24 mars 2024, la majorité des sénégalais a adhéré à un changement systémique du mode de gouvernance et de la pratique politique. Les nouvelles autorités projettent un nouveau référentiel en matière de politique publique. Les défis du souverainisme démocratique sont immenses et multiformes.
Dans le domaine numérique, les actions projetées par les nouvelles autorités tournent à ce jour autour de :
- La souveraineté numérique avec des dispositifs matériels et juridiques permettant de protéger les données ;
- Du renforcement des infrastructures en prenant en compte le risque cyber;
- L’accessibilité des services numérique pour les sénégalais ;
- La dématérialisation des procédures administratives en favorisant les interconnexions entre les différentes administrations et la résolution des problématiques quotidiennes.
À ce stade, qu’il nous soit permis de formuler quelques idées simples qui pourraient contribuer à la réflexion collective; en notre qualité d’experts en matière de protection des données personnelles.
Une adoption rapide et efficace du projet de loi portant Réforme du dispositif légal de protection des données à caractère personnel
Dans un monde où le numérique est omniprésent, la protection des données personnelles et la mise à disposition des données publiques constituent des enjeux majeurs pour les démocraties modernes.
Au Sénégal, ces défis appellent à une réforme en profondeur de l’Autorité de Protection des Données et par conséquent de la loi sur les données personnelles. La réponse à ces défis marque l’urgence d’accélérer l’adoption du projet de révision de la loi 2008-12 du 25 janvier 2008 pour intégrer toutes ces avancées technologiques et numériques auxquelles nous sommes confrontés quotidiennement.
A l’instar du projet de loi de 2019 portant réforme de la Loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel (dans le circuit administratif), l’autorité chargée d’appliquer celle-ci doit être en mesure de relever certains défis actuels en s’appuyant notamment sur le Privacy by design issu du droit de la “compliance”.
Aussi, il ne s’agit pas seulement de garantir la sécurité et la confidentialité des données personnelles des citoyens, mais également de veiller à ce que l’accès aux données publiques soit un droit exercé dans la transparence et l’efficacité, reflétant ainsi un véritable service public de la donnée.
Par ailleurs, les nouvelles dispositions devant être prises dans le cadre d’une telle réforme doivent prendre en considération d’une part, les normes et standards internationaux faisant du Sénégal un espace Cyber secure et Privacy compliant. En effet, il est primordial en ce 21e siècle de disposer de lois garantissant à minima la sécurité des données pour attirer les investisseurs et faire gagner à nos acteurs du paysage numérique des marchés à l’international.
En résumé, les textes devant être issus de la réforme doivent être adaptés à nos réalités ( le contexte local de traitement des données) et aux moyens de l’autorité de contrôle pour qu’il en assure le respect par les acteurs de l’économie numérique.
Protection des données personnelles : Entre changement de paradigme, sensibilisation et territorialisation
La dématérialisation offre des opportunités substantielles pour transformer et améliorer le secteur public. Celle-ci ne peut se faire sans son corollaire, la réforme du service public traditionnel en passant par l’automatisation des processus, la digitalisation des procédures administratives et la conduite du changement en assurant la formation des usagers et des salariés. Une manière efficace de parvenir à ses démarches serait de renforcer les moyens et la proximité de l’Autorité par rapport aux usagers. Une des manières d’y parvenir serait de mettre en place un système de territorialisation.
La première mission de cette autorité réformée doit être de garantir une protection efficace des données personnelles. Ceci passe par l’élaboration et l’application de normes strictes, sans oublier une sensibilisation accrue des citoyens et des entreprises aux bonnes pratiques en matière de protection des données. Ainsi, la réglementation doit être claire, accessible à tous, et suffisamment souple pour s’adapter aux évolutions technologiques, tout en restant rigide face aux infractions.
Il convient ici de mettre l’accent sur la formation continue des entreprises traitant des données personnelles sans oublier l’administration qui est le premier responsable de traitement des données personnelles dans ce pays.
Un nécessaire renforcement de la législation sur les données de santé
Malgré quelques efforts faits avec la loi de 2008 sur la protection des données, le Sénégal ne dispose pas encore d’un cadre juridique solide spécifique au traitement numérique et à l’hébergement des données de santé.
Compte tenu de l’importance croissante des données de santé électroniques et de la nécessité de garantir leur protection et leur utilisation appropriée, il est essentiel pour le Sénégal de se doter d’un cadre juridique spécifique régissant ces données sensibles.
Une telle législation permettrait de renforcer les droits des citoyens sur leurs données médicales personnelles, en leur donnant un meilleur contrôle et accès à ces informations. Elle établirait également des règles claires pour l’utilisation secondaire de ces données à des fins de recherche, d’innovation, de politiques de santé publique et de réglementation, tout en préservant la confidentialité.
En outre, une législation spécifique permettrait d’édicter des exigences strictes en matière d’hébergement et de sécurité de ces données. Des normes rigoureuses devront encadrer le choix des infrastructures d’hébergement, les mesures de protection contre les accès non autorisés, les sauvegardes, etc. La question de la souveraineté et de la localisation des données de santé sensibles sur le territoire national pourrait aussi se poser. Une approche basée sur des certifications et audits réguliers des hébergeurs par une autorité compétente permettrait de garantir un niveau élevé de sécurité et de traçabilité.
Pour cela, il faut prendre en compte les préconisations des praticiens, des associations de défense des droits numériques sans oublier celles des experts en cybersécurité.
Par ailleurs, la Couverture maladie universelle qui doit passer à la Couverture sanitaire traite énormément de données personnelles dites sensibles, il faudra sensibiliser davantage les acteurs publics notamment et les impliquer dans la dynamique de protéger les données personnelles des Sénégalais et surtout des plus vulnérables.
Une incohérence notoire entre le cadre juridique électoral et celui de la protection des données
En ce qui concerne, l’introduction du parrainage dans le systeme electoral, la Loi n°22/2018 du 04 février 2018 portant révision du Code électoral instituant le parrainage prévoit en son article L 57 que : « Toute candidature à une élection, présentée par un parti politique légalement constitué, par une coalition de partis politiques légalement constitués ou une entité regroupant des personnes indépendantes est astreinte au parrainage par une liste d’électeurs. Les modalités d’organisation de la collecte de signatures sont déterminées par le présent Code».
Cependant, ce système de parrainage est attentatoire aux droits fondamentaux des électeurs à savoir la vie privée, l’identification, les opinions politiques. Rappelons que pour ces dernières, leur collecte et utilisation est strictement encadrée par loi de 2018 précitée. D’ailleurs, la Cour de justice de la CEDEAO dans un un arrêt rendu le 28 avril 2021 considère que « le Code électoral sénégalais, tel que modifié par la loi n°2018-22 du 04 février 2018, viole le droit de libre participation aux élections ». Par conséquent, elle ordonne à l’Etat du Sénégal de « lever tous les obstacles à une libre participation aux élections consécutifs à cette modification par la suppression du système du parrainage électoral ».
Dans un des considérants, la Cour a soulevé une violation des données personnelles des électeurs sénégalais liée au mécanisme proposé. Celui-ci visait à collecter des données permettant d’identifier le choix de vote de chaque électeur, représentant ainsi une violation manifeste du secret du vote et une parfaite contradiction entre la loi sur le parrainage et le dispositif réglementaire en matière de protection des données personnelles.
.
Il est clair que durant la période électorale, de nombreux traitements de données personnelles ont été effectués hors cadre légal. Renforcer les pouvoirs de la Commission des données personnelles (pouvoir d’auto saisine) présent dans le projet de loi, doit permettre de faire cesser tout manquement à la protection dans le processus de collecte de parrainage.
Le droit de pétition institué par la loi de 2008 (article 16.2 b) en cas d’atteinte aux données personnelles ne permettait à la Commission des données personnelles de déclencher une action que lorsque des personnes concernées sont à la base de la réclamation. Au travers de la réforme attendue, la nouvelle Autorité de Protection des données (APDP) pourrait désormais s’auto-saisir. En outre, il faut noter aussi que toute personne physique ou morale aura la possibilité de saisir l’Autorité de même que les associations régulièrement déclarées.
Par ailleurs, il faut aussi réviser les dispositions du Code électoral ayant trait à la protection des données personnelles pour donner plus de marges de manœuvre dans la régulation et la surveillance des opérations de traitements de données à grande échelle.
Un plaidoyer à porter pour le renforcement de la coopération sous-régionale et régionale
La Convention de Malabo adoptée depuis 2014 sur la Cybersécurité et les données personnelles a jeté les bases d’une coopération fluide entre les Etats et d’une harmonisation des textes en matière de protection des données, de cybersécurité et de transaction électroniques. Pour son entrée en vigueur, ladite convention prévoyait la ratification du texte par un quorum de 15 pays. En 2023, la Mauritanie déposait son instrument de ratification, le quinzième, marquant ainsi l’entrée en vigueur de la convention.
Cependant, son entrée en vigueur tardive soulève des interrogations quant à son adéquation face aux nouveaux défis et enjeux technologiques apparus ces dernières années.
En effet, ce texte ne prend pas suffisamment en compte les développements rapides de l’intelligence artificielle, l’explosion des flux transfrontaliers de données, les problématiques liées aux droits humains dans l’ère numérique, la multiplication des objets connectés ou encore l’essor du cloud computing. Ces thématiques majeures nécessitent pourtant des réponses juridiques adaptées en termes de gouvernance des données, de respect de la vie privée, de sécurité et de souveraineté numérique.
Face à l’obsolescence programmée de ce cadre juridique vieillissant, le Sénégal devrait se positionner comme un acteur clé du plaidoyer pour une révision de la Convention de Malabo. Fort de son expérience avec son arsenal juridique sur le droit du numérique, le pays pourrait promouvoir une refonte ambitieuse prenant en compte les standards internationaux les plus récents à l’instar de la convention 108.
Cet instrument international doit être utilisé opportunément et permettre au Sénégal de prendre le leadership dans le domaine de la régulation des données personnelles, de l’hébergement des services numériques, en promouvant parallèlement l’innovation. Il faut alors permettre une collaboration avec les différentes autorités de protection des données de ces 15 pays. Doit être instauré entre un mécanisme de coopération entre les différentes autorités de protection des pays ratifiant ladite Convention. Ce qui pourrait permettre aux entreprises africaines d’évoluer dans l’espace africain sans pouvoir autant s’alourdir de formalités administratives et de créer une zone de confiance mutuelle.
A l’échelle nationale, des programmes de sensibilisation pour la culture numérique doivent voir le jour. Il est nécessaire d’avoir également des référentiels métiers tournant autour de la donnée.
Pour une bonne prise en compte du droit de la protection des données, il faut instaurer une territorialisation de la régulation. C’est-à-dire créer des relais ou des antennes régionaux avec la présence des agents affectés par l’Autorité pour décentraliser l’effectivité de la protection des données et de l’accompagnement dans la mise en conformité.
Le droit à l’information, pierre angulaire de la participation citoyenne, de la bonne gouvernance et de l’innovation.
L’émergence des technologies avancées dont l’intelligence artificielle a accrue l’urgence de la réforme en profondeur du droit à la protection des données. Conscient de ces enjeux, le Sénégal a élaboré une Stratégie Nationale sur l’ Intelligence Artificielle et une Stratégie Nationale des données avec pour ambition de faire du Sénégal un moteur de partenariat technologique régional ou sous-régional et de croissance socio-économique, d’inclusivité, d’innovation et d’ouverture vers l’international. Il faudrait que l’autorité de protection des données, en tant que régulateur des données personnelles, joue pleinement son rôle afin que l’innovation prenne en compte le respect des droits fondamentaux tel que le droit à la vie privée.
Une nouvelle mission pourrait être attribuée à cette nouvelle APDP, consistant à promouvoir et concrétiser un droit universel à l’information : un accès facilité aux données publiques détenues par les administrations et ses démembrements. En parallèle, il est impératif de promouvoir un accès ouvert et transparent aux données publiques pour tout citoyen.
L’objectif est de consolider le droit à l’information, pierre angulaire de la participation citoyenne, de la bonne gouvernance et de l’innovation. Cela implique de définir des cadres clairs pour la publication, la mise à disposition et la réutilisation des données détenues par les services publics, mais aussi de mettre en place des plateformes numériques performantes permettant aux citoyens de consulter ces informations de manière intuitive et sécurisée. L ’APDP devrait être saisie en amont de toute stratégie de mise à disposition des données publiques dans la mesure où des données personnelles sont concernées.
Pour que cette réforme soit couronnée de succès, elle doit s’accompagner d’une volonté politique forte et d’une collaboration étroite entre les différentes parties prenantes : institutions publiques, secteur privé, société civile, et citoyens. Il est crucial de penser ce service public de la donnée comme un projet de société, un pilier pour l’innovation, le développement économique et la consolidation démocratique.
En définitive, il est temps pour le Sénégal de se doter d’une autorité de régulation des données dotée des moyens de son ambition et des ses missions, capable de prendre en charge les défis du numérique avec agilité et de garantir un équilibre entre protection de la vie privée et droit à l’information. Une telle réforme placerait le pays à l’avant-garde de la gouvernance numérique en Afrique et illustrerait son engagement envers le développement d’une société de l’information inclusive, responsable pouvant proposer des pistes d’un futur de progrès dans le continent.
L’ indépendance de l’autorité de protection et de contrôle, une condition sine qua non à son efficacité
Dans la déclaration de Mexico de (Résolution relative à la nécessaire indépendance des autorités de protection des données personnelles) de l’Association francophone des autorités de protection des données personnelles (AFAPDP) dont fait partie le Sénégal, les Etats membres ont concédé que “seule une autorité strictement indépendante dispose de l’objectivité et de l’impartialité nécessaires à la défense des droits fondamentaux et libertés individuelles, notamment au droit au respect de la vie privée, à l’égard des traitements de données personnelles” et que “l’indépendance d’une Autorité existe lorsque plusieurs critères cumulatifs sont démontrés : indépendance des membres, autonomie budgétaire, moyens financiers suffisants et autonomie dans la gestion du personnel”.
Par ailleurs, il ressort de l’exposé des motifs de la loi de 2008 sur les données à caractère personnel : “ Le chapitre II institue une autorité administrative indépendante dénommée « Commission des Données Personnelles » (CDP). Elle est le garant du respect de la vie privée dans le traitement des données personnelles’’.
Cependant, cette indépendance n’est en soi que théorique.
D’abord, la CDP est rattachée par le décret portant répartition des services de l’Etat au Secrétariat général de la Présidence de la République.
De plus, une majorité de ses 11 membres sont nommés directement par le Président de la République, l’Assemblée nationale. De plus, un Commissaire du gouvernement désigné par le Premier ministre assiste aux séances dans le but d’informer la Commission des orientations du gouvernement quoique sans droit de vote.
Cette forte présence de représentants des autorités étatiques et exécutives au sein même de l’organe de contrôle constitue un risque d’ingérence politique et d’atteinte à l’indépendance requise. Cela contraste avec les garanties d’indépendance requises pour les autorités de protection des données, qui doivent être totalement affranchies de toute influence extérieure.
Bien que la loi sénégalaise inclut d’autres membres issus de corps juridictionnels ou de la société civile, leur minorité numérique pose la question d’une réelle capacité de contrepoids face à une potentielle emprise gouvernementale. Pour assurer une régulation impartiale des traitements de données personnelles, il serait primordial de revoir la composition et les modalités de désignation de cette Commission afin de la rendre pleinement autonome.
Ensuite, sur le plan financier, la loi accorde à la Commission une certaine autonomie de gestion en lui permettant de préparer et adopter son propre budget. Cependant, les ressources de la Commission proviennent essentiellement d’une dotation budgétaire allouée par l’État sénégalais.
Bien que la Commission soit l’ordonnateur de ses dépenses, sa dépendance aux subventions étatiques constitue un frein potentiel à son indépendance réelle. En effet, le pouvoir exécutif pourrait être tenté d’utiliser la menace d’une réduction budgétaire comme moyen de pression sur la Commission.
Cette démarche dans la dotation budgétaire est insuffisante pour garantir l’indépendance totale de l’Autorité. Une procédure où le budget de l’autorité est voté par le Parlement lui-même et non pas par l’exécutif pourrait permettre de donner plus de crédit au travail de l’autorité sur les enjeux nationaux de la protection des données tout en garantissant son indépendance.
.
L’indépendance organique, l’indépendance fonctionnelle et financière de l’autorité de contrôle doivent être renforcées pour une meilleure garantie des données personnelles.
Également, dans le chantier de la réorganisation, l’autorité doit être dotée d’un pouvoir d’auto-saisine pour pouvoir contrôler également les services de l’Etat et de ses démembrements. Concernant la désignation des Commissaires à la CDP, elle doit être faite de façon beaucoup plus inclusive pour une meilleure prise en compte des droits des citoyens et de toutes les sensibilités.
En somme, la protection et la garantie des données personnelles sont essentielles pour toute personne. Le droit à la protection des données personnelles permet respectivement d’instaurer la confiance à tout citoyen et une responsabilité de l’Etat de mettre en place des cadres juridiques protecteurs des libertés tout en favorisant l’innovation. A travers cette tribune d’opinion et compte tenu des actions projetées par les nouvelles autorités, nous plaidons pour un renforcement du cadre légal et réglementaire des données personnelles au Sénégal . C’est dans cette optique que, pour parachever la réforme en cours et à faire du Sénégal un leader régional incontournable en matière de gouvernance des données personnelles, nous formulons les recommandations ci-après :
1. Accélérer l’adoption du projet de loi portant réforme du dispositif légal de protection des données à caractère personnel, afin d’intégrer les avancées technologiques récentes et d’harmoniser le cadre juridique avec les normes et standards internationaux.
2. Renforcer la législation sur les données de santé, en établissant des règles claires pour leur traitement numérique, leur hébergement et leur utilisation secondaire, tout en préservant la confidentialité.
3. Revoir le Code électoral pour lever les contradictions avec la loi sur la protection des données, notamment sur la collecte des données d’électeurs dans le cadre du parrainage qui viole les libertés individuelles.
4. Plaider pour la révision de la Convention de Malabo et promouvoir une gouvernance des données harmonisée au niveau régional.
5. Concrétiser un droit d’accès facilité aux données publiques détenues par les administrations, en définissant des cadres clairs pour leur publication et réutilisation.
6. Garantir l’indépendance totale de l’Autorité de protection des données, en revisitant sa composition, ses modalités de nomination, son autonomie budgétaire et en lui conférant un réel pouvoir de contrôle et d’auto-saisine.
7. Accompagner la réforme par des programmes de sensibilisation à la culture du numérique et à l’importance de la protection des données auprès des citoyens, entreprises et administrations.
Contributeurs:
Mamadou DIA, Doctorant en droit, Responsable pédagogique à l’institut EDGE
Jean- Baptiste DIOUF, Docteur en droit, Chargé de cours à l’Université Amadou Hampathé Ba
Astou DIOUF, Doctorante en Droit Privé et Consultante en droit du numérique chez Jonction Organisation
Emmanuel Maurice DIOKH, Juriste en droit du numérique et Responsable Internet sans Frontières- Sénégal
Martine Ndéo DIOUF, Juriste en protection des données personnelles, Co-fondatrice de E-Karangé.
Pape Fodé DRAME, Juriste d’entreprise, Consultant et Président de la LegaltechSn
Gerard DACOSTA, Ingénieur Sécurité, Ceo Nu Jang Informatique et Daara-IT
Ndeye Aminata SAWADOGO, Juriste en droit des affaires et du numérique, Carapaces Stratégies & Conformités
Assane SY, Cyberjuriste, Consultant chez Talixman Group, Elu local