mis en œuvre sur le territoire national (article 3 alinéa 1).

La loi de 2013 pose aussi les principes directeurs encadrant le traitement des données personnelles. Le traitement doit être légitime et loyal, et subordonné au consentement préalable de la personne concernée. En outre, les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Par ailleurs, les personnes concernées par le traitement bénéficient de certains droits tels que le droit d’information et d’accès au fichier, le droit de rectification, y compris de mise à jour, le droit de l’effacement des données ou droit de l’oubli numérique, le droit d’opposition et de refus du profilage, le droit à la portabilité et droit de copie des données personnelles collectées.
Lors de cette présentation, deux points retiendront particulièrement notre attention, à savoir les responsables de traitement (I), et l’archivage concret des données recueillies (II). Nous terminerons par nos recommandations (III)

I- Le responsable de traitement.

Nous évoquerons en premier lieu la mission du responsable de traitement (A), avant d’analyser ses obligations (B) au sens la loi de 2013.

A - Les missions du responsable de traitement.

Il faut noter que la loi de 2013 ne donne aucune définition de la notion de « responsable de traitement ». C’est la doctrine qui définit ce concept comme toute personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique, et de façon surprenante, il s’agit du client personne physique ou morale qui sollicite les services d’un sous-traitant pour sécuriser ces données.

Partant de cette définition, l’avocat personne physique ou le cabinet d’avocats qui détermine les finalités et les moyens de traitement au sein de sa structure est alors considéré comme un responsable de traitement.
Selon l’article 39 de la loi de 2013, le traitement est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions.

A la lecture de cette disposition, on s’aperçoit que le responsable de traitement a pour principale mission de superviser et d’orienter, le traitement réalisé par des personnes externes à sa structure. Il sollicite les services d’un sous-traitant pour sécuriser ses données.

Ainsi, un cabinet d’avocats ivoirien, qui sollicite les services d’une personne extérieure dans le cadre d’une prestation de service, est tenu de superviser ce traitement, en sa qualité de responsable du traitement.

B- Les obligations du responsable de traitement.

Qui du donneur d’ordre ou du sous-traitant sera civilement, voire pénalement responsable en cas de divulgation des données personnelles ?
La loi de 2013 opte clairement pour la responsabilité du responsable du traitement.

Ce choix qui s’apparente à une responsabilité du fait d’autrui dans la mesure ou l’opérateur technique, en l’occurrence le sous-traitant, qui possède les compétences et les moyens de sécuriser les données, et dont c’est le métier, échappe à toute forme de responsabilité.

En effet, l’article 41 de loi de 2013 précise que le responsable du traitement, en l’occurrence le cabinet d’avocats, est tenu notamment :
 d’empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
 d’empêcher que les supports de données puissent être lus, copiés, modifiés ou déplacés ;
 d’empêcher l’introduction non autorisée de toute donnée dans le système d’information ;
 d’empêcher que le système de traitement soit utilisé à des fins de blanchiment de capitaux et de financement du terrorisme.

On observe donc que de lourdes exigences pèsent non pas sur le professionnel, mais plutôt sur le client qui à la réalité ne dispose pas des moyens pour assurer au jour le jour la protection de ces données.

L’avocat en tant que responsable du traitement, verra sa responsabilité mise en œuvre en cas de divulgation des informations traitées ou recueillies.

Ainsi, le prestataire de service ou le sous-traitant bénéficie de ce que l’on pourrait appeler « d’une immunité de fait ». Il pourrait en être autrement si le cabinet d’avocat était sous-traitant et non responsable du traitement.
C’est pourquoi, les cabinets d’avocats ivoiriens doivent prendre des mesures de sécurité renforcées afin que leurs préposés ne puissent divulguer les informations auxquelles ils ont accès.

L’article 45 de la loi de 2013 précise : Est puni d’une peine d’emprisonnement d’un mois à deux ans et de 1 000 000 à 10 000 000 de francs CFA d’amende quiconque entrave l’action de l’Autorité de protection des données : - soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en application des dispositions de la présente loi ; - soit en refusant de communiquer à ses membres ou aux agents habilités, les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître - soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Le procureur de la République ou le juge d’instruction compétent est informé, sans délai, des entraves aux actions de l’autorité nationale de protection des données et prend toutes les mesures appropriées en vue de les lever et de poursuivre l’auteur ou le complice.

L’analyse de cette disposition nous permet de comprendre que la violation par le responsable de traitement de ses obligations n’est sanctionnée que lorsque entrave l’action ou l’activité de l’autorité de protection des données à caractère personnel (ARTCI). Il va sans dire que toute violation par le responsable de traitement qui ne porterait pas sur l’activité de l’ARTCI ne serait pas sanctionnée.

Dans ce cas, les obligations mises à la charge du responsable de traitement seraient des « obligations creuses », dans la mesure où leur sanction est essentiellement greffée à l’activité de l’autorité de régulation. Il faudra alors aller vers une loi qui sanctionne véritablement et qui limite les obligations du responsable de traitement vis-à-vis de son sous-traitant.

II- L’archivage des données collectées par les cabinets d’avocats ivoiriens.

A- Etat des lieux de l’archivage dans les cabinets d’avocats ivoiriens.

Comment se fait la conservation des données collectées ?

Deux méthodes : un stockage physique et un stockage numérique.
La première consiste en l’archivage dans une salle d’archive au sein du cabinet de la documentation, sous format papier, classée dans des chemises cartonnées.

La seconde consiste à conserver numériquement les données recueillies, à travers un chiffrement de bout en bout.

Ces différentes méthodes ou techniques de conservation peuvent paraître correctes pour tout cabinet d’avocat. Cependant, des progrès sont attendus d’eux.

En effet, jusqu’à ce jour, certains cabinets ivoiriens ne sont pas dotés d’adresses professionnelles, offrant des garanties suffisantes en termes de sécurisation des données recueillies.

Il est alors nécessaire, voire indispensable que ces cabinets d’avocats se mettent en conformité avec la loi.

B- Expérience étrangère : Le Privacy Shield.

Les cabinets d’avocats ivoiriens peuvent s’inspirer du Privacy Shield.
Le privacy Shield ou bouclier de protection des données personnelles entre l’UE et les USA (en anglais : EU-US Privacy Shield) est un accord dans le domaine du droit de la protection des données personnelles. Ce système permet de sécuriser tous les transferts ou échanges de données entre les Etats Unis d’Amérique et L’Union Européenne.

A l’instar de ce système, les cabinets d’avocats Africains, en particulier ceux de la Côte d’Ivoire pourraient instaurer un système capable de sécuriser tous les transferts de données entre les cabinets d’avocats et leurs sous-traitants.
Techniquement, ce système permet de vérifier que les données ne sont pas altérées, endommagées ou que les tiers non autorisés n’y ont pas accès.

III- Recommandations.

Les différentes recommandations ci-après développées permettront sans doute aux cabinets d’avocats ivoiriens de mieux utiliser ou traiter les données collectées dans l’exercice de leur fonction.

Une utilisation adéquate des données à caractère personnel passe nécessairement par une mise en conformité des pratiques observées avec la loi nationale (A), une étude d’impact (B), un audit des données collectées (C) et des formations sur les risques liés au mauvais traitement des données à caractère personnel au sein des cabinets d’avocats (D).

A- La mise en conformité à la loi nationale.

L’article 53 de la loi de 2013 précise : « les responsables de traitement de données à caractère personnel disposent d’un délai de six mois, à compter de la date de l’entrée en vigueur de la présente loi, pour se mettre en conformité avec ses dispositions. »

Il ressort de cette disposition que les responsables de traitement, les cabinets d’avocats, sont tenus de se mettre en conformité avec la loi nationale.
Une mise en conformité est une démarche très utile pour un avocat. En effet, un cabinet d’avocat ivoirien, qui respecte et fait une application stricte la loi de 2013, verra naître entre lui et ses clients une relation de confiance et de sécurité.

Quelles sont les étapes d’une mise en conformité ?
Il existe 5 étapes :
1- Établir une cartographie de l’ensemble des traitements de données du cabinet d’avocat.
2- Analyser chaque traitement de données en profondeur pour vérifier sa conformité avec la loi en vigueur.
3- Tenir un registre dans lequel seront référencés les différents traitements des données à caractère personnel conformes et à modifier ;
4- Tenir compte de l’évolution du cabinet et s’assurer que la conformité est maintenue.

B- Un audit de conformité.

Il permettra d’inventorier toutes les données à caractère personnel traitées, ainsi que les traitements réalisés.
L’audit de conformité des données à caractère personnel dépasse les exigences classiques en matière de sécurité des données. Il fournit une assurance qualité sur les données et comprend :
 Des mécanismes permettant de s’assurer que l’information est obtenue légalement ;
 De la conservation des données ;
 De la documentation applicable
 De la conformité aux droits des clients
 De la conformité à la législation.

La démarche d’audit permet de mettre en relation dysfonctionnements, recommandations et plans d’action.

Elle fournit également une feuille de route pour le management du cabinet.
Par ailleurs, un audit de l’utilisation ou du traitement des données à caractère personnel répond à trois principaux objectifs :
• Vérifier qu’il existe un système de protection des données en place dans le cabinet d’avocat ;
• S’assurer que l’ensemble du personnel est impliqué : c’est-à-dire qu’il est conscient de l’existence du système, qu’il le comprend et l’utilise ;
• Vérifier que le système mis en place est effectif et approprié.

C- Réaliser une étude d’impact.

Une étude d’impact est une étude technique qui vise à apprécier les conséquences de toutes natures, d’un projet pour tenter d’en limiter, atténuer ou compenser les impacts négatifs.

Elle est très importante pour la responsabilisation des cabinets d’Avocats. Elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité à la loi nationale, en matière de protection de données.

Une étude d’impact se fait en 3 étapes :
 une description détaillée du traitement mis en œuvre par le cabinet d’avocat.
 une évaluation juridique des risques en présence
 l’étude technique des risques sur la sécurité des données, ainsi que leur impact potentiel sur la vie privée des clients, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Cette étude d’impact des données doit être menée avant installation de tout système informatique au sein d’un cabinet d’avocat. Elle doit être mise à jour de façon régulière.

Il est également nécessaire de réaliser cette étude de façon régulière afin de s’assurer que le niveau de traitement reste acceptable pendant l’utilisation des données recueillies, dans la mesure où l’environnement sera emmené à évoluer, ce qui nécessitera une adaptation des mesures mises en œuvre.

D- Initier des séances de formation au sein du cabinet.

La formation du personnel d’un cabinet d’avocat sur les risques liés à la mauvaise utilisation des données des clients est importante pour tout cabinet d’avocat.

Les conseils offerts par l’Autorité de Régulation des Télécommunications en Côte d’Ivoire (ARTCI) mettent en avant l’importance de la sensibilisation du personnel et l’intégration du facteur dans les projets de mise en conformité.
Une formation permettra au personnel d’acquérir une compréhension claire des changements clés à la législation nationale ainsi que des exigences affectants leurs activités ou métiers.

Elle aura pour but de fournir une présentation détaillée des principes, rôles et responsabilités prévus par la loi de 2013 au personnel, afin de limiter les risques de non-conformité du cabinet.

Enfin, une formation permettra de définir les droits et obligations du personnel concernant l’utilisation du matériel informatique du cabinet. Elle vise à prévenir ou limiter l’usage abusif des informations mises à la disposition du personnel.
Enfin, il faut éduquer la population à l’effet de comprendre les implications liées au non-respect des dispositions de la loi 2013.

Ariel Dehi, Etudiant. https://www.facebook.com/AD.Lejuriste/