Douze années après avoir été l’un des premiers pays africains à promulguer la législation sur la protection des données personnelles, le Sénégal a proposé un projet de loi pour remplacer la Loi sur la Protection des Données à Caractère Personnel de 2008. Le projet de loi de 2019 portant sur la Protection des Données à Caractère Personnel rejoint la vision gouvernementale de moderniser le cadre légal et institutionnel du domaine des télécommunications et de la technologie d’ici 2025, comme partie de la « Stratégie Sénégal Numérique 2016-2025. » Ce projet de loi essaie d’aborder des nouvelles questions essentielles, y compris la biométrie, les méga données, l’intelligence artificielle, la géolocalisation et l’informatique en nuage. Il aborde également les insuffisances dans la législation actuelle concernant la composition et l’autonomie de l’autorité de surveillance, les mécanismes pour l’auto-déclaration, et la coopération transfrontalière.

Le 2008 janvier, le Sénégal avait adopté la Loi n° 2008-12 sur 25, qui constitue un cadre légal et institutionnel pour la protection des données personnelles. La loi a établi une autorité indépendante connue comme la Commission de Protection des Données Personnelles (CDP) dont le mandat est d’assurer que le traitement des données personnelles dans le respect des dispositions de la loi, et de défendre les droits des personnes concernées et les obligations des responsables du traitement. Quelques années plus tard en 2016, le Sénégal devenait le premier pays africain à ratifier la convention à l’échelle continentale sur la cybersécurité et la protection des données personnelles, qui était adoptée par l’Union africaine en 2014.

La mise en application de la loi demeure un défi malgré le statut du Sénégal comme un pionnier de la gouvernance des données en l’Afrique. Il y avait des informations de manque de ressources permettant à la CDP de réaliser suffisamment son mandat. En février 2018, la présidente de la CDP Awa Ndiaye a fait un appel à l’aide gouvernementale pour soutenir les efforts de sensibilisation et de vérification de conformité.

Entretemps, le pays a enregistré une croissance dans le secteur des télécommunications, avec un taux de pénétration d’Internet de 68,49% en 2018, et une scène diverse d’innovation technologique et des médias numériques. Cependant, quelques acteurs publics et privés continuent de collecter les données personnelles au Sénégal sans suivi réglementaire par la CDP. Ceci est le cas pour l’enregistrement obligatoire des cartes SIM mis en place par l’Autorité de Régulation des Télécommunications et des Postes (ARTP) entre les opérateurs des télécoms mobiles, qui est lié à la banque des données de l’identité nationale.

Les principes du projet de loi préconisent la collecte, l’enregistrement, le traitement, le stockage et la transmission des données personnelles de manière licite, loyale et non frauduleuse. Selon article 7 du projet de loi, le traitement des données personnelles est défini comme licite si « la personne concernée donne son consentement, le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande, [ou] le traitement est nécessaire à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée. »

Le consentement est défini comme une déclaration ou une action affirmative claire, oralement ou par écrit, qui donne permission de traiter les données personnelles (Article 8). Il faut stocker les données traitées en toute sécurité et confidentiellement, seulement dans la période de temps nécessaire (Articles 10-12). Le projet de loi aborde aussi le traitement des données personnelles par des tierces personnes, et mandate un contrat entre les responsables des données et les sous-traitants pour garantir le respect de la loi (Article 16). L’article 110 maintient les droits des personnes d’accéder aux données les concernant et d’en contrôler l’exactitude.

La Section 1 du projet de loi propose la création de l’Autorité de Protection des Données à Caractère Personnel (APDP) pour remplacer la CDP actuelle. L’APDP fonctionnerait similairement que la CDP, mais la composition des membres diffère en nombre et en qualité. L’APDP se composerait de 12 membres, un plus que la CDP. L’APDP serait composée de deux représentants de la Présidence de la République et un représentant de chaque institution dont de l’Assemblée nationale, du Ministère chargé des Finances, du Ministère de la Justice, du Ministère chargé des Télécommunications et de l’Économie numérique, des organisations patronales désigné par le Ministre chargé des Organisations professionnelles, de l’association de la presse en ligne désigné par le président de ladite association, de la société civile désigné sur proposition des organisations de la société civile, de l’ordre des médecins désigné par le Président dudit ordre, des organisations de défense des droits de l’homme désigné par le Garde des sceaux, Ministre de la Justice, un magistrat membre de la Cour suprême désigné par le Président de ladite Cour, et un avocat désigné par le Bâtonnier de l’Ordre des avocats. La CDP est composé de trois représentants de la Présidence de la République, chacun un magistrat membre du Conseil d’Etat et de la Cour de Cassation, un député désigné par le Président de l’Assemblée nationale, un sénateur désigné par le Président du Sénat, un représentant des organisations patronales désigné par le Ministre chargé des organisations professionnelles, un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal, un représentant des organisations de défense des droits de l’homme désigné par le Ministre de la Justice, Garde des sceaux, et le Directeur de l’Agence De l’Informatique de l’Etat (ADIE).

La constitution proposée de l’APDP ajoute quatre membres de représentation non-gouvernementale dans cet organisme de supervision, qui remplacent les anciens sièges des représentants du gouvernement et des conseillers présidentiels. Même si ces représentants non-gouvernementaux sont nommés par décret du Président, l’inclusion de ces acteurs non-gouvernementaux est un bon augure pour l’incorporation des intérêts de la société civile dans le travail de l’Autorité. Le projet de loi de 2019 d’ailleurs conforte de la promesse de la loi de 2008 relative à la neutralité de la CDP et la protection du droit d’expression des membres avec une garantie qu’ils ne peuvent pas être détenus, arrêtés, ou punis à cause de leurs opinions ou leurs décisions prises.

Selon la loi proposée, des dérogations s’appliquent lorsque le traitement des données personnelles à des fins journalistiques, de recherche et d’expression artistique ou littéraire, si ce traitement est fait « dans le respect des règles déontologiques de ces professions » (Article 105). Les dérogations selon la loi actuelle sont soulignées dans l’article 2, qui indique « tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’État, même liées à un intérêt économique ou financier important de l’État, sous réserve des dérogations que définit la présente loi et des dispositions spécifiques en la matière fixées par d’autres lois. »

Les dispositions proposées selon la Section 6 concernent spécifiquement les données personnelles et la police. La Section 6 déclare que la collecte des données comme partie de la prévention, l’investigation, et la punition du crime doit respecter les principes de proportionnalité et de nécessité et suivre un but légitime. Bien que la loi de 2008 et le projet de loi de 2019 réussissent à bien définir les termes techniquest, le « but légitime » n’est pas défini dans le projet de loi et par conséquent, porte une description vague pouvant susciter des abus de la part du gouvernement.

Le projet introduit aussi la régulation de la vidéosurveillance, exigeant qu’« une affiche suffisamment visible doit signaler la présence du système, la référence du récépissé délivré par l’Autorité de protection ainsi que les coordonnées de la personne ou du service chargé de répondre à l’exercice des droits d’accès, d’opposition et de suppression » (Article 121). Sauf pour l’objectif de la sécurité de la propriété et des personnes, l’installation de la vidéosurveillance « sur les lieux de travail [comme défini au Code du Travail] ne doit pas avoir pour but la surveillance délibérée, systématique et permanente des employés » (Article 120). La vidéosurveillance sur les lieux de travail était une question litigieuse au Sénégal en 2019.

L’Article 128 élargit la définition de « données sensibles », dont elle interdit le traitement, et de l’inclure dans la filiation et des données génétiques. L’Article 129 permet le traitement des données génétiques seulement pour vérifier l’existence des connexions génétiques dans le cadre des procédures juridictionnelles ou des investigations criminelles. Cette définition élargie de « données sensibles » conforte la définition dans la loi de 2008, où les données sensibles étaient définies comme les données personnelles concernant les activités religieuses, philosophiques, politiques, et syndicales, ainsi que la vie sexuelle, l’origine raciale et celles relatives à l’état de santé.

Dans la perspective de promouvoir la recherche et la collaboration, l’administration des mégadonnées est incluse comprises dans le projet de loi, qui préconise qu’il faut identifier et évaluer les risques de la collecte et le traitement des mégadonnées (Article 114). En plus, l’Article 118 souligne les conditions pour l’utilisation et la réutilisation des données ouvertes.

Dans son ensemble, le projet de loi de 2019 est une étape importante vers la mise en place d’un cadre de protection des données personnelles modernisé au Sénégal, qui respecte les droits fondamentaux et fournit un environnement favorable à l’innovation dans un monde de plus en plus numérisé. Les consultations publiques sur le projet de loi se poursuivent, et il reste à voir si la rédaction actuelle va incorporer les recommandations et clarifier les dispositions ambiguës ou vagues.

Thomas Robertson est en quatrième année du premier cycle d’études en diplomatie et langues étrangères à Occidental College à Los Angeles, Californie, États-Unis. Il fait actuellement un stage avec la Collaboration sur les Politiques Internationales des TIC pour l’Afrique de l’Est et australe (CIPESA), comme une partie de la recherche pour son mémoire de fin d’études sur “L’Expression numérique et les Relations sino-africaines.”

Thomas Robertson

(Source : CIPESA, 14 janvier 2020)