Publications

A la rencontre de ceux qui font DPO Consulting

Publié le 22 février 2022

A la rencontre de Elsie RASOLOHERY, Directrice de DPO Consulting Océan Indien.

Pouvez-vous vous présenter et nous dire ce qui vous passionne dans la protection des données ?

Je suis d’origine franco-malgache et aussi de nationalité mauricienne. Avec un DEA en droit des affaires et des entreprises en poche, j’ai commencé ma carrière de juriste à la Réunion auprès d’experts-comptables. Puis, j’ai été conseillère juridique dans une multinationale, en poste à Maurice, Londres et Paris, et récemment dans une firme juridique panafricaine établie à Maurice.  

La passion pour la protection des données personnelles m’a été transmise au début des années 2000 par des collègues, experts en la matière, avec qui j’ai collaboré étroitement lors de la mise en cohérence de la politique globale de protection de données avec les règlementations locales de plusieurs pays. Les challenges de l’époque avaient été de sensibiliser les opérationnels à l’importance du sujet dans le cadre de l’exécution et la gestion des contrats IT et BPO transfrontaliers, de déployer la mise en œuvre de la politique de protection des données dans un environnement global et multiculturel, donc d’instaurer une culture de conformité dans ce domaine à tous les niveaux de la hiérarchie de l’organisation.

Mon intérêt pour le sujet a augmenté au fil des années en constatant la rapidité avec laquelle la protection des données a pris de l’importance en raison de l’évolution technologique rapide avec internet, l’arrivée des données, les réseaux, la blockchain, les objets connectés, le cloud computing, l’intelligence artificielle, et plus récemment les logiciels santé. L’impact de l’utilisation de ces nouvelles technologies sur le comportement de chaque individu a fait du droit à la protection des données personnelles un droit fondamental faisant partie du droit au respect de la vie privée protégé par la Convention Européenne des Droits de L’Homme. 

Les questions juridiques soulevées par la protection des données sont passionnantes. Par exemple, celle de la mise en balance du droit à la protection des données personnelles avec les autres droits fondamentaux comme la liberté d’expression qui inclut la liberté de communication et d’information, ou encore la responsabilité du liquidateur dans le cadre d’une procédure collective. L’application extraterritoriale du RGPD a fait de la protection des données un sujet transverse, sans frontières, où s’imbriquent les disciplines de droit traditionnel et les nouvelles technologies. Pour les entreprises, les problématiques peuvent se soulever d’un bout à l’autre du spectre du processus de mise en conformité, allant de la conception/design en passant par la mise en œuvre/implementation, et enfin le contrôle/monitoring et l’audit.

De nouveaux challenges se présenteront car prochainement l’informatique quantique va révolutionner le futur et profondément changer les économies, les industries et nos vies.

Quel est l’état de la règlementation sur la protection des données personnelles dans l'Océan Indien ?

Des îles et territoires de l’Océan Indien sont très nombreux, je ne mentionnerai que les Iles Vanille : La Réunion, Maurice et Madagascar que je connais plus que Mayotte, les Seychelles, et les Comores. Il faut savoir que le niveau de maturité de ces pays en matière de données personnelles est très inégal.  

 

A ma connaissance, il n’y a pas de cadre légal et réglementaire relatif à la protection des données aux Comores. Quant aux Seychelles, la loi de 2003 sur la protection des données inspirée de la loi britannique de 1984 (abolie depuis longtemps), n’est pas encore entrée en vigueur.  



A Madagascar, la loi relative à la protection des données personnelles date de 2014 et est largement inspirée de la directive européenne 95/46/CE, et des conseils des pays membres de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP). Une des particularités de la loi malgache est qu’elle ne prévoit aucune procédure de notification en cas de violation de données personnelles. Il faut aussi savoir que l’autorité de contrôle est la Commission Malgache de l’Informatique et des Libertés mais à 2020, celle-ci n’a pas encore été instituée. 

 

A Maurice, l’ancienne loi de 2004 sur la protection des données a été abolie, et remplacée en 2018 par une loi largement inspirée du RGPD. Comme le RGPD, elle prône les 8 règles d’or de la protection des données personnelles, le principe de  « Privacy by Design », renforce le droit des personnes concernées sur leurs données personnelles ainsi que le pouvoir de l’autorité de contrôle. Plusieurs entreprises mauriciennes ayant des opérations à l’international en particulier en Europe ont revu leur politique de protection des données, le niveau de leur sécurité informatique, leurs relations contractuelles avec leurs sous-traitants, l’ensemble de leurs procédures internes et leur cadre de gouvernance. A ce jour, il n’y a pas de jurisprudence mauricienne sur le sujet, ni de sanctions significatives de la part de l’autorité de contrôle.

 

La Réunion et Mayotte faisant partie de la France, le RGPD s’applique : la conformité aux obligations légales est obligatoire, les sanctions en cas de non-conformité sont applicables, l’autorité de contrôle est la CNIL. De ce fait, les entreprises réunionnaises ont dû consacrer des moyens et des ressources nécessaires pour mettre en place et nommer leur délégué à la protection des données personnelles. Pratiquement 4 ans après l’entrée en vigueur du RGPD, il serait intéressant de dresser un bilan.

Comment voyez-vous l’avenir de DPO Consulting dans l’Océan Indien ?

En tant qu’entreprise française, DPO Consulting a sa place dans l’Océan Indien, particulièrement à la Réunion où les entreprises sont soumises au RGPD. 

 

DPO Consulting peut aussi avoir un avantage concurrentiel certain à Maurice en raison de son expertise dans le domaine depuis sa création. Maurice étant un pays résolument tourné vers l’international qui a aligné sa législation en matière de protection des données sur le RGPD. DPO Consulting peut donc offrir son expertise en la matière, d’une part aux opérateurs économiques et conglomérats mauriciens pour leurs opérations à Maurice et à l’international, d’autre part aux organisations qui utilisent Maurice comme plateforme d’investissements vers l’Afrique. 

 

Les opportunités d’investissement se multiplient rapidement à travers le continent africain. Les organisations qui souhaitent s’y implanter doivent être au fait du cadre légal et règlementaire relatif à la protection des données, et celui-ci diffère selon les pays concernés. La méconnaissance des lois sur la protection des données de tel ou tel pays d’Afrique, ou le défaut de conformité à ces lois pourraient constituer un frein aux opérations d’organisations multinationales. Par exemple, la loi sud-africaine sur la protection des données contient des restrictions sur le transfert de données personnelles au-delà de ses frontières. Il en est de même au Ghana, en Côte d’Ivoire ou au Burkina Faso. Je pense donc que DPO Consulting a un avenir non seulement dans les Iles Vanille mais aussi sur le continent africain.