Si pour des raisons de prospection directe, une entreprise devait créer un fichier unique stocké dans un data center, consacré exclusivement au traitement des données des sénégalais, en référence à leur cursus universitaire, celles issues de l’université CHEIKH ANTA DIOP seraient plébiscitées pour se positionner en tête de liste et sans aucune contestation. Force est de constater que les universités sénégalaises attirent beaucoup de monde notamment avec une forte représentativité d’étudiants ressortissants du Maghreb et des pays membres de la CEDEAO.
Aujourd’hui avec les innovations numeriques, il suffit de quelques clics pour connaitre l’effectif des étudiants régulièrement inscrits dans les différentes facultés que composent les universités sénégalaises ou encore quand il s’agit de faire un checking sur le nombre de bacheliers nouvellement orientés sur la plateforme digitale qui leur est dédiée. En effet, nonobstant des perturbations dues à la pandémie de COVID-19, l’année universitaire 2019/2020 a enregistré plus de 78 500 étudiants inscrits à l’UCAD à travers le site de préinscription en ligne. Actuellement en 2021, l’UCAD compte officiellement 85000 étudiants avec un effectif de 1488 enseignants et 1553 agents PATS.Ces personnes sont réparties entre six facultés, six écoles et instituts,20 instituts d’université, quatorze instituts de faculté et sept écoles doctorales pour la recherche académique et scientifique .
Avec la digitalisation de nombreux services administratifs, une partie importante du traitement des demandes sociales se fait désormais en ligne.C’est pour cette raison, qu’il est créé une direction de l’informatique et des systèmes informations (DISI) de l’université Cheikh Anta Diop, une structure de veille par excellence charger de garantir la cybersécurité sur le traitement automatisé des données. Par conséquent, parler pourquoi parler de la prégnance les Tics au sein du milieu universitaire n’est qu’un euphémisme.
Contexte
Les universités sénégalaises sont devenues des « mines d’or à ciel ouvert » en données à caractère personnel.Ces données sont considérées comme des informations très importantes. Toutefois, elles deviennent de plus en plus exploitées et peu encadrées. En admettant qu’une présomption pèse sur le consentement des personnes concernées en l’occurrence les étudiants, un fichier contenant les données à caractère personnel des étudiants au sens de l’article 4(10) de la loi 2008-12 portant données à caractère personnel au Sénégal « existe »,
Soucieux de récolter plus d’électeurs que leur adversaires, certaines listes de candidats établissent leur propre base de données à travers un fichier regroupant des informations sur les futurs électeurs (étudiants régulièrement inscrits) et éventuellement sur cette base de données, qu’ils effectueront parfois le vote en lieu et place de l’électeur, après que ce celui-ci ait réceptionné son code d’électeur auprès de la plateforme campusen qui est en charge des élections en remplaçant la DISI.
Selon certains étudiants, cette prérogative que s’arrogent les listes à la candidature, vise à sécuriser leur potentiel électorat. Pour autant, ce procédé peu orthodoxe ne garantit pas en réalité ni la transparence ni la fraude encore moins une traçabilité du déroulement des votes. En plus ce traitement ne respecte nullement les principes fondamentaux (I) basés sur le cadre normatif relatif à la collecte des données personnelles notamment la légitimité, la proportionnalité, la durée de conservation et la finalité de traitement.Tandisque l’exercice des droits des personnes concernées (II) n’est pas toujours garantie.
Des principes de base d’un traitement biaisés ?
Prévu à l’article 33 de la loi portant données personnelles, le traitement des données à caractère personnel est considéré légitime lorsque le consentement est donné par la personne concernée. En manifestant leur consentement à une collecte de leurs données personnelles au sens de l’article 4 (4) de la loi, beaucoup d’étudiants ignorent que la loi sur la protection des données personnelles leur consacre certains droits, et beaucoup d’entre eux méconnaissent les risques qui peuvent survenir en l’absence d’un traitement légal de celles-ci. Cependant, les données collectées par les services administratifs et la scolarité, ne requièrent pas un consentement exprès des personnes concernées selon les dispositions de l’alinéa 2 du même article. En ce qui concerne les la collecte effectuée par les préposés ou collecteurs des listes des candidats des amicales en période d’élection, elle peut être qualifiée d’un traitement de données personnel sur le fondement de l’article 4 (19) de ladite loi.A l’inverse, aucun acte
administratif pris par des autorités compétentes en la matière, n’encadre une telle collecte des informations sur les étudiants ou ne définit de manière formelle, les catégories de données pouvant faire l’objet de collecte par les candidats. Contrairement au législateur sénégalais qui pour rétablir une forme de rupture d’égalité devant la loi, a étendu les modalités du parrainage des électeurs à l’ensemble des candidats à la candidature de l’élection présidentielle au Sénégal. Or ,dans le cas d’espèce, la loi sur la protection des données à caractère est assez formelle sur cette question, dans la mesure ou l’article 2(1) de la loi indique que toute collecte ,tout traitement, toute transmission tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, les collectivités locales, les personnes morales de droit public et de droit privé (…) est soumis à la dite loi.
En sus, l’article 18 de la présente loi impose un régime de déclaration préalable lorsque le traitement porte sur des données personnelles à l’instar de cette collecte opérée par les listes de candidature des amicales. Enfin, plusieurs manquements peuvent être soulevés aussi bien sur une définition claire et non équivoque des objectifs ou des finalités poursuivis. Encore qu’il ne soit nullement assuré, que la suppression ou l’archivage des données seraient faits à la fin de la durée de conservation de celles-ci. Une situation qui nous laisse perplexe quant la sécurité qui doit entourer ces données. En l’espèce, sur le fondement de ce qui précède, nous pourrions nous interroger si la collecte exercée par les listes de candidature devrait-elle être soumise à une déclaration préalable auprès de l’autorité compétente en l’occurrence la CDP ? Celle-ci sur le fondement de l’article 16 alinéa premier de la loi est chargé de veiller à ce que les traitements des données à caractère personnel soient mise en œuvre conformément aux dispositions de la présente loi. Par conséquent la CDP a tout intérêt à faire la lumière sur ce point.
Une conservation et une finalité obscures ?
Relativement à la finalité qui s’impose à une collecte de cette nature, l’article 35 de la loi stipule que les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.
Quelle est la finalité recherchée par cette collecte? L’inexistence d’un modèle de fichier tel que préconisé par la loi, qui tient en compte les objectifs de la collecte, en fixe les catégories de données personnelles aux finalités du fichier, tout en désignant un responsable de la collecte ; peut favoriser le risque de verser dans l’amateurisme et une divulgation des données propres aux étudiants. Cette situation est plus que jamais plausible au regard des arguments invoqués par les candidats, sous prétexte que le système mis en place par l’administration ne donne guère assez de moyens ni de crédibilité au bon déroulement des élections. Le recours à cette méthode est apprécié comme une pratique consensuelle entre les différents acteurs au vote. Par conséquent, ce statuquo sème un doute sur la véritable finalité recherchée pendant et après le scrutin.
Le principe finalité n’est réalisable que s’il garantit au préalable une durée de conservation raisonnable et non abusive des informations collectées. Par contre, il semble se dessiner une opacité totale sur la garantie de conservation des données dans la mesure où aucun responsable de la collecte ne peut être identifié au sens de l’article 4 (15) de la loi. Or, une conservation des données personnelles suppose au préalable des mesures de précaution utiles et des garanties appropriées afin d’assurer la sécurité et la confidentialité des données conformément aux articles 70 et 71 de ladite loi. Paradoxalement, aucune liste n’est dans une démarche tendant à se conformer aux principes garantissant un traitement prévue dans la loi sur les données personnelles. Par conséquent, le risque voire ces informations utilisées à d’autres fins ne peut être minimisée. Ce qui peut donner lieu à de graves atteintes à la vie privée des étudiants. En outre, la diversité des informations peut constituer un moyen pour opérer un profilage à l’insu des personnes concernées.
Une collecte abusive ?
La collecte soulève de réelles inquiétudes notamment sur sa proportionnalité compte tenu de la diversité des informations figurant dans les fiches de collecte (nom ; prénom et matricule de
carte d’étudiant et numéro de téléphone mobile).De ce point de vue, elle nous parait abusive en ce sens qu’elle recueille plusieurs informations sur ces personnes, ce qui présente un danger réel sur le respect des données personnelles et la vie privée des étudiants concernés d’où l’objet de la loi portant protection des données à caractère personnelle. Des informations sur l’état civil et le matricule de la carte et le mail professionnel devraient largement suffisantes pour faciliter une collecte. En outre, cela donnerait l’opportunité aux personnes concernées de pouvoir vérifier les informations communiquées.
Quels droits pour les personnes concernées ?
La loi relative à la protection des données à caractère personnel prévoie des dispositions qui garantissent des droits aux personnes faisant l’objet d’un traitement sur leurs données personnelles.IL s’agit du droit à l’information préalable, prévue à l’article 58 de la loi qui dispose que toute personne doit être préalablement informée du traitement de ses données à
caractère personnel. A ce niveau, pouvons-nous avoir l’assurance d’évoquer que les personnes concernées ont pu bénéficier de ces informations telles que énumérées par l’article 58 ?
Aucuns éléments de réponses ne permettent de le justifier !
En application à l’article 62 de la loi, tout étudiant concerné par cette collecte, dispose d’un droit d’accès aux données communiquées. Cela nous amène à nous demander si en l’absence d’un responsable de traitement désigné, serait-il possible d’accéder à nos données ? Compte
tenu du nombre de personne préposé à la collecte, l’identification de celui peut être difficile.
Dans l’hypothèse où la nécessité de vouloir faire des rectificatifs vis-à-vis des données communiquées comme le prévoie l’article 69, qui dispose qu’une personne peut exiger la rectification de ses données personnelles si elles sont collectées de façon erronées. En corrélation avec le droit de rectification, une demande de suppression est toujours possible si
l’étudiant intéressé en manifeste la volonté d’après l’article 69 in finé 31 .
Par ailleurs, le médiateur de l’université, principal défenseur des droits et des libertés au sein de l’UCAD, tout comme le recteur en charge de son administration, sont pressentis pour assurer pleinement leurs missions sur cette question.
Une responsabilité partagée
La collecte effectuée par les listes de candidat qui aspirent à briguer les suffrages des étudiants électeurs mérite une organisation rigoureuse de la part des autorités universitaires.
C’est sans doute pour cette raison que le vote électronique a été initié par les autorités rectorales avec le concours de la DISI de l’UCAD.L’objectif de ce vote électronique est d’apporter plus de transparence et de démocratie dans le scrutin 32 . Cette innovation majeure est également un moyen d’apaiser le climat de tension et de violence qui entouraient parfois la compagne électorale, compte tenu des nombreux griefs (fraude, impartialité, favoritisme etc.) invoqués souvent de part et d’autres 33 .C’est à ce niveau qu’il faut mesurer la pertinence de l’arrêté rectoral de 2007 portant création d’un organe de prévention, de médiation et de facilitation des conflits à l’UCAD.Cet organe dirigé par un médiateur, le garant de la paix au
sein de la communauté universitaire 34 ,participe davantage à pacifier l’espace universitaire notamment lorsque des tensions surgissent en période d’électoral ou encore en cas de différends entre les représentants amicales et les autorités universitaires.
Recommandations
Le milieu universitaire reste un environnement complexe et difficile à administrer .Son autonomie de fonctionnement consacrée par la nouvelle loi n° 2015-26 relative aux universités publiques du Sénégal et du décret n° 70-135 du 13 octobre 1970 modifié portant statut de l’université de Dakar ne peuvent justifier la méconnaissance de certaines législations (ex : la loi 2008-12 portant protection des données à caractère personnel) qui garantissent et protègent également les droits des étudiants. En effet, il revient à la plus haute personnalité morale de l’université en l’occurrence le recteur, de sonner l’alerte tout en mettant en jour les politiques sécuritaires dédiées à l’environnement universitaire notamment en ligne et hors ligne. Sensibiliser sur le risque qu’encoure ce type de collecte des données qui peut aboutir à une plainte devant le juge 35 . Des mesures conservatoires devraient systématiquement être prises afin de remédier à cette forfaiture, susceptible de compromettre la tranquillité et la vie
privée des étudiants.
Conclusion
L’enjeu lié à la collecte des données personnelles dans le milieu universitaire dépasse le cadre de gestion des pouvoirs d’administration dévolus aux autoritaires universitaires (rectorat et faculté).Les étudiants sont de véritables utilisateurs/consommateurs numériques et leurs
données apparaissent comme une véritable source d’exploitation par les sociétés numériques. Car nul ne doute qu’aujourd’hui, la dimension économique indue par l’écosystème numérique, a fait des données une véritable valeur marchande. A cela s’ajoute, la prospection directe et la publicité ciblée qui deviennent des activités à fort taux de revenus pour les entreprises et la fintech 36 .
Par ailleurs, le contexte de la pandémie COVID-19 a révélé qu’à partir de données personnelles collectées, avec un simple numéro de téléphone, nous pouvons faire l’objet de surveillance par la géolocalisation des trajets empruntés ou encore d’une écoute téléphonique extra-judiciaire 37 .Ces actes peuvent nuire à l’épanouissement intellectuel, perturber la vie
privée des étudiants. Ainsi l’obligation de se conformer de bonne foi aux les principes de traitement des données ; est indispensable pour la sécurité de tous cyber-citoyens a fortiori celle des étudiants.