Protection des données à caractère personnel, quels enjeux pour les entreprises établies au Sénégal ?
jeudi 30 janvier 2020
Résumé : Cet article présente le dispositif en vigueur applicable aux entreprises établies au Sénégal en matière de collecte et d’utilisation de données à caractère personnel. Un bilan de l’application de la loi Sénégalaise sur la protection des données personnelles y est effectué tout en le confrontant avec les standards internationaux en matière d’encadrement juridique. L’étude se conclut par une esquisse de pistes de réforme
s’imposant au vu des exigences du marché numérique mondial.
Mots clés : Protection des données personnelles, informatique, LCPD, RGPD, libertés numériques, entreprises africaines, marché numérique
Keywords : Data protection, digital right, regulation, GDPR, African company, digital market
Introduction
L’exploitation, la valorisation et la circulation des données occupent une place
centrale dans les stratégies d’entreprise dès lors elles doivent se concilier avec les impératifs de sécurité et de protection des libertés, en l’occurrence la protection des données personnelles.
La présente contribution a pour objet, tout d’abord, de présenter le cadre législatif et institutionnel applicable aux traitements des données à caractère personnel mis en œuvre par les entreprises situées au Sénégal. Elle s’attachera ensuite à examiner l’application de la loi du 25 janvier 2008 sur la Protection des données à caractère personnel - ci-après “LCPD” sur certains aspects. Étant observé que ladite loi, certes devancière, s’inscrit désormais dans un socle de principes communs à certains états africains. Nous analyserons, par ailleurs, le cadre législatif et institutionnel [1], les obligations afférentes aux entreprises et l’impact du RGPD1 dans le marché du numérique.
Enfin, seront envisagées, les pistes souhaitées pour faire évoluer les modalités de la protection des données personnelles (II) à l’heure de la mondialisation.
I LE CADRE LEGISLATIF ET INSTITUTIONNEL DE LA PROTECTION DES DONNEES AU SENEGAL
A- Les notions clefs et les missions de l’autorité de régulation
Applicable depuis 2008 au même titre que les autres lois encadrant la société de l’information, la LDCP fixe le cadre permettant de lutter contre les atteintes à la vie privée susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données à caractère personnel. À cet égard, la notion de données à caractère personnel ainsi que celle de traitement doivent être saisies de manière large afin de savoir si la loi a lieu de s’appliquer ou non au vu de différentes situations. En ce qui concerne son champ d’application, la LCPD s’applique par principe à toute entreprise réalisant des traitements de données personnelles au Sénégal.
Par ailleurs, il est à noter que le dispositif légal de la protection des données
personnelles au bénéfice des citoyens sénégalais a été renforcé par l’adoption de textes supranationaux, à savoir les instruments de la CEDEAO [2], de l’UA [3] ainsi que les diverses conventions internationales auxquelles le Sénégal est partie.
Pour faire appliquer la loi, a été instituée une Commission de Protection des Données à Caractère Personnel [4] dite la « CDP ». Il s’agit d’une Autorité Administrative indépendante (AAI) chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la LCPD.
Outre sa mission d’information générale sur les questions portant sur les données personnelles, elle reçoit les formalités préalables de la part des déclarants ainsi que des plaintes, opère des contrôles sur place et sur pièces et prononce éventuellement des mises en demeure, avertissements et sanctions financières pouvant aller jusqu’à 100 millions de franc CFA.
Afin de cerner les enjeux que recouvre cette réglementation sur la pratique des entreprises établies au Sénégal, il convient, au préalable, de revenir plus précisément sur les notions de “donnée à caractère personnel” et de “ traitements de données à caractère personnel”.
Une donnée à caractère personnel correspond à tout élément permettant
d’identifier directement et indirectement une personne physique (Art. 4 LCDP). Il s’agit, généralement, de toutes les données personnelles portant sur une personne identifiée ou identifiable. Il peut s’agir d’éléments portant sur l’identité civile d’une personne tels que son nom, son adresse son sexe, son image, sa voix, ou encore son numéro de plaque d’immatriculation ou encore d’autres marqueurs sociaux et culturels. Par ailleurs, les données relatives à la santé physique ou mentale, l’ADN, les empreintes digitales, les données d’infraction et de condamnation constituent, au regard de la loi, des données particulièrement sensibles et obéissent à un régime
d’autorisation préalable avant la mise en œuvre de leurs traitements.
À ce titre, la CDP a eu l’occasion d’autoriser la collecte d’empreintes digitales pour le contrôle de l’identité des bénéficiaires de crédits dans le cadre du bureau d’information sur le crédit (BIC) (CDP Sénégal, avis trimestriel 02-2016 page 4).
Les BICs ont été institués par la réglementation uniforme au sein des 8 pays de l’UMOA. Ainsi, chaque pays membre l’a introduit dans son droit interne avec un dispositif légal. La collecte et le partage d’informations personnelles des consommateurs sont très encadrés. De sorte que, cela facilite la mise à disposition de telles informations aux prêteurs pour l’octroi de crédit. Si la loi sénégalaise du 6 janvier 2016 portant réglementation de ces BICs a servi de base juridique et s’est articulée avec celle de la protection des données personnelles notamment sur la question du recueil du consentement, il convient toutefois de s’interroger sur la proportionnalité de la collecte de données génétiques (en l’espèce les empreintesdigitales) au regard de la finalité d’emprunt bancaire.
Concrètement, les entreprises détenant dans leurs bases de données plusieurs
informations précises permettant, par recoupement, de remonter à une personne physique réalisent, de ce fait, des traitements de données à caractère personnel.
Un traitement de données à caractère personnel renvoie ainsi à toute opération visant à collecter, à stocker et à traiter des données à caractère personnel, et ce, quel que soit le procédé utilisé. Il est important de relever que le traitement n’a pas besoin d’être informatisé pour que la loi s’applique. Par conséquent, les fichiers papier sont soumis à la loi et à ce titre, doivent être protégés de la même manière que les autres fichiers électroniques et autres supports.
Ainsi, la collecte directe de données personnelles auprès d’utilisateurs, la tenue de fichiers, l’enregistrement, la simple manipulation de données personnelles, la consultation, la diffusion, le transfert de ces données, la conservation...constituent des traitements de données personnelles. Les entreprises effectuant des traitements de données personnelles doivent toutes respecter scrupuleusement les termes de la loi du 25 janvier 2008. Néanmoins, cette loi exclut de son champ d’application les traitements mis en œuvre par une personne physique dans le cadre exclusif de ses activités quotidiennes ou domestiques dès lors qu’il n’y a pas de communication
ultérieure à un tiers. Les copies techniques temporaires ou transitoires en sont aussi exclues.
À titre d’exemple de traitements souvent opérés par les entreprises, on peut relever notamment : la paie, la gestion des clients et prospects, la vidéosurveillance, la liste de partenaires et fournisseurs, le contrôle d’accès aux locaux, la gestion des candidatures et embauches, la gestion des appels téléphoniques, le registre de la main courante.
Afin de s’assurer de la conformité de ces traitements, la Commission de Protection des données dispose de nombreuses prérogatives au travers de l’activité de traitement des plaintes et réclamations des individus.
Quelques exemples d’entreprises en situation de non-conformité
À l’appui de plaintes déposées par des personnes physiques, la CDP peut procéder à des missions de contrôle pour constater et faire cesser les manquements à la loi.
Si l’on s’intéresse de plus près à l’activité de plaintes dont est saisie la CDP,
nombreuses sont celles qui ont trait à la mise en place de systèmes de
vidéosurveillance visant nécessairement à enregistrer voire conserver l’image de personnes physiques sans autorisation et parfois à leur insu. Ainsi, la récente affaire du Complexe TERROU BI relayée par la presse, a motivé les agents de la CDP à effectuer une mission de contrôle sur le site de l’hôtel. Divers manquements à la loi du 25 janvier 2008 ont été constatés dont la mise en place d’un système de vidéosurveillance et d’enregistrement audio sans autorisation préalable et sans que les salariés n’en aient été informés. Quant à l’opérateur SENTEL GSM (ex Tigo), il a été épinglé pour avoir mis en œuvre un traitement de données de santé de ses salariés sans avoir effectué la formalité de demande d’autorisation auprès de la CDP.
Pour rappel, le législateur accorde une protection accrue aux données de santé.
En outre, le régulateur sénégalais est également souvent alerté concernant des cas de cybersurveillance des salariés. La CDP a eu l’occasion de sanctionner la collecte par un employeur de messages purement privés de sa salariée. C’était l’occasion pour elle de réaffirmer l’obligation légale incombant à toute entreprise de procéder à une collecte licite de données à caractère personnel (CDP Afrique Pétrole Délibération 2015-00165, 6 novembre 2015).
Force est de constater que la nécessité d’être en conformité doit être internalisée au sein même des entreprises établies au Sénégal. Il est donc impératif pour ces entreprises de faire preuve d’une particulière et constante vigilance tout en se dotant d’outils appropriés pour éviter d’être épinglées par la CDP et s’exposer ainsi à des sanctions. Il est donc nécessaire que ces entreprises aient d’ores et déjà conscience de l’ensemble des obligations qu’elles doivent respecter.
B- Les obligations des entreprises traitant de données personnelles au
Sénégal
Pour qu’un traitement soit valide, il faut qu’il repose sur une base légale. Celle-ci est le fondement juridique du traitement et conditionne sa licéité. Le consentement est un des cinq fondements auquel le responsable de traitement pourra se référer pour justifier son traitement. Il peut se dispenser du consentement de la personne concernée par le recours soit à l’intérêt légitime, soit au respect d’une obligation légale, soit à l’exécution d’une mission d’intérêt public ou encore à la sauvegarde des intérêts vitaux des personnes concernées. En outre, la loi sénégalaise du 25 janvier 2008 prévoit un certain nombre d’obligations à la charge du responsable de traitement. Ces obligations se traduisent par la possibilité pour les personnes concernées d’exercer leurs droits (information, accès, rectification et effacement).
Cela suppose que les entreprises mettent en œuvre des modalités pratiques pour exercer ces droits en amont.
Parmi les obligations à la charge des entreprises au regard de la loi, figure le respect des droits des personnes concernées, c’est- à -dire que l’entreprise doit délivrer l’information aux personnes concernées quant au traitement mis en place, voire le recueil du consentement, l’existence d’un droit d’accès, de rectification, de suppression, et d’opposition. A ce propos, la CDP a eu à sanctionner publiquement la société EXPRESSO à raison de manquements à l’obligation de recueil du consentement des destinataires d’envois de SMS commerciaux à ses abonnées sans possibilité de s’opposer audit traitement. (Délib n° 2014-015/CDP 3 avril 2014).
Ensuite, les obligations de sécurité, de confidentialité, de conservation doivent être prévues par le responsable de traitement durant toute la chaîne de traitement de la donnée par des mesures organisationnelles. Un moyen efficace pour se prémunir contre les risques d’endommagement ou de détournement de données.
Également, afin d’éviter toute divulgation, il est impératif que le responsable de traitement ainsi que ceux qui ont pour mission de manipuler les données
s’astreignent à un devoir discrétion. Une telle obligation a vocation à se superposer avec l’obligation de confidentialité professionnelle à laquelle sont tenus les salariés.
Enfin, il est primordial que les données soient conservées uniquement le temps nécessaire au traitement.
Au vu des obligations précitées, des audits au sein même des entreprises doivent être menés régulièrement afin de s’assurer de la bonne conformité des traitements mis en œuvre par les entreprises. C’est, d’ailleurs, un moyen efficace d’éviter des sanctions ou des situations de non-conformité tel que le détournement de finalité d’un traitement. Pour rappel, un traitement de données doit poursuivre un objectif clair et précis de la part du responsable de traitement, un détournement de finalité non déclaré peut être constitutif d’une infraction pénale. Ainsi, par exemple, un fournisseur d’accès à internet ou une société de téléphonie mobile ne peuvent utiliser le fichier de leurs clients pour faire de la communication politique.
Trop souvent, les déclarants se contentent d’effectuer la formalité préalable en
question (déclaration ; autorisation ou demande d’avis...) sans comprendre réellement quelles sont les obligations qui en découlent. En d’autres termes, les responsables de traitements sont parfois tentés de privilégier l’obligation
procédurale par rapport à l’appropriation des règles substantielles.
Il s’avère dès lors nécessaire de favoriser la bonne compréhension de la régulation de la protection des données pour les responsables de traitement. Il serait opportun d’en faciliter la lecture, de disposer de textes clairs couvrant, dans la mesure du possible, un ensemble de traitements ou un secteur d’activité. Par conséquent, la CDP doit continuer à développer son activité de normalisation en édictant des normes simplifiées pour les catégories de traitements les plus courants qui contribuent aussi bien à l’harmonisation des bonnes pratiques dans un secteur qu’à la simplification des formalités préalables.
II) LES ENJEUX DE LA MISE EN CONFORMITE POUR LES ENTREPRISES ETABLIES AU SENEGAL
A-L’impact du Règlement européen relatif à la protection des
données sur le marché du numérique
Bien qu’il s’agisse d’une réglementation européenne, les entreprises établies hors d’Europe doivent s’y conformer pour pouvoir offrir leurs services dans l’Union. Le RGPD est donc susceptible de s’appliquer à tout organisme traitant des données personnelles de résidents européens dans le cadre de son activité ou pour le compte d’un tiers indépendamment du pays d’implantation, de sa taille et de son activité. À l’inverse, une entreprise établie en France qui exporte des produits vers le Sénégal et à destination de citoyens sénégalais doit se conformer au RGPD.
Même si l’on peut être critique sur son ambition extraterritoriale, il faut reconnaître comme l’affirment certains auteurs que le RGPD, est un véritable outil de softlaw pour l’Europe du numérique pour les éditeurs non européens [5]. Il incite à mettre en place une politique globale de protection des données en entreprise en supprimant les formalités préalables moyennant un renforcement des obligations du responsable de traitement. À cela, s’ajoute l’obligation de notifier sous 72 heures la violation de données au régulateur. De plus, le RGPD corrige le déséquilibre entre le responsable de traitement et le sous-traitant en conférant une responsabilité autonome à ce dernier même établi hors UE. Il intègre également le Privacy by Design dès la conception des produits ou traitements et impose la tenue de registres aussi bien pour le responsable que le sous-traitant. Le règlement renforce les droits classiques des citoyens tout en créant de nouveaux droits, notamment la portabilité [6] et l’oubli.
Il est à noter que la notion d’Accountability [7] , fil conducteur du RGPD, est complétée par une évaluation anticipée des risques avec la mise en place obligatoire de l’analyse d’impact pour certains traitements à risque.
Les sanctions pécuniaires ont été revues à la hausse pouvant atteindre 4% du chiffre d’affaire mondial de l’entreprise ou 20 millions d’euros. Il est donc fondamental que toutes les entreprises voulant prester à destination des résidents européens, se conforment aux obligations précitées.
Sur le plan économique, les transferts de données de résidents européens vers les pays tiers, à l’instar des pays africains, doivent nécessairement être encadrés par des instruments spécifiques tels les codes de bonne conduite, de clauses contractuelles type ou des certifications tendant à assurer une bonne politique de gestion des données personnelles.
Il est donc primordial que ces entreprises se mettent à niveau pour être attrayantes. Le RGPD est une réponse visant à restaurer la confiance des individus face à la prolifération des technologies numériques collectant massivement les données personnelles. Il a contribué à bouleverser la pratique des entreprises en matière de collecte et d’utilisation des données personnelles.
B- Les pistes formulées pour une évolution de la protection des données
personnelles
Le RGPD est un texte de modernisation du droit de la protection des données
personnelles, qui avait besoin d’un urgent toilettage pour tenir compte du
développement d’internet, des réseaux sociaux et des technologies avancées.
Aujourd’hui avec la généralisation des algorithmes reposant sur l’analyse
automatisée des données personnelles, de nouveaux moyens de collecte des données sont apparus et les lois actuelles paraissent insuffisantes pour les encadrer. Tout de même, des concepts axés sur la méthodologie comme le Privacy by design, by default ainsi que l’analyse de risque permettent, a minima, d’anticiper les nouveaux usages du numérique en termes de sécurité et de confidentialité.
Pour le Sénégal et l’Afrique, Il est donc impératif que le cadre législatif actuel se modernise afin de répondre au mieux au besoin d’encadrement qu’imposent ces traitements de données à caractère personnel issus de ces innovations nouvelles. Or, force est de constater que cette loi qui n’a pas été retouchée par le législateur depuis 2008 mériterait d’être modifiée au gré des avancées technologiques. De la même manière la réglementation supranationale, à savoir l’acte additionnel de la CEDEAO et la Convention de Malabo, auraient besoin d’être actualisés.
Aujourd’hui, la rédaction des textes de lois dans nos pays requiert de l’anticipation mais aussi de l’innovation. Le régime de formalités préalables ainsi que la légalité de la finalité des traitements ne permettent plus à la LCPD de protéger la vie privée des sénégalais face aux nouveaux usages du numérique. Dans les autres pays francophones, bon nombre de lois ont été inspirées de celle de la France datant de 1978, laquelle a été modifiée voire amendée jusqu’après même l’entrée en application du RGPD.
Outre atlantique, la Californie dans sa loi CCPA, applicable dès le 1er janvier 2020, s’est inspirée du RGPD. D’une part, elle prévoit le consentement requis lors de la vente des données de clients et, d’autre part, le renforcement des droits des consommateurs (portabilité, droit d’accès, droit d’effacement, droit opt out en cas de vente de données) dans un contexte ou le Privacy shield [8] est constamment remis en cause par la Commission européenne. Dans le même sillage que le RGPD, au Brésil, la Lei Geral de Proteçao Dados pessoais [9] applicable à partir du 15 août 2020, de portée extraterritoriale, impose l’analyse d’impact pour certains traitements, la tenue de registre ainsi que la notification des violations de données à l’autorité de contrôle et aux personnes concernées. Autant de points qui en font une sorte de mini-RGPD.
Redonner le contrôle de leurs données aux individus en imposant une transparence générale sur les traitements et les violations de données est un défi majeur que beaucoup d’entreprises doivent relever. Les géants du web, à l’instar de Google, premier des GAFAM [10] sanctionné sous l’ère du RGPD en France [11], doivent changer leur méthode de collecte, d’utilisation et de partage des données de tous les citoyens, quelle que soit leur localisation.
En définitive, il est pressant que l’Afrique se dote d’un Corpus de Règles
Numériques plus contraignantes pour protéger ses citoyens et offrir un cadre
vertueux pour l’exploitation de leurs données personnelles.
Pour se faire, d’ores et déjà, il faut que la CDP avec ses homologues africains
accentuent leur coopération ; en édictant par exemple des normes communes à l’échelle africaine tout en veillant à y inclure dès la phase d’élaboration, les
entreprises, les acteurs du marché numérique ainsi que les utilisateurs et praticiens de la matière. Dans une logique de co-régulation, les autorités de protection, doivent s’appuyer sur les relais informatique et libertés [12], les correspondants informatique et libertés, les délégués à la protection des données afin de diffuser la culture informatique et libertés au sein des entreprises.
L’enjeu pour les entreprises africaines est d’internaliser les règles de bonne gestion des données personnelles, afin d’être davantage performantes et compétitives sur le plan international. À cet effet, il est opportun d’implémenter la compliance [13] en tant que système de management au sein des entreprises devant s’intercaler entre l’obligation procédurale et le risque de sanction.
Rokhaya Sarr & Pape Fodé Dramé.
(Source : Revue africaine de sciences politiques, n° 26, mars 2020, p. 167-176)
[1] La Réglementation européenne sur la protection des données personnelles applicable depuis de le 25 mai 2018
[2] La CEDEAO a adopté le 16 février 2010 un Acte additionnel relatif à la protection des données à caractère personnel, qui est d’application directe dans les Etats membres de la communauté.
[3] La Convention de Malabo du 27 juin 2014 sur la cyber sécurité et la protection des données à caractère
personnel.
[4] Site officiel de la commission de protection des données personnelles, accessible sur www.cdp.sn
[5] 5 A.Banck et D. Rahmouni, Le RGPD nouvel outil de soft Law de l’Europe dans le numérique, Revue Lamyline Droit
immatériel n°151 - 2018, paru Septembre 2018.
[6] C’est la possibilité de récupérer ses données personnelles dans un format lisible par machine, en vue de les exploiter à des fins personnelles ou de les transmettre à un concurrent.
[7] Elle pourrait se traduire comme le fait d’être responsable et de devoir démontrer à tout moment le respect des règles relatives à la protection des données.
[8] C’est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission
européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données
[10] L’acronyme désigne les géants du numérique à savoir Google, Amazone, Facebook, Apple et Microsoft
[11] Délibération n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
[12] Quel que soit le nom, cet acteur est la personne expressément désignée au niveau de l’entreprise en charge de la conformité de la loi sur la protection des données.
[13] Elle désigne la conformité.