Comme vous le savez, l’évolution des technologies de l’information et de la communication a contribué à modifier profondément nos habitudes et comportements, ce qui n’est pas sans conséquences. Dès lors, la confiance à cette économie dite numérique nécessite en soi une solide protection des données à caractère personnel, un droit fondamental garanti aussi bien par les instruments de la CEDEAO [1], de l’UA [2] que des conventions internationales dont le Sénégal est partie.
L’Etat, dans sa mission régalienne d’assurer la sécurité des personnes et des biens, se doit de sécuriser ces biens, les données. Pour autant il ne s’agit pas d’une mission simple dans la mesure où la sécurité de ces biens certes immatériels doit être assurée vis-à-vis des entités privées mais également de l’Etat d’où la nécessité d’une Autorité vraiment indépendante de protection.
Ce présent billet (périodique) aura pour mission de participer aussi bien à la vulgarisation de ce droit peu connu du grand public qu’au respect des droits de la personnes en cas d’atteinte résultant des fichiers ou des traitements automatisés.
Protection des données et Autorité de contrôle
La Commission de Protection des données (CDP) est une autorité indépendante créée par la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.
Elle est chargée de vérifier la légalité des fichiers et de toutes collectes, utilisations et transmissions de renseignements concernant des individus identifiables et doit assurer dans ce contexte le respect des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée.
Aujourd’hui, les particuliers sont exposés au numérique à chaque étape de leur vie quotidienne, en tant que citoyen mais aussi en tant que consommateur.
S’agissant des consommateurs l’autorité de protection en l’occurrence la CDP ne cesse de faire des efforts il faut le saluer, pour assurer la protection de leurs informations personnelles pour s’en convaincre il suffit de passer en revue les avis et mises en demeure en ce sens. Pour autant, le champ d’application de cette loi va au-delà des activités des simples opérateurs économiques (pour qui leur business model trouve son siège dans les données) ; mais s’étend également à celles de l’Etat, ses démembrements et des collectivités locales.
Données à caractère personnel : De quoi parle t- on exactement ?
Les données sont à caractère personnel dès lors qu’elles portent sur une personne identifiée ou identifiable.
Une personne est identifiable si des informations complémentaires peuvent être obtenues sans effort déraisonné, permettant l’identification de la personne concernée.
Ainsi, sont considérées comme des données à caractère personnel, notamment : le nom d’une personne, une photo, un numéro de téléphone, le numéro unique d’identification nationale, un numéro de plaque d’immatriculation, un code, un numéro de compte bancaire, une adresse e-mail, une empreinte digitale, …
Egalement, il existe une catégorie de données personnelles dites données sensibles dont le législateur a prévu une protection accrue dès lors qu’elles sont collectées ou traitées, il s’agit concrètement des données relatives à la race ou à l’origine, la santé, les opinions politiques ou religieuses, les convictions philosophiques, le passé judiciaire…
De manière générale, dans sa mission de veiller à la légalité de tout traitement à l’égard des personnes physiques, la CDP dispose d’une indépendance totale (ne doit ni recevoir d’ordre et de conseil de la part de l’exécutif) en ce qui concerne l’activité numérique tant du secteur public que du secteur privé.
La garantie de protection du caractère privé des données et leur respect par l’Etat
La loi de 2008 sur la protection des données a été fortement inspirée par la loi française du 6 janvier 1978 modifiée. Pour rappel, la Commission nationale informatique et libertés a été instituée suite à un projet d’interconnexion [3] de fichiers administratifs de la part de l’Etat. Le processus de transparence d’une société démocratique qui a suivi, a abouti à exiger de l’Etat et ses démembrements dans le cadre de leurs activités à respecter les principes relatifs à la loi sur les données à caractère personnel au même titre que ses citoyens. A noter également que certains fichiers publics (impôts, sécurité sociale, police et justice, etc.) sont constitués sans notre accord et sans possibilité d’opposition [4] de notre part, car ils ont un but précis et souvent lié à la sécurité du territoire et au respect des principes de notre République (ex : fichier assujettis impôts, fichier carte d’identité, droits aux allocations, à la protection sociale).
En ce qui concerne le Sénégal, aux termes de l’article 21 de la loi précitée, les traitements automatisés opérés pour le compte de l’Etat […] sont décidés par acte réglementaire pris après avis motivé de la Commission des Données personnelles. Ce qui permet à l’Autorité de protection de contrôler en amont que le traitement satisfasse les principes de la loi (finalité légitime, durée de conservation limitée, proportionnalité droits des personnes, sécurité des données). L’objectif de ce régime spécifique applicable étant de parvenir à trouver un équilibre entre la protection des droits des personnes et la garantie de l’intérêt général.
Au demeurant, la CDP dispose également d’un pouvoir de contrôle de la conformité à la loi des projets de fichiers et de traitements (hors régime de l’avis).
Forte de ces pouvoirs de contrôle à priori et à posteriori et des moyens d’action, l’Autorité de protection des données en tant qu’autorité administrative indépendante face à l’Etat doit garantir à chaque citoyen que ses données soient collectées et utilisées dans des conditions respectueuses de leur liberté individuelle.
Flux internationaux de données- (le critère de niveau de protection adéquat)
Au niveau international et plus précisément européen, on évoque le critère de niveau de protection adéquat pour justifier la libre circulation des données vers des pays tiers. En termes plus clairs, l’adéquation de la protection des données dans un pays tiers signifie que les principes majeurs de la protection des données soient effectivement mis en œuvre dans le droit interne de ce pays. Ce niveau de protection adéquat permet aux entreprises de l’Etat tiers d’échanger des données personnelles avec celles des Etats membres sans qu’aucune garantie supplémentaire ne soit nécessaire.
Pour acquérir ce niveau de protection adéquat, l’Etat tiers fait une demande auprès de la Commission Européenne. Comme vous le voyez sur la carte et le lien ci-après, le Sénégal bien que disposant d’une Autorité de protection des données (la CDP) et d’une loi spécifique, n’est pas encore reconnu comme pays de niveau de protection adéquat mais cela ne saurait tarder depuis son adhésion récente à la Convention 108 du Conseil de l’Europe en 2016 et les promesses d’une régulation plus active de la part de la CDP.
Néanmoins, la CDP gagnerait en indépendance, en tant qu’autorité indépendante à l’égard de l’Etat si c’est la formation collégiale des membres qui nomme son Président et non le Président de la République.
Diplomatie de « la régulation des données numériques » en Afrique francophone
Les Autorités Administratives Indépendantes sont devenues progressivement des instruments de régulation d’un secteur déterminé. Pour la protection des données, plusieurs pays africains (dont francophones) se sont dotés de lois fortement inspirés par la législation CNIL, le tout constituant en des instruments de protection des libertés individuelles contre les abus que peuvent engendrer l’utilisation de l’informatique.
Regroupés au sein de la francophonie des autorités de protection des données : l’Association Francophone Autorités de Protection des Données (AFAPDP), 18 états et gouvernements membres s’offrent un cadre propice d’échange et de coopération afin de diffuser et de favoriser l’adoption, dans les ordres juridiques francophones, de dispositions assurant de manière effective et efficace le droit des personnes à la protection des données personnelles.
Pour autant, on peut noter que depuis l’initiative [5] de Dakar sous l’égide de la CDP, les contours et les promesses d’une entité commune africaine ne prennent pas encore forme dans un contexte ou les grands ensembles discutent entre eux, le cas échéant, imposent, enjoignent voire sanctionnent en leur nom propre les géants du net. Quelle est aujourd’hui la position commune de l’Afrique face à ces nouveaux rapports de force dans une société sous surveillance constante ? Quelle place pour le citoyen africain, dans un contexte, où la législation, elle, a du retard pour le protéger ? Quelles orientations à suivre face à la pénétration de ces normes dans un contexte africain socioculturel différent du reste du monde ?
La CDP, une entité facilitatrice de l’innovation ?
Aujourd’hui, le numérique irrigue tous les domaines de la vie des citoyens, on est tous connectés et tout peut se dématérialiser et cela se traduit par des données. Dès lors, la CDP, ne doit plus se cantonner à un rôle d’autorisation, contrôler/sanctionner, elle doit en plus assumer une mission d’accompagnateur, de conseil et, in fine de porter des réflexions éthiques plus poussées dans une logique de Co régulation de l’écosystème numérique.
Internet, entre droits, devoirs et obligations des différents acteurs
Le sommet mondial de la société de l’information avait pour objectif de faciliter l’usage des TIC afin que le bénéfice puisse rejaillir sur la prospérité économique, le développement des savoirs, le renforcement de la paix et la promotion de la démocratie. La promotion des technologies nouvelles et leur appropriation par les couches les plus défavorisées de la population impliquent sans aucun doute une bonne volonté politique de la part de nos Etats.
Le constat est que l’accès au web libère le savoir partagé alors qu’à bien des égards nos dirigeants mal éclairés n’y sont pas trop favorables. Ici, nous pouvons considérer que nos peuples périssent faute de connaissance. Comme en témoigne la récente actualité concernant le blocage d’internet au Mali et Cameroun avec #BringBackOurInternet aux fins de « museler » les citoyens. Au Sénégal vous ne manquerez pas de constater çà et là des messages véhiculer sur internet disant que les réseaux seraient surveillés de même que les communications privées sans qu’on ait un démenti officiel de la part des autorités. Dans le même temps, le peuple américain trouve un siège constitutionnel à l’accès aux réseaux sociaux ce qui n’est rien d’autre que le prolongement du droit à l’information consacré par toutes les démocraties.
Gageons que nos Etats nous veulent du bien tant qu’ils sont au-dessus de nous autres habitants de la plèbe (le bas peuple). Ils vont convoquer ces traités et normes internationales pour l’économie numérique et nous livrer aux géants du secteur mais retrouvent leurs réflexes de dictateurs quand il s’agit de la liberté citoyenne, quand des honnêtes citoyens veulent instaurer une transparence, reflet d’une démocratie vraiment participative.
Nous sommes en face d’une révolution numérique qui se passe sous nos yeux celle que l’Afrique ne devrait rater en aucun cas. Le seul bémol à ce progrès inévitable tient du fait de la résistance de nos dirigeants adossés à des agendas cachés nous maintenant dans les méandres d’un sous-développement chronique. Or, la révolution numérique insuffle une nouvelle donne dans l’expression de la contestation démocratique, dans la mise en valeur de l’inventivité, de la créativité, à moins que l’on n’empêche à ses accommodés de vivre avec leur époque.
Nous reviendrons vers vous pour un autre billet sur les Principes clés de la loi sur les données et de son application jurisprudentielle.
Emmanuel Diokh, Juriste IT DPO, Assistant Pédagogique et Pape Fodé Dramé, Juriste Ex Agent CNIL-Droit du Numérique, chargé de Mission e-consommateurs
(Source : Juristicom, 9 juillet 2017)
[1] La CEDEAO a adopté le 16 février 2010 un Acte additionnel relatif à la protection des données à caractère personnel, qui est d’application directe dans les Etats membres de la communauté.
[2] La Convention de Malabo du 27 juin 2014 sur la cyber sécurité et la protection des données à caractère personnel.
[3] Le projet, intitulé SAFARI, initié en 1973 par le ministère de l’Intérieur, fut révélé en 1974 par un article du Monde. Le scandale déboucha, en 1978, sur l’adoption de la loi informatique et libertés.
[4] Néanmoins, les citoyens disposent d’un droit d’accès indirect : Une procédure particulière est prévue par la loi pour accéder aux informations vous concernant enregistrées dans certains fichiers publics.
[5] 1er Forum africain sur la protection des données 19-20 mai 2015. Cet événement régional rassemblait les autorités de protection des données du continent africain et leurs partenaires institutionnels pour « Comprendre les enjeux et savoir protéger les données personnelles en Afrique ».