Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Vestibulum lorem sed risus ultricies tristique nulla. Sem viverra aliquet eget sit cras adipiscing to make a type specimen book.
Thomas Robertson is currently a senior at Occidental College in Los Angeles, California, United States pursuing degrees in Diplomacy and World Affairs and Group Language.
He has previously interned with the Africa Regional Media Hub as well as the World Affairs Council of Orange County, and has done work for Trans Lifeline. He joined the CIPESA Fellowship program in January 2020 as part of research on his final year composition paper on digital expression and China-Africa relations.
By Thomas Robertson |
Twelve years after being among the first African countries to enact data protection legislation, Senegal has published a bill to replace the 2008 Personal Data Protection Law. The Personal Data Protection Bill of 2019 is part of the government’s goal of upgrading the legal and institutional framework of the technology and telecommunications sector by 2025 as part of “Digital Senegal 2016-2025 Strategic Plan” and seeks to address key emerging digital issues including biometrics, big data, artificial intelligence, geo-location and cloud computing. Further, the bill seeks to address gaps in the existing legislation related to the composition and independence of the oversight authority, mechanisms for self-referral, and cross-border cooperation.
In January 2008, Senegal adopted Law No. 2008-12 of 25 which provides a legal and institutional framework for the protection of personal data. The law established an independent authority known as the Commission of Personal Data (CDP) whose mandate is to ensure that the processing of personal data is implemented in accordance with the provisions of this law, and upholds the rights of data subjects and the obligations of data processors. A few years later in 2016, Senegal went on to become the first African country to ratify the continent-wide convention on Cyber Security and Personal Data Protection, which was adopted by the African Union in 2014.
Despite being a pioneer on data governance in Africa, implementation and enforcement of the law has remained a challenge. There have been reports of resource limitations for the CDP to sufficiently fulfill its mandate. In February 2018, CDP president Awa Ndiaye made a plea for government assistance to support efforts for sensitisation and compliance monitoring.
Meanwhile, the country has recorded a growing telecommunications sector, with a 2018 internet penetration rate of 68.49%, a diverse digital media and technology innovation landscape. However, several private and public actors continue to collect personal data in Senegal without any regulatory enforcement by the CDP. This is the case for mandatory SIM card registration implemented by the Regulatory Authority for Telecommunications and Posts (ARTP) through mobile telecom operators, which is linked to the national identity database.
The principles of the bill state that collection, registration, processing, storage and transmission of personal data must be done in a lawful, fair and non-fraudulent manner. According to Article 7 of the bill, personal data processing is defined as lawful if “consent is given, processing is necessary for legal obligations, a task of public interest, a task related to exercising public authority, the implementation of policy, or in order to protect the interest of fundamental rights and liberties of the person whose data is being processed”.
Consent is defined as a declaration or clear affirmative action, either orally or in writing, that gives permission to process personal data (Article 8). The data processed must be stored securely and confidentially, be limited to data relevant to the task at hand, and be stored only within the period necessary (Articles 10-12). The bill also addresses third party processing of data and mandates a contract between the data controller and subcontractor that guarantees compliance with the law (Article 16). Article 110 maintains the rights of a data subject to access data held about them and to monitor its accuracy.
Section 1 of the bill proposes the establishment of the Personal Data Protection Authority (APDP) to replace the existing CDP. The APDP would operate much like the CDP, but its member composition is different in size and selection. The APDP would have 12 members, one more than the CDP. The APDP’s composition would be two presidential representatives, and one representative each from the National Assembly, the Finance Ministry, the Justice Ministry, the Ministry of Telecommunications and Digital Economy, a business organisation, a digital media organisation, a medical organisation, a human rights organisation, a civil society organisation and the Bar Association of Senegal. On the CDP, there are three presidential representatives, a deputy nominated by the head of the National Assembly, a Senator nominated by the head of the Senate, one magistrate member each from the Council of State and the Court of Cassation, the Director of the State Digital Information Agency (ADIE), a lawyer nominated by the Chairman of the Bar Association of Senegal and one representative each from a business organisation and a human rights organization.
The proposed constitution of the APDP is a four-member increase in the non-governmental representation in the oversight body, replacing seats formerly taken by government representatives and presidential advisors. Even if these non-governmental representatives must be nominated by decree of the president, the inclusion of non-state actors in APDP’s membership bodes well for incorporating the interests of civil society into the work of the Authority. Moreover, the 2019 bill builds on the 2008 law’s promise of CDP’s impartiality and protection of members’ freedom of expression by guaranteeing that members cannot be detained, arrested, or punished based on their opinions or decisions made.
Under the proposed law, exemptions apply when processing personal data for the purposes of journalism, research, artistic or literary expression, if implemented within “the ethical standards of these professions” (Article 105). Exemptions under the existing law are outlined under Article 2, which states that “any processing of data relating to public security, defense, investigation and prosecution of criminal offenses or state security, as well as significant economic or financial interests of the State, is subject to the exceptions defined by this law and specific provisions on the matter set by other laws.”
Provisions proposed under Section 6 specifically speak to personal data and law enforcement. Section 6 states that data collection as part of crime prevention, investigation and punishment must respect the principles of necessity and proportionality as well as follow a legitimate goal. Although both the 2008 law and 2019 bill do well in defining technical terms, “legitimate goal” is undefined in the bill, and as such, is a vague description that may be subject to abuse by the government.
The bill also introduces regulation of video surveillance, with a requirement for a visible notification of the presence of the surveillance system, a receipt reference issued by the Authority, and contact details of the person or service responsible for the “rights of access, opposition and deletion” of content from the video system (Article 121). Other than for purposes of safety of property and people, the installation of video surveillance for “systematic, deliberate and permanent monitoring” at places of work as defined in the Labor Code is outlawed (Article 120). Video monitoring at workplaces was a contentious issue in Senegal in 2019.
Article 128 expands the definition of “sensitive data,” which is illegal to process, to include familial descent and genetic data. Article 129 allows the processing of genetic data only in order to verify the existence of genetic connections in the context of court proceedings or criminal investigations. This expanded definition of “sensitive data” builds upon how it was defined under the previous law, where sensitive data was defined as personal data relating to religious, philosophical, political, and labor union activities, as well as sexual life, race, and health.
In a move to promote research and collaboration, the management of big data is also included in the bill, mandating that risks of big data collection and processing must be identified and evaluated (Article 114). Additionally, Article 118 sets out the conditions for the use and reuse of open data.
Overall, the bill is a significant step towards establishing a modernised data protection framework for Senegal that is rights respecting, and provides a conducive environment to support innovation amidst an increasingly digitised environment. Public consultations on the bill are ongoing and it remains to be seen whether ongoing drafting will incorporate recommendations and provide clarity on ambiguous/vague provisions.
Thomas Roberston is a fourth-year undergraduate student studying international affairs and foreign languages at Occidental College in Los Angeles, California, United States. He is currently interning with the Collaboration on International ICT Policy for East and Southern Africa (CIPESA) as part of research on his final year composition paper on digital expression and China-Africa relations.
Par Thomas Robertson |
Douze années après avoir été l’un des premiers pays africains à promulguer la législation sur la protection des données personnelles, le Sénégal a proposé un projet de loi pour remplacer la Loi sur la Protection des Données à Caractère Personnel de 2008. Le projet de loi de 2019 portant sur la Protection des Données à Caractère Personnel rejoint la vision gouvernementale de moderniser le cadre légal et institutionnel du domaine des télécommunications et de la technologie d’ici 2025, comme partie de la «Stratégie Sénégal Numérique 2016-2025.» Ce projet de loi essaie d’aborder des nouvelles questions essentielles, y compris la biométrie, les méga données, l’intelligence artificielle, la géolocalisation et l’informatique en nuage. Il aborde également les insuffisances dans la législation actuelle concernant la composition et l’autonomie de l’autorité de surveillance, les mécanismes pour l’auto-déclaration, et la coopération transfrontalière.
Le 2008 janvier, le Sénégal avait adopté la Loi n° 2008-12 sur 25, qui constitue un cadre légal et institutionnel pour la protection des données personnelles. La loi a établi une autorité indépendante connue comme la Commission de Protection des Données Personnelles (CDP) dont le mandat est d’assurer que le traitement des données personnelles dans le respect des dispositions de la loi, et de défendre les droits des personnes concernées et les obligations des responsables du traitement. Quelques années plus tard en 2016, le Sénégal devenait le premier pays africain à ratifier la convention à l’échelle continentale sur la cybersécurité et la protection des données personnelles, qui était adoptée par l’Union africaine en 2014.
La mise en application de la loi demeure un défi malgré le statut du Sénégal comme un pionnier de la gouvernance des données en l’Afrique. Il y avait des informations de manque de ressources permettant à la CDP de réaliser suffisamment son mandat. En février 2018, la présidente de la CDP Awa Ndiaye a fait un appel à l’aide gouvernementale pour soutenir les efforts de sensibilisation et de vérification de conformité.
Entretemps, le pays a enregistré une croissance dans le secteur des télécommunications, avec un taux de pénétration d’Internet de 68,49% en 2018, et une scène diverse d’innovation technologique et des médias numériques. Cependant, quelques acteurs publics et privés continuent de collecter les données personnelles au Sénégal sans suivi réglementaire par la CDP. Ceci est le cas pour l’enregistrement obligatoire des cartes SIM mis en place par l’Autorité de Régulation des Télécommunications et des Postes (ARTP) entre les opérateurs des télécoms mobiles, qui est lié à la banque des données de l’identité nationale.
Les principes du projet de loi préconisent la collecte, l’enregistrement, le traitement, le stockage et la transmission des données personnelles de manière licite, loyale et non frauduleuse. Selon article 7 du projet de loi, le traitement des données personnelles est défini comme licite si «la personne concernée donne son consentement, le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande, [ou] le traitement est nécessaire à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée.»
Le consentement est défini comme une déclaration ou une action affirmative claire, oralement ou par écrit, qui donne permission de traiter les données personnelles (Article 8). Il faut stocker les données traitées en toute sécurité et confidentiellement, seulement dans la période de temps nécessaire (Articles 10-12). Le projet de loi aborde aussi le traitement des données personnelles par des tierces personnes, et mandate un contrat entre les responsables des données et les sous-traitants pour garantir le respect de la loi (Article 16). L’article 110 maintient les droits des personnes d’accéder aux données les concernant et d’en contrôler l’exactitude.
La Section 1 du projet de loi propose la création de l’Autorité de Protection des Données à Caractère Personnel (APDP) pour remplacer la CDP actuelle. L’APDP fonctionnerait similairement que la CDP, mais la composition des membres diffère en nombre et en qualité. L’APDP se composerait de 12 membres, un plus que la CDP. L’APDP serait composée de deux représentants de la Présidence de la République et un représentant de chaque institution dont de l’Assemblée nationale, du Ministère chargé des Finances, du Ministère de la Justice, du Ministère chargé des Télécommunications et de l’Économie numérique, des organisations patronales désigné par le Ministre chargé des Organisations professionnelles, de l’association de la presse en ligne désigné par le président de ladite association, de la société civile désigné sur proposition des organisations de la société civile, de l’ordre des médecins désigné par le Président dudit ordre, des organisations de défense des droits de l’homme désigné par le Garde des sceaux, Ministre de la Justice, un magistrat membre de la Cour suprême désigné par le Président de ladite Cour, et un avocat désigné par le Bâtonnier de l’Ordre des avocats. La CDP est composé de trois représentants de la Présidence de la République, chacun un magistrat membre du Conseil d’Etat et de la Cour de Cassation, un député désigné par le Président de l’Assemblée nationale, un sénateur désigné par le Président du Sénat, un représentant des organisations patronales désigné par le Ministre chargé des organisations professionnelles, un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal, un représentant des organisations de défense des droits de l’homme désigné par le Ministre de la Justice, Garde des sceaux, et le Directeur de l’Agence De l’Informatique de l’Etat (ADIE).
La constitution proposée de l’APDP ajoute quatre membres de représentation non-gouvernementale dans cet organisme de supervision, qui remplacent les anciens sièges des représentants du gouvernement et des conseillers présidentiels. Même si ces représentants non-gouvernementaux sont nommés par décret du Président, l’inclusion de ces acteurs non-gouvernementaux est un bon augure pour l’incorporation des intérêts de la société civile dans le travail de l’Autorité. Le projet de loi de 2019 d’ailleurs conforte de la promesse de la loi de 2008 relative à la neutralité de la CDP et la protection du droit d’expression des membres avec une garantie qu’ils ne peuvent pas être détenus, arrêtés, ou punis à cause de leurs opinions ou leurs décisions prises.
Selon la loi proposée, des dérogations s’appliquent lorsque le traitement des données personnelles à des fins journalistiques, de recherche et d’expression artistique ou littéraire, si ce traitement est fait « dans le respect des règles déontologiques de ces professions» (Article 105). Les dérogations selon la loi actuelle sont soulignées dans l’article 2, qui indique « tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’État, même liées à un intérêt économique ou financier important de l’État, sous réserve des dérogations que définit la présente loi et des dispositions spécifiques en la matière fixées par d’autres lois.»
Les dispositions proposées selon la Section 6 concernent spécifiquement les données personnelles et la police. La Section 6 déclare que la collecte des données comme partie de la prévention, l’investigation, et la punition du crime doit respecter les principes de proportionnalité et de nécessité et suivre un but légitime. Bien que la loi de 2008 et le projet de loi de 2019 réussissent à bien définir les termes techniquest, le « but légitime» n’est pas défini dans le projet de loi et par conséquent, porte une description vague pouvant susciter des abus de la part du gouvernement.
Le projet introduit aussi la régulation de la vidéosurveillance, exigeant qu’«une affiche suffisamment visible doit signaler la présence du système, la référence du récépissé délivré par l’Autorité de protection ainsi que les coordonnées de la personne ou du service chargé de répondre à l’exercice des droits d’accès, d’opposition et de suppression» (Article 121). Sauf pour l’objectif de la sécurité de la propriété et des personnes, l’installation de la vidéosurveillance «sur les lieux de travail [comme défini au Code du Travail] ne doit pas avoir pour but la surveillance délibérée, systématique et permanente des employés» (Article 120). La vidéosurveillance sur les lieux de travail était une question litigieuse au Sénégal en 2019.
L’Article 128 élargit la définition de « données sensibles», dont elle interdit le traitement, et de l’inclure dans la filiation et des données génétiques. L’Article 129 permet le traitement des données génétiques seulement pour vérifier l’existence des connexions génétiques dans le cadre des procédures juridictionnelles ou des investigations criminelles. Cette définition élargie de « données sensibles» conforte la définition dans la loi de 2008, où les données sensibles étaient définies comme les données personnelles concernant les activités religieuses, philosophiques, politiques, et syndicales, ainsi que la vie sexuelle, l’origine raciale et celles relatives à l’état de santé.
Dans la perspective de promouvoir la recherche et la collaboration, l’administration des mégadonnées est incluse comprises dans le projet de loi, qui préconise qu’il faut identifier et évaluer les risques de la collecte et le traitement des mégadonnées (Article 114). En plus, l’Article 118 souligne les conditions pour l’utilisation et la réutilisation des données ouvertes.
Dans son ensemble, le projet de loi de 2019 est une étape importante vers la mise en place d’un cadre de protection des données personnelles modernisé au Sénégal, qui respecte les droits fondamentaux et fournit un environnement favorable à l’innovation dans un monde de plus en plus numérisé. Les consultations publiques sur le projet de loi se poursuivent, et il reste à voir si la rédaction actuelle va incorporer les recommandations et clarifier les dispositions ambiguës ou vagues.
Thomas Robertson est en quatrième année du premier cycle d’études en diplomatie et langues étrangères à Occidental College à Los Angeles, Californie, États-Unis. Il fait actuellement un stage avec la Collaboration sur les Politiques Internationales des TIC pour l’Afrique de l’Est et australe (CIPESA), comme une partie de la recherche pour son mémoire de fin d’études sur “L’Expression numérique et les Relations sino-africaines.”
Letter |
The Collaboration on International ICT Policy for East and Southern Africa (CIPESA) has joined 27 other organisations in submitting a public letter to the United Nations and African Commission Special Rapporteurs in the case of the arrest of Tanzanian human rights defender Tito Magoti.
The joint letter requests that the respective offices urgently intervene in the cases of human rights defenders and journalists in Tanzania, who are facing criminal prosecution for exercising their fundamental rights and urge the government to immediately drop these charges. It further urges that the state be reminded to ensure that all citizens, from the moment of their arrest for any crime, are afforded the full due process of the law without derogation.
See the letter here.