Le Sénégal a inauguré son nouveau data center logé à Diamniadio. Une infrastructure de dernière génération qui permettra de stocker toutes les données de l’administration et du secteur privé. Dans cet entretien avec Social Net Link, Rokhaya SARR, Avocate et Docteure en droit des Tics revient sur les enjeux de la protection des données. La Co -fondatrice de la « LEGALTECHSN » aborde également la question sécuritaire des données et quelques conseils pratiques pouvant diriger le Sénégal vers une souveraineté numérique.
Le chef de l’Etat a procédé le 22 juin 2021 à l’inauguration du Data Center de Diamniadio. Quelle réflexion avez-vous de cette innovation en termes de souveraineté numérique et de contrôle de nos données ?
La mise en place d’un Data Center qui ambitionne d’héberger les données personnelles des administrations sénégalaises et du secteur privé sénégalais est une bonne chose en ce qu’elle permet de localiser les données numériques parmi lesquelles celles à caractère personnel des citoyens sénégalais. C’est un pas de plus, voire une étape importante dans la conquête de la souveraineté numérique. La protection des données personnelles consiste au-delà de l’encadrement juridique, à fournir à ces données un niveau de sécurité suffisant.
Outre le fait, qu’il est indispensable que soient mise en place des mesures de protection permettant de garantir la sécurité des données hébergées et des systèmes d’informations qui les abritent. Il est primordial que ce Centre de données puisse générer la mise en place de process et des outils garantissant la disponibilité, l’intégrité et la confidentialité des données stockées. Les responsables du traitement devront adopter des règles en interne en fonction des risques de compromission et être à même de démontrer que ces données stockées respectent les principes légaux en matière de conformité.
L’adoption de règles en interne peut se traduire par la mise en place de chartes de bonne gouvernance des données et de politiques d’habilitation, d’audits de sécurité par exemple. On parle de sécurité logique mais également de sécurité physique par exemple l’instauration d’un système d’accès aux locaux et aux bâtiments est un élément essentiel pour la sécurité globale du Data center.
Mais il est possible d’aller plus loin et d’élever le niveau de la conformité conformément aux standards européens et aux bonnes pratiques.
En favorisant la mise en place de registre au sein de chaque entité. Cela permettrait de conserver une trace documentaire de tout traitement réalisé sous la responsabilité du responsable de traitement de stockage ou de sous-traitant le cas échéant.
En prévoyant la réalisation d’une étude d’impact pour les traitements de stockage présentant des risques particuliers au regard du droit et des libertés des personnes concernées De manière à prévoir en amont les réponses lorsque les traitements des données présentent certains risques.
Un délégué à la protection des données indépendant pourrait également être institué. Il pourrait conseiller le responsable de traitement de stockage et faire le lien le cas échéant avec l’autorité de contrôle.
Ce nouveau Data Center devrait prévoir des mesures techniques claires et transparentes afin de permettre aux administrés de pouvoir exercer aisément leurs droits classiques d’information, d’accès de rectification d’opposition voire inciter les responsables du traitement de stockage à les conserver dans un format aisément réutilisable de manière à faciliter une éventuelle portabilité des données si toutefois ce concept devait prochainement être consacré par le législateur sénégalais.
Quels sont les enjeux en termes d’accessibilité et de stockage des données des citoyens sénégalais ?
Un Data center est en pratique un bâtiment situé sur le territoire national qui abrite des serveurs pour le stockage des données numériques, a le mérite de permettre aux administrations publiques comme entreprises privées, aux particuliers d’héberger leurs données au Sénégal.
Il permettra à l’ADIE en tant que maitre d’ouvrage du projet d’accélérer le processus de numérisation des actes de l’état civil, de la dématérialisation des procédures mais aussi de l’e-gouvernement et de l’open data.
Cela peut aussi être l’occasion d’engager une réflexion sur la dématérialisation de la justice. Les saisines des juridictions et autres actes de procédures pourraient se faire en ligne par les professionnels du droit par des serveurs abrités dans ce Data center sous contrôle du ministère de la Justice dans le but de désengorger les tribunaux et favoriser un accès plus rapide et efficace au droit.
Il est indéniable que la proximité du Data Center va permettre une meilleure fluidité dans l’accès au numérique.
Également, le Président Macky Sall a instruit l’administration à procéder à la migration des données de l’administration stockées à l’étranger. Juridiquement comment cela doit se réaliser ?
Si nous partons du postulat que les données numériques de l’administration sont hébergées à l’étranger dans le Cloud avec des prestataires étrangers via des contrats de sous-traitance comme c’est le cas la plupart du temps en pratique.
Il est indispensable dans un premier temps, d’analyser l’ensemble des clauses contenues dans le contrat de sous-traitance et particulièrement celles relatives à la résiliation du contrat de sous-traitance et du sort des données traitées.
En principe, il existe dans ces contrats, une clause de réversibilité qui permet de récupérer ces données conservées dans un format établi et sous un délai de disponibilité prédéfini.
Il conviendra donc de faire jouer cette clause et il est impératif que le client en l’occurrence l’Etat du Sénégal ou son nouveau prestataire puisse comprendre la structure des données, pour effectuer la migration des données vers le nouveau système.
Par ailleurs et à raison de la nature immatérielle des données à caractère personnel, il est impératif de s’assurer qu’une clause de destruction des données est effectivement stipulée au contrat. Cette clause de destruction ne sera actionnée qu’une fois le délai de sauvegarde passé, soit postérieurement au transfert des données à caractère personnel vers le Sénégal.
Dans un second temps, les données pourront alors migrer vers le Sénégal conformément à la législation relative aux transferts de données propres à l’État du sous-traitant.
Étant précisé, que si les données à caractère personnel sont hébergées en Europe, les conditions de transfert sont encadrées par les mesures visées aux articles 44 et suivants du RGPD.
Quels sont les préalables juridiques, techniques et organisationnelles pour héberger et sécuriser les données sensibles ?
Revenons dans un premier temps sur la définition des données sensibles. Elles sont prévues à l’article 4 -8) de la loi sénégalaise du 25 janvier 2008 relative à la protection des données personnelles. Il s’agit des données relatives à l’origine raciale, aux convictions religieuses ou syndicales, aux opinions politiques, aux mesures d’ordre social, aux données de santé, à la vie sexuelle ou encore aux condamnations pénales ou administratives.
Il est possible de procéder à leur hébergement notamment lorsque le consentement de la personne concernée a été recueilli ou encore sur la base d’un contrat qui peut être un contrat de sous-traitance ou encore conformément à un motif d’intérêt public.
Le stockage des données sensibles impose, à raison de la nature de celles-ci, un renforcement des obligations de l’hébergeur.
Celui-ci doit s’attacher à sécuriser les données afin d’éviter toute atteinte à la confidentialité, à la disponibilité et à l’intégrité des données (violation, usurpation ou cyberattaque etc.).
Pour ce faire, il est fortement recommandé de mettre en œuvre des mesures techniques comme le chiffrement afin de répondre efficacement à un besoin de dissimuler des données personnelles sensibles aux utilisateurs qui ne sont pas habilités à les voir.
Il présente l’avantage de rendre ces données incompréhensibles afin d’en garder la confidentialité. C’est un processus réversible qui ne fait que masquer les données. Il est donc toujours possible de retrouver leur valeur initiale grâce à une clé permettant de déverrouiller le chiffrage des informations.
De même l’anonymisation ou la pseudonymisation des données sensibles est aussi conseillée. Dans la mesure où elles permettent de changer les données tout en les gardant confidentielles. Elles restent intactes et cohérentes pour pouvoir être interprétées. Mais leur différence consiste en ce que l’anonymisation contrairement à la pseudonymisation est irréversible. Une fois la donnée changée, il est impossible de la retrouver à son état d’origine.
En sus de ces mesures techniques, il est effectivement primordial de mettre en place des mesures organisationnelles, élaborer une véritable politique d’habilitation ainsi que de tracer les incidents et examiner périodiquement les journaux d’évènements.
En somme, il est recommandé d’externaliser les données sensibles vers des Data center à l’instar du Data center de Diamniadio. Ceux-ci disposant d’un niveau de sécurité élevé afin de pouvoir abriter sereinement ces données dites sensibles.
Cela dit, pour véritablement accéder à la souveraineté numérique entendue comme la capacité qu’a l’Etat Sénégal à agir dans le cyberespace, à le réguler et à peser sur l’économie numérique. Il est indispensable qu’il se présente en modèle en termes de conformité afin d’importer des données au-delà des frontières sénégalaises.
Faire de Diamnadio un véritable Data center Land à l’instar des Data Center du Nord de la Finlande qui abrite Google et Microsoft. Ces fermes numériques hébergent aujourd’hui des milliards de données.
Le Sénégal pourrait ainsi se servir de ses propres atouts en exploitant par exemple l’énergie solaire afin d’alimenter et refroidir les machines, réduire les coûts en électricité tout en préservant l’environnement, élaborer une fiscalité attractive, assurer une très bonne connexion à l’internet et surtout mettre l’accent sur le respect des normes en matière de protection et de sécurisation des données à caractère personnel véritable gage de confiance et de compétitivité.