L'Impact du Règlement Général sur la Protection des Données personnelles (RGPD) sur les Sociétés Africaines
Nacima LAMACHI-ELKILANI ACSS
Avocat IP/IT Europe-Afrique Data Protection Officier
1. L’impact du Règlement Général sur la Protection des
Données personnelles (« RGPD »)
sur les sociétés africaines
5 avril 2018
Nacima Lamalchi-Elkilani
Avocat IP/IT Europe-Afrique
Data Protection Officer
A SECURE DIGITAL AFRICA
03-05 avril 2018, Hôtel Sheraton, Oran
2. 1. De quoi parle-t-on ?
Données personnelles :
Toute information identifiant directement ou
indirectement une personne physique (ex. nom,
no d’immatriculation, no identification nationale,
no de téléphone, photographie, date de
naissance, commune de résidence, empreinte
digitale, adresse IP, données génétiques, photo,
vidéo, voix etc.).
3. Vous détenez tous des fichiers contenant des
données personnelles :
- Fichiers RH : vidéosurveillance, badgage…
- Données clients/prospects : newsletters, sites…
- Fichiers banque/assurance : scoring, fraude
- Données de santé
- Données chez les opérateurs de communications
électroniques…
4. Conséquence :
Responsable de traitement » (RT) : personne
physique ou morale, l'autorité publique, le
service ou un autre organisme qui détermine les
finalités et les moyens du traitement
« Sous-traitant » (ST) : personne physique ou
morale, autorité publique, service ou organisme
qui traite des données au nom et pour le
compte du RT
5. Légitime
Justifié dans un
but défini
Minimisée
Adéquates,
nécessaires
Exacte, limitée
dans le temps:
mise à jour
Transparente:
Information des
personnes
Confidentialité
Mesures
appropriées
Conformité !
Les 5 grands principes
5
6. 2. Cadre juridique en Afrique
20 législations relatives à la protection des données personnelles et
seulement 8 autorités de contrôle
REGION PAYS AUTORITE DE CONTRÔLE
AFRIQUE DE
L’OUEST
CAP-VERT Pas d’autorité
BURKINA FASO Commission de l’informatique et des libertés (cil.bf)
SENEGAL Commission des données personnelles (cdp.sn)
BENIN
Commission nationale de l’informatique et des
libertés (cnilbenin.bj)
GHANA Data Protection Commission (dataprotection.org.gh)
CÔTE D’IVOIRE Pas d’autorité
MALI Pas d’autorité
GUINEE CONAKRY Pas d’autorité
NIGER Pas d’autorité
7. REGION PAYS AUTORITE DE CONTRÔLE
AFRIQUE DU
NORD
MAROC
Commission nationale des données personnelles
(cndp.ma)
TUNISIE
Instance Nationale de Protection des Données
Personnelles (inpdp.nat.tn)
AFRIQUE
CENTRALE
ANGOLA Pas d’autorité
GABON
Commission de protection des données
personnelles
TCHAD Pas d’autorité
AFRIQUE
AUSTRALE
MAURICE Data Protection Office (dataprotection.govmu.org)
DJIBOUTI Pas d’autorité
SWAZILAND Pas d’autorité
AFRIQUE DU SUD Pas d’autorité
LESOTHO Pas d’autorité
ZIMBABWE Pas d’autorité
8. Et l’Algérie ?
Loi n°04-15 du 10 novembre 2004 relative aux
atteintes aux systèmes de traitement automatisés de
données (STAD)
Loi 09-04 du 5 août 2009 relative à la prévention et à la
lutte contre les infractions liées aux TIC
Projet de loi relatif à la protection des personnes
physiques en matière de traitement des données
personnelles a été adopté le 28 mars 2018 par l’APN
9. 3. Pourquoi l’Afrique est concernée par le RGPD ?
Champ extraterritorial : responsables du traitement RT ou
sous-traitants ST traitant des données de personnes se
trouvant sur le territoire de l’UE dans le cadre :
a) d’une offre de biens ou de services à ces personnes
concernées dans l'Union, à titre onéreux ou gratuit
b) du suivi du comportement de ces personnes, dans
la mesure où il s'agit d'un comportement qui a lieu au
sein de l'Union. »
10. Quels risques en cas de non-conformité ?
Sanctions financières : 10 ou 20 millions d’euros, ou, dans
le cas d’une entreprise, de 2% jusqu’à 4% du chiffre
d'affaires annuel mondial
Actions des personnes concernées
Actions en responsabilité contractuelle du RT contre le ST
Sanction de perte d’image/réputation : la presse
11. 4. L’impact du RGPD sur les sociétés africaines
Principales obligations de l’ « Accountability »
Désigner un Data Protection Officer (DPO)
Obligatoire pour le RT et le ST s’ils appartiennent au
secteur public (i) ; si leurs activités principales les
amènent à réaliser un suivi régulier et systématique à
grande échelle des personnes (ii) ou à traiter, à grande
échelle, les données dites « sensibles » ou relatives à
des condamnations pénales et à des infractions (iii).
1
12. Respecter les droits des personnes fichées
Droit d’accès, de
rectification et de
suppression
Droit à
l’effacement
(droit à l’oubli)
Droit à la limitation
du traitement
Droit à la portabilité des
donnes
Droit de s’opposer à la prise
de décision automatisée (y
compris le profilage)
14. Rédiger les processus internes :
- Rédaction des politiques de gestion de données
personnelles et confidentialité
- Procédures relatives à l'exercice des droits des
personnes concernées, notices d'information..
- Procédures d’archivage et de purge
- Charte informatique interne
- PSSI, PCA/PRA, PAS
15. Assurer la sécurité informatique
Mesures techniques et organisationnelles :
pseudonymisation, chiffrement des données
Pseudonymisation : technique qui consiste à
traiter les données à caractère personnel de sorte
qu’elles ne puissent plus être attribuées à une
personne concernée précise sans avoir recours à
des informations complémentaires, ces dernières
devant être conservées séparément.
16. Obligation de notification des failles de sécurité à l’autorité de
contrôle et à la personne concernée (art. 33 et 34 du RGPD)
Failles de sécurité
72h pour notifier à l’autorité de
contrôle (art. 33 du RGPD)
Si risque élevé : communication à la
personne concernée (art. 34 du RGPD)
Contenu de la
notification :
• Nature de la
violation ;
• Nom et coordonnées
du DPO ;
• Conséquences
probables de la
violation ;
• Mesures prises pour
y remédier.
Communication dans les
meilleurs délais qui
décrit, en des termes
clairs et simples, la
nature de la violation de
données à caractère
personnel et les
informations et mesures
visées à l’article 33
Sauf si :
• Le RT a mis en œuvre de mesures
techniques et organisationnelles
appliquées aux DP affectées ;
• Le RT a mis en œuvre des mesures
ultérieures garantissant que le
risque n’est plus susceptibles de
se matérialiser ;
• La communication exige des
efforts disproportionnés.
17. Nouvelles obligations des sous-traitants
Conclure un contrat de sous-traitance :
Objectif : définir l’étendue de la mission, les obligations
(ex: confidentialité, conditions de recrutement d’un autre
sous-traitant, gestion des droits des personnes, sort des
données à la fin du contrat…), modalités droit d’audit par
le RT, formalités de transfert
Devoirs de sécurité, de conseil et d’alerte envers le
responsable de traitement : analyses d'impact (PIA);
prévention et procédures en cas de failles de sécurité
18. Les étapes à suivre vers la conformité2
Désigner un DPO
Désignation obligatoire dans certains cas et
recommandée dans d’autres. Peut être interne ou
externe à l’entreprise. « Chef d’orchestre » de la
démonstration de conformité.
Cartographier vos
traitements de données à
caractère personnel
Registre des traitements : acteurs du traitement,
catégories de données traitées, finalités, flux
indiquant origine et destination des données,
durées de conservation, mesures de sécurité
Prioriser les actions à
mener
Minimisation des données, base juridique du
traitement, MàJ des mentions d’information,
révision des contrats et engagement des ST,
modalités et procédures d’exercice des droits
19. Les étapes à suivre2
Gérer les risques
Pré-analyse succincte
Mener une Analyse d’Impact (PIA) si risque élevé
Organiser les processus
internes
Registre des traitements, analyses d’impact (PIA)
encadrement des transferts de données hors UE,
information des personnes, modèles de recueil
du consentement
Documenter la
conformité
Politique de confidentialité des données et de
formation / sensibilisation, procédures de
gestion des failles de sécurité, de traitement
des demandes des personnes concernées, de
conservation des consentement et de gestion
des flux de données
22. Le diagnostic / état des lieux va vous permettre :
d’évaluer le Niveau de Maturité de votre organisme par rapport aux
dispositions de la loi nationale le cas échéant, mais également au RGPD
d’établir le Niveau de Risques actuel de votre organisme
de disposer d’une Feuille de Route pour initier la démarche de mise en
conformité, décomposée par service
de vous proposer une réflexion de Mise en Conformité par service
de Réfléchir sur vos processus internes pour démontrer la mise en
place de mesures organisationnelles et techniques