Côte d’Ivoire : L’impact du RGPD sur les

entreprises et ONG ivoiriennes

Par Maître ASSOKO HERACLES MAYE, Avocat,

Docteur en Droit et expert en Cyberlégislation

Avec l’entrée en vigueur au sein de l’Union européenne, le 25

mai 2018 du Règlement UE 2016/679 du 27 avril 2016 relatif
à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre
circulation de ces données encore connu sous le nom de
Règlement Général sur la Protection des Données
personnelles (RGPD), les entreprises et les organisations non
gouvernementales (ONG) établies en Côte d’Ivoire seront
fortement impactées par ses dispositions et ne pourront plus
transférer ou échanger des données à moins d’avoir réalisé
leur mise en conformité à la loi ivoirienne n°2013-450 du 19
juin 2013 relative à la protection des données à caractère
personnel.

En effet, la loi du 19 juin 2013 susvisée est en phase avec le

Règlement européen adopté trois ans plus tard, ayant anticipé
sur ses dispositions et articulations.

Aujourd’hui, la Côte d’Ivoire dispose d’une législation

complète et moderne en matière de protection des données à
caractère personnel, qui donne à ce pays le statut de pays
assurant une protection adéquate.

Ainsi, la loi ivoirienne établit le cadre juridique et

institutionnel des traitements des données à caractère
personnel en déterminant, d’abord, les régimes juridiques pour
chaque type de traitement et pour la circulation des données à
caractère personnel, que ces traitements soient mis en œuvre
par l’État, les collectivités territoriales, les personnes morales
de droit public ou de droit privé.

Ensuite, elle détermine les responsabilités des responsables du

traitement et les droits reconnus aux personnes concernées par
lesdits traitements.

Enfin, elle a institué une autorité de protection des données à

caractère personnel et prévoit la fonction de correspondant à la
protection des données à caractère personnel.

Ce faisant, la loi ivoirienne est en tout point conforme au

RGPD avec lequel elle partage beaucoup de similitude.

Fortes ressemblances

En effet, ces deux législations poursuivent les mêmes objectifs

à savoir :
-renforcer la protection des personnes physiques à l’égard des
traitements dont elles peuvent faire l’objet ;
-responsabiliser les responsables de traitement et les autres
intervenants en matière de traitement des données à caractère
personnel ;
-crédibiliser la régulation en matière de protection des données
à caractère personnel, en prévoyant l’autorégulation et en
renforçant la sanction en cas de manquement à la loi.

Ainsi, ces deux législations visent à créer un cadre adapté et

harmonisé de la protection des données qui tient compte des
récentes évolutions technologiques, notamment le Big Data,
les objets connectés, Intelligence Artificielle et des défis qui
accompagnent ces évolutions.

Ces deux lois prévoient les mêmes principes de protection des

données à caractère personnel, à savoir : le principe
d’interdiction de traitement des données sensibles ou de
catégories particulières, sauf exceptions légales, le principe
d’interdiction de transférer des données vers des pays tiers qui
n’offrent pas un niveau de protection adéquate, les principes
de consentement préalable, de licéité, de légitimité, de loyauté,
de transparence, de finalité, de proportionnalité, de
minimisation des données, de confidentialité, de sécurité, de
conservation limitée des données.

En outre, ces deux lois déterminent également des obligations

pour les responsables de traitement et leurs sous-traitant et
reconnaissent des droits aux personnes concernées,
notamment le droit d’accès, le droit d’opposition et de refus
du profilage, le droit d’effacement et droit à l’oubli
numérique, le droit de copie et de portabilité des données.

Enfin, ces deux lois ont prévu des institutions chargées

d’assurer de manière indépendante la protection des personnes
concernées à l’égard du traitement de leurs données à
caractère personnel, à savoir pour la Côte d’Ivoire une
Autorité de Protection et un correspondant à la protection des
données à caractère personnel chargé d'assurer en toute
indépendance la protection des données à caractère personnel,
et pour l’UE, l’Autorité de Contrôle indépendante et le
délégué à la Protection des données (Data Protection Officer
(DPO)).

Cependant, au-delà de la similarité, il existe des différences de

degré dans les approches légistiques entre ces deux lois.

Différences Majeures

En effet, le RGPD a vocation à harmoniser le droit des Etats

membres de l'UE en matière de protection des données
personnelles. Tandis que la loi ivoirienne ne s'applique que sur
le territoire de la Côte d'Ivoire.

Ainsi, l’application du RGPD sera immédiate dans les Etats

membres de l'UE à compter du 25 mai 2018 dans la mesure où
aucune transposition ne sera nécessaire, à cet effet. De ce
point de vue, il se distingue de l'Acte additionnel de la
CEDEAO relatif à la protection des données à caractère
personnel dans l'espace de la CEDEAO, qui a été transposée
en droit ivoirien à travers la loi du 19juin 2013 relative à la
Protection des données à caractère personnel.

Le RGPD sera applicable à partir du 25 mai 2018 dans

l'ensemble des pays de l'UE, mais aussi aux personnes situées
hors de l'UE et ayant des liens juridiques avec les pays de
l'UE.

Les sanctions prévues par le RGPD sont mille fois supérieures

à celles prévues par la législation ivoirienne. Alors que la loi
ivoirienne prévoit une sanction pécuniaire allant jusqu’à 5%
du chiffre d’affaire annuel du dernier exercice comptable dans
la limite de cinq cent millions (500 000 000) de francs en cas
de manquement réitéré, le RGPD prévoit une sanction
pécuniaire allant jusqu’à 4% du chiffre d’affaire mondial du
groupe d’entreprises concernées.

De ce fait, les entreprises situées en Côte d’Ivoire et ayant des

relations d’affaires ou des liens juridiques avec l’UE seront
impactées.

Les entreprises ivoiriennes qui font parties d’un groupe

d’entreprises ou d’établissements dont le siège est établi au
sein de l’UE, seront directement soumises aux dispositions du
RGPD, notamment aux principes généraux régissant le
transfert de données à caractère personnel vers une entreprise
située dans un pays tiers.

En tout état de cause, les transferts de données de l’UE à des

entreprises responsables de traitement, sous-traitants ou autres
destinataires dans des pays tiers et inversement ne pourront
avoir lieu que si ces pays disposent d’une législation
prévoyant un niveau approprié de protection des droits
fondamentaux des données concernées et si ces entreprises ont
entrepris leur mise en conformité à cette législation
protectrice.

En outre, le RGPD prévoit que lorsqu’un traitement doit être

effectué pour le compte d’un responsable de traitement situé
dans l’UE, celui-ci doit faire uniquement appel à des sous-
traitants qui présentent des garanties suffisantes quant à la
mise en œuvre des exigences dudit règlement.

Ainsi, une entreprise ivoirienne qui n’est pas en conformité

avec la loi ivoirienne ne sera pas en conformité avec le RGPD.
Car ce n’est pas suffisant d’avoir une législation en matière de
protection des données à caractère personnel, encore faut-il
que les entreprises ou ONG soient elles-mêmes en conformité
avec ladite loi, notamment en ayant engagée le processus de
mise en conformité et obtenu les autorisations de transfert des
données à destinations des pays tiers.

En conclusion

L’entrée en vigueur du RGPD à compter du 25 mai 2018

soulève de nombreuses interrogations quant à son impact sur
les entreprises et ONG ivoiriennes.

Cela ne fait l’ombre d’aucun doute que le RGPD aura un

impact significatif sur les entreprises ivoiriennes et les ONG
qui n’ont pas encore entrepris leur mise en conformité à la loi
ivoirienne ;

D’où l’impérieuse nécessité pour les entreprises qui

commercent avec l'Europe d’anticiper en organisant leur mise
en conformité. Concrètement, cela implique de mettre en place
une véritable gouvernance des données personnelles.
Sur le plan juridique, il convient de souligner que le règlement
reprend de façon globale les dispositions de la loi ivoirienne,
mais va beaucoup plus loin en prévoyant, notamment la
protection des données à caractère personnel dès la conception
d'un produit ou d'un service (protection by design ou par
défaut).

Cette protection des données à caractère personnel dès la

conception ou dès l’origine du traitement est également prévue
par le dernier alinéa de l'article 21 de la loi n°2013-450
relative à la protection des données personnelles.