, Instance de protection des données à caractère personnel peut procéder à un retrait provisoire de l'autorisation accordée pour une durée de trois mois

, IPDCP peut également infliger une amende maximale de cent millions de francs CFA 75

, L'absence de minima dans la fixation de l'amende administrative peut poursuivre au moins trois objectifs. Le premier objectif est d'infliger l'amende en fonction du manquement

, Article 70 de la LPDCP

, Article 71.1 de la LPDCP

, Voir l'article 20 de l'Acte additionnel

, Article 71.2 de la LPDCP

, Les sanctions pénales

, Les actes suivants sont, entre autres, sanctionnées pénalement : le non-respect des formalités préalables ; le non-respect des mesures de retrait provisoire de l'autorisation accordée ; le traitement frauduleux de données personnelles ; le non-respect du droit d'opposition des personnes concernées par le traitement

, La plupart des condamnations pénales varient entre trois mois à cinq ans pour les peines de prisons et pour les amendes entre cent mille et vingt millions de francs CFA. L'amende peut aller jusqu'à vingt-cinq millions (25.000.000) de francs CFA en cas de traitement illicite de

, Les peines de prisons et d'amende peuvent être prononcées séparément ou cumulativement

, Si le cumul d'une peine de prison et d'une amende peut s'avérer dissuasive, ce n'est sûrement pas le cas d'une simple amende de vingt-cinq millions (25.000.000) de francs CFA, équivalant à environ trente-huit mille (38.000) euros. La législation française prévoit par exemple une amende de trois cent mille (300.000) euros, cumulée à une peine d

, Acte additionnel de la CEDEAO relatif à la protection des données à caractère personnel laisse une marge de manoeuvre aux États membres dans la détermination des sanctions applicables, il est à craindre un énorme déphasage entre les différentes législations. La différence entre les sanctions pécuniaires prévues par les États-membres est assez ostentatoire. De ce fait, l'absence d'harmonisation permet alors aux structures responsables des traitements des données à caractère personnel de s

, Pour ce faire, le législateur a prévu des assouplissements. Ainsi, à titre dérogatoire, les traitements de données opérés pour le compte de l'État, d'un établissement public, d'une collectivité locale ou d'une personne morale de droit privé gérant un service public et déjà créés -à la date d'entrée en vigueur de la loi -ne sont soumis qu'à une obligation de déclaration 81 . Quant aux traitements en cours, les responsables de traitement -et leurs soustraitants -disposent de deux ans pour les traitements de données opérés pour le compte de l'État, d'un établissement public, Somme toute, l'application de la loi relative à la protection des données à caractère personnel est un immense chantier

, Si cela peut sembler les GAFAMA 83 -déjà dans le bain avec l'entrée en vigueur du RGPD le 25 mai 2018 -on peut s'interroger sur le sort des petites entreprises notamment de e-commerce. Ces dernières peuvent elles se mettre à jour dans ce laps de temps en l'absence de moyens d'accompagnements adéquats ? Outre les personnes privées

, Elle est ambitieuse dans la mesure où elle épouse son temps et les défis à relever en matière de protection des données personnelles. Elle reste utopiste en minimisantdu moins à première vue -le temps et l'investissement nécessaires à ce qu'aussi bien les personnes publiques que les personnes privées -État, collectivités territoriales, établissement public, entreprises de e-commerce, etc. -puissent se mettre en conformité. Le rendez-vous est donc pris pour octobre 2020 pour faire un premier bilan, à mi-parcours, La loi togolaise relative à la protection des données à caractère personnel est aussi ambitieuse qu' « utopiste

. Google, . Apple, . Facebook, . Amazon, and A. Microsoft,