Les implications juridiques de la gestion des données personnelles dans les entreprises ivoiriennes
La gestion des données à caractère personnel est au cœur du quotidien des entreprises. Cette réalité ne vaut pas seulement pour les entreprises spécialisées dans le domaine des Technologies de l’Information et de la Communication (TIC). Avec le développement des TIC, toutes les entreprises (des PME aux Multinationales) procèdent au quotidien dans le cadre de leurs activités, aux traitements des données à caractère personnel.
Rappelons qu’au sens de l’article premier de la loi N°2013-450 relative à la protection des données personnelles, une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique. Il s’agirait notamment du nom, du numéro national d’identification (NNI), du numéro de téléphone, l’image, le son, la voix, les données biométriques, les données de santé, les données salariales. Les entreprises opèrent des opérations au quotidien sur ces données à travers la gestion du recrutement (par les services des ressources humaines), du fichier client et de l’annuaire du personnel, l’utilisation de badges vidéosurveillance ou encore géolocalisation. Nous pouvons bien observer que toute ces opérations impliquent obligatoirement les données personnelles.
L’enjeu pour les entreprises ivoiriennes est autant juridique qu’économique. En effet comme évoqué dans le précédent article, une entreprise, qui traite les données personnelles dans ses activités est tenue de procéder à sa mise en conformité afin de ne pas subir les sanctions découlant de la loi. Toutefois la gestion des données personnelles influence non seulement la qualité des relations avec les clients mais aussi l’éthique interne des salariés.
Il devient dès lors important pour une entreprise, d’accorder une très grande importance à la gestion des données personnelles qui pourrait impacter sa notoriété. Non seulement vis-à-vis de ses concurrents, mais aussi vis-à-vis de ses clients ou des personnes avec lesquelles elle est en relation. L’entreprise doit être digne de confiance vis-à-vis de l’ensemble des parties prenantes qui travaillent avec elle. Elle doit donc connaître les obligations auxquelles elle est soumise pour assurer une bonne gestion des données personnelles.
Les obligations de l’employeur (responsable du traitement) dans la gestion des données personnelles
Comme nous l’avons indiqué plus haut, avec le développement des Technologies de l’Information et de la Communication, les entreprises utilisent des solutions informatiques (logiciels) qui facilitent de plus en plus le traitement des données des salariés au quotidien. Les services des ressources humaines procèdent aux traitements des données personnelles notamment dans le cadre des recrutements du personnel, de la gestion des carrières et des compétences, du suivi du temps de travail. Il existe même des entreprises qui mettent en place des dispositifs de contrôle tels que la vidéosurveillance, la géolocalisation.
La divulgation ou la mauvaise utilisation de ces données étant donc susceptible de porter atteinte aux droits et à la vie privée des salariés, il est essentiel de veiller au respect des règles et principes prévus dans la loi N°2013-450 relative à la protection des données à caractère personnel applicable en Côte d’Ivoire. Cette loi de 2013 encadre les traitements des données à caractère personnel.
Selon l’article 1 de la loi ci-dessus citée, « le traitement des données à caractère personnel, consiste en toute opération ou ensemble d’opérations effectuées à l’aide ou non des procédés automatisés ou non, et appliqués à des données , telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition , le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction de données à caractère personnel. »
Dans le traitement de ces données, les entreprises en Côte d’Ivoire (employeurs) sont soumises à des obligations ayant pour but de protéger les données personnelles et la vie privée de leurs employés.
- L’obligation de déclaration à l’ARTCI (Autorité de Protection des données personnelles)
Principe
Selon l’article 5 de la loi de 2013, le traitement des données à caractère personnel est soumis à une déclaration préalable auprès de l’ARTCI, l’Autorité de protection en Côte d’Ivoire. En effet, il faut préciser que cette obligation ne vaut que pour une nature spécifique de traitement des données personnelles. Il s’agit des traitements des données personnelles qui ne portent pas atteinte à la vie privée ou aux libertés des salariés. (Rapport d’activités 2014 de l’ARTCI).
Cas d’exception à l’obligation de déclaration des traitements à l’ARTCI
Il existe des cas dans lesquels les entreprises sont dispensées de procéder à la déclaration des traitements à l’ARTCI. La loi liste de façon exhaustive ces traitements.
L’article 6 dispose que : sont dispensés des formalités de déclaration préalable :
- Le traitement de données utilisées par une personne physique dans le cadre exclusif de ses activités personnelles, domestiques ou familiales
- Le traitement de données personnelle d’une personne physique dont la publication est prescrite par une disposition légale ou réglementaire
- Le traitement pour lequel le responsable a désigné un correspondant à la protection des données à caractère personnel, sauf lorsqu’un transfert de données à caractère personnel à destination d’un pays tiers est envisagé
Cette disposition vient encore une fois de plus montrer l'avantage de désigner un correspondant à la protection des données personnel, comme nous l’avons vu dans le précédent article. Ainsi sa désignation au sein de l’entreprise dispenserait celle-ci de procéder à la formalité déclaration. Tout simplement la présence du Correspondant à la protection des données personnelles, est un gage de bonne gestion des données à caractère personnel. Toutefois en cas de transfert des données personnelles à destination d’un pays tiers, l’employeur devrait requérir l’autorisation de l’ARTCI.
- L’obligation d’obtenir une Autorisation préalable de l’ARTCI pour certains traitement
Il existe les cas dans lesquels les traitements mis en œuvre par l’employeur seront plutôt soumis à la formalité de la demande d’autorisation. Ici la demande de l’Autorisation fera l’objet d’un examen très approfondi en raison du caractère sensible des données traitées. Selon l’article 7 de la loi relative à la protection des données personnelles, les traitements soumis à l’autorisation de l’ARTCI sont :
- Le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines ;
- Le traitement des données à caractère personnel portant sur des données relatives aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les juridictions
- Le traitement portant sur un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphone ;
- Le traitement des données à caractère personnel comportant des données biométriques
- Le traitement des données à caractère personnel ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques ;
- Le transfert de données à caractère personnel envisagé à destination d’un pays tiers.
A défaut de déclaration ou d’autorisation auprès de l’ARTCI, l’entreprise s’exposerait à des sanctions.
- L’obligation d’information
L’employeur doit recueillir l’accord des salariés avant de collecter des données à caractère personnel les concernant. De plus, la finalité de la collecte d’informations doit être précise et les données recueillies en accord avec cette finalité. Selon l’article 28 de la loi relative à la protection des données personnelles, dès lors que l’employeur détient des données personnelles relatives à ses salariés, il doit informer la personne concernée sur :
- Son identité et, le cas échéant, celle de son représentant dûment mandaté
- La ou les finalités déterminées du traitement auquel les données sont destinées
- Les catégories de données concernées
- Le ou les destinataires auxquels les données sont susceptibles d’être communiquées
- La possibilité de refuser de figurer sur le fichier en cause
- L’existence d’un droit d’accès aux données concernant la personne et d’un droit de rectification de ses données
- La durée de conservation des données
- L’éventualité de tout transfert de données à destination d’un pays tiers
Ainsi, en plus d’obtenir l’accord de ses salariés et de veiller à ce que les données collectées soient bien en conformité avec la finalité du traitement, l’employeur doit informer ses salariés de leur droit d’accès, de modification et de suppression des informations collectées.
- L’obligation de sécurité et de confidentialité
Il ressort des articles 39 et suivants de la loi N°2013-450 relative à la protection des données à caractère personnel que le responsable de traitement est tenu à l’obligation de sécurité et de confidentialité. L’employeur est tenu de prendre toute précaution au regard de la nature des données et, notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
L’employeur doit alors mettre en œuvre les mesures de sécurité des locaux et des systèmes d’information pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès au risque d’exposer les données personnelles traitées. L’accès aux données est réservé uniquement aux personnes désignées, habilitées en raison de leur fonction, ou à des tiers qui détiennent une autorisation spéciale et ponctuelle.
Que les responsables de traitement des données personnelles que sont les entreprises pensent à désigner un Correspondant à la protection des données personnelles qui sera mieux outillé non seulement à les accompagner dans la mise en conformité mais qui diffusera aussi une bonne politique de gestion des données personnelles au sein de l’entreprise.