Pour une réforme du cadre juridique de la protection des données personnelles au Sénégal
mardi 23 juin 2020
La révolution numérique a impacté tous les secteurs de la vie. Chaque jour, nos agissements, dans ce monde hyperconnecté facilitent et favorisent le traitement des informations associées à notre identité. Les données personnelles permettant d’identifier directement ou indirectement une personne physique sont aujourd’hui très convoitées par plusieurs acteurs. Donc, compte tenu de l’importance de ces informations, la notion de protection des données personnelles devient alors une obligation. Ainsi, c’est dans ce contexte que s’inscrit l’article 12 de la Déclaration universelle des droits de l’homme de 1948 qui dispose que « nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »
Etat des lieux du cadre juridique de la protection des données personnelles au Sénégal
Actuellement, dans un souci de mieux protéger la vie privée des citoyens surtout dans un contexte marqué par le traitement en masse de données personnelles, tous les états au monde ont élaboré des mécanismes juridiques relatifs à la protection des données personnelle. Au niveau du continent africain, des pays comme le Sénégal ont bien saisi l’importance de la mise en place d’un tel dispositif de protection. D’ailleurs, c’est dans ce contexte que le législateur national a initié depuis 2008 un cadre juridique visant à assurer la protection des données des personnes. Il s’agit d’une part de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel. Cette disposition juridique a pour objectif de lutter contre les atteintes à la vie privée des personnes. En effet, ces atteintes peuvent être réalisées lors de la collecte, le traitement, la transmission, le stockage et l’utilisation des données personnelles (cf. art premier de la loi).
Cette loi symbolisant une partie du cadre normatif permet d’encadrer les activités liées au traitement de données personnelles. C’est dans cette logique qu’elle impose aux responsables de traitement (structures publiques comme privées qui traitent des données personnelles) des obligations telles que la confidentialité des données (art 70), la sécurité des données collectées (art 71), la conservation des données (art 72) et enfin l’obligation de pérennité des données (art 74). De même, les personnes faisant l’objet de traitement de donnée personnelle ont des droits garantis par cette même loi. Il s’agit d’abord du droit à l’information (art 58), obligeant au responsable de fournir un certain nombre d’édifications a la personne faisant l’objet de traitement.
Tout de même, la personne, objet d’un traitement de donnée personnelle peut manifester un droit d’accès à ses données par écrit ou quel que support que ce soit si cette dernière justifie son identité (art 62). Ainsi, elle peut aussi s’opposer à un quelconque traitement relatif à ses propres données pour des motifs légitimes (art 68). Enfin, le cadre juridique de la protection des données personnelles garantit aux personnes faisant l’objet de traitement la possibilité de demander au responsable de traitement de rectifier ou de supprimer ses données.
Cependant, hormis l’existence d’un cadre normatif, l’environnement de la protection des données personnelles est aussi caractérisé par un cadre institutionnel qui est assuré par un organe de régulation. Créée depuis le 25 janvier 2008, la commission de protection des données personnelles (CDP) est une autorité administrative indépendante qui a pour mission d’assurer à ce que le traitement des données personnelles soit aux dispositions de la loi. Elle devient ainsi l’autorité compétente en matière de protection des données personnelles au Sénégal.
Toutefois, malgré l’encadrement juridique du traitement des données personnelles, nous constatons néanmoins des manquements dans la régulation de ce secteur. Pour cette raison, il est important de mettre en place de nouveaux mécanismes allant dans le sens de l’actualisation du cadre juridique de la protection des données personnelles au Sénégal.
L’actualisation du cadre juridique de la protection des données personnelles : une nécessité pour le législateur national
Actuellement, la révolution numérique à créer de nouveaux prédateurs de données personnelles partout dans le monde. Des géants du web connu sous l’acronyme du GAFAM (Google, Amazon, Facebook, Apple, Microsoft) considèrent nos données comme une niche d’or a exploité. Cette situation irrépressible constitue ainsi une nouvelle source de menace pour l’atteinte à notre vie privée. À ce titre s’ajoute une évolution exponentielle de la technologie, occasionnant ainsi l’avènement de nouvelles innovations dans le cyberespace qui n’ont pas été pris en compte par la loi de 2008. Par exemple l’intelligence artificielle, l’Internet des objets, ou le big data, pour ne citer que ces nouvelles technologies exploiter par les entreprises à l’absence d’une réglementation spécifique.
Face à cette situation, il semble important voire même cruciale pour le législateur national de procéder à un mis à jour du cadre juridique de la protection des données personnelles. Pour ce faire, de nouvelles dispositions devront être prises pour une adaptation de l’arsenal juridique face l’écosystème numérique.
D’une part, la révision du cadre normatif au niveau interne doit nécessairement s’effectuer. Elle permettra au législateur national de constater clairement les insuffisances persistantes dans le corpus juridique national. Tout de même, il pourra introduire de nouvelles dispositions juridiques permettant à l’arsenal juridique de répondre aux réalités du terrain. Ainsi, le renforcement des obligations des responsables de traitements permettra de réduire considérablement les atteintes relatives à la vie privée des personnes.
En plus, la consolidation des droits des personnes faisant l’objet d’un traitement de donnée personnelle constitue à ce jour une obligation pour le législateur car elle permet d’instaurer un climat de confiance entre les acteurs concernés. Au niveau communautaire, l’harmonisation des dispositions juridiques relatives à la protection des données personnelles permettra aussi de réduire la fracture juridique entre les pays de la sous-région. À l’image de l’union européenne avec le RGPD, il serait important de mettre en place une disposition communautaire visant à faciliter la gestion de la question des données personnelles.
D’autre part, l’amélioration du cadre institutionnel de protection des données personnelles doit aussi interpeller le législateur national. Elle peut s’effectuer d’abord par une migration de la commission en Autorité nationale de régulation. Ce changement de statut permettra de renforcer les pouvoirs politiques et financiers de l’organe de régulation. Compte tenu de l’enjeu mondial de la protection des données personnelles, cette initiative participera ainsi à une consolidation de ce cadre institutionnel. L’Autorité de régulation pourra bénéficier aussi d’un pouvoir de sanction, ce qui obligera en toute plénitude aux responsables de traitement de respecter la vie privée des personnes.
En ce moment, au-delà des efforts considérables menés par l’État du Sénégal en matière de protection des données personnelles, des améliorations pourront toujours être avantageuses. Ainsi, nonobstant les ressources parcimonieuses dont dispose la CDP, cette commission continue tant bien que mal d’assurer la mission de régulation en matière de protection des données personnelles en s’appuyant sur les bases de la loi de 2008. Toutefois, même si des axes d’optimisation ont été identifiés sur le cadre juridique, le Sénégal reste quand même une référence en Afrique dans le domaine de la protection des données personnelles. En effet, il fait partie des pays africain signataires de la convention de Malabo de 2014 et est le deuxième pays du continent ayant ratifié la convention 108 depuis 2016.
Assane Sy
Cyber juriste-consultant
(Source : Enquête, 23 juin 2020)