Drudeisha Madhub, Data Protection Commissionner, met le point sur les i concernant le nombre d’entreprises qui ne se conforment pas à la Data Protection Act. Il existe plus de 68 000 entreprises dans le pays et seules 12 000 d’entre elles sont enregistrées auprès du Data Protection Office, dit-elle. S’agissant de la fonction publique, elle y note des manquements également, car beaucoup de ministères et de départements gouvernementaux « ont pris du retard » concernant l’enregistrement.

Beaucoup de compagnies ne se conformeraient pas à la Data Protection Act. Quel est votre constat à l’heure actuelle ?

La Data Protection Act (DPA) impose un certain nombre d’obligations aux organisations, telles que la nomination d’un Data Protection Officer, la notification des violations des données personnelles au DPO ainsi que la notification aux personnes concernées si les violations concernent des opérations de traitement à haut risque, le traitement légal des données et la mise en place de mesures de sécurité appropriées, la tenue d’un registre des opérations traitant des données personnelles dans l’organisation, l’enregistrement par le Data Protection Office (DPO), entre autres. Se conformer au DPA signifie donc satisfaire toutes les exigences stipulées dans la loi. Le manquement à ces obligations aboutit impérativement à une violation de la DPA, ce qui constitue une infraction pénale.

Depuis la promulgation de la nouvelle DPA le 15 janvier 2018, de nombreuses organisations ont pris conscience de leurs responsabilités et mettent en œuvre un plan d’action intégrant toutes ces exigences dans leurs activités quotidiennes. Par ailleurs, de plus en plus d’organisations s’enregistrent également au DPO. Il est à noter que sous l’article 14 de la DPA, toutes les entreprises traitant des données à caractère personnel doivent s’enregistrer auprès du DPO. Les entreprises ont l’obligation légale de s’enregistrer. Au cas contraire, il s’agit d’un délit passible d’une amende maximale de Rs 200 000 et d’un emprisonnement maximal de cinq ans sur déclaration de culpabilité. À l’heure actuelle, selon le site Web du Corporate and Business Registration Department, environ 68 790 entreprises existent à Maurice. Environ 12 000 compagnies sont déjà enregistrées au DPO. Ce qui nous amène à estimer qu’environ 40 000 à 50 000 compagnies ne sont pas encore enregistrées.

Le DPO a mené divers programmes de sensibilisation sur la télévision nationale, les radios, dans les journaux ainsi que des ateliers de travail pour informer les entreprises sur leur obligation d’enregistrement. Autant dire que de nombreuses entreprises comprennent leurs obligations légales et s’y conforment depuis 2010. Cependant, celles qui ne sont pas enregistrées courent le risque d’être sanctionnées.

Qu’en est-il dans la fonction publique ? 

La fonction publique doit également s’enregistrer auprès du DPO en vertu de l’article 14 de la DPA et de l’article 3(2) qui stipulent que chaque ministère ou département gouvernemental doit être traité séparément de tout autre ministère ou département gouvernemental. Cela signifie que tous les départements relevant d’un ministère doivent être enregistrés séparément. Néanmoins, le DPO constate que beaucoup de ministères et départements gouvernementaux ont pris un retard considérable concernant l’enregistrement.

La loi sur la protection des données ne concerne pas que les entreprises, mais tous les citoyens. Quels sont leurs droits et leurs devoirs, notamment envers leurs proches ?

Comme les organisations ont des droits et des obligations en vertu de la loi sur la protection des données personnelles, les citoyens se sont également vus attribuer des droits renforcés tels que des droits d’accès, le droit de ne pas être soumis à une prise de décision individuelle automatisée, des droits de rectification, d’effacement ou de limitation de traitement des données personnelles et de s’opposer au traitement des données personnelles. La DPA a conféré aux enfants les mêmes droits qu’aux adultes en ce qui concerne leurs données personnelles. Les enfants de moins de 16 ans méritent une protection particulière en ce qui concerne leurs données personnelles. En fait, le consentement du parent ou du tuteur de l’enfant est requis. Par exemple, les établissements primaires et secondaires qui délivrent un reçu pour un mineur doivent s’assurer que le reçu est tiré au nom du parent ou du tuteur plutôt qu’à celui de l’enfant de moins de 16 ans. Les citoyens ont également le devoir de respecter la vie privée des autres et s’ils ne le font pas, ils peuvent faire l’objet d’une enquête si une plainte est déposée contre eux.

Le DPO possède-t-il les moyens humains nécessaires pour agir convenablement et faire respecter la loi ?

Le DPO possède un effectif de 14 employés permanents et cinq stagiaires en poste temporairement, un sous-effectif pour la charge de travail imposée par la loi sur la protection des données, comme l’enregistrement des contrôleurs et des processeurs, la notification en cas de fuite de données, l’analyse des résultats des évaluations d’impact et la formulation de recommandations, les demandes de transfert de données à l’étranger, les audits périodiques, les audits de certification et les enquêtes sur les plaintes.

Nous avons demandé l’augmentation de notre effectif et la mise en place d’une unité de poursuites avec des policiers expérimentés pour intenter des actions en justice en cas d’infraction et aider ce bureau à mener des enquêtes.

Qu’en est-il de vos pouvoirs de sanction ?

La commissaire à la protection des données est chargée de veiller à ce que les droits des personnes soient respectés et que les personnes qui gardent des informations personnelles sur un ordinateur ou au format manuel assument leurs responsabilités. Pour m’aider à exercer mes fonctions correctement, la loi m’a accordé certains pouvoirs importants, notamment d’enquêter sur les plaintes, d’exiger des informations, l’ordre de conservation, l’avis d’exécution, le pouvoir de demander de l’assistance aux entités concernées, le pouvoir d’inspection, l’obstruction par des individus lors de l’exercice de ses fonctions, la délégation des pouvoirs de la commissaire. Selon l’article 43 (1) de la DPA, toute personne qui commet une infraction à la présente loi ou aucune sanction spécifique n’est spécifiée ou qui contrevient de toute autre manière à la présente loi est passible d’une amende jusqu’à Rs 200 000 et d’un emprisonnement maximal de cinq ans. De plus, la cour intermédiaire peut, en vertu de l’article 43 (2), ordonner la saisie de tout équipement ou de tout article utilisé ou lié en quelque sorte pour commettre un délit ; ordonner ou interdire tout acte visant à faire cesser une infraction continue.

On a évoqué la mise sur pied d’une Prosecution Unit au sein de la commission. Pouvez-vous nous en dire davantage ?

Avec la promulgation de la nouvelle loi, ce bureau engagera désormais des poursuites judiciaires pour les infractions avec le consentement du Directeur des poursuites publiques devant la cour intermédiaire, conformément à l’article 53 de la loi. Les poursuites et les mandats d’arrêt ne peuvent être gérés que par des policiers. Notre bureau a donc demandé au ministère concerné de faire le nécessaire auprès du commissaire de police afin que des policiers qualifiés soient affectés au bureau.

Les responsabilités de cette unité, parmi d’autres, seront de traiter avec les contrôleurs et les processeurs qui enfreignent la DPA, de jurer des informations concernant une infraction à la loi ou à ses règlements devant un magistrat, de poursuivre une affaire, d’aider à l’inspection de locaux lors des enquêtes et de demander autorisation pour des mandats d’arrêt devant un magistrat.

Vous êtes également en contact avec le Media Trust pour un guide sur les médias…

Notre bureau a rédigé cette année un guide sur la protection des données personnelles et les médias qui a pour but de promouvoir le droit à la vie privée des citoyens de notre pays. Le guide élabore une approche générale pour le respect de la loi sur la protection des données de 2017 pour promouvoir de pratiques meilleures. Le guide explique également comment les médias peuvent se conformer aux principes de protection des données tout en maintenant un rôle libre et indépendant.

Quel rôle jouent aujourd’hui les nouvelles technologies et les réseaux sociaux eu égard à la vie privée des individus ? 

Il est hors de doute qu’aujourd’hui, les innovations technologiques et les réseaux sociaux ont un impact sur la façon dont les affaires sont conduites et sur la manière dont les gens interagissent entre eux, ainsi qu’avec le gouvernement, les entreprises et d’autres parties prenantes. Si les technologies de l’information et de la communication sont une source indispensable de croissance économique, elles soulèvent également le besoin d’une protection plus efficace de nos citoyens car les avancées récentes menacent la vie privée et ont réduit le contrôle sur les données personnelles.

Sur le plan commercial, des mesures de sécurité adéquates doivent être mises en place pour assurer la protection des données à caractère personnel tout en exploitant les avantages des nouvelles technologies. Les individus, en particulier les jeunes générations, doivent faire très attention à ce qu’ils partagent et affichent sur les réseaux sociaux pour leur propre protection afin qu’ils ne soient pas victimes au cas où leurs informations personnelles seraient partagées avec des personnes mal intentionnées.

La commission enregistre un certain nombre de plaintes depuis ces dernières années. De quel genre de plaintes s’agit-il ?

Au fait, lorsqu’on reçoit une plainte, on ouvre une enquête à l’issue de laquelle je statue. Toute personne qui s’estime lésée par ma décision dispose d’un droit de recours devant l’Information and Communication Technologies Appeal Tribunal. Jusqu’à présent, nous avons reçu environ 150 plaintes. Elles concernent, par exemple, la divulgation illégale de données personnelles, l’accès non autorisé aux données personnelles ou les messages marketing non sollicités. Bon nombre de ces plaintes ont déjà été examinées et traitées. Des décisions prises pour certaines d’entre elles font l’objet de contestation, mais jusqu’ici le tribunal ainsi que la Cour suprême ont toujours confirmé ma décision.

Le projet Safe City avec ses 4 000 caméras a obtenu un certificat d’exemption des dispositions de la Data Protection Act. Le citoyen peut-il être rassuré par cette décision ? 

En vertu de l’article 44 de la DPA, une exception est autorisée pour la protection de la sécurité nationale, de la défense ou de la sécurité publique, à condition qu’un certificat soit délivré par le Premier ministre attestant que la non-application de la/des dispositions(s) de la DPA est nécessaire pour la protection de la sécurité nationale, de la défense ou de la sécurité publique. En tant que contrôleur, la police doit veiller à une utilisation responsable de ces caméras, c’est-à-dire, elle doit s’assurer que ces caméras ne sont pas utilisées à des fins autres que celles indiquées. En cas de non-respect, un ordre du juge en chambre peut être aussi demandé.