Sénégal : Situation effective de la protection des données personnelles

En Afrique, le Sénégal fait parti des premiers pays à avoir voté une loi sur la protection des données depuis 2008. En outre, il est l’un des rares pays africains à signer la convention de Malabo de 2014 (23ème session ordinaire du sommet de l’UA). Cet accord entre les pays membres vise à renforcer la « confiance et la sécurité dans le cyberespace en Afrique ». En effet, le Sénégal a été le premier signataire de cette convention, il a été suivi par l’Île Maurice en 2018. Notre pays s’est engagé en la signant, à mettre en place une institution pour veiller à sa rigoureuse application. D’où l’érection de la CDP : Commission de Protection des Données Personnelles du Sénégal.

Aujourd’hui, les citoyens de tous âges et de toutes catégories socioprofessionnelles sont quotidiennement exposés au numérique. Les nouveaux usages induits par le digital, amènent les consommateurs à diffuser, de façon volontaire ou non, de manière consciente ou pas, des données à caractère personnel. La protection des données personnelles est un droit pour tout citoyen et une responsabilité de l’état.

Ainsi, l’Assemblée nationale sénégalaise a adopté la loi sur la protection des données à caractère personnel lors de sa séance du vendredi 30 novembre 2007 et le Sénat l’a adopté le mardi 15 janvier 2008. Le 25 janvier 2008, une commission pour le respect de cette loi a été mis sur pied : Commission de Protection des Données Personnelles du Sénégal. Cette autorité indépendante (CPD ) est promulguée par la loi n° 2008-12, elle a pour principal but de veiller sur la légalité de tout collecte et transmission de fichiers ou renseignements concernant des personnes identifiables. C’est-à-dire veiller sur les données permettant d’identifier la personne concernée. La loi assure en d’autres mots le respect des libertés et droits fondamentaux de la vie privée des personnes.

Données personnelles : De quelle information s’agit-il exactement ?

Depuis la promulgation de cette loi, la définition du groupe de mots “données à caractère personnel” est très recherché sur Internet. Quand est-ce qu’une donnée est dite personnelle ? L’auteur du livre La protection des données à caractère personnel en Afrique, le Dr Mouhammad Lô explique :“les données sont à caractère personnel dès qu’elles portent sur une personne identifiée ou la rendent identifiable directement comme indirectement”. Juriste du droit numérique, également titulaire d’une thèse sur l’Administration électronique et le droit public de l’Université de Paris I Sorbonne et rédacteur de la loi sénégalaise sur la protection des données à caractère personnel, a cherché à expliquer dans son oeuvre, “en quoi il est important que ceux qui utilisent et ceux qui fournissent ces données aient une référence de la réglementation et de la régulation en cours.”

Depuis l’entrée en vigueur de cette loi, il est devenu préférable de faire attention à toute information que l’on communique sur une tierce personne. Par exemple, donner le nom d’une personne peut-être considérée comme divulguer un renseignement personnel. Car l’identité (le nom et le prénom) est la donnée personnelle la plus évidente. Il en est de même que les contacts, le numéro d’identification, la plaque d’immatriculation même l’adresse-email. Ce sont des informations permettant d’identifier clairement une personne. A cela s’ajoutent les données personnelles à caractère sensible. Ce sont toutes les informations relatives à la race, l’état de santé, les opinions politiques ou religieuses et même le contenu du casier judiciaire. Du côté du gouvernement, le développement de l’informatique dans l’administration a entraîné la génération de beaucoup de données personnelles. Par exemple la numérisation du fichier électoral, du permis de conduire et de la carte d’identité nationale. Pourtant la loi n’avait fixé aucun cadre ou régime juridique pour protéger ces données. D’ailleurs, c’est pour corriger cela que la loi N 2008 12 a été votée. Le législateur a désormais prévu une haute protection lors de la récolte, le traitement, la transmission, le stockage et l’exploitation des données personnelles. Prenant en compte "les principes de la réglementation des fichiers informatisés contenant des données à caractère personnel édictés par l’ONU en 1990” et surtout les exigences européennes en matière de transfert de données vers des pays tiers : Règlement général sur la protection des données (RGPD ou GDPR) entré en vigueur depuis le 25 mai 2018. La loi sénégalaise met en place un dispositif permettant de lutter contre les atteintes à la vie privée susceptibles d’être engendrées durant tout le processus. Elle veille à ce que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

L’Etat, le gendarme de la protection des données personnelles

Dans sa mission régalienne, l’Etat est tenu d’assurer la sécurité et l’intégrité des personnes et de leurs biens. Cette loi ajoute ainsi à l’Etat le devoir de sécuriser les données personnelles de la population, il est aidé en cela par des entités privées à travers la CDP. “Le gouvernement du Sénégal va encourager activement la formation et la sensibilisation sur les problèmes de la confidentialité en ligne, de la protection de la vie privée et plus généralement, de celle des données personnelles des consommateurs”, disait le président de la République du Sénégal Macky Sall. Cette déclaration montrant la détermination du Président est affichée en gros caractère sur le site de la commission de protection des données (https://www.cdp.sn). Dans le but de donner plus d’informations aux citoyens, la commission a mis en ligne une plateforme informative. Les particuliers qui souhaitent en savoir plus sur leurs droits sont guidés. On peut lire en descriptif sur cdp.sn, “Chaque personne dont les données à caractère personnel font l’objet d’un traitement dispose d’un certain nombre de droits. C’est-à-dire d’un ensemble de règles qui lui permettent d’exercer un contrôle sur l’usage qui peut-être fait de ces données”. La personne a droit à l’information lors de la collecte et du traitement de celle-ci. Elle peut demander à y avoir accès pour la vérifier et même la rectifier. La personne a également le droit de s’opposer à sa publication, mieux, elle peut demander la suppression de cette dernière. C’est-à-dire qu’il est formellement interdit par exemple de filmer une personne à son insu, le pire serait de diffuser les images sans son autorisation. D’ailleurs, dans chaque endroit sous vidéo-surveillance, on doit prévenir en gros caractère : “sous vidéo-surveillance”. A défaut de cela, les images produites ne seront pas recevables devant un tribunal en cas de délit.
Sur le site de cpd, une fenêtre guide également le particulier pour qu’il puisse exercer ses droits. Plusieurs modèles de documents administratifs sont proposés pour les différentes étapes de la saisine de la commission. A titre préventif, des fiches conseils sont proposées sur le site dans le but de sensibiliser et d’orienter les citoyens.

La part des entreprises dans la loi sur les données personnelles

Pour les entreprises, la loi est plus rigoureuse. Selon l’ancien président de la Commission de Protection des Données personnelles par ailleurs conseiller juridique de l’Agence de l’Informatique de l’Etat (ADIE), Dr. Mouhamadou Lo, “le règlement général sur la protection des données ( RGPD) interdit aux entreprises européennes d’échanger des données personnelles avec d’autres entités ne répondant pas à certaines garanties prédéfinies.” Sur PressAfrik, il précisait que, "la loi européenne interdit très clairement que l’entreprise envoie des données en Afrique ou dans un autre pays sans que cette entreprise ne soit en mesure de prouver, par des audits ou des certifications que les données reçues seront sécurisées conformément à leurs exigences". Selon toujours la même source, les entreprises européennes devront se conformer, s’adapter pour pouvoir faire du business avec l’UA, la CEDEAO ou toute autre entité communautaire. Il ajoute, “il a été mis en place une législation (ndlr : Convention de Malabo) avec des exigences propres à notre contexte, à nos réalités et que les partenaires européens seront aussi obligés de respecter”. Mouhamadou Lo est d’avis qu’ “un combat devra être mené au niveau africain. Le Sénégal gagnerait d’ailleurs à le diriger, au vu du nombre d’entreprises menacées“. Dans cette veine, sur le site de la commission de protection des données, tout est mis en oeuvre pour faciliter la conformité aux règles des entreprises. Un chapitre entier est mis à la disposition de l’ensemble des acteurs proposant des biens et services sur le marché, du micro-entrepreneur aux grandes entreprises, en passant par les associations et les organismes publics. Cette rubrique leur permet de connaître leurs obligations vis à vis des personnes dont ils sont détenteurs d’informations personnelles. Il est libellé comme suit, “le responsable d’un traitement des données à caractère personnel est tenu par une obligation de confidentialité, de sécurité, de conservation et de pérennité des informations collectées”. En parallèle, dans un autre chapitre, sont décrites les formalités à remplir par les institutions : “Selon la nature du traitement envisagé, les responsables des traitements opérés pour le compte de l’Etat ou toute personne morale de droit privé gérant un service public doivent effectuer des formalités auprès de la commission”.

La protection des données personnelles est certes une contrainte pour les entreprises qui doivent désormais sécuriser leur système d’informations pour plus de vigilance face à la cybercriminalité et prévenir les pertes de données, elle est également une étape qui rend le système transparent et confiant.