Juriste du droit numérique, titulaire d’une thèse sur l’Administration électronique et le droit public de l’Université de Paris I Sorbonne, Dr Mouhamadou LO est le rédacteur de la loi sénégalaise sur la protection des données à caractère personnel. Il fut le Président fondateur de la Commission de la Protection des Données personnelles du Sénégal (CDP). Coordonnateur principal de la mise en place des projets de lois et décret sur la société de l’information au Sénégal, Dr LO est l’actuel conseiller juridique de l’Agence de l’informatique de l’Etat (ADIE). Il a publié en décembre 2017 aux éditions Baol Editions, le premier livre en Afrique consacré à la législation de « la protection des données personnelles : réglementation et régulation ».

Il évoque dans cet entretien, les aspects réglementaires prévus pour protéger les données au sein de l’Administration.

A quoi fait-on référence lorsqu’on parle de données personnelles ?

Une donnée personnelle signifie toute information permettant d’identifier une personne physique. Il s’agit des données rattachées à l’identité civile (nom, filiation, l’adresse, état matrimonial, date et lieu de naissance, etc.), à des numéros (carte d’identité nationale, adresse IP, badge, téléphone, véhicule, compte bancaire, permis de conduire, sécurité sociale, parcelle immobilière, etc.) ou à des éléments biologiques (voix, image, taille, empreinte digitale ou palmaire, ADN, rétine, l’iris, la reconnaissance faciale, contours de la main, etc.).

Il y a lieu de noter également que les machines produisent des données permettant d’identifier une personne, notamment l’historique de notre présence sur Internet et l’exploitation des informations collectées à partir des objets connectés.

La notion des données personnelles varie et dépend de l’évolution technologique.

Nous vivons dans un monde de plus en plus numérique avec une utilisation digitale des données personnelles, quelles sont les garanties mises en place pour protéger les personnes contres d’éventuelles dérives ?

Les garanties varient d’un pays à un autre. Au Sénégal, l’existence d’une loi et d’une autorité de protection opérationnelle constitue un « bouclier » contre les abus. Comme vous le savez, le droit à la protection fait partie du droit au respect de la vie privée. C’est un corpus protecteur au profit des personnes physiques.

La garantie des informations ne peut être une réalité que si la réglementation est strictement respectée. C’est pourquoi, il est institué la Commission des données personnelles (CDP) chargée de protéger le citoyen contre l’Etat, le consommateur contre le professionnel et enfin, le salarié contre les agissements de son employeur.

L’Administration sénégalaise a également intégré les technologies de l’information et de la communication dans son fonctionnement, d’ailleurs l’ADIE déploie de plus en plus de solutions pour moderniser cette Administration, quelles assurances peut-on donner aux usagers quant à la protection de leurs données ?

L’ADIE est assujettie à la loi sur les données personnelles comme toutes les structures publiques ou privées. Elle doit procéder à la déclaration devant la CDP de tous les fichiers contenant des informations sur les usagers. A ce jour, à ma connaissance, les formalités déclaratives ont été respectées. Comme garantie, l’Agence peut communiquer sur les autorisations reçues afin de rassurer tous les usagers.

Quel usage l’Etat pourrait faire des données des agents de l’Administration ? Que permet la loi ?

Il faut faire attention. L’Administration ne peut pas et ne doit pas tout faire avec les données des usagers. Cette remarque est également valable pour le secteur privé. Pour répondre à votre question, j’évoque trois principes fondamentaux de la protection des données. Le premier est le principe de finalité qui interdit tout détournement de l’objet des données collectées sur les citoyens. A cet effet, toute utilisation ultérieure doit être compatible avec les finalités de départ. Le second principe est relatif à la proportionnalité qui exige de collecter sur un usager le minimum nécessaire de données. Il est déconseillé de collecter toutes les catégories d’une personne. Quel que soit le service offert. Enfin, le dernier est le principe de sécurité qui impose (il s’agit d’une obligation de moyen) au responsable de traitement de prendre toute mesure de précaution utile en matière de sécurité au regard de la nature des informations traitées. Toutefois, ce principe mérite d’être renforcé par le législateur, à l’instar de ce qui se passe au Ghana, en obligeant par exemple les responsables des traitements à déclarer devant la CDP les failles de sécurité constatées sur leur système d’information. Le respect de ces principes contribuera à donner confiance aux usagers et mettra fin à la peur, à la crainte et aux suspicions par rapport aux traitements des données au sein de l’Administration sénégalaise.

(Source : ADIE, 28 mai 2018)