L’arrivée de l’informatique pose le crucial problème de la production, la gestion et l’utilisation de l’importante quantité de données générées au fil du temps. La Protection des données personnelles (Pdp), avec son corset de textes juridiques, un principe universel, encadre bien ce domaine. Docteur en droit et expert du droit numérique, Mouhamadou Lô en explique les enjeux.

Quels sont les risques liés à la gestion depuis l’extérieur des données personnelles des banques, qui sont pour la plupart des filiales de groupes étrangers ?

Dès l’instant que les données sont hébergées à l’extérieur, les risques sont très importants. Le premier risque, c’est l’insécurité des Sénégalais. On ne sait pas qui a accès aux données et dans quelles conditions. Le deuxième risque, c’est le fait qu’on perde la main sur ces données et, par conséquent, la souveraineté sur ces données. On n’est plus propriétaire de ces données qui sont maintenant dans le public à l’étranger. Cela peut entraîner comme conséquence l’espionnage.

Est-ce qu’on est libre de vendre des données personnelles ?

Libre, non. La loi n’interdit pas de vendre des données, mais elle exige le consentement des personnes concernées. Pour faire du business sur les datas, il faut obligatoirement recueillir au préalable le consentement, sinon c’est une collecte illégale et illicite qui est sanctionnée sévèrement.

Quelle est l’utilité de ces données vendues ?

C’est faire du business avec les données des gens. En ayant avec soi un gisement de données personnelles, on arrive à faire du profilage, c’est-à-dire identifier les besoins des gens, faire des propositions aux entreprises et chargés de services. L’autre utilité, c’est surveiller les gens, on est dans le domaine sécuritaire.

La solution du Cloud comporte-t-elle des risques ?

Le risque, c’est que les gens hébergent dans le Cloud toutes les données. Cela n’est pas recommandé. Il faut faire un sectionnement de sorte que les données sensibles restent dans le pays et ne soient pas hébergées à l’étranger. Dans le secteur bancaire, c’est différent, nous retrouvons au Sénégal des filiales de maisons mères établies à l’étranger. Mais la loi exige qu’avant que les données des Sénégalais sortent du pays, qu’il y ait l’autorisation de la Commission des données personnelles (Cdp). C’est la garantie que le législateur a prévue et que la Commission s’exerce à faire appliquer.

Est-ce que les banques respectent cette législation ?

Oui. La législation a été mise en place tardivement et les banques sont en train de se conformer. Je ne dirai pas que toutes les banques sont à jour par rapport à la réglementation, mais une bonne partie de ces banques ont procédé à la réglementation.

Quels sont les enjeux du débat autour des Bureaux d’information sur le crédit (Bic) en matière de données de la clientèle bancaire ?

Le Bic est un dossier très compliqué dans la mesure où c’est en application d’un règlement communautaire. Sur ce dossier-là, la Banque centrale n’a pas joué son rôle. C’était à elle de faire le travail qui est confié aujourd’hui à une société privée. Je m’approche d’une banque pour un crédit, celle-ci devrait simplement interroger la Banque centrale pour savoir si je suis solvable ou non. On ne devait pas inclure la relation entre banque et client, une société publique. Les conséquences peuvent être énormes, parce que si je ne donne pas mes informations, je n’aurai pas de crédit. C’est une contrainte. On requiert mon consentement de manière forcée, ce qui est illégal.

Quelles sont les données qui ne doivent pas être accessibles aux banques ?

Il n’en existe pas. Les banques veulent des garanties. Mais dans la collecte des données, les banques ne peuvent pas tout faire, elles doivent respecter le principe de proportionnalité. Si je dois passer à une banque pour récupérer un mandat, elle doit se contenter des données qui se trouvent sur ma carte d’identité nationale. C’est le principe de proportionnalité. La banque ne peut pas tout faire ou tout réclamer au client.

Propos recueillis par M. Ciss

(Source : Le Soleil, 15 mai 2018)