Sénégal : Situation effective de la protection des données personnelles

Le vendredi 25 Mai dernier est entré en vigueur le règlement général sur la protection des données. En Afrique, le Sénégal fait partie des premiers pays à avoir voté une loi dans ce sens depuis 2008. Puis, il a ratifié la convention de Malabo de 2014, lors de la 23ème session ordinaire du sommet de l’UA. Cet accord entre les pays membres vise à renforcer la confiance et la sécurité dans le cyberespace en Afrique.

De nos jours, tout le monde est exposé au numérique, à chaque étape de la vie quotidienne. En tant que citoyens comme en tant que consommateurs, les informations de la population doivent être protégées. Ainsi, l’assemblée nationale sénégalaise a adopté la loi sur la protection des données à caractère personnel lors de sa séance du vendredi 30 novembre 2007 et le Sénat l’a adopté le mardi 15 janvier 2008. Le 25 janvier 2008, une commission pour le respect de cette loi a été mis sur pied. Cette autorité indépendante (CPD) est promulguée par la loi n° 2008-12, elle a pour principal but de veiller sur la légalité de toute collecte et transmissions de fichiers ou renseignements concernant des personnes identifiables. C’est-à-dire veiller sur les données permettant d’identifier la personne concernée. La loi assure en d’autres mots le respect des libertés et droits fondamentaux de la vie privée des personnes.

C’est quoi les données personnelles ?

A partir de là, la question qui se pose est : quelles sont les données à caractère personnel ? Les données sont à caractère personnel dès lors qu’elles portent sur une personne identifiée ou la rendent identifiable, directement comme indirectement. Avec l’entrée en vigueur de cette loi, il faut faire attention à toute information que l’on communique sur une personne. Par exemple, donner le nom d’une personne peut être considéré comme divulguer un renseignement personnel. Car l’identité (le nom et le prénom) est la donnée personnelle la plus évidente. Il en est de même que les contacts, le numéro d’identification, la plaque d’immatriculation et même l’adresse-email. Ce sont des informations permettant d’identifier clairement une personne. A cela s’ajoutent les données personnelles à caractère sensible. Ce sont toutes les informations relatives à la race, l’état de santé, les opinions politiques ou religieuses et même le contenu du casier judiciaire. D’ailleurs, le législateur a prévu une haute protection lors de la récolte, le traitement la transmission, le stockage et l’usage des données. Cette loi met en place un dispositif permettant de lutter contre les atteintes à la vie privée susceptibles d’être engendrées durant tout le processus. Elle veille à ce que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

L’Etat, le soldat

Dans la mission régalienne de l’Etat, il est tenu d’assurer la sécurité et l’intégrité des personnes et des biens. Cette loi ajoute ainsi à l’Etat le devoir de sécuriser les données personnelles de la population, il est aidé en cela par des entités privées à travers la commission. “Le gouvernement du Sénégal va encourager activement la formation et la sensibilisation sur les problèmes de la confidentialité en ligne, de la protection de la vie privée et plus généralement, de celle des données personnelles des consommateurs”, disait le président de la République du Sénégal. Cette déclaration montrant la détermination du président est affichée en gros caractère sur le site de la commission de protection des données. Dans le but de donner plus d’informations aux personnes, la commission a mis en ligne cette plateforme informative. Sur le site, les personnes désireuses d’avoir plus d’informations sont servies. Les particuliers qui souhaitent en savoir plus sur leurs droits sont guidés. On peut lire en descriptif sur cdp.sn, “Chaque personne dont les données à caractère personnel font l’objet d’un traitement dispose d’un certain de droits. C’est-à-dire d’un ensemble des règles qui lui permettent d’exercer un contrôle sur l’usage qui peut être fait de ces données”. La personne a droit à l’information lors de la collecte et du traitement de celle-ci. Elle peut demander à y avoir accès pour la vérifier et peut même la rectifier. La personne a également le droit de s’opposer à sa publication ; mieux, elle peut demander la suppression de cette dernière. A côté, un fenêtre guide également le particulier pour qu’il puisse exercer ses droits. Plusieurs modèles de documents administratifs sont proposés pour les différentes étapes de la saisine de la commission. A titre préventif, des fiches conseils sont proposés sur le site dans le but de sensibiliser et d’orienter les citoyens.

Et les entreprises dans tout ça

Pour les entreprises, la loi est moins tolérante. Selon l’ancien président de la Commission de Protection des Données personnelles par ailleurs conseiller juridique de l’Agence de l’Informatique de l’Etat (ADIE), Dr. Mouhamadou Lo, auteur du livre, "La protection des données à caractère personnel en Afrique" , “le règlement général sur la protection des données ( RGPD) interdit aux entreprises européennes d’échanger des données personnelles avec d’autres entités ne répondant pas à certaines garanties prédéfinies.” Sur PressAfrik, il précisait que "la loi européenne interdit très clairement que l’entreprise envoie des données en Afrique ou dans un autre pays sans que cette entreprise ne soit en mesure de prouver, par des audits ou des certifications que les données reçues seront sécurisées conformément à leurs exigences" . Selon toujours le sieur, les entreprises européens devront se conformer, s’adapter pour pouvoir faire du business avec l’UA, la CEDEAO ou toute autre entité communautaire. Il ajoute, “il a été mis en place une législation (ndlr : Convention de Malabo) avec des exigences propres à notre contexte, à nos réalités et que les partenaires européens seront aussi obligés de respecter”. Mouhamadou Lo est d’avis qu’ « un combat devra être mené au niveau africain. Le Sénégal gagnerait d’ailleurs à le diriger, au vu du nombre d’entreprises menacées ». Dans cette veine, sur le site de la commission de protection des données, tout est mis en oeuvre pour faciliter la conformité aux règles des entreprises. Un chapitre entier est mis à la disposition de l’ensemble des acteurs proposant des biens et services sur le marché, du micro-entrepreneur aux grandes entreprises, en passant par les associations et les organismes publics. Cette fenêtre leur permet de connaître leurs obligations vis à vis des personnes dont ils sont détenteurs d’informations personnelles. Le chapitre est libellé comme suit, “le responsable d’un traitement des données à caractère personnel est tenu par une obligation de confidentialité, de sécurité, de conservation et de pérennité des informations collectées”. En parallèle, dans un autre chapitre, y sont décrits les formalités à remplir par les institutions : « Selon la nature du traitement envisagé, les responsables des traitements opérés pour le compte de l’Etat ou toute personne morale de droit privé gérant un service public doivent effectuer des formalités auprès de la commission ».

Certes, une contrainte pour les entreprises qui doivent désormais sécuriser leur système d’informations pour plus de vigilance face au cybercriminalité et minimiser les pertes de données, la protection des renseignements personnels est également une étape qui rend le système transparent et confiant.