TOGO: Que dit la loi relative à la protection des données à caractère personnel ?

La Loi n° 2019-014 du 29 octobre 2019 relative à la protection des données à caractère personnel fait du Togo l’un des pionniers en la matière en Afrique francophone. Economie du texte…

D’entrée de jeu, il faut relever que le dessein de cette nouvelle loi est de réglementer la collecte, le traitement, la transmission, le stockage, l’usage et la protection des données à caractère personnel. Elle veille en outre à ce que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

Qu’est-ce qu’une donnée à caractère personnel ?

Aux termes de l’article 4 de la loi togolaise, les données à caractère personnel s’associent à toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

L’intérêt porté par le législateur sur ce type de données se rapporte concrètement à la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction desdites données.

En droit togolais désormais, toutes ces actions doivent être soumises à déclaration préalable (Art. 6). En effet, le législateur impose une obligation de déclaration auprès de l’Instance de protection des données à caractère personnel.

L’article 55 crée justement l’autorité nationale (une AAI – autorité administrative indépendante), chargée de la protection des données à caractère personnel. Elle est dénommée « Instance de Protection des Données à Caractère Personnel », en abrégé « IPDCP ». Celle-ci délivre, dans un délai maximal d’un mois, un récépissé qui permet au demandeur de mettre en œuvre le traitement des données.

Toutefois, certaines actions sont dispensées de déclaration ( les cas de certains registres de données ouvertes ou open data ) ou alors elles sont soumises à autorisation préalable (données génétiques, sanitaires, pénales ou encore biométriques).

Principes et obligations

Le législateur togolais précise les principes de traitement des données à caractère personnel. Ainsi, le traitement doit se plier au principe du consentement et de légitimité (le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne son consentement) ou encore aux principes de finalité, de pertinence et de conservation,d’exactitude, de transparence…

Il est institué une interdiction de traiter des données sensibles (l’origine raciale, ethnique, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l’état de santé de la personne concernée). Toutefois, l’exception à cette interdiction est la publicité voulue des données par la personne elle-même ou le consentement écrit de celle-ci.

La personne dont les données sont traitées à droit à l’information (art.35), à l’accès aux données collectées sur lui (Art. 39), à opposition, effacement, rectification des données collectées. La personne responsable du traitement des données à obligation de confidentialité, pérennité, sécurité et conservation limitée.

Sanctions et protection des données

Les membres du comité de direction de l’IPDCP peuvent effectuer des perquisitions (Art. 66) et des contrôles sur pièce et sur place. Le procureur de la République et le président du Tribunal de 1ère instance sont mis à contribution.

L’IPDCP peut infliger des amendes (moins de 100 millions de FCFA) ou un retrait provisoire de l’autorisation accordée pour une durée de trois (03) mois à l’expiration de laquelle, si des mesures correctives ne sont pas apportées, le retrait devient définitif.

Par ailleurs, la loi togolaise prévoit plusieurs infractions à l’instar du non-respect des formalités préalables , du non-respect des mesures de retrait provisoire de l’autorisation accordée, ou encore du traitement frauduleux ou non autorisé de certaines données sensibles. (ces peines vont au maximum jusqu’à 5 ans d’emprisonnement).

DMF