En Afrique, la majeure partie des lois dictent aux autorités de protection locales, un système déclaratif. Ce système impose aux entreprises de procéder à des déclarations, et demandes d’autorisations, avant la mise en œuvre de leurs traitements de données personnelles. Cette mesure permet à l’Autorité de protection de s’imprégner des projets de traitement de données personnelles des entreprises et d’en déceler, le cas échéant, des risques de violation de données.
L’obtention de l’autorisation auprès d’une Autorité de protection est un premier pas pour montrer son engagement à vouloir sécuriser les traitements de données personnelles.
Cependant, la détention d’une autorisation préalable de l’Autorité de protection, ne garantit pas à l’organisme public ou privé, d’être conforme en ce qui concerne le respect des principes directeurs de la protection des données personnelles.
La logique serait même que les Autorités de protection aient plus tendance à mener des contrôles et audits dans les organismes à qui elles ont accordé des autorisations préalables, afin de s’assurer que ces dernières mettent bien en œuvre les exigences de la législation en matière de protection des données personnelles. En d’autres termes, il s’agirait, pour les autorités, de vérifier si les traitements préalablement déclarés ou autorisés, sont mis en œuvre dans les règles de l’art.
Ce qu’il faut retenir, c’est que la mise en conformité, proprement dite, doit être dissociée des différentes démarches administratives aboutissant à l’obtention d’Autorisations délivrées par les autorités de protection.
Malheureusement, nous constatons que beaucoup d’entreprises sont justes dirigées vers l’obtention de l’autorisation. Alors que, la préoccupation principale des entreprises devrait demeurer la mise en conformité réelle des traitements de données qu’elles collectent et traitent.
Le SÉSAME pour les entreprises devrait être un document officiel de l’Autorité attestant d’un bon niveau de conformité de l’entreprise, comme cela est par exemple prévu en Côte d’Ivoire, par la décision N° 2017-0354 de l’Autorité de protection ivoirienne, portant procédure de mise en conformité. Cette décision prévoit une « Attestation de conformité », au bout du processus de mise en conformité.
L’Afrique est un terrain fertile, et pourtant si fragile, en matière de protection des données personnelles et de cybersécurité. Si les cybercriminels multipliaient leurs attaques, cela pourrait causer des dégâts plus inquiétants pour les États et les populations. La vraie problématique est la suivante : quelles sont les mesures juridiques, organisationnelles et techniques que les organismes mettent en place en leur sein pour faire face à cette menace ? C’est ça la conformité !
Groupe DPSE qui a fait de la mise en conformité relative à la protection des données personnelles, son cheval de bataille, invite les organismes publics et privés africains, à se focaliser davantage sur la Conformité des traitements de leurs données, ce qui aura une répercussion inéluctable sur la sécurisation des systèmes informatiques. C’est pourquoi, la cybersécurité et la protection des données personnelles sont perçues comme deux faces d’une même pièce.
Lire aussi : Côte d’Ivoire : Analyse d’impact relative à la protection des données (aipd)
Ainsi, pour se donner le maximum de chance de se mettre à l’abri d’éventuelles attaques cybercriminelles, les entreprises doivent désormais penser #conformité. C’est aussi le seul gage de confiance numérique avec leurs clients, partenaires et collaborateurs.
En face des risques réels qui pèsent, avec notamment la cybercriminalité, force est de reconnaitre que l’obtention d’une autorisation sans mise en conformité pratique est vaine.
La mise en conformité est perpétuelle. Même en possession d’un label ou d’une attestation de conformité, les organismes ne peuvent cesser de mener la veille.
Groupe DPSE se propose de vous accompagner sur toute la chaine de valeur, dans le processus de mise en conformité.
Vous bénéficierez d’une formation de qualité et d’explications claires de l’environnement professionnel de la protection des données, pour dirigeants et collaborateurs.
Nous disposons d’un registre de traitement moderne, outil important de conformité pour accompagner les organismes africains dans le suivi et le maintien de leur conformité.
Nos process vous mettent au standard des lois locales africaines et du RGPD, et vous rendent éligibles à la certification de la norme ISO 27701, norme internationale pour la protection des données personnelles.
Groupe DPSE, pionnier de la protection des données personnelles en Afrique, et également spécialisé dans la Cybersécurité et la Lutte contre le blanchiment de capitaux et le financement du terrorisme, se tient prêt à vous accompagner partout quel que soit le lieu où vous vous trouvez et même en Europe.