Le délégué à la protection des données personnelles, un « chef d’orchestre de la conformité » encore facultatif au Burkina Faso

Par Arnaud Nadinga

 

La loi n°001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement des données à caractère personnel introduit dans le droit positif un nouvel acteur de la protection des données au Burkina Faso. Il s’agit du délégué à la protection des données à caractère personnel (DPD) - inspiré du Délégué à la protection des données de l’article 37 du RGPD – dont le statut est ici examiné.

 

I.- Missions du DPD : un acteur contribuant à la conformité des traitements

 

L’article 29 de la loi du 30 mars 2021 se contente d’une définition sommaire de la mission du DPD. Cette définition, si elle fournit un point de départ à la réflexion, ne permet pour autant pas de saisir complètement toutes les tâches qui sont assignées au DPD. Elle ne ressort que l’une des missions du DPD qui serait, aux termes de la disposition, d’« assurer le respect des obligations prévues par la […] loi ». La formulation ne nous paraît pas totalement exacte. Le DPD n’est pas chargé d’ « assurer » la conformité du traitement. Cette mission revient plutôt au responsable du traitement ou au sous-traitant. Ce sont ces derniers qui doivent répondre en cas de non-conformité. Le DPD a plutôt une mission de contrôle. Il est chargé de contrôler ou de vérifier la conformité des traitements mis en œuvre par le responsable du traitement (RT) ou le sous-traitant qui l’a désigné aux dispositions juridiques qui encadrent les traitements de données (par exemple que la finalité d’un traitement est respectée, que des mesures de sécurité sont mises en place…). Relèvent notamment de cette mission, la répartition des responsabilités au sein de l’organisme qui l’emploie, la sensibilisation et la formation du personnel qui participe aux opérations de traitement, la réalisation des audits qui se rapportent aux traitements des données (art. 432 du Code béninois du numérique, ci-après CBN et art. 15 de la Délib. n° 2020-118 au Mali), mais aussi le fait de servir de point de contact avec les personnes concernées pour l’exercice de leurs droits sur les données. Les missions du DPD ne se résument pour autant pas à cela. Il doit encore et surtout informer et conseiller le responsable du traitement et les employés qui réalisent les traitements sur les obligations qui sont les leurs en vertu des dispositions de la loi (art. 432 CBN et art. 15 Délib. n° 2020-118 au Mali). Il doit également faire office de point de contact pour l’Autorité de protection sur les questions relatives aux traitements, y compris les formalités préalables (art. 432 CBN et art 15 Délib. n° 2020-118 au Mali). Pour lui permettre d’accomplir pleinement ses missions, il est souvent exigé qu’il soit associé, par le responsable du traitement, à toutes les questions relatives à la protection des données (art. 431 CBN et art. 9 Délib. n° 2020-118 au Mali). Les ressources nécessaires à la réalisation de ses missions doivent être mises à sa disposition et il doit avoir accès aux données et aux opérations de traitement (art. 431, al. 2 CBN et art. 10 Délib. n° 2020-118 au Mali). Il doit en outre jouir d’une indépendance, et à ce sujet, il est souvent prévu que le DPD ne doit recevoir « aucune instruction en ce qui concerne l’exercice des missions » et qu’il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement pour l’exercice de ses missions. Dans la même veine, il fait directement rapport au niveau le plus élevé de la direction du responsable du traitement (art. 431, al. 3 CBN). 

 

II.- Qualités du DPD : un professionnel interne ou externe, personne physique ou morale

 

Les qualités du DPD n’ont pas été définies dans la loi du 30 mars 2021. Les droits malien, ivoirien et béninois fournissent quelques pistes. La précision est clairement faite à l’article 4 de l’Arrêté n° 511/MPTCI/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du Correspondant à la protection des données à caractère personnel en Côte d’Ivoire que le DPD (ou Correspondant à la protection des données [CPD] au Mali et en Côte d’Ivoire) peut tout d’abord être une personne physique ou une personne morale. La fonction n’est pas non plus réservée aux seules personnes physiques au Bénin et au Mali. Ensuite, le DPD peut être un membre du personnel du responsable du traitement (DPD interne) ou exercer ses missions sur la base d’un contrat de service conclu avec le responsable du traitement (DPD externe) (art. 430, al. 6 du CBN et art. 6 Délib. n° 2020-118 au Mali). En outre, le DPD doit avoir une expertise dans le droit des données personnelles, puisqu’il est désigné sur la base de ses qualités professionnelles et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Il peut ainsi être juriste ou informaticien, dès lors qu’il a la maîtrise des différents aspects juridiques et techniques d’un traitement de données (T. DOUVILLE). Par ailleurs, le DPD doit présenter un certain nombre de qualités personnelles (intégrité et haut niveau de déontologie) puisque sa nomination doit encore tenir compte de sa capacité à accomplir les missions qui lui sont assignées (art. 5 de la Délib. n° 2020-118 au Mali et art. 430, al. 5 du CBN). Enfin, dans l’exercice de ses missions, il est soumis au secret professionnel ou à une obligation de confidentialité (art. 13 Délib. n° 2020-118 au Mali et art. 431, al. 5 CBN).

 

III.- Une désignation facultative au Burkina Faso, mais obligatoire ailleurs

 

Aux termes de l’article 29 de la loi du 30 mars 2021 : « Tout responsable de traitement peut désigner au sein de son organisme un délégué à la protection des données […] ». On en déduit que la désignation du DPD est laissée à la discrétion du responsable du traitement au Burkina Faso. On imagine que ce choix est motivé par le souci de ne pas imposer de nouvelles obligations avec des incidences financières aux responsables de traitements. En revanche, pour ne citer que quelques exemples, la désignation du DPD est obligatoire en Côte d’Ivoire pour tous les responsables de traitements (l’article 12 de la loi n° 2013-450 et l’Arrêté n° 511/MPTCI/CAB ci-dessus posent une obligation de désignation sans distinction). Au Bénin et au Mali, les cas de désignation obligatoire sont limitativement énumérés. La désignation est imposée en premier lieu aux autorités et aux organismes publics traitant des données, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (art. 430, al. 1-1 CBN et art. 2-a Délib. n° 2020-118 au Mali). Un seul DPD peut être désigné pour plusieurs autorités ou organismes publics, compte tenu de leur structure organisationnelle et de leur taille (art. 430 al. 3 CBN et art. 4 Délib. n° 2020-118 au Mali). Dans le secteur privé, la désignation n’est obligatoire que pour les traitements qui comportent le plus de risques. C’est le cas tout d’abord lorsque les activités de base du responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. C’est ensuite le cas, lorsque les activités de base du responsable du traitement consistent en un traitement à grande échelle de données sensibles et de données relatives à des condamnations pénales et à des infractions (art. 430, al. 1-3 CBN et art. 2-b Délib. n° 2020-118 au Mali). Pour un Groupe d’entreprises, il est possible de désigner un seul DPD à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement (art. 3 Délib. n° 2020-118 au Mali et art. 430, al. 2 CBN).

***

**

La nomination d’un DPD est certes encore facultative, mais elle comporte un certain nombre d’avantages. Elle réduit d’abord le risque juridique, puisqu’elle facilite pour le RT sa mise en conformité. En effet, le RT est tenu de veiller à ce que ses traitement se fassent dans le respect de la loi. Or en s’attachant les services d’un DPD, il aura à sa disposition une aide, une expertise sûre en droit des données. Cette expertise, à travers ses missions et l’intermédiaire qu’il constitue entre le RT et les autres parties prenantes que sont l’Autorité de protection et les personnes concernées, réduit le risque de non-conformité avec ses conséquences financières et réputationnelles. La désignation d’un DPD peut également constituer un avantage concurrentiel par l’amélioration de l’image de marque du RT. Elle peut enfin réduire les coûts, en temps et en argent, de la mise en œuvre des traitement (rapidité de mise en œuvre des traitements, réduction des formalités…).

 

© Cercle d’études et de réflexion en droit du numérique (11 mai 2024)