twitter facebook rss

Ressources

Imprimer Texte plus petit Texte plus grand

Protection des données à caractère personnel, quels enjeux pour les entreprises établies au Sénégal ?

mardi 28 janvier 2020

L’exploitation, la valorisation et la circulation des données occupent une place centrale dans les stratégies d’entreprise dès lors elles doivent se concilier avec les impératifs de sécurité et de protection des libertés, en l’occurrence la protection des données personnelles. Afin de rester en conformité, les entreprises implantées au Sénégal traitant de la donnée personnelle sont astreintes à certaines obligations et corrélativement doivent s’adapter à la Réglementation européenne dénommée RGPD [1] s’imposant désormais dans le marché du numérique. Dans ce contexte, il est opportun de repenser l’encadrement juridique de la protection des données face aux défis actuels.

L’impact du RGPD sur le marché numérique mondial.

Pour rappel, la loi Sénégalaise du 25 janvier 2008 sur la Protection des données à caractère personnel – ci-après “LDCP” réglemente la collecte et l’utilisation des données personnelles et instituant une autorité de contrôle dénommée la Commission de Protection des Données : “CDP” chargée de faire appliquer ladite loi. A ce titre, bons nombres d’obligations sont à la charge des responsables de traitement telles que l’obligation générale de sécurité et de confidentialité, l’obligation d’information, le respect des droits des personnes concernées, une durée de conservation limitée et une finalité déterminée pour chaque traitement mis en œuvre. Sous ce rapport, ces exigences ont été reconduites par le RGPD tout en renforçant les droits des personnes leur permettant ainsi d’avoir une meilleure maîtrise de leurs données.

Bien qu’il s’agisse d’une réglementation européenne, les entreprises établies hors d’Europe doivent s’y conformer pour pouvoir offrir leurs services dans l’Union. Le RGPD est donc susceptible de s’appliquer à tout organisme traitant des données personnelles de résidents européens dans le cadre de son activité ou pour le compte d’un tiers indépendamment du pays d’implantation, de sa taille et de son activité. À l’inverse, une entreprise établie en France qui exporte des produits vers le Sénégal et à destination de citoyens sénégalais doit se conformer au RGPD.

Même si l’on peut être critique sur son ambition extraterritoriale, il faut reconnaître comme l’affirment certains auteurs que le RGPD, est un véritable outil de softlaw pour l’Europe du numérique pour les éditeurs non européens [2]. Il incite à mettre en place une politique globale de protection des données en entreprise en supprimant les formalités préalables moyennant un renforcement des obligations du responsable de traitement. À cela, s’ajoute l’obligation de notifier sous 72 heures la violation de données au régulateur. De plus, le RGPD corrige le déséquilibre entre le responsable de traitement et le sous-traitant en conférant une responsabilité autonome à ce dernier même établi hors UE. Il intègre également le Privacy by Design dès la conception des produits ou traitements et impose la tenue de registres aussi bien pour le responsable que le sous-traitant. Le Règlement renforce les droits classiques des citoyens tout en créant de nouveaux droits, notamment la portabilité [3] et l’oubli.

Il est à noter que la notion d’Accountability [4], fil conducteur du RGPD, est complétée par une évaluation anticipée des risques avec la mise en place obligatoire de l’analyse d’impact pour certains traitements à risque. Les sanctions pécuniaires ont été revues à la hausse pouvant atteindre 4% du chiffre d’affaire mondial de l’entreprise ou 20 millions d’euros. Il est donc fondamental que toutes les entreprises voulant prester à destination des résidents européens se conforment aux obligations précitées.

Sur le plan économique, les transferts de données de résidents européens vers les pays tiers, à l’instar des pays africains, doivent nécessairement être encadrés par des instruments spécifiques tels les codes de bonne conduite, de clauses contractuelles type ou des certifications tendant à assurer une bonne politique de gestion des données personnelles.

Il est donc primordial que ces entreprises se mettent à niveau pour être attrayantes. Le RGPD est une réponse visant à restaurer la confiance des individus face à la prolifération des technologies numériques collectant massivement les données personnelles. Il a contribué à bouleverser la pratique des entreprises en matière de collecte et d’utilisation des données personnelles.

Les pistes formulées pour une évolution de la protection des données personnelles

Le RGPD est un texte de modernisation du droit de la protection des données personnelles, qui avait besoin d’un urgent toilettage pour tenir compte du développement d’internet, des réseaux sociaux et des technologies avancées.

Aujourd’hui avec la généralisation des algorithmes reposant sur l’analyse automatisée des données personnelles, de nouveaux moyens de collecte des données sont apparus et les lois actuelles paraissent insuffisantes pour les encadrer. Tout de même, des concepts axés sur la méthodologie comme le Privacy by design, by default ainsi que l’analyse de risque permettent, a minima, d’anticiper les nouveaux usages du numérique en termes de sécurité et de confidentialité.

Pour le Sénégal et l’Afrique, Il est donc impératif que le cadre législatif actuel se modernise afin de répondre au mieux au besoin d’encadrement qu’imposent ces traitements de données à caractère personnel issus de ces innovations nouvelles. Or, force est de constater que cette loi qui n’a pas été retouchée par le législateur depuis 2008 mériterait d’être modifiée au gré des avancées technologiques. De la même manière la réglementation supranationale, à savoir l’acte additionnel de la CEDEAO et la Convention de Malabo, auraient besoin d’être actualisés.

Aujourd’hui, la rédaction des textes de lois dans nos pays requiert de l’anticipation mais aussi de l’innovation. Le régime de formalités préalables ainsi que la légalité de la finalité des traitements ne permettent plus à la LCPD de protéger la vie privée des sénégalais face aux nouveaux usages du numérique. Dans les autres pays francophones, bon nombre de lois ont été inspirées de celle de la France datant de 1978, laquelle a été modifiée voire amendée jusqu’après même l’entrée en application du RGPD.

Outre atlantique, la Californie dans sa loi CCPA, applicable dès le 1er janvier 2020, s’est inspirée du RGPD. D’une part, elle prévoit le consentement requis lors de la vente des données de clients et, d’autre part, le renforcement des droits des consommateurs (portabilité, droit d’accès, droit d’effacement, droit Opt out en cas de vente de données) dans un contexte ou le Privacy Shield [5] est constamment remis en cause par la Commission européenne. Dans le même sillage que le RGPD, au Brésil, la Lei Geral de Proteçao Dados pessoais [6]applicable à partir du 15 août 2020, de portée extraterritoriale, impose l’analyse d’impact pour certains traitements, la tenue de registre ainsi que la notification des violations de données à l’autorité de contrôle et aux personnes concernées.

Autant de points qui en font une sorte de mini-RGPD. Redonner le contrôle de leurs données aux individus en imposant une transparence générale sur les traitements et les violations de données est un défi majeur que beaucoup d’entreprises doivent relever. Les géants du web, à l’instar de Google, premier des GAFAM [7] sanctionné sous l’ère du RGPD en France [8], doivent changer leur méthode de collecte, d’utilisation et de partage des données de tous les citoyens, quelle que soit leur localisation. En définitive, il est pressant que l’Afrique se dote d’un Corpus de Règles Numériques plus contraignantes pour protéger ses citoyens et offrir un cadre vertueux pour l’exploitation de leurs données personnelles.

Pour se faire, d’ores et déjà, il faut que la CDP avec ses homologues africains accentuent leur coopération ; en édictant par exemple des normes communes à l’échelle africaine tout en veillant à y inclure dès la phase d’élaboration, les entreprises, les acteurs du marché numérique ainsi que les utilisateurs et praticiens de la matière. Dans une logique de co-régulation, les autorités de protection, doivent s’appuyer sur les relais informatique et libertés [9], les correspondants informatique et libertés, les délégués à la protection des données afin de diffuser la culture informatique et libertés au sein des entreprises.

L’enjeu pour les entreprises africaines est d’internaliser les règles de bonne gestion des données personnelles, afin d’être davantage performantes et compétitives sur le plan international. À cet effet, il est opportun d’implémenter la compliance [10] en tant que système de management au sein des entreprises devant s’intercaler entre l’obligation procédurale et le risque de sanction.

Une contribution signée par :

Maître Rokhaya SARR, Avocat à la Cour d’Appel de Paris, Auteure d’une thèse sur l’impact du RGPD sur la pratique des entreprises établies en France et au Sénégal

et

Monsieur Pape Fodé DRAME, Juriste et consultant en droit de la protection des données, Délégué à la Protection des Données (DPO)

(Source : Social Net Link, 28janvier 2020)

[1] La Réglementation européenne sur la protection des données du 26 avril 2016 devenu applicable depuis le 25 mai 2018.

[2] A.Banck et D. Rahmouni, Le RGPD nouvel outil de soft Law de l’Europe dans le numérique, Revue Lamyline Droit immatériel n°151 – 2018, paru Septembre 2018.

[3] C’est la possibilité de récupérer ses données personnelles dans un format lisible par machine, en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent.

[4] Elle pourrait se traduire comme le fait d’être responsable et de devoir démontrer à tout moment le respect des règles relatives à la protection des données.

[5] C’est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

[6] https://blogrisqueetsecurite.beijaf...

[7] L’acronyme désigne les géants du numérique à savoir Google, Amazone, Facebook, Apple et Microsoft.

[8] Délibération de la CNIL française n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC https://www.cnil.fr/sites/default/f...

[9] Quel que soit le nom, cet acteur est la personne expressément désignée au niveau de l’entreprise en charge de la conformité de la loi sur la protection des données.

[10] Elle désigne généralement la conformité.

Mots clés

Inscrivez-vous a BATIK

Inscrivez-vous à notre newsletter et recevez toutes nos actualités par email.

Navigation par mots clés

153 153 153 144 144 144 238 238 238 168 168 168 145 145 145 170 170 170 171 171 171 160 160 160 172 172 172 173 173 173 154 154 154 174 174 174 226 226 226 155 155 155 176 176 176 177 177 177 237 237 237 250 250 250 241 241 241 157 157 157 178 178 178 180 180 180 259 259 259 181 181 181 159 159 159 248 248 248 183 183 183 239 239 239 256 256 256 185 185 185 162 162 162 186 186 186 187 187 187 191 191 191 192 192 192 234 234 234 194 194 194 195 195 195 196 196 196 197 197 197 198 198 198 199 199 199 229 229 229 233 233 233 202 202 202 228 228 228 204 204 204 232 232 232 206 206 206 253 253 253 208 208 208 209 209 209 210 210 210 211 211 211 212 212 212 213 213 213 214 214 214 254 254 254 217 217 217 218 218 218 249 249 249 219 219 219 220 220 220 230 230 230 222 222 222 252 252 252 255 255 255 242 242 242 243 243 243 244 244 244 245 245 245 246 246 246 258 258 258 260 260 260 261 261 261 263 263 263 48 48 48 61 61 61 59 59 59 12 12 12 11 11 11 70 70 70 53 53 53 127 127 127 132 132 132 75 75 75 123 123 123 15 15 15 52 52 52 110 110 110 49 49 49 14 14 14 28 28 28 13 13 13 73 73 73 164 164 164 77 77 77 112 112 112 113 113 113 18 18 18 102 102 102 105 105 105 78 78 78 119 119 119 65 65 65 47 47 47 16 16 16 120 120 120 90 90 90 133 133 133 81 81 81 116 116 116 20 20 20 135 135 135 136 136 136 137 137 137 21 21 21 129 129 129 35 35 35 22 22 22 67 67 67 7 7 7 79 79 79 69 69 69 108 108 108 84 84 84 87 87 87 96 96 96 23 23 23 25 25 25 106 106 106 82 82 82 32 32 32 76 76 76 72 72 72 115 115 115 26 26 26 104 104 104 29 29 29 58 58 58 30 30 30 46 46 46 31 31 31 62 62 62 88 88 88 55 55 55 101 101 101 86 86 86 10 10 10 80 80 80 114 114 114 92 92 92 100 100 100 85 85 85 36 36 36 125 125 125 37 37 37 38 38 38 109 109 109 74 74 74 51 51 51 50 50 50 39 39 39 83 83 83 40 40 40 66 66 66 68 68 68 93 93 93 99 99 99 60 60 60 57 57 57 24 24 24 41 41 41 42 42 42 134 134 134 19 19 19 43 43 43 111 111 111 17 17 17 117 117 117 97 97 97 94 94 94 54 54 54 71 71 71 122 122 122 33 33 33 56 56 56 131 131 131 98 98 98 34 34 34 89 89 89 91 91 91 45 45 45 107 107 107

INTERNET EN CHIFFRES

- Bande passante internationale : 172 Gbps
- 4 FAI (Orange, Arc Télécom, Waw Télécom et Africa Access)
- 12 045 735 abonnés Internet

  • 11 779 800 abonnés 2G+3G+4G (97,8%)
    • 2G : 25,88%
    • 3G : 53,06%
    • 4G : 21,06%
  • 108 945 clés et box Internet (0,90%)
  • 152 047 abonnés ADSL/Fibre (1,29%)
  • 1766 abonnés bas débit (0,02%)
  • 3 177 abonnés aux 4 FAI
  • Internet fixe : 1,30%
  • Internet mobile : 98,70%

- Liaisons louées : 22 060

- Taux de pénétration des services Internet : 74,31%

(ARTP, 31 décembre 2019)

- 7 260 000 utilisateurs
- Taux de pénétration : 58,20%

(Internet World Stats 31 décembre 2018)

- 5800 noms de domaine actifs en .sn

(NIC Sénégal, décembre 2019)

TÉLÉPHONIE EN CHIFFRES


Téléphonie fixe

- 3 opérateurs : Sonatel, Expresso et Saga Africa Holdings Limited
- 207 592 abonnés
- 165 915 lignes résidentielles (79,92%)
- 41 677 lignes professionnelles (20,08%)
- Taux de pénétration : 1,28%

(ARTP, 31 décembre 2019)


Téléphonie mobile

- 3 opérateurs (Orange, Tigo et Expresso)
- 17 880 594 abonnés
- Taux de pénétration : 110,31%

(ARTP, 31 décembre 2019)

FACEBOOK

- 3 171 000 utilisateurs

- Taux de pénétration de Facebook : 18,6%

(Facebook, Juin 2019)