samedi, novembre 2, 2024

Protection des données à caractère personnel des citoyens sénégalais : Tous en danger…

0 commentaire

On assiste aujourd’hui de plus en plus à l’exposition des données à caractère personnel de citoyens Sénégalais sur le net et/ou au transfert de celles-ci vers l’étranger pour des causes méconnues.

Même si le Sénégal est un pays avant-gardiste sur les questions liées à la législation et au droit du cyber espace, en mettant très tôt en place la Commission de protection des données à personnelles (CDP), le manque de moyens de ladite commission pour faire face aux mastodontes étrangers du numérique et aux sénégalais qui manipulent les données des citoyens, sans oublier « l’absence d’indépendance » du régulateur, entre autres laissent perplexe les observateurs et experts du numériques. Toute chose que semble comprendre le chef de l’Etat, Macky Sall qui estime que l’inauguration du data center de Diamniadio, d’une capacité de 1000 TO (Tera Octets) en matière de stockage de données numériques, était une « souveraineté digitale » pour le pays.

« Il y a de plus en plus dans l’espace médiatique sénégalais et les réseaux sociaux, des atteintes à la vie privée des personnes. Ce qui est contre notre sens de la famille, de la dignité et du respect de la personne humaine », a estimé le chef de l’Etat, Macky Sall lors de l’audience solennelle de rentrée des cours et tribunaux, le 8 janvier 2019. Ces propos du président de la République sur les dérives notées concernant les données des Sénégalais qui se retrouvent sur la toile renseignent à suffisance sur le niveau d’exposition des populations. Pourtant, le Sénégal s’est doté, depuis 2008, d’une loi n° 2008 – 12 sur la Protection des données à caractère personnel, avec notamment la mise en place de la Commission de protection des données personnelles (CDP).

Malgré l’existence de cette institution, des difficultés et des manquements existent dans l’application de cette loi sur bien des axes, renseigne l’Expert en Cyber sécurité, Cheikh Fall, contacté par Sud Calame. « Le premier, c’est le problème lié à la mise en place des personnes qu’il faut pour la mise en œuvre et le suivi de la législation. Pour ce cas précis de la protection des données à caractère personnel, quand il s’est agi de mettre en place une administration en charge de ces questions-là, notamment au niveau de la CDP, les postes de responsabilité, ont été confié à des acteurs politiques », a souligné le Consultant en développement de projet numérique, qui ne s’est pas arrêté en si bon chemin. Comme autres couacs relevés par M. Fall, le problème de la vulgarisation des textes, même si ceux-ci sont disponibles. La responsabilité de l’Etat dans la nécessité de les rendre accessibles et lisibles pour tout le monde, a été ainsi mise en cause, surtout que ce sont des questions toutes nouvelles.

……L’Etat sénégalais explose le plus ses citoyens

Comme troisième manquement noté par l’expert en cyber criminalité, non moins président de Afric Tivistes, Ligue Africaine des Blogueurs et Web activistes pour la Démocratie, accuse l’Etat sénégalais de violer, le plus souvent, cette loi sur la protection des données à caractère personnel. « La majeure partie des dérives que nous avons connu sur le plan de la souveraineté numérique, de la protection des données à caractère personnel et de la protection de la vie privée, c’est souvent les autorités elles-mêmes qui commettent les erreurs en exposant des données qui pourraient mettre en danger des citoyens », a indiqué Cheikh Fall qui a relevé quelques exemples, pour lesquels « il a fallu quelques clics pour nous rendre compte que le répertoire qui contenait ces informations n’était pas protégé ». L’expert en cyber criminalité cite le cas de la présidentielle de 2019, lors de laquelle la base de données qui devait permettre à chaque citoyen d’identifier son bureau de vote, avait été mise publiquement sur internet, via le site de la Direction générale des élections (DGE). Il a aussi révélé que, récemment, des liens ont été identifié au niveau d’internet sur le site de la douane sénégalaise où des informations de personnes ayant participé à un concours étaient mis en ligne. Campusen, la plateforme numérique qui permet d’orienter les nouveaux bacheliers, a été aussi cité, avec notamment l’identification de plusieurs milliers de lignes d’informations qui ont fuitées pour être accessibles sur internet. Des exemples, parmi tant d’autres, qui nécessitent l’attention des autorités sensées protégées les données des citoyens sénégalais. « Nous n’avons que l’alerte et les médias pour tirer sur la sonnette d’alarme. L’Etat veut se moderniser, veut se coller à l’ère du temps comme on le dit. Mais en voulant faire ce travail et en excluant les acteurs et les compétences locales, l’Etat est en train de se tirer des balles sur le pied », a prévenu le Président d’Afric Tivistes.

…..La souveraineté numérique du Sénégal en question

Au moment où on assiste de plus en plus au transfert des données personnelles des Sénégalais vers l’étranger pour des causes méconnues, la question de la manipulation de ces informations parfois sensibles par des entreprises étrangères interpelle plus d’un. Cela, d’autant plus que ces données peuvent alimenter, à l’insu des citoyens, des bases d’informations d’entreprises commerciales dont la finalité de la collecte et du traitement est incertaine. Le projet de l’État du Sénégal pour la dématérialisation de l’administration des transports routiers (permis, carte grise, licence), Capp Karangë, pour lequel les autorités ont contracté avec l’entreprise Gemalto Sénégal, une société de droit sénégalaise, peut être cité en exemple. Il en est ainsi du projet de modernisation de l’Etat civil et de la mise en place de base de données biométriques confié à une société européenne qui s’appelle CIVIPOL, à hauteur de 28 millions d’Euro, avec un financement de l’Union européenne (UE).

La mise à l’écart des compétences locales sur des projets aussi importants, dans un contexte marqué par la nécessité de sécuriser ses données, son administration, son plateau technique et sa structure numérique, interpelle doublement le président d’Afric Tiviste. « On devait se poser des questions sur la motivation réelle qui pousse nos autorités à contracter avec des entreprises étrangères dans des projets si importants et si déterminent par rapport à la sécurité de notre pays. La deuxième interpellation, c’est de nous demander les garanties que notre Etat a de la responsabilité plus ou moins des sociétés contractantes », s’est demandé Cheikh Fall pour qui l’Etat du Sénégal pouvait choisir une société locale sur laquelle il aurait exercé un total contrôle par rapport à l’exploitation de ces données-là.

…..Vos données personnelles son partout

Les données personnelles sont utiles mais elles constituent une matière dangereuse. Tous vos prestataires, services, commerçants, employeurs collectent vos données personnelles dès qu’ils vous connaissent. Ainsi donc, vos données personnelles sont présentes partout aujourd’hui. En effet, est une donnée à caractère personnel toute information permettant d’identifier directement ou indirectement un citoyen. Par conséquent, le nom et prénom, adresse, carte de paiement, numéro de téléphone, données biométrique (empreintes digitales, ADN, etc), photo, numéro de sécurité sociale, lieu et date de naissance, constituent tous des données personnelles qui sont collectés facilement.

Ainsi donc, outre le fait qu’elles servent à nous identifier en ligne auprès de différents organismes ou d’entreprises commerciales, ce qui pose problème c’est l’utilisation de ces informations à des fins commerciales (pour mieux cibler la publicité par exemple), leur partage ou commercialisation, et bien sûr le fait qu’elles puissent être piratées et utilisées par des tiers (usurpation d’identité, arnaques, etc.) C’est la raison pour laquelle elles doivent être mises sous contrôle. Au Sénégal, c’est à la Commission de protection des données personnelles (CDP) de veiller au respect de la loi concernant les données à caractère personnel.

……L’indépendance de la CDP mise à l’épreuve

Concernant le cas précis du projet de modernisation de l’état civil contracté avec CIVI POL, M. Fall renseigne que l’UE a financé l’opération parce qu’elle veut contrôler les flux migratoires et que cette base de données pourrait être croisée avec le fichier d’Etat civil et les bases d’état civil du Sénégal. Cela, tout en précisant que c’est à la CDP « de valider et de suivre le processus de traitement de toute information liée à l’exploitation de données à caractère personnel ». Quid des moyens dont dispose la CDP pour faire face aux géants du numérique et ainsi faire respecter la loi dont s’est doté le Sénégal, depuis 2008, à tous ceux qui collectent les données des Sénégalais ? Sur ce point, l’expert en cyber criminalité, qui semble dire que la CDP ne dispose pas des ressources techniques, humaines, financières nécessaires pour faire face à ces « mastodontes sur le plan économique », estime que les citoyens sont dans « le flou total » et qu’aucune information ne leur a été livrée par les autorités.

Le constat est quasiment le même pour le président du l’Association des utilisateurs des TIC (ASUTIC), Ndiaga Gueye qui relève aussi un problème d’indépendance de la CDP vis-à-vis du pouvoir politique et des géants du numérique. « Il faut se questionner sur l’indépendance de la CDP, parce que, tout simplement la présidente est nommée sur la base de considérations politiques », a-t-il confié à Sud Calame, non sans poursuivre que « la CDP se targue d’être un partenaire d’un géant du net qui s’intéresse uniquement aux données personnelles des Sénégalais, à savoir Facebook ». Il en déduit que « ce n’est pas cette CDP qui va contrôler les activités de ce géant du net au Sénégal ». Qui plus est, l’Expert en TIC et Ingénieur en informatique évoque aussi le problème lié au manque de ressources financières. Il reste persuader qu’avec ce budget de 200 millions, la CDP n’est à mesure de recruter beaucoup d’experts, avec des profils pointus, pour amener les géants du numérique à respecter la loi.

……La réforme de la loi sur les données personnelles plus que nécessaire

Pour répondre à cette nécessité de renforcer de la protection des données personnelles au Sénégal, Ndiaga Gueye trouve 3 axes sur lesquels l’Etat devrait mettre l’accent. « Il faut d’abord, la mise à jour de la loi actuelle qui n’a pas pris en compte beaucoup de problématiques actuelles comme l’intelligence artificielle, les objets connectés, les données biométriques. Il faudrait aussi le renforcement des compétences et des ressources financières de la CDP, mais aussi rendre aussi cette commission beaucoup plus indépendante afin qu’elle puisse assurer l’application de la loi. Troisièmement, sensibiliser les Sénégalais sur les enjeux liés à la protection des données personnelles afin qu’ils aient un contrôle sur leurs données personnelles », a listé l’Expert en TIC. De son côté, dans le but de rétablir le lien de confiance que les citoyens devraient avoir avec l’Etat et les manipulateurs des données des Sénégalais, le Consultant en développement de projet numérique, Cheikh Fall détecte 4 pistes de solutions. Il faudrait, à son avis, « s’assurer que les systèmes que nous devons mettre en place tiennent compte des principes de l’égalité et de la nécessité des systèmes eux-mêmes ; prouver l’efficacité et la légalité de collecter des données ; des mesures de sauvegarde pour protéger les droits des citoyens que nous sommes ; travailler sur les impacts liés aux droits humains par rapport à toutes ces stratégies de dématérialisation et de modernisation », a conclu Cheikh Fall, président d’Afric Tivistes

Macky Sall lors de l’inauguration du Data Center d el’ADIE : « C’est une grande révolution pour la souveraineté digitale de notre pays »

Le Data center de Diamniadio, inauguré par le chef de l’Etat, le mardi 22 juin dernier, semble être une réponse à l’absence de souveraineté numérique du Sénégal. Ou du moins, le président Sall le pense vraiment. En effet, lors de l’inauguration dudit centrer d’une capacité de 1000 TO (Tera Octets) en matière de stockage de données numériques, il a estimé qu’il est « une grande révolution pour la souveraineté digitale de notre pays ». Par conséquent, le chef de l’Etat n’a pas manqué d’inviter les entreprises locales à héberger leurs données dans ce centre. « Avec ce Data Center qui marque notre souveraineté digitale, je ne voudrais plus voir les sociétés nationales et autres structures publiques développer leur propre centre de données qui n’atteindra pas ce standard et sera une grosse dispersion de moyens et d’énergie », at-il indiqué, devant une multitude de ministres et directeurs de société présents à la cérémonie d’inauguration. Pour ce faire, il a demandé à l’Agence de l’Informatique de l’Etat (ADIE) à « bâtir des synergies pour faciliter aux usagers du service public et du secteur privé les démarches et la confection de documents administratifs, le stockage et la sécurisation des données ». Construit sur une superficie d’un hectare, le premier Data Center de dernière génération peut couvrir toute l’administration avec des niveaux de sécurité, de sûreté, de connectivité et d’hébergement très avancés, a dit le Chef de l’Etat.

Jean Michel Diatta Sud quotidien