« Les réseaux sociaux sont une mine d’informations pour les criminels » Les technologies numériques occupent une place importante dans la vie des êtres humains. Au bureau, dans la rue ou bien à domicile, leurs nécessités se font toujours ressentir. Et pourtant, elles peuvent être à l’origine de beaucoup de soucis, parfois inattendus. D’où la nécessité pour le Sénégal de protéger ses citoyens, à l’image d’autres nations. Et au Sénégal, c’est la Commission de protection des données personnelles (Cdp) qui s’en occupe. Dans cet entretien, le président de la Cdp, Docteur Mouhamadou Lô définit, prévient et mesure l’utilisation des données à caractère personnel.

Wal Fadjri : Qu’est-ce que la Cdp ?

Mouhamadou LO : La Cdp, c’est la Commission de protection des données personnelles (Cdp) qui est une autorité indépendante installée par la loi du 25 janvier 2008. Son objectif est de veiller à ce que l’utilisation des données personnelles des Sénégalais se fasse conformément à la législation. En gros, tout responsable de données personnelles doit respecter avant, pendant et après la collecte, les dispositions précisées dans la loi. Le rôle de la Cdp est de veiller à ce que chaque responsable de traitement respecte les dispositions prévues par la loi.

Est-ce que vous pouvez nous définir une donnée personnelle ?

Une donnée à caractère personnel est une information qui permet d’identifier une personne, de dire que c’est untel. Que ce soit son nom, son prénom, son adresse physique ou électronique, ses empreintes digitales. On appelle les empreintes digitales, la reconnaissance indirecte. A partir des empreintes digitales, on peut remonter jusqu’au propriétaire d’un véhicule, son immatriculation. Si je visionne une vidéo dans laquelle vous apparaissez, je pourrai remonter jusqu’à vous. C’est la même chose pour la photo, la vidéo surveillance. Donc toute information qui permet d’identifier une personne. Dès l’instant que j’arrive à vous identifier, c’est que j’ai utilisé une donnée personnelle. Le numéro de téléphone est également une donnée personnelle. Donc si quelqu’un doit utiliser votre numéro de téléphone, il doit vous demander l’autorisation pour le faire. La liste pour définir une donnée personnelle est longue.

Qui est habilité à utiliser une donnée personnelle ?

La Cdp est chargée de sécuriser l’utilisation des données personnelles. La Cdp ne collecte pas les données personnelles. Elle veille plutôt à ce que tous les responsables – Etat, ministères, acteurs du secteur privé, opérateurs de télécommunications, sociétés de nouvelles technologies, centres d’appel- s’identifient dans l’utilisation des données personnelles. Actuellement, on retrouve partout des données –secteurs privé, public et associatif. Donc le législateur a décidé de mettre en place la Cdp pour sécuriser ces données. Nous sommes habilités à dire que « vous pouvez utiliser ces données à telles fins », « à interconnecter cette base de données, l’envoyer à l’étranger ». Toute autre initiative doit se faire sous le contrôle de la Cdp. Cela doit être fait avec le consentement du propriétaire des données… Ah non ! Pas du tout. C’est une obligation légale. Par exemple un collecteur de données personnelles ne peut pas se lever pour dire : « Je vais vendre les données des Sénégalais en France. » Non, c’est interdit. La vente, elle-même, est interdite tant que la personne concernée n’a pas donné son consentement. Si une personne reçoit par exemple un Sms sans rien demander, cela veut dire que quelqu’un a cédé une base dans laquelle loge son adresse. C’est une difficulté.

Et si une société, une personne cède une donnée sans le consentement du propriétaire de la donnée, est-ce que la loi prévoit une sanction ?

Oui. La sanction est très sévère. (Il sort de l’armoire une décision de justice sanctionnant une société pour un trafic de données). Déjà dans la démarche, si quelqu’un constate que ses données personnelles se trouvent ailleurs –par exemple, il reçoit un Sms, un courriel d’une société avec laquelle, il n’a pas de relation- il doit nous contacter par le biais d’une plainte ou nous écrire. Nous réceptionnons la plainte pour ouvrir un dossier contentieux et nous rendre sur le lieu de conflit pour constater. Il ne faut pas oublier que les agents de la Cdp prêtent serment devant la Cour d’appel et ont le statut de police judicaire conformément à la législation. Par le biais du respect du délai de contrôle, on peut visiter les entreprises publiques comme privées. Et si la Cdp constate qu’il y a eu violation dans le traitement des données personnelles par rapport à ce qui a été déclaré, nous sanctionnons. Quels sont les types de sanctions ? Elles sont très lourdes. Elles peuvent aller du retrait de l’autorisation de travail accordée par l’autorité à la demande d’effacer la base de données quel que soit le volume, à l’amende comprise entre un million et cent millions francs Cfa, etc. La Cdp peut aussi transférer le dossier contentieux au procureur de la République en vue de sanctionner pénalement le coupable. Cela veut dire que le législateur a été très clair dans la collecte et le traitement des données des moyens de sanction. C’est une procédure qui dure longtemps ? Chez nous, non. En une semaine, on peut régler un problème.

Des individus se plaignent souvent de recevoir dans leurs portables des Sms dont ils ne sont jamais demandeurs. Est-ce que la Cdp est compétente pour y réagir ?

La Cdp a prévu de faire de la sensibilisation. Il faut retenir que notre structure a démarré ses activités en décembre 2013. Donc, nous allons sensibiliser les Sénégalais sur l’importance de leurs données personnelles. J’ai l’habitude de dire que « vous voulez que votre vie soit simple, veillez à protéger vos données personnelles parce qu’il peut y avoir une surprise demain ». Donc la Cdp est un régulateur, un allié qui va aider les populations afin de les accompagner quand elles seront victimes de l’utilisation abusive de leurs données. Nous allons mener des campagnes de sensibilisation dans les écoles, les universités, dans les fora, etc. C’est une prise de conscience générale.

Mais ne croyez-vous pas que l’utilisation des données constitue une tacite contrepartie entre les internautes et les services qu’ils utilisent pour communiquer, s’informer, travailler… ?

Non, ce n’est pas une contrepartie. Parce qu’il faut savoir que, dans les nouvelles technologies, la donnée personnelle, c’est l’équivalent du pétrole. S’il n’y avait pas la donnée personnelle, il n’existerait pas de business dans l’économie numérique. Tous les gens qui travaillent autour des nouvelles technologies le font à partir de nos données personnelles. Qu’ils traitent ou extraient, tout cela tourne autour des données personnelles. Donc, la donnée personnelle appartient à la personne concernée. C’est le principe. Maintenant, si le propriétaire décide de céder une parcelle de son pouvoir, de ses données, le législateur ne peut pas intervenir. Le législateur ne l’interdit pas. Maintenant, ce n’est pas parce que j’ai collecté vos données personnelles que j’en fais ce que je veux. C’est interdit. Le délit, c’est qu’on utilise nos données personnelles sans notre autorisation, sans aucune protection, et que demain cela puise se retourner contre nous. C’est cela le danger des données personnelles.

Alors, ne pensez-vous pas que le fait de recevoir des mails ou des Sms dont nous ne sommes pas demandeurs est un abus à notre droit à la vie privée ?

C’est plus qu’un abus. C’est une violation de la vie privée des personnes. Quand je reçois un Sms que je n’ai pas demandé, c’est une violation de la privée. Parce que le Sms peut être réceptionné à quatre heures du matin ou six heures. Alors qu’il porte sur des choses inutiles, des futilités. Cela me dérange et c’est une intrusion dans la vie privée. Donc tous les gens qui reçoivent des Sms ou des courriels sans le vouloir, nous leur demandons de se rapprocher de la Cdp et de nous signaler la provenance du mail ou de quoi que ce soit. « Facebook est un gisement de données personnelles revendues à travers le monde. C’est du business. » Il en est de même pour les utilisateurs de Facebook… Je voudrais attirer leur attention sur le fait qu’ils publient leurs photos, des informations sur leur localisation, leurs goûts sur Facebook.

Quel est le danger ?

Cela va les poursuivre durant toute leur vie. Une photo d’un individu nu publiée sur Facebook y restera durant toute la vie du propriétaire. Et quelqu’un pourra toujours aller chercher cette photo pour vous nuire alors que vous aspirez à devenir une grande personnalité. Le premier danger sur Facebook, c’est le fait de publier soi-même ses photos. Il faut que les gens arrêtent de publier des photos, des informations personnelles sur ce réseau social. En écrivant sur Facebook que « je ferme la porte de la maison et je mets la clef à droite, je vais en vacances », vous dites au voleur : « Venez-vous en servir. » Aujourd’hui, les criminels investissent les réseaux sociaux pour tirer les informations pour leurs activités. Si vous êtes dans la même localité qu’eux, il y a de fortes chances que le jour où vous serez absents, ils commettent le forfait. Ils peuvent même confectionner de faux passeports à partir de vos données personnelles à l’aide de logiciels tels que Photoshop. Donc, les réseaux sociaux sont vraiment une mine d’informations pour les criminels. Au-delà de la publication de cette photo qui est volontaire –la loi n’y peut rien du tout parce que c’est une initiative personnelle- nous appelons les Sénégalais à faire très attention sur les informations personnelles à publier. Derrière cette publication de données sur Facebook, c’est un business pour le réseau. Facebook est un gisement de données personnelles revendues à travers le monde. C’est du business. Si aujourd’hui Facebook parvient à racheter d’autres applications, c’est grâce aux données personnelles qu’il a revendues. Est-ce que le Sénégal est à l’abri de la cybercriminalité, si l’on sait qu’on n’est pas fabricant d’ordinateurs ? Personne n’est à l’abri de la cybercriminalité. Aucun pays au monde ne peut dire qu’il a sécurisé tous ses systèmes d’informations, qu’il a la sécurité à 100 %. Non, il n’en existe pas. Les cybercriminels sont des personnes qui, du matin au soir, réfléchissent sur comment utiliser les technologies les plus pointues pour commettre des infractions. Dire que le Sénégal est à l’abri des criminels du Net, non. Par contre, on prend des mesures pour nous protéger, par la mise en place de lois pour les sanctionner. Il y a une réaction très forte des autorités sénégalaises par rapport à la cybercriminalité. Aujourd’hui, presque chaque semaine, il y a une décision judiciaire liée à la cybercriminalité au Sénégal. Les magistrats sont impliqués, et ils savent ce que signifie la cybercriminalité et comment lutter contre le fléau. Les policiers sont de mieux en mieux formés, et il y a une brigade de police dédiée à la cybercriminalité, qui dispose d’assez de moyens pour faire face aux délinquants. (…)

Il y a aussi les commentaires qui fâchent sur les sites internet concernant l’actualité. Qu’a prévu la Cdp pour résoudre le problème ? (…)

Les commentaires vulgaires en bas des articles de presse online sont déplorables et malheureux dans un pays démocratique comme le Sénégal où il y a des gens imbus de valeurs sociales. Mais le constat est là et ce qu’il faut savoir, c’est que c’est une minorité qui vient salir le travail d’une presse en ligne qui est une corporation de demain. Maintenant, la Cdp a pris certaines mesures.

Lesquelles ?

Aujourd’hui, avec l’Association des éditeurs de la presse en ligne (Appel), nous avons défini un plan d’actions afin de mettre fin à ces types de commentaires. Le plan d’actions tourne autour de points très simples. Le premier point consiste à sensibiliser ceux qui laissent les gens poster sur leur site des commentaires diffamatoires. Donc, c’est un engagement entre la Cdp et Appel. Le deuxième point consiste à mettre en place un prix Cdp afin de permettre à la presse en ligne de concourir. Il s’agit de primer le meilleur site d’actualités qui a su respecter les règles en vigueur dans le respect de la protection des données personnelles. Pour le troisième point, on est en train de réfléchir sur comment mettre en place une application - parce qu’on travaille dans le cadre des nouvelles technologies- qui permettra de filtrer les commentaires. Il faut reconnaître aussi que les acteurs ont fait de ce combat contre les commentaires malveillants le leur. Vous constatez que, depuis quelques jours, des sites ont modéré le contenu des commentaires. C’est un combat et nous allons continuer à nous battre. La Cdp va accompagner tous les acteurs, pas seulement ceux qui sont membres de l’Appel, afin d’accompagner leur business, parce que c’est tout un business qui se trouve derrière ces sites. On va accompagner les administrateurs de sites sénégalais pour qu’il y ait des commentaires constructifs.

N’y a-t-il pas risque d’entrave à la liberté d’expression ?

On ne peut pas invoquer la liberté d’expression pour insulter, diffamer des personnes. (…)

Quels sont les enjeux économiques de la protection des données personnelles ?

Le fait que le Sénégal ait mis en place une Cdp crée un climat de confiance auprès des investisseurs. Parce que si ces derniers veulent venir travailler au Sénégal, s’ils savent que la Cdp va veiller sur les données qu’ils envoient au Sénégal, c’est une garantie supplémentaire pour eux. (…) C’est un baromètre. D’ailleurs, la confiance des investisseurs fait partie des indicateurs du Doing Business. (…)

Est-ce que des structures se sont déjà rapprochées de la Cdp pour garder leurs données ?

Oui, il y a Sonatel, Tigo et Expresso qui sont de grands collecteurs de données. (…)

(Source : Wal Fadjri, 26 février 2014)