La sécurisation des systèmes d’information des entreprises est un défi à relever. Christian Kpolo, docteur en droit, spécialisé en droit du numérique, donne quelques solutions dans une interview exclusive accordée à Digital MAG.
Quelles sont les obligations légales des entreprises en matière de protection des données en Côte d’Ivoire ?
Il y a plusieurs types d’obligations. Il y a d’abord une obligation de formation, parce qu’il faut que les entreprises veillent à ce que les personnes qui sont rattachées à tout le système de gestion des données sachent ou comprennent la manière dont ces données doivent être utilisées. On parle alors de traitement des données. Ensuite, qui parle de formation, parle de sécurité.
Donc, les entreprises ont une obligation de sécurité. Enfin, elles ont un devoir d’information des différents utilisateurs, des différentes personnes concernées par la protection des données de l’entreprise ou de l’organisation, de l’utilisation qui est faite des données et des incidents qui peuvent arriver en cas de violation de la sécurité de ces données.
Comment s’assurer que les systèmes d’information respectent la loi sur la protection des données personnelles ?
C’est d’abord de se demander si les entreprises savent que ça existe, et si elles savent, dans leur organisation, comment elles peuvent mettre en place des éléments de protection. Techniquement, si vous avez une entreprise qui n’a pas de délégués ou de personnes qui s’intéressent à la protection des données à caractère personnel, en interne, il y a un problème. Si l’entreprise ne met pas en place des mécanismes de veille et de mise à jour des dispositifs de sécurité, il y a problème. L’entreprise doit avoir un mécanisme de communication en interne, entre travailleurs, et en externe, avec ses clients sur la manière dont ces données sont utilisées.
Les entreprises ont-elles obligation de mettre en place des protocoles de protection des données ?
Oui, clairement. Elles doivent tenir un registre pour vérifier la manière dont ces données-là sont utilisées. Et pour certains types de données, elles doivent obtenir une autorisation de l’autorité. Par exemple, les données dites sensibles ne peuvent pas être utilisées comme les autres types de données. Donc, si vous devez utiliser des photos et rattacher ces éléments-là à des éléments de santé, vous êtes obligés d’avoir l’autorisation spécifique du régulateur qu’est l’ARTCI.
Comment la digitalisation peut-elle aider dans la sécurisation des systèmes d’information ?
Je pense qu’il faut faire deux choses. Parler de digitalisation des systèmes d’information peut paraître redondant, en fait, parce que les systèmes d’information ont naturellement une vocation de retranscription des données sous forme digitale. Les entreprises doivent savoir qu’il y a un risque à partir du moment où plusieurs personnes sont dans la chaîne de décision et d’exécution de la décision.
Si vous avez accès à des données à caractère personnel, parce que l’entreprise n’a pas mis en place un système informatique, le hardware, ce qu’on voit, si elle n’a pas un système automatique à jour des différents protocoles, et que cela se répercute sur les logiciels, c’est clair que des failles de sécurité vont se glisser. La nécessité va se trouver au niveau des différents interlocuteurs ou des différents prestataires que vous allez choisir. Avant de choisir un prestataire, il faut s’assurer qu’il vous apporte des garanties organisationnelles, techniques et juridiques.
Quel est le cadre juridique de la protection des données à caractère personnel en Côte d’Ivoire ?
Il y a plusieurs niveaux. Au niveau national, des lois qui existent. Il y a la loi de 2013 qui encadre l’utilisation des données à caractère personnel. Il y a une loi qui est relative à la cybercriminalité, parce que la cybercriminalité expose les données. Il y a une loi relative aux transactions électroniques. Toutes ces lois encadrent, au niveau national, l’utilisation des données à caractère personnel.
Au niveau de l’Union africaine, il y a ce qu’on appelle la Convention de Malabo de 2014. Cette convention met en place un certain nombre d’éléments pour que les données ne soient pas utilisées de manière inadéquate. Et il y a des sanctions qui vont avec.
Quels conseils aux entreprises pour être en conformité avec les exigences juridiques ?
La première chose, c’est d’être au fait de l’évolution législative, parce qu’il y a énormément de textes. C’est quand même intéressant d’avoir une veille juridique, pour voir comment est-ce que leur activité est encadrée légalement. La deuxième chose, c’est de mettre l’accent sur la formation parce qu’en réalité, l’élément fondamental dans tout ce système, c’est le capital humain. Il faut que les responsables d’entreprises et les employés, soient conscients de ces éléments. Et ce ne sont pas seulement les entreprises, l’administration aussi est concernée.
Interview réalisée par Diabate Noufo
