L’avènement du numérique en Afrique à partir de 2010 a fait naître des obligations réglementaires, à tel enseigne que la Côte d’Ivoire a adopté le 19 juin 2013, la Loi n°2013-450 relative à la protection des données à caractère personnel, en désignant l’Autorité de Régulation des Télécommunications de Côte d’Ivoire (ARTCI) comme Autorité de Protection, chargée de s’assurer du respect des dispositions en la matière. Ce choix pourrait s’expliquer judicieux dans la mesure où l’ARTCI, qui existait depuis 2012, se portait déjà comme le garant de l’environnement du numérique en Côte d’Ivoire.
L’exigence ultime qui en ressortait à la première lecture de cette loi est l’urgence de se mettre en conformité. Ainsi, en référence à son article 53, toute entreprise légalement constituée qui traite des données personnelles devra remplir des formalités préalables de demande d’autorisation. Situé dans son interprétation, l’accomplissement de cette mesure s’avérait être âpre, étant donné la méconnaissance de cette loi dans un contexte peu connu encore du numérique et en phase d’appropriation par les professionnels au point d’observer de la part du régulateur un silence pendant trois (3) ans depuis l’adoption de cette loi. De plus, l’absence de processus clairement indiqué paraissait comme une entorse à la bonne volonté des entreprises désireuses d’accomplir cette exigence ultime et primordiale.
Afin d’y remédier, l’Autorité de Protection dotée d’un pouvoir normatif prend en 2017, la décision n°353-2017 portant processus de mise en conformité avec la loi sur la protection des données personnelles. Ce processus comprend entre autres la formation, la désignation du correspondant, l’audit de situation, la correction des écarts afin d’obtenir à la fin une attestation de conformité qui justifiera de la conformité de l’entreprise avec les exigences en matière de protection de données à caractère personnel. Dès lors, bon nombre d’organismes privés et publics de divers horizons nationaux et internationaux sont entrés dans ce processus. La mise en place de ce cadre procédural a considérablement rendu meilleur et favorable la compréhension des dispositions légales en la matière, puis a facilité l’obtention de décisions d’autorisation de traitement à certaines entreprises.
Face à l’engouement des entreprises à se mettre en conformité de plus en plus croissant, l’ARTCI semble s’être sentie vite submergée dans la prise en charge des dossiers, pour la plupart, pas toujours correctement constitués. L’Autorité de Protection a alors procédé à l’habilitation de plusieurs cabinets spécialisés en données personnelles préalablement formés, afin d’accompagner les entreprises à se mettre en conformité. La disponibilité et l’expertise de ces cabinets a permis à bon nombre de personnes physiques et d’organismes publics et privés de comprendre la nécessité de protéger leurs données personnelles, de mieux l’encadrer, d’en minimiser le traitement, mais surtout d’obtenir une attestation de conformité.
Tout ceci n’est pas réalisé sans les campagnes de sensibilisation et d’informations menées par l’ARTCI. Ces actions ont ouvert la possibilité aux personnes physiques et morales de se faire entendre sur la matière par le biais d’un cadre permanent d’échange et de la journée porte ouverte sur la protection des données personnelles. Cependant, quand bien même plusieurs entreprises ont entamé leur processus de mise en conformité, force est de constater que les données personnelles restent encore méconnues du grand public.
Si l’autorisation peut être accordée au regard du respect des principes corollaires de la protection des données personnelles, notamment ceux de la légitimité, la licéité, la proportionnalité, la confidentialité et de la durée, elle peut également être refusée quand l’usage des technologies de l’information et de la communication porte atteinte ou comporte une menace pour les libertés et la vie privée pour les utilisateurs situés sur l’ensemble du territoire national, comme le rappelle la décision n°2021-0698 de l’Autorité de Protection en décembre 2021 portant refus de traitement de données à caractère personnel.
Le constat fait pendant ces dix (10) années aujourd’hui est que le respect des règles en matière de protection des données personnelles permet aujourd’hui aux entreprises de concourir aux marchés internationaux et de s’offrir des opportunités commerciales et de financement de projet. Au sens des collaborations internationales, l’Autorité de Protection a établi des partenariats avec l’AFAPDP (Association Francophone des Autorités de la Protection des Données Personnelles), le RAPDP (le Réseau Africain des Autorités de Protection de Données Personnelles), etc. Toutes ces collaborations ont permis à la Côte d’Ivoire de faire de la protection des données personnelles, un sujet majeur à l’échelle nationale et internationale.
Nous ne pouvons terminer notre bilan sans dire qu’il serait impérieux d’apporter un nouveau souffle à la matière afin qu’elle reflète aux mieux nos réalités communes. Ainsi, nombreux sont les défis qui nous attendent tels que la révision de la loi sur la protection des données, la sensibilisation à grande échelle sur la matière et la répression effective des entreprises non conformes.