Comprendre la Protection des Données Personnelles en Côte d’Ivoire

COMPRENDRE LA PROTECTION DES DONNÉES PERSONNELLES EN CÔTE D’IVOIRE

🔎 Tout savoir sur l’ARTCI, les lois sur les données personnelles en Côte d’Ivoire et les droits des citoyens et les dangers pour les entreprises

Introduction

Déclarer vos traitements de données à caractère personnel auprès de l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (« ARTCI ») est obligatoire si votre start-up traite des données personnelles.

La loi n° 2013-450 du 19 juin 2013 (la « Loi n° 2013-450 ») prévoit des obligations à votre charge lorsque vous traitez des données personnelles ou sensibles. Cette loi a pour objet de protéger les droits et libertés fondamentaux des personnes physiques en matière de traitement de leurs données à caractère personnel.

Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Quelles sont mes autres obligations en qualité de start-up en application de cette loi ? Si vous ne savez pas répondre à ces questions, cet article élargira considérablement vos connaissances sur le sujet.

A qui la Loi n° 2013-450 s’applique-t-elle ?

De manière générale, la Loi n° 2013-450 s’applique à la protection de données personnels.

Plus précisément, elle s’applique à :

toute collecte, tout traitement, toute transmission, tout stockage ou toute utilisation des données à caractère personnel par une personne physique, l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé ;
tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier ;
tout traitement de données mis en œuvre sur le territoire national ;

tout traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat, sous réserve des dérogations définies par des dispositions spécifiques fixées par d’autres textes de loi en vigueur.

A qui la Loi n° 2013-450 ne s’applique-t-elle pas ?

La Loi n° 2013-450 ne s’applique pas :

aux traitements effectués par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinés à une communication systématique à des tiers ou à la diffusion ;

aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données aux seules fins de permettre aux autres destinataires du service le meilleur accès possible aux informations.

Qu’est-ce que la protection de données à caractère personnel ?

Données personnelles : définition en Côte d’Ivoire

D’après l’article premier de la Loi n° 2013-450, une donnée personnelle désigne « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou indentifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

Cela peut inclure les informations suivantes : nom, adresse, numéro de téléphone, adresse e-mail, date de naissance, lieu de travail, habitudes d’achat, données de localisation etc.

Comment déterminer si ma startup réalise un traitement de données à caractère personnel selon la Loi n° 2013-450 ?

D’après l’article premier de la Loi n° 2013-450, un traitement des données à caractère personnel désigne « toute opération ou ensemble d’opérations effectuée à l’aide de procédés automatisés ou non et appliquée à des données à caractère personnel, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction de données à caractère personnel ».

Vous pouvez donc (sous réserve quelques exceptions) être considéré comme réalisant un traitement de données à caractère personnel si vous réalisez une des opérations visées ci-dessus.

Parler à un expert sur les données personnelles en Côte d’Ivoire

INSCRIPTION

Quelles sont les obligations à respecter au regard de la Loi n° 2013-450 lorsque je réalise un traitement de données à caractère personnel ?

Quelles sont les catégories de traitements dispensées de l’accomplissement de formalités préalables en Côte d’Ivoire ?

Il existe une exemption de formalités auprès de l’ARTCI pour les traitements de données à caractère personnel :

utilisées par une personne physique dans le cadre exclusif de ses activités personnelles, domestiques ou familiales; à condition toutefois que les données ne soient pas destinés à une communication systématique à des tiers ou à la diffusion ;
concernant une personne physique dont la publication est prescrite par une disposition légale ou réglementaire ;
ayant pour seul objet la tenue d’un registre qui est destiné à un usage exclusivement privé ;
pour lequel le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues par la Loi, sauf lorsqu’un transfert de données à caractère personnel à destination d’un pays tiers est envisagé.

Quelles sont les formalités préalables à la mise en œuvre du traitement des données à caractère personnel à respecter en Côte d’Ivoire ?

D’abord, le traitement de données à caractère personnel (sous réserve des exemptions ci-dessus) est préalablement soumis à une déclaration auprès de l’ARTCI.

L’ARTCI délivre un récépissé en réponse à la déclaration, le cas échéant par voie électronique. Ce n’est qu’après obtention du récépissé que votre startup peut mettre en œuvre le traitement.

Ensuite, le traitement de certaines données requiert une autorisation préalable de l’ARTCI. Il s’agit des traitements portant sur :

des données génétiques, médicales et sur la recherche scientifique dans ces domaines ;
des données relatives aux infractions, condamnations ou mesures de sûreté prononcées par les juridictions ;
un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphones ;
des données biométriques ;
des données ayant un motif d’intérêt public, notamment à des fins historiques, statistiques ou scientifiques ;
les transferts de données vers un pays étranger;

Il important de faire l’inventaire des données que votre startup collecte auprès des personnes concernées afin de déterminer si vous avez besoin de faire une simple déclaration ou une demande d’autorisation.

Enfin, quelle que soit la démarche qui vous est applicable, votre startup doit respecter la procédure mise en place par l’ARTCI.

Comment procéder au dépôt d’une demande d’autorisation ou d’une déclaration préalable ?

La demande est présentée par le responsable du traitement ou son représentant légal. Elle est adressée au Président du Conseil de régulation de l’ARTCI soit par courrier postal à l’adresse suivante : ARTCI – Marcory Anoumanbo – B.P. 2203 – Abidjan 18 ou par tout moyen contre remise d’un accusé de réception.

Quels sont les formulaires à remplir pour une déclaration préalable ou une demande d’autorisation ?

Il existe plusieurs formulaires à remplir en fonction de la nature de votre demande. Ces formulaires sont accessibles via le site internet de l’ARTCI et concernent les démarches suivantes :

déclaration préalable ;
demande d’autorisation de dispositif biométrique ;
demande d’autorisation préalable de traitement de données à caractère personnel ;
demande d’autorisation de système de vidéosurveillance ;
demande de transfert de données à caractère personnel hors espace CEDEAO ;
demande d’agrément d’audit de traitement de données à caractère personnel ;
demande d’agrément de formateur en protection des données à caractère personnel.

Vous pourriez également vous appuyer sur les fiches explicatives fournies par l’ARTCI pour renseigner lesdits formulaires.

Quel est le délai requis pour le traitement de votre dossier ?

L’ARTCI se prononce dans un délai d’un mois à compter de la réception de la déclaration ou de la demande d’autorisation sauf prorogation d’un mois sur décision motivée de l’ARTCI.

Dans tous les cas, l’ARTCI vérifie que votre dossier (déclaration ou demande d’autorisation) est complet et que le traitement est conforme aux exigences de la loi.

Elle vous délivre ensuite :

un récépissé de déclaration si vous avez procédé à une déclaration ; ou
une décision d’autorisation notifiée par courrier postal si vous avez procédé à une demande d’autorisation.

Attention : Ce n’est qu’à réception du récépissé ou de l’autorisation que le traitement de données personnelles peut donc être mis en œuvre.

Notez également qu’en cas de modification d’un traitement autorisé, il faudrait préciser l’objet de la modification en l’indiquant à l’ARTCI par simple courrier postal ou électronique. Veillez à mentionner le numéro de la décision d’autorisation et rappeler vos coordonnées pour le traitement de votre dossier dans les meilleurs délais. De même, si vous supprimez un traitement autorisé, il faudrait le signaler à l’ARTCI.

Quelle autorité assure la protection des données personnelles en Côte d’Ivoire ?

Qu’est-ce que l’ARTCI ?

En CI, la protection des données personnelles est assurée par l’ARTCI, créée en 2012, en vertu de la Loi n° 2013-450.

L’ARTCI est une autorité administrative indépendante dotée de la personnalité juridique et de l’autonomie financière. Elle est l’autorité de contrôle chargée de veiller au respect des dispositions de la Loi n° 2013-450. A ce titre, elle veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément à la loi. Elle s’assure également que l’usage des Technologies de l’Information et de la Communication ne porte pas atteinte ou ne comporte pas de menace pour les libertés et la vie privée pour les utilisateurs situés en CI.

L’ARTCI dispose d’un pouvoir réglementaire et d’un pouvoir de sanction.

Quelles sont les mesures que peut prendre l’ARTCI en cas de non-respect de la Loi n° 2013-450 ?

L’ARTCI peut prendre les sanctions administratives suivantes :

un avertissement à l’égard du responsable du traitement ;
une mise en demeure ;
l’interruption de la mise en œuvre du traitement ;
le verrouillage de certaines données à caractère personnel traitées ;
l’interdiction temporaire ou définitive d’un traitement contraire à la Loi ;
le retrait provisoire ou définitif de l’autorisation ;
une sanction pécuniaire.

Notez que les manquements aux dispositions de la Loi sont également punis par le code pénal ivoirien.

Parler à un expert sur les données personnelles en Côte d’Ivoire

INSCRIPTION

Qui sont les personnes responsables de la protection des données personnelles au sein de l’entreprise ?

Au titre de la Loi n° 2013-450, votre startup agit en qualité de :

responsable du traitement si, seul ou conjointement avec d’autres, elle prend la décision de collecter et de traiter des données à caractère personnel, en détermine les finalités et les modalités de mise en œuvre ;
sous-traitant, si elle traite des données pour le compte du responsable du traitement.

Il incombe au responsable de traitement ainsi qu’au sous-traitant de veiller au respect de la Loi.

Les obligations du responsable du traitement

En dehors du respect des principes attachés à la licéité de la collecte des données personnelles le responsable du traitement est tenu de faire droit aux demandes d’accès, de rectification, d’opposition, de suppression et d’effacement des données formulées par les personnes concernées.

Le responsable du traitement doit également respecter les obligations suivantes :

Obligations de sécurité: il est tenu de prendre toute précaution à l’égard des données, notamment d’assurer leur sécurité, et d’empêcher qu’elles soient déformées, endommagées, ou que des tiers y aient accès ;
Information des personnes dont les données personnelles font l’objet d’un traitement ;
Obligation de recueillir le consentement des personnes concernées ;
Réponse aux sollicitations des personnes dont les données personnelles font l’objet d’un traitement.

Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé.

Pour aller plus loin, vous pouvez consulter la foire aux questions établie par l’ARTCI.

Relation entre le responsable du traitement et le sous-traitant

Le responsable du traitement peut déléguer tout ou partie des activités de traitement à une organisation extérieure. Le sous-traitant est donc, d’une part, une personne physique ou morale distincte du responsable du traitement et, d’autre part, une personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement, sans possibilité de faire quelque traitement que ce soit que le responsable n’a pas préalablement expressément autorisé. Il a pour mission d’exécuter des tâches sur les instructions et sous la responsabilité du responsable de traitement, exportateur des données.

En cas de recours à un sous-traitant, le responsable du traitement doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements de données à caractère personnel à effectuer.

Quels risques si je ne respecte pas la loi ?

Quelles sont les amendes applicables ?

Les amendes pouvant être prononcées par l’ARTCI à l’encontre de tout responsable de traitement ayant enfreint les dispositions de la Loi sont proportionnels à la gravité des manquements et aux avantages tirés de ce manquement. Le montant de la sanction ne peut excéder la somme de 10.000.000 de francs CFA.

En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 100.000.000 de francs CFA ou, s’agissant d’une entreprise, il ne peut excéder 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 500.000.000 de francs CFA.

Il est donc indispensable de se mettre en conformité avec la Loi n° 2013-450. Cela permet de vous démarquer de vos concurrents au niveau national et international. Vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de vos clients ainsi que le respect de mesures de sécurité et de confidentialité.

Pour aller plus loin, vous pouvez consulter les articles suivants :

Formulaire : je souhaite déclarer mes traitements de données personnelles en Côte d’Ivoire

Nous vous accompagnons afin de pouvoir déclarer mes traitements de données personnelles en Côte d’Ivoire. Remplissez ce formulaire en ligne pour être immédiatement recontacté par nos équipes.

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.