Covid19 Sénégal : Pour une meilleure gestion des données personnelles
mercredi 22 avril 2020
Pour limiter les risques de contagion au coronavirus, le Président de la République Macky Sall a déclaré le 23 mars l’état d’urgence et instauré un couvre-feu sur l’ensemble du territoire. Ainsi, les écoles et universités ont été fermées, les prières dans les lieux de cultes ont été interdites, les transports ont été réduits et des règles d’hygiène strictes ont été imposées.
Afin de limiter l’impact économique de cette crise sanitaire, un fond de riposte et de solidarité, dénommé Force-Covid-19, a été créé par le gouvernement. Ce fond est doté de 1000 milliards de FCFA dont 12,5 milliards de Francs CFA (environ 19 millions d’euros) attribuer à la diaspora sénégalaise pour surmonter cette crise sanitaire.
Sa répartition est co-exécutée par une cellule du ministère des Affaires étrangères à Dakar et un comité qui sera opérationnel sur le terrain.
« Ce comité est placé sous la présidence de l’ambassade et constitué du Consul général ou du consul, du responsable des affaires consulaires ou sociales, d’un député de la diaspora, de toute autre personne membre d’une association ou pas, désignée par le comité et dont la présence est utile à la réussite de la mission », a souligné Amadou Bâ.
Ce comité a défini une liste de catégories prioritaires qui bénéficieront en priorité à ces aides :
- DECEDE DU COVID (participation aux frais d’inhumation),
- MALADE DU COVID-19 AYANT ETE HOSPITALISE,
- BLOQUE EN France DEPUIS LA FERMETURE DE L’ESPACE AERIEN
Pour pouvoir bénéficier de ces aides, ces personnes doivent remplir un formulaire[1] en ligne et y joindre des justificatifs du type :
- Une copie de la carte nationale d’identité ou un passeport sénégalais en cours de validité et/ou
- une carte consulaire ;
- Pour les personnes en transit/bloquée en France : copie visa, passeport et billet d’avion AR,
- Un certificat d’inscription 2019-2020 et une attestation de non boursier pour les étudiants,
- Présenter tout autre document attestant de l’éligibilité à l’aide d’urgence ;
Le recueil et le traitement de telles données est encadré par la loi sénégalaise.
L’article 58 de la Loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel précise :
Lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :
- L’identité du responsable du traitement et, le cas échéant, de son représentant ;
- La ou les finalités déterminées du traitement auquel les données sont destinées ;
- Les catégories de données concernées ;
- Le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
- Le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse ;
- Le fait de pouvoir demander à ne plus figurer sur le fichier ;
- L’existence d’un droit d’accès aux données la concernant et de rectification de ces données ;
- La durée de conservation des données ;
- Le cas échéant, des transferts de données à caractère personnel envisagés à destination de l’étranger.
En la matière, le formulaire employé ne permet pas d’avoir accès à toutes ces informations. Ce qui constitue de facto une violation de la loi. Cette situation prête d’autant à confusion si l’on se réfère aux informations mentionnées dans le site de l’ADIE (créateur du dispositif), je cite :
« Toutes les informations collectées par le Ministère des Affaires Étrangères et des Sénégalais de l’Extérieur sont protégées par la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel (cdp.sn) »
De quelle protection il est question ? Cette affirmation semble très vague et doit être élucidée.
Il est noté plus loin à l’article 21 de la Loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel que :
Hormis les cas où ils doivent être autorisés par la loi et par dérogation aux articles précédents, les traitements automatisés d’informations nominatives opérés pour le compte de l’Etat, d’un établissement public ou d’une collectivité locale ou d’une personne morale de droit privé gérant un service public sont décidés par acte réglementaire pris après avis motivé de la Commission des Données Personnelles.
Ces traitements portent sur :
…Les données à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales, ethniques ou régionales, la filiation, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci lorsqu’elles ne relèvent pas de l’article 22.3 de la présente loi.
La CDP a elle été saisie en l’espèce ? Pourquoi cette violation flagrante ? Quelle est l’utilité de cette commission d’ailleurs ? Pourrais-t-on faire confiance en tant que citoyen à cette institution pour la défense de nos libertés fondamentales ?
Cette institution a prononcé depuis sa création en 2008, 5 mises en demeure et 6 avertissements. Devons-nous penser que les données des sénégalais sont lourdement protégées par les Grandes multinationales présentent au Sénégal ?
Pour ce qui est de la collecte des données sensibles dans le cadre du dispositif d’aide, nos institutions doivent déployer toutes les mesures de sécurité organisationnelles et techniques (sécuriser les serveurs de bases de données, procéder à une purge sécurisée de ces données…) pour protéger les données de nos citoyens. Pourquoi ? Parce que ce sont des données qui touchent à l’intimité de l’individu voire à l’identité humaine et dont l’utilisation pour un mauvais usage représente un risque élevé pour les personnes. Le traitement de ces données ne peut se faire sans le respect d’un cadre strict. L’impact en cas de fuite de ces données peut être très graves pour nos citoyens. C’est pourquoi, tout traitement comme la collecte ou la consultation de données dites sensibles est par principe interdit par la loi sénégalaise.
Comme exemple de données de santé et des conséquences que leurs divulgations dans l’espace public peut avoir, je vous renvoie à l’article suivant : https://www.seneweb.com/news/Societe/covid-19-au-quot-soleil-quot-une-dame-li_n_315033.html. En l’espèce une femme limogé pour des raisons liées à la divulgation de données liées à son état de santé.
La pandémie de COVID-19 rend les individus et la société extrêmement vulnérables à tous égards. Pendant cette crise, nous dépendons tous plus que jamais des systèmes informatiques, des appareils mobiles et de l’internet pour travailler, communiquer, faire des achats, partager et recevoir des informations et ainsi atténuer l’impact de la distanciation sociale. Il est prouvé que des acteurs malveillants exploitent ces vulnérabilités à leur propre avantage. En tant qu’acteur de la sécurité, nous devons redoubler notre vigilance pour veiller à la sécurité de nos actifs.
Notre pays ressortira vainqueur de cette crise !
Fait à Paris le 20/04/2020
Ibrahima SENE
Consultant sécurité des SI
(Source : Social Net Link, 22 avril 2020)