Dr. Mouhamadou Lo, Président de la CDP : « La protection des données personnelles, un impératif de bonne gouvernance »
jeudi 28 janvier 2016
La Journée mondiale de la protection des données à caractère personnel est célébrée ce jeudi 28 janvier. A l’occasion, le président de la Commission nationale chargée de la protection des données personnelles a confié que la protection des données personnelles est un impératif de bonne gouvernance. Dr Mouhamadou Lô explique dans cette interview que sans données personnelles, il n’existerait pas de business dans l’économie numérique.
Qu’entend-on par données à caractère personnel ?
Toute information qui permet d’identifier directement ou indirectement une personne physique est considérée comme une donnée à caractère personnel. Il existe deux catégories de données : les données identifiantes, rattachées à l’identité d’une personne (nom, adresse postale ou électronique, filiation, numéros d’immatriculation, empreintes digitales etc.) et les données comportementales collectées via l’historique des navigations web ou mobile, de la géolocalisation, etc. Le véritable enjeu se trouve dans l’interopérabilité de cette masse d’informations sur les individus. C’est pourquoi la question de la protection des données à caractère personnel implique trois approches : du point de vue juridique avec l’obligation pour l’Etat d’assurer l’équilibre entre recherche de profit, sécurité publique et protection de droits et libertés individuelles ; du point de vue des entreprises qui considèrent les informations nominatives comme une valeur stratégique et marchande ; du point de vue des individus dont les données sont des émanations de leur personnalité et de leur vie privée. La principale difficulté, aujourd’hui, pour les autorités de protection comme la Commission nationale de protection des données personnelles (Cdp) est de pouvoir identifier les traitements dits sensibles.
Quel est le statut et la mission de la Cdp que vous dirigez ?
Instituée par la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la Commission de protection des données personnelles (Cdp) est une autorité administrative indépendante, chargée de veiller à ce que les traitements des données soient mis en œuvre conformément aux formalités préalables. Au titre de ses missions, la Cdp est chargée d’informer et de conseiller les acteurs sur leurs droits et obligations, de promouvoir la culture de la transparence lors des traitements portant sur des données nominatives, de protéger contre les abus dans leur utilisation, notamment la manipulation des fichiers du personnel ou des clients, des étudiants et élèves, des abonnés (opérateurs de télécommunication, sociétés de distribution d’eau et électricité, etc.), des patients dans le milieu hospitalier... La Cdp reçoit également les plaintes et assure le contrôle de conformité à la législation prévue en la matière.
Pourquoi doit-on protéger ces données personnelles ?
L’existence d’une loi protectrice des données personnelles et d’une autorité de contrôle opérationnelle à l’image de la Cdp donne une certaine confiance aux entreprises qui échangent des données et, par conséquent, incite les investisseurs à s’y installer. En effet, le développement d’une économie numérique caractérisée par la circulation des données nécessite au préalable la garantie de la sécurité et de la confidentialité des informations échangées pour favoriser la confiance des individus. Il faut savoir que les données sont une véritable mine d’or. S’il n’y avait pas de données personnelles, il n’existerait pas de business dans l’économie numérique.
Par ailleurs, la protection des données personnelles est un impératif de bonne gouvernance dans la mesure où l’État se soumet également au contrôle de l’autorité de protection pour l’ensemble de ses fichiers, bases et systèmes de traitement.
Du point de vue social, la protection des données personnelles est un moyen d’asseoir la confiance entre, d’une part, l’administration et le citoyen et, d’autre part, le professionnel et le consommateur. A cet effet, l’intérêt pour une personne de voir ses données personnelles protégées, c’est : d’être informé de la collecte des informations le concernant ; autoriser ou refuser certaines utilisations de ses informations personnelles ; pouvoir décider quand et comment de tierces personnes peuvent accéder à des éléments de sa vie privée et de faire sanctionner toute utilisation abusive ou frauduleuse de ses données personnelles. La Cdp intervient pour que les données, partie intégrante de la vie privée, soient protégées pour éviter toute immixtion dans l’intimité des personnes.
Depuis la mise en place de la Commission de protection des données personnelles, quelles sont vos principales activités ?
Au cours de ces deux premières années d’existence, la Cdp s’est évertuée à vulgariser la législation et à corriger les errements du passé en vue d’endiguer les excès. Elle s’est aussi attachée à trouver l’équilibre nécessaire entre les intérêts des responsables des traitements et la sauvegarde des droits fondamentaux des personnes. Du fait des résultats de sa politiquerigoureuse en matière de collecte et de traitement des données des Sénégalais, la Cdp, perçue à ses débuts avec quelques réticences, est désormais un acteur incontournable sur l’échiquier institutionnel national et international. Une réelle prise de conscience de l’importance de la question des données personnelles est en train de s’opérer auprès de beaucoup de responsables de traitement qui ont su retourner à leur profit une « contrainte apparente » avec l’avènement de la Cdp en une véritable plus-value pour leur entreprise. En effet, le fait d’être en conformité avec la législation et à jour sur les formalités déclaratives devant la Cdp est un gage de responsabilité, de transparence, de sécurité et de confiance envers les personnes dont les données font l’objet d’un traitement.
Cette politique de sensibilisation a permis à la Cdp de recevoir et d’examiner 282 dossiers de déclarations de traitement avant de délivrer des récépissés portant, par exemple, sur des systèmes de vidéosurveillance, des bases de données relatives aux ressources humaines, des fichiers des clients ou des abonnées, des prestataires de service etc. En outre, en deux ans d’existence, la Commission a traité 198 demandes d’autorisation portant sur des traitements sensibles, telles que les données biométriques, les données transférées vers un pays tiers, les données de santé. A titre d’exemple, la session plénière a eu à examiner 139 demandes de transfert de données des Sénégalais vers l’étranger. Par ailleurs, la Cdp a enregistré également 72 plaintes dont les plus récurrentes sont relatives à l’utilisation excessive de Sms pour prospection commerciale ou incitation aux jeux. Elles mettent en cause notamment les opérateurs de télécommunication, les sociétés de transfert d’argent et les fournisseurs de services à valeur ajoutée... La liste est longue. Le traitement de ces dossiers a conduit, dans certains cas, à des sanctions de la Cdp à l’endroit des mis en cause. Par ailleurs, toujours dans le registre des activités réalisées, la Commission a traité plusieurs demandes d’avis émanant de particuliers, du secteur public et du secteur privé.
Sur le plan international, l’activité de la Cdp a été marquée par l’accréditation de la Commission par le comité exécutif de la Conférence internationale des commissaires chargés de la protection des données et de la vie privée. Enfin, la Cdp a organisé, à Dakar, le premier Forum africain sur la protection des données personnelles avec à la clé la désignation de notre jeune Commission comme autorité coordinatrice de ce nouveau réseau.
La Cdp a-t-elle des pouvoirs dissuasifs pour faire respecter ses décisions ?
La loi prévoit des sanctions très sévères en cas de manquements. Des sanctions administratives ont été prononcées par la Session plénière, qui est l’organe délibérant de la Commission. Les sanctions peuvent aller du retrait de l’autorisation de travail accordée à l’interdiction de continuer ou de mettre en place le traitement. La loi prévoit également une amende comprise entre un million et cent millions de FCfa. La Cdp peut aussi transférer le dossier au procureur de la République en vue de sanctionner pénalement le coupable.
Est-ce que le citoyen lambda connaît l’existence de la Cdp, pour la saisir et faire respecter son droit à la protection ?
Après deux ans d’existence, nous pouvons dire que dans l’ensemble, les Sénégalais commencent à se familiariser avec notre institution. En effet, nous recevons tous les jours des plaignants lésés dans le traitement de leurs données personnelles. Le citoyen sénégalais a la possibilité de formuler des signalements, de porter plainte ou juste de poser des questions via notre site Internet (www.cdp.sn) ou en se rendant dans nos locaux. Le nombre de citoyens faisant appel à la Cdp a connu une progression au fur et à mesure de la médiatisation des activités de la Commission.
Le Sénégal est-il assez doté d’un cadre normatif pour réguler l’usage et le développement des Tic ?
Avec la mise en place des lois (de la Losi), le Sénégal a affirmé son ambition d’être au diapason de la société numérique. Des rencontres initiées depuis les années 2005 ont permis d’en connaître un peu plus sur l’environnement, les acteurs, les méthodes, les moyens et les normes. Ceci a permis de mettre en exergue les forces, les faiblesses et les lacunes de l’environnement juridique et du cadre institutionnel de la société sénégalaise de l’information. Aujourd’hui, le cadre normatif de la société sénégalaise de l’information s’est matérialisé par l’existence de plusieurs textes législatifs et réglementaires. Cette volonté politique a été prônée par les plus hautes autorités notamment le président de la République, S.E Monsieur Macky Sall, qui a même demandé, lors d’un Conseil des ministres en 2015, d’assurer une plus grande sécurité des systèmes d’informations et des bases de données de l’État, tout en veillant à instaurer, au sein des institutions, une véritable culture de la protection des informations. Toutefois, il convient d’actualiser tout ce dispositif en vue de faciliter la mise en place d’un écosystème propice au développement d’une véritable économie numérique dans notre pays.
Propos recueillis par Ousmane Diouf
(Source : Le Soleil, 28 janvier 2016)