En marge d’un atelier organisé dans la perspective de l’actualisation de la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, il a été révélé que la Commission de protection des données à caractère personnel (CDP) n’avait publié aucun de ses rapports annuels depuis sa création. Cette situation est pour le moins préoccupante lorsque l’on sait que l’article 16 de la loi susmentionnée dispose en son alinéa 10 qu’« elle établit chaque année un rapport d’activités remis au Président de la République et au Président de l’Assemblée nationale ». Certes, la CDP publie régulièrement des avis trimestriels dans lesquels elle fait le point sur les activités déclaratives, les demandes d’avis, la mise en place de toutes sortes de dispositifs impliquant le traitement de données à caractère personnel, les autorisations accordées ou refusées, les signalements, les plaintes, les mises en demeure, les missions de contrôle sur site, les activités de sensibilisation, etc. Ces rapports présentent un certain intérêt, mais ils pèchent par leur nature trop factuelle, le manque de statistiques et pour tout dire l’absence d’une véritable dimension analytique utile aux pouvoirs exécutif, législatif et judiciaire comme à la société civile. Ce mauvais signe envoyé en direction de l’ensemble des acteurs de la Société, traduit en réalité le manque d’intérêt que les autorités sénégalaises portent à la problématique pourtant critique de la protection des données à caractère personnel. En effet, il ne suffit pas de mettre en place un cadre légal et réglementaire et un organe de régulation du type de la CDP encore faut-il avoir une véritable politique nationale en la matière et surtout d’avoir la volonté de la mettre en œuvre sans tergiversations aucune. Or, cette volonté politique fait manifestement défaut quand on voit comment ont été gérés la confection des cartes nationales d’identité biométriques, des passeports biométriques, des permis de conduire biométriques, sans parler de tous ces démembrements de l’Etat qui hébergent les données à caractère personnel de dizaines, voire de centaines, de milliers de citoyens et de citoyennes de ce pays dans des bases de données situées hors de nos frontières et qui échappent totalement à leur contrôle. Certes tout n’est pas négatif et l’on a vu ces dernières années des opérateurs de téléphonie mobile construire des datacenters au Sénégal tel celui construit par la Sonatel à Rufisque et celui mis en place par de Tigo à Diamniadio en 2017. Cela étant, force est de constater que même pour les applications à caractère privé, ces deux datacenters présentent l’inconvénient d’être la propriété des deux opérateurs de téléphonie mobile qui comme chacun le sait sont particulièrement friands de données à caractère personnel. La construction en cours d’un datacenter à Diamniadio par l’Agence de l’Informatique de l’Etat (ADIE), qui devrait être doublé par une structure de secours à Kaolack, portant ainsi les capacités globales de stockage de l’Etat à quelques 3600 Téraoctet (To) est donc une initiative à saluer. Cela étant, une fois de plus, la construction de cette infrastructure nationale de stockage ne doit pas être un but en soi. Il urge que l’Etat adopte une série de règles de conduite strictes quant à l’hébergement de l’ensemble des données à caractère personnel des citoyens sénégalais qu’elles soient collecter et traiter par des structures publiques comme par des structures privées. Idéalement, obligation devrait être faite à l’ensemble des acteurs d’héberger leurs données sur le territoire national et de mettre en place des dispositifs de sécurité suffisamment robustes pour réduire au minimum le risque qu’elles soient consultées, modifiées, corrompues, volées voire détruites par des tiers, mais en avons-nous réellement les moyens ? Au-delà de la protection des citoyens, il y va en effet de la sécurité nationale car les fichiers contenant des données relatives aux cartes nationales d’identité, aux passeports, aux permis de conduire, aux cartes grises, à la santé des citoyens, etc. ne devraient pas être gérés par des structures étrangères, hors du territoire national et jusque y compris dans des lieux non connus de l’Etat sénégalais. Cette remarque vaut bien entendu pour l’ensemble des données générées par les ministères régaliens et par les démembrements de l’Etat ayant un caractère stratégique, tels que les organismes de recherche que l’on oublie trop souvent dans les réflexions sur la question. Cependant, cela implique que le Sénégal, seul ou de préférence en collaboration avec d’autres états africains, soit capable d’assurer la sécurité de ces données critiques car le remède ne doit pas être pire que le mal.

Amadou Top
Président d’OSIRIS