Gestion des données personnelles : De la nécessité d’en faire une question de souveraineté
lundi 14 juin 2021
Face à l’évolution du numérique, la collecte et le traitement des données personnelles peuvent constituer des risques pour la vie privée. Alors que la plupart des données personnelles des sénégalais sont stockées à l’étranger, se pose alors un défi pour une utilisation à bon escient de ces informations.
Qu’il s’agisse d’un simple nom, d’une date de naissance ou encore d’un identifiant numérique, les données à caractère personnel que nous fournissons au quotidien, sont aspirées par des entreprises privées spécialisées dans la collecte de ces informations et stockées dans les Data Center de ces sociétés. Quid donc du lieu de stockage des données personnelles des Sénégalais ? « A cette question, la réponse se trouve dans le registre de déclaration de mise en conformité au niveau de la CDP (Commission de protection des données personnelles). Avant un traitement concernant les données personnelles, il y a des formalités à accomplir au niveau de la CDP, à ce jour, seule cette dernière peut répondre à cette question. La réponse que vous aurez ne sera même pas fiable eu égard à l’existence de traitement non déclarés », a déclaré le spécialiste en droit numérique, Emmanuel Maurice Diokh. Quant au chef de la Division du contentieux de la CDP, Siradiou Ba, il soutient : « Dans la pratique, nous avons constaté par rapport aux dossiers que nous avons eus à traiter que la plupart des entreprises sénégalaises et même de l’administration, exportent les données à l’étranger. Ce n’est pas interdit par la loi. Il faut juste vérifier si le lieu d’hébergement de ces données respecte les mesures de sécurité ».
En effet, les données personnelles qui sont récupérées par les Gafam (Google, Facebook, Amazone…), peuvent être vendues à un annonceur pour faire de la publicité ciblée. « Il s’agit du carburant de l’économie numérique, aujourd’hui, les GAFAM sont devenus de grandes puissances rivalisant avec les Etats grâce à l’exploitation des données personnelles », explique Emmanuel Maurice Diokh. Il est donc possible aujourd’hui de tout savoir sur une personne à travers les données et nos informations les plus privées peuvent être diffusées plus ou moins à notre insu. Ce qui porte des menaces sur la protection de la vie privée et des données personnelles. En atteste, le scandale de Facebook et Cambridge Analytica sur l’utilisation abusive de données personnelles recueillies auprès de millions d’utilisateurs de Facebook et vendues à une tierce partie dans le but d’influencer des élections à l’échelle internationale. « Les risques liés à une mauvaise protection des données, c’est l’exposition des citoyens, des clients. Nous avons, entre autres, l’usurpation d’identité numérique, l’atteinte à la dignité humaine, tous des faits prévus et punis par le code pénal. Enfin, nous avons la manipulation de masse que ce soit par les politiques ou les entreprises », explique Emmanuel Maurice Diokh.
« IL FAUT UNE SENSIBILISATION ET LA FORMATION POUR QUE TOUS LES CITOYENS-CLIENTS PUISSENT EVOLUER DANS LE NUMERIQUE »
Face au développement galopant du numérique, il est devenu difficile de se protéger. « Le traitement des données personnelles ira crescendo, il est impossible de stopper la transition. Ce qu’il faut, c’est une sensibilisation et la formation pour que tous les citoyens-clients puissent évoluer dans le numérique avec une bonne connaissance de cet environnement », soutient le spécialiste en droit numérique. En effet, pour une utilisation légale des données personnelles des citoyens, le Sénégal dispose de la loi 2008-12 du 25 Janvier 2008 sur les données à caractère personnel et la CDP s’inscrit dans une démarche de protection mais également de responsabilisation des acteurs récoltant des données personnelles. A la question de savoir si le Sénégal est à un niveau adéquat de protection des données personnelles, voici la réponse d’Emmanuel Maurice Diokh : « Au regard du cadre juridique et des instances, Oui. Par ailleurs, dans la mise en place, pour donner vie à ces textes, il reste beaucoup à faire. Pour une meilleure visibilité, il faut regarder les organismes dont les traitements sont conformes pour comparer avec le reste des entreprises traitant des données personnelles pour mieux comprendre ce qui reste à faire, c’est énorme ». Il faut dire que les données personnelles sont aussi des gages de sécurité du fait de la possibilité de traçage des personnes mues par d’autres intérêts pour parer à toute éventualité.
Droits des citoyens afin de garer la maitrise de leurs données
C’est le chapitre 4 de la loi 2008- 12 du 25 Janvier 2008 qui traite les droits conférés aux personnes dont les données font l’objet de traitement. Selon Emmanuel Maurice Diokh, « il s’agit du droit à l’information de l’article 58 dans lequel nous avons par exemple, l’identité du responsable du traitement qui doit être communiqué et, le cas échéant, de son représentant, là ou les finalités déterminées du traitement auquel les données sont destinées, les catégories de données concernées, le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ».
L’article 62 donne aussi aux citoyens le droit d’accès aux données. « Toute personne physique justifiant de son identité a le droit de demander, par écrit, quel que soit le support, au responsable d’un traitement des informations sur ses données personnelles ». Quant à l’article 68, il « permet aux personnes dont les données font l’objet de traitement de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ». « Le droit de rectification et de suppression permet à toute personne physique justifiant de son identité d’exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Son exercice est défini à l’article 69 de la loi susmentionnée », a dit le spécialiste en droit numérique.
Data center de Diamniadio : Gage d’une souveraineté numérique
Aujourd’hui, face au transfert des données des citoyens à l’étranger, le nouveau Data center de Diamniadio qui sera inauguré en juillet prochain, va être d’un grand apport dans la protection des données personnelles. « L’Agence de l’Informatique de l’Etat avait un data center mais parfois il rencontre certaines difficultés pour héberger beaucoup de données. C’est pour cela que la plupart des structures publiques hébergeait les données à l’étranger mais vu qu’on a construit un nouveau Data Center à Diamniadio, c’est l’occasion pour que les structures publiques hébergent leurs données là-bas dans le cadre de la souveraineté numérique », a soutenu le chef de la Division contentieux de la CDP, Siradiou Ba. Et d’ajouter, « ça ne suffit pas seulement d’avoir des locaux mais derrière, il faut veiller sur la sécurité ». Sur ce point, Emmanuel Maurice Diokh embouche la même trompette. « Stocker les données personnelles en locale peut être un gage de sureté, un moyen d’inspirer confiance en l’économie numérique et une manifestation de souveraineté si toutefois le facteur humain demeure étanche et fiable dans l’application des politiques de protection des données », dit-il.
Sécurisation des données personnelles : Les assurances de la CDP
Au Sénégal, la commission de protection des données personnelles (CDP) est à l’avant-garde pour s’assurer que les données personnelles sont stockées sur des serveurs sécurisés à l’accès réglementé. Les entreprises qui manipulent les données personnelles, sont obligées d’effectuer des « formalités préalables » à la CDP. Elles font ainsi des déclarations d’honneur auxquelles se fie la CDP. Toutefois, elle estime ne pas avoir « vraiment de visibilité sur le traitement pour le début »
A en croire la juriste au sein de la Direction des affaires juridiques du contentieux et de la conformité de la CDP, Angèle Kandé, il peut s’agir, soit d’une « déclaration pour les traitements simples ou d’une demande d’autorisation si les données sont sensées aller à l’étranger et lorsque le traitement a déjà commencé, l’entreprise se conforme et fait une régularisation ». Ce, à travers des formulaires où les responsables de traitements de données personnelles répondent à plusieurs questions relatives à la sécurité et à la confidentialité des données. Ainsi, la CDP va d’abord vérifier si l’entreprise garantit toutes les mesures de sécurité des données en fonction du type de traitement avant de prendre une décision. « On n’a pas vraiment de visibilité sur le traitement pour le début. Donc, on croit que la déclaration. A postériori, la CDP a un droit de contrôle. Elle peut, soit notifier l’entreprise pour lui dire qu’elle va venir la contrôler, soit elle peut faire une contrôle inopinée. Maintenant lorsque l’entreprise fait une formalité et que c’est arrivé à la CDP et qu’on instruit le dossier et que ça va jusqu’à la session plénière, les commissaires peuvent, même sans avoir besoin d’aller contrôler, demander d’auditionner l’entreprise. Ça veut dire qu’on peut appeler le responsable de traitement et lui dire de venir se présenter devant la session plénière pour dire c’est quoi son activité ? Pourquoi il fait ce traitement ?... », a expliqué Angèle Kandé.
Sur les « formalités préalables », le chef de la Division du contentieux de la CDP, Siradiou Ba renchérit : « nous pouvons prévoir d’aller sur place et vérifier comment l’entreprise garantit la sécurité et la confidentialité des données et si l’entreprise ou l’administration ne le fait pas, nous pouvons sanctionner ». Parmi les sanctions, il y a d’abord la « mise en demeure à présenter à la structure pour lui dire de se conformer dans un délai », « l’avertissement » et la « sanction pécuniaire » à l’encontre des entreprises. « A l’état actuel, il n’y a qu’une décision de sanction pécuniaire à l’encontre d’une entreprise mais il y a beaucoup d’avertissements et de mise en demeure parce que pour sanctionner une entreprise, il y a toute une démarche qui doit être faite. On a constaté que lorsqu’on met en demeure une entreprise, cette entreprise vient se conformer à la loi. Mais l’entreprise qu’on a eu à sanctionner dans le passé, c’est parce qu’elle a été un peu récalcitrante », a expliqué Siradiou Ba.
Dans le cadre de l’audit du fichier électoral, la CDP rassure quant aux dispositions de protection des données personnelles. « Nous avons reçu dans nos locaux les experts qui devaient faire l’audit du fichier électoral et dans le cadre de nos échanges, ils ont formulé des recommandations pour améliorer le fichier électoral notamment analyser certaines informations qui semblent un peu sensibles, c’est-à-dire le numéro d’identification nationale et aussi avoir un délégué à la protection des données personnelles, demander à la DAF de désigner quelqu’un à long terme qui sera chargé uniquement de la protection des données à caractère personnel », a laissé entendre M. Ba. Dans le cadre de la sensibilisation sur le respect de la vie privée, la CDP mène une campagne sur le comportement à avoir sur l’Internet avec le ministère de l’Education nationale à travers un programme intitulé « Ma vie en ligne » et fait aussi des « formations à la demande sur tout ce qui est protection des données personnelles ».
Pour lutter contre les atteintes à la vie privée sur les réseaux sociaux, la CDP et la Division spéciale de la cybercriminalité mutualisent les forces. La loi du 8 novembre 2016 sur la cybercriminalité interdit le fait d’enregistrer une personne à son insu, de filmer une personne sur un lieu privé et de faire un photomontage et prévoit des sanctions pénales pour les auteurs de ces actes. « Dans ce cas d’espèce, la CDP à elle seule, ne résout pas ce problème-là. Elle est obligée de collaborer avec le parquet et dans le cadre de nos rapports avec le parquet, nous impliquons la division spéciale de la cybercriminalité et on transfère le dossier mais néanmoins derrière, nous faisons tout pour accompagner la dans le cadre de la suppression de ces contenuslà », nous explique le chef de la Division Contentieux de la CDP
Mariame Djigo
(Source : Sud Quotidien, 14 juin 2021)