Cinq fichiers contenant les données personnelles de près de 37 000 jeunes sénégalais sont en accès libre sur internet.

Si vous avez passé le concours d’entrée à l’école des douanes 2017/2018, sachez que vos données personnelles (nom, prénom, date et lieu de naissance, numéro de téléphone, adresse électronique) sont accessibles sur la toile en un clic. La douane sénégalaise, l’une des plus importantes entités de l’administration, a mis en accès libre les données personnelles de plus de 370000 candidats. Le jackpot de données est composé de fichiers regroupant les candidatures validées de cinq régions : Dakar, Kaolack, Saint- Louis, Tamba et Ziguinchor.

Une grosse faille qui pose encore la lancinante question de la gestion des données à caractère personnel dans le pays. En effet, avec cette négligence pointue, la douane sénégalaise ouvre la voie à une panoplie de moyens simples et efficaces d’usage de la cybercriminalité. Il devient facile avec les données exposées, d’entrer dans le monde de l’usurpation d’identité en ligne, la collecte, la promotion ou même la vente de données.

Le droit du citoyen bafoué ?

La protection des données du consommateur ou simple citoyen est régie par des textes et lois composant l’arsenal juridique du Sénégal. Plus de 5 lois composent et sécurisent la société de l’information.

Une protection renforcée par la mise en place de la Commission des Données Personnelles ( CDP) chargée de protéger l’utilisateur et faire le suivi en cas de litige ou usurpation de ses données.

Toute cette stratégie semble ne pas être considérée par la douane qui vient, à travers cette erreur, bafouer la règle la plus élémentaire imposée dans le cadre de la protection des données personnelles des citoyens. Oubliant de surcroît, le concept de confidentialité en sécurité informatique. La perte de confidentialité peut se manifester de différentes manières, par exemple avec la mise en ligne d’un document confidentiel, sur un serveur web peu ou mal protégé.

Absence d’une politique de sécurité

Si l’administration est négligente et ignorante dans la gestion des données personnelles des citoyens, c’est parce que tout simplement, il manque un travail de synergie regroupant toutes les institutions de l’État sous la supervision de l’ADIE.

Une faute incombe à l’Agence de l’Informatique de l’État qui n’a pas rempli pleinement son rôle. La boîte dirigée par Cheikh BAKHOUM a préféré accentuer ses actions sur des projets jugés importants par son département et laissant en rade la question cruciale de la protection des données personnelles. En plus, la poudre aux yeux de nos “data center” annoncés depuis des années et dont leur utilisation tarde à se faire de façon efficace.

Safe City, Smart Education, Smart Territoires ou encore Smart Wifi, des projets ambitieux mais souvent limités par des intentions politiques meublées d’une volonté de vouloir faire les choses trop rapidement sans prendre en compte certains aspects assez élémentaires liés à la protection et la sécurisation des données qui transitent dans les systèmes informatiques étatiques.

Or, l’ADIE devrait d’abord assurer une bonne politique de sécurité des systèmes avec une vraie stratégie de protection des données personnelles au sein des démembrements de l’administration comme l’exige sa mission : avoir une bonne politique de sécurité pour instaurer une confiance numérique chez les utilisateurs. Ainsi, l’agence reconnaît que l’administration « ne saurait utiliser le numérique de façon optimale que si les aspects sécuritaires sont garantis . »

En outre, le Sénégal dispose d’une stratégie nationale de cybersécurité (SNC2022) renforcée par une politique de sécurité des systèmes d’information de l’État du Sénégal (PSSI-ES) qui a été définie en collaboration avec la Commission nationale de cryptologie.

Malgré cet arsenal sécuritaire mis en place, il manque une vraie stratégie d’exécution pouvant atteindre les objectifs fixés. Le déploiement se limite malheureusement sur des textes et des discours récités à longueur de journée par des directeurs généraux et ministres face aux médias lors des événements.

Il urge de mettre en pratique ces politiques de sécurité des systèmes informatiques des structures de l’Etat. Par conséquent, de passer à l’élaboration d’une politique de protection des données personnelles qui pourrait informer toutes les personnes physiques concernées sur la manière dont l’organisation (structure de l’Etat) collecte et utilise de telles données et sur les moyens dont les agents disposent pour contrôler cette utilisation.

L’apport de la CDP, avec le soutien de l’Etat, est plus que jamais déterminant pour sensibiliser et mettre en exergue les enjeux des données à caractère personnel et surtout à une gestion efficace, selon les normes et lois établies.

Une négligence de la CDP

Précisons que des personnes ont informé la CDP et signalé plusieurs fois, l’exposition de ces données sur la toile, mais rien a été effectué pour les supprimer ou les rendre inaccessibles. Une attitude d’indifférence totale envers la protection de ces informations qui concernent des milliers de jeunes Sénégalais.

La Douane est un opérateur d’importance vitale, car c’est l’une des plus importantes entités de l’administration avec les centaines de millards qu’elle injecte dans les caisses de l’Etat. C’est pourquoi, elle devrait disposer d’un système informatique bien protégé et surtout bien surveillé.

Notre usage personnel et quotidien des outils numériques participe à la construction de ce que, Serge Abiteboul, chercheur à l’Inria et Valérie Peugeot, chercheuse en digital studies à Orange Labs, appellent le nouveau continent, la Terra Data (la « terre des données »). Dès lors, la récolte d’informations explose avec les technologies.

Chaque jour, des données sont créées, stockées, transformées et transmises à des entreprises de divers secteurs. Les données personnelles sont considérées, de nos jours, comme de l’or noir. Alors, tous les pays avancés mettent en place et appliquent des politiques et dispositifs qui permettent de protéger les citoyens. Avec une telle négligence, force est de reconnaître que la Douane sénégalaise a dédouané le vol de données à caractère personnel.

(Source : Social Net Link, 19 mars 2021)