Dans vos attributions, on note que la CDP autorise, dans les conditions prévues par la loi, les transferts transfrontaliers de données à caractères personnels. Quelles sont les conditions prévues pour le transfert transfrontalier de données personnelles ?

Pour comprendre les conditions de transferts transfrontaliers de données, il est important de revenir sur les missions de la CDP, parce que c’est dans ses missions que l’autorisation de ces transferts est donnée. La CDP a déjà une mission de veille du respect de la loi sur la protection des données personnelles ; de sensibilisation des acteurs qui collectent des données personnelles ; de contrôle de conformité effectué à priori par la réception des déclarations et des demandes d’autorisation, mais également un contrôle qui se fait à postériori, c’est-à -dire sur site, à savoir au niveau des entreprises ou des administrations qui collectent des données personnelles. Au regard de ses missions de contrôle, la loi donne un pouvoir d’autorisation à la CDP pour un certain nombre de traitement de données. Ce pouvoir d’autorisation concerne le traitement de données sensibles, tel que des données biométriques, l’interconnexion des fichiers, c’est-à -dire si on met en relation des fichiers contenant des données personnelles, mais également un pouvoir d’autorisation pour les transferts de données vers un pays tiers. C’est-à -dire lorsqu’un lorsque l’Etat du Sénégal transfert des données vers un pays tiers, la CDP doit autoriser au préalable ce transfert.

Est-ce que la CDP dispose de ressources financières, techniques et humaines nécessaires pour faire face à de grandes entreprises étrangères qui collectent nos données personnels et qui pourraient les céder à d’autres à des fins inconnues ?

Les ressources financières sont importantes pour bien exercer les missions dévolues à la CDP. Il faut de l’argent pour recruter un personnel qualifié. Il en faut pour communiquer et sensibiliser, mais aussi pour contrôler après si les traitements sont mis en Å“uvre conformément à la loi. Cela nécessite beaucoup de moyens financiers qui font toujours défaut, même si des efforts ont été consentis à ce niveau par l’Etat. Mais, nous faisons avec les moyens du bord pour atteindre le maximum de citoyens. Par rapport à l’assurance de la CDP que les données qui sont transférées à l’étranger peuvent être utilisées à d’autres fins, je reviens sur les missions de la CDP. Ce n’est pas uniquement un contrôle qui est effectué sur le territoire national. Elle a un regard interne et externe sur les traitements des données personnelles qui implique et concernent les citoyens sénégalais. Parce qu’elle a des accords de coopération internationaux avec des autorités de contrôle étrangères qui sont dans une instance de coopération internationale, tel que l’Association francophone des autorités de protection des données personnelles, mais également la Convention 108 du Conseil de l’Europe, qui regroupe beaucoup de pays qui ne sont même pas membres du Conseil de l’Europe. A travers ces instances de coopération, la CDP bénéficie de cette entre-aide transfrontalière entre elle et les autres autorités de protection des données personnelles. En raison de cette coopération, nous (CDP) pouvons demander aux autorités sÅ“urs de procéder à des missions de contrôle pour notre compte.

Quelles assurances peut-on donner aux citoyens sénégalais quand on sait que le plus grand collecteur de données personnelles des Sénégalais est l’Etat et c’est lui-même qui expose le plus souvent celles-ci ?

La première chose à dire, c’est que le citoyen est le premier contrôleur de ses données. Parce que la loi lui confère des droits par rapport à ses données personnelles, que sont : le droit à l’information préalable, c’est-à -dire d’être informé sur les traitements effectués sur ses propres données ; droit d’accès ; droit de regard pour pouvoir vérifier et savoir les manipulations qui sont faites sur ses données ; droit de rectification de ses données ; droit de suppressions et celui d’opposition, qui lui permet de s’opposer au traitement de certains de ses données qui ne sont pas conforment avec la loi. Le deuxième point, c’est de rappeler le rôle de la CDP qui est de contrôler, d’alerter et de conseiller sur ces risques de fuite de données, dont vous parlez tout à l’heure. Pour cela, la CDP dit souvent que l’administration doit élever son niveau de conformité en pouvant déjà déclarer à la CDP les traitements qui sont mises en Å“uvre par ses structures afin qu’elle puisse savoir si ces manipulations sont conformes à la loi et quelles sont les mesures d’amélioration à apporter à ces traitements. Pour cela, la CDP accompagne l’Etat du Sénégal.

Que répondez-vous à ceux qui disent que la CDP n’est pas indépendante parce que son Directeur général est nommé par le chef de l’Etat ? Comment peut-elle contrôler certains géants du numérique comme Facebook, quand elle se targue d’être son partenaire ?

Je n’apporterais pas de commentaires sur ça, mais je vous invite juste à suivre nos activités. Je défie ceux qui parlent de ça. Il y a des critiques qui sont constructives, mais quand même parfois il faut donner des critiques qui sont objectives. Au Sénégal, il n’y a aucun régulateur qui sort un avis trimestriel, qui fait le bilan de ses activités en termes de transparence et de bonne gouvernance des régulateurs. Chaque trimestre, la CDP sort un rapport sur ses activités. Dans ses rapports sur ses activités, vous pouvez lire toutes les dispositions prises par la CDP pour faire respecter la loi sur la protection des données personnelles. Dans le cadre de ses rapports, vous voyez également les plaintes qui sont adressées à la CDP. Quand vous lisez ces plaintes, vous voyez que pour la plupart des cas, elles concernent les réseaux sociaux, les géants dont vous faites allusion tout à l’heure. J’invite les gens à vraiment mieux lire les documents que produise la CDP pour ne pas uniquement se cantonner à des critiques qui ne sont pas du tout objectives. On le constate malheureusement. Mais la CDP exerce ses missions et joue son rôle que la loi sur la protection des données personnelles lui a conféré.

Propos recueillis par Jean Michel Diatta

(Source : Sud Quotidien, 23 juillet 2021)