Léon Brandré, consultant expert en conformité réglementaire, PDG du Cabinet DPSE, décrypte l’évolution du Correspondant à la protection des données (DPO) en Côte d’Ivoire, une fonction cruciale mais encore méconnue. Il alerte sur le retard pris dans son application et souligne l’urgence de former, légitimer et valoriser cette fonction de “gendarme des données” pour garantir la pleine conformité des organismes face à la digitalisation croissante.
CIO Mag : Pouvez-vous nous expliquer brièvement quel est le rôle et les responsabilités principales d’un Correspondant à la protection des données (DPO) en Côte d’Ivoire?
Léon Brandré : Tout d’abord, il faut savoir que le métier de Correspondant à la protection des données personnelles est la seule fonction qui est imposée par un texte de loi au sein d’un organisme. Ainsi, ses missions et son rôle sont prévus par la loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, précisément en son article 12, et définis dans l’arrêté n°0099/MTND/CAB du 16 août 2024 modifiant l’arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du Correspondant.
Ainsi, le Correspondant à la protection des données (DPO) est le gendarme de la protection des données personnelles au sein de l’organisme. Il a pour rôle principal d’assurer la conformité des traitements de données personnelles opérés au sein de l’organisme, à la règlementation en vigueur et au respect des bonnes pratiques en la matière.
Il conseille et oriente le Responsable de traitement lorsque cela est nécessaire, dans la mise en place des outils et dispositifs découlant des exigences de la loi. C’est le cas par exemple lorsque la mise en place d’un traitement nécessite la réalisation d’une Analyse d’impact sur la protection des données (AIPD).
Le DPO est donc le référent de la protection des données en interne, à l’égard des personnes concernées ou de leurs ayants droit, et en externe, comme interlocuteur direct auprès de l’Autorité de protection.
CIO Mag : Comment cette fonction s’est-elle développée ces dernières années dans le contexte ivoirien?
L. B. : Comme je l’ai précisé en entame de mon propos, le métier de Correspondant à la protection des données est né en Côte d’Ivoire avec l’adoption de la loi de 2013 sur la protection des données et l’arrêté de 2014. C’est donc depuis les années 2013-2014 qu’existe cette obligation pour les responsables de traitement de désigner un DPO. Mais l’application sur le terrain n’a pas été très rapide, pour cause de méconnaissance de la loi elle-même.
Je peux donc dire que la fonction de DPO s’est développée proportionnellement à la connaissance de la loi, c’est-à-dire un peu lentement, mais j’espère qu’avec l’arrêté de 2024 que j’ai précédemment cité, les choses iront plus vite et bien. L’Autorité de protection (ARTCI, ndlr) a un grand rôle à jouer en ce sens, en termes de vulgarisation de l’arrêté et de multiplication des rencontres d’échanges avec les acteurs de tous les secteurs d’activités.
Je pense que la fonction de DPO se développe avec la prise de conscience et le besoin des entreprises de se conformer à la loi sur la protection des données personnelles, d’où le rôle crucial de l’Autorité dans la vulgarisation du métier. Mais nous aussi, qui sommes acteurs du secteur de la protection des données, ne devons pas rester en marge.
Beaucoup reste à faire pour les DPO. Ils ont un réel besoin de formation spécifique et adaptée, d’accompagnement et d’assistance selon les termes prévus par la loi, pour mener à bien leurs missions.
CIO Mag : Quels sont, selon vous, les principaux défis auxquels sont confrontés les DPO en Côte d’Ivoire dans l’exercice de leurs fonctions?
L. B. : Je note plusieurs défis à l’exercice du métier de DPO en Côte d’Ivoire, mais je n’en citerai que quelques-uns. D’abord, il y a le besoin de formation et/ou de renforcement des capacités. En effet, le DPO doit suivre une formation particulière qui lui permette de prendre en main la conformité de l’organisme.
Aujourd’hui, la grande majorité des DPO ont un profil, soit juriste, soit informaticien de base. Mais cela ne suffit absolument pas pour comprendre la loi, en respecter les règles et mettre en œuvre les principes fondamentaux.
Le second défi est la reconnaissance de l’autonomie de la fonction de DPO au sein de l’organisme. Le métier de DPO est spécifique et doit être reconnu et considéré comme tel par le chef d’entreprise. Ainsi, il ne devrait pas se cumuler à la charge de travail existante, mais être considéré à part entière pour permettre au DPO d’exercer pleinement ses fonctions.
Le troisième défi que je considère comme le plus important est la valorisation du métier de Correspondant à la protection des données. C’est un métier qui doit être promu au sein de la société ivoirienne, par l’ensemble des acteurs, à commencer par l’Autorité de protection elle-même. La loi existe certes depuis 12 ans, mais il faut certainement encore du temps pour que l’on arrive à un certain niveau de maturité sur la protection des données en Côte d’Ivoire.
CIO Mag : Comment la méconnaissance de la fonction de DPO par les entreprises affecte-t-elle leur conformité en matière de protection des données?
L. B. : Il faut d’abord savoir que la méconnaissance de la fonction de DPO signifie aussi méconnaissance de la loi. Or, c’est l’entreprise, par son responsable de traitement, qui porte la conformité de ses traitements à la loi sur la protection des données. Il va donc de soi que l’entreprise ne peut respecter une loi qu’elle méconnait. Pour répondre à votre question très simplement : pas de DPO, pas de conformité. L’un ne va pas sans l’autre, car même si une entité s’engage dans une démarche de conformité en méconnaissant le métier de DPO, eh bien cette entité se rendra compte bien assez tôt que le DPO est indispensable pour la suite du processus. Et lorsque l’entreprise a désigné un DPO, ce dernier a besoin d’être légitimé par la direction générale ou le top management au sein de l’organisme.
Aussi, il faut savoir que le DPO ne travaille pas seul. C’est une fonction nouvelle qui doit être exécutée avec le concours de tous les pôles de compétences de l’entreprise. Il revient donc à la direction générale d’introduire le DPO auprès de ses services afin de lui faciliter l’exercice de ses fonctions.
CIO Mag : La rapidité de la digitalisation des entreprises représente-t-elle un challenge particulier pour les DPO?
L. B. : Je ne parlerai pas de « défi particulier », car naturellement, dans ses missions, le DPO doit s’assurer que le processus de digitalisation embarque les principes directeurs de la loi. Ce n’est donc pas un défi mais une logique pour le DPO. Cela fait partie de ses aptitudes. Il doit s’adapter et prendre la pleine mesure d’accompagner l’organisme dans l’intégration ou l’évolution des nouvelles technologies afin de garantir a minima la sécurisation et la confidentialité des données et des informations traitées.
CIO Mag : Quelles actions recommandez-vous pour renforcer la reconnaissance et le rôle des DPO dans les organisations ivoiriennes?
L. B. : À ce sujet, plusieurs actions ont déjà été entamées. J’évoque par exemple la révision de l’arrêté CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du Correspondant. Mais cela ne suffit pas, il faut que ce texte soit observé. Je veux dire qu’il faut un réel suivi de son application par les responsables de traitement.
Par ailleurs, il faut former les DPO désignés ou en devenir à la réalisation de leurs missions, et leur accorder le positionnement nécessaire dans la hiérarchie de l’entreprise pour leur permettre d’exercer pleinement leur rôle en toute quiétude et autonomie.
L’association ivoirienne des DPO doit redoubler également d’effort en mobilisant ses membres, en se faisant plus connaître dans le secteur et en devenant une force de proposition solide pour la vulgarisation du métier.
CIO Mag : Pour professionnaliser davantage la fonction de DPO en Côte d’Ivoire, quel type de formation ou de certification devrait être priorisé, selon vous?
L. B. : Idéalement, il faut que les universités publiques ou privées proposent des spécialités en protection des données personnelles. Cela peut également se faire dans les grandes écoles et dans les écoles d’ingénieurs comme l’INPHF (Institut national polytechnique Félix-Houphouët-Boigny, ndlr). Ces spécialisations existent déjà en Europe, notamment en France.
CIO Mag : Comment évaluez-vous l’impact de la réglementation ivoirienne sur la protection des données personnelles sur la fonction de DPO?
L. B. : La loi influence positivement la fonction de DPO. C’est la loi sur la protection des données elle-même qui crée la fonction de DPO et cela est une aubaine. Toutefois, la fonction de DPO existe en dehors de la Côte d’Ivoire, comme en Europe, où cela est relativement bien encadré et accompagné.
Plusieurs actions ont déjà été mises en œuvre, dont la révision de l’arrêté qui définit le profil du DPO en Côte d’Ivoire. Cela est une très grande avancée. Il faut maintenant s’assurer de son respect et de sa mise en œuvre.
CIO Mag : Dès lors, quels efforts doivent être faits au niveau des entreprises publiques et privées pour améliorer la sensibilisation?
L. B. : Le meilleur effort demeure que ces entreprises s’engagent elles-mêmes dans le processus de mise en conformité à la loi sur la protection des données personnelles. Les fruits et bénéfices qu’elles en tireront constituent la meilleure sensibilisation à la protection des données. La mise en conformité ayant un coût, les entreprises doivent faire les efforts nécessaires pour dégager des budgets afin de s’y engager.
CIO Mag : Quelles perspectives d’évolution voyez-vous pour cette fonction dans les prochaines années?
L. B. : Aujourd’hui en Côte d’Ivoire, les DPO désignés sont pour la plupart des juristes ou informaticiens déjà en fonction, à qui l’on a rajouté les responsabilités, charges et missions de DPO. Mais plus de dix ans après l’entrée en vigueur de la loi, je pense que les choses peuvent évoluer et, au risque de me répéter, tout passe par la formation de base. J’entends par là, l’introduction d’une spécialité Protection des données personnelles dans les programmes universitaires.
Je crois que certaines universités proposent des programmes de droit du numérique, mais il est important d’insérer celle de droit de la protection des données qui est large et dynamique et qui peut s’adresser aux étudiants d’universités et grandes écoles, peu importe la discipline, au niveau du BAC+3 / BAC+4. Ce programme spécifique associé à un stage professionnel en cabinet ou entreprise pourrait permettre de proposer à nos entreprises des jeunes formés depuis la base et qui viendront uniquement pour se consacrer au métier de DPO. Avec des acteurs majeurs qui s’installent aujourd’hui dans l’écosystème du numérique en Côte d’Ivoire, les perspectives s’annoncent prometteuses pour le métier de DPO. J’y crois fermement.
