Par Thomas Robertson |
Douze annĂ©es après avoir Ă©tĂ© l’un des premiers pays africains Ă promulguer la lĂ©gislation sur la protection des donnĂ©es personnelles, le SĂ©nĂ©gal a proposĂ© un projet de loi pour remplacer la Loi sur la Protection des DonnĂ©es Ă Caractère Personnel de 2008. Le projet de loi de 2019 portant sur la Protection des DonnĂ©es Ă Caractère Personnel rejoint la vision gouvernementale de moderniser le cadre lĂ©gal et institutionnel du domaine des tĂ©lĂ©communications et de la technologie d’ici 2025, comme partie de la «StratĂ©gie SĂ©nĂ©gal NumĂ©rique 2016-2025.» Ce projet de loi essaie d’aborder des nouvelles questions essentielles, y compris la biomĂ©trie, les mĂ©ga donnĂ©es, l’intelligence artificielle, la gĂ©olocalisation et l’informatique en nuage. Il aborde Ă©galement les insuffisances dans la lĂ©gislation actuelle concernant la composition et l’autonomie de l’autoritĂ© de surveillance, les mĂ©canismes pour l’auto-dĂ©claration, et la coopĂ©ration transfrontalière.Â
Le 2008 janvier, le SĂ©nĂ©gal avait adoptĂ© la Loi n° 2008-12 sur 25, qui constitue un cadre lĂ©gal et institutionnel pour la protection des donnĂ©es personnelles. La loi a Ă©tabli une autoritĂ© indĂ©pendante connue comme la Commission de Protection des DonnĂ©es Personnelles (CDP) dont le mandat est d’assurer que le traitement des donnĂ©es personnelles  dans le respect des dispositions de la loi, et de dĂ©fendre les droits des personnes concernĂ©es et les obligations des responsables du traitement. Quelques annĂ©es plus tard en 2016, le SĂ©nĂ©gal devenait le premier pays africain Ă Â ratifier la convention Ă l’Ă©chelle continentale sur la cybersĂ©curitĂ© et la protection des donnĂ©es personnelles, qui Ă©tait adoptĂ©e par l’Union africaine en 2014.Â
La mise en application de la loi demeure un dĂ©fi malgrĂ© le statut du SĂ©nĂ©gal comme un pionnier de la gouvernance des donnĂ©es en l’Afrique. Il y avait des informations de manque de ressources permettant Ă la CDP de rĂ©aliser suffisamment son mandat. En fĂ©vrier 2018, la prĂ©sidente de la CDP Awa Ndiaye a fait un appel Ă l’aide gouvernementale pour soutenir les efforts de sensibilisation et de vĂ©rification de conformitĂ©.Â
Entretemps, le pays a enregistrĂ© une croissance dans le secteur des tĂ©lĂ©communications, avec un taux de pĂ©nĂ©tration d’Internet de 68,49% en 2018, et une scène diverse d’innovation technologique et des mĂ©dias numĂ©riques. Cependant, quelques acteurs publics et privĂ©s continuent de collecter les donnĂ©es personnelles au SĂ©nĂ©gal sans suivi rĂ©glementaire par la CDP. Ceci est le cas pour l’enregistrement obligatoire des cartes SIM mis en place par l’AutoritĂ© de RĂ©gulation des TĂ©lĂ©communications et des Postes (ARTP) entre les opĂ©rateurs des tĂ©lĂ©coms mobiles, qui est liĂ© Ă la banque des donnĂ©es de l’identitĂ© nationale.
Les principes du projet de loi préconisent la collecte, l’enregistrement, le traitement, le stockage et la transmission des données personnelles de manière licite, loyale et non frauduleuse. Selon article 7 du projet de loi, le traitement des données personnelles est défini comme licite si «la personne concernée donne son consentement, le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande, [ou] le traitement est nécessaire à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée.»
Le consentement est dĂ©fini comme une dĂ©claration ou une action affirmative claire, oralement ou par Ă©crit, qui donne permission de traiter les donnĂ©es personnelles (Article 8). Il faut stocker les donnĂ©es traitĂ©es en toute sĂ©curitĂ© et confidentiellement, seulement dans la pĂ©riode de temps nĂ©cessaire (Articles 10-12). Le projet de loi aborde aussi le traitement des donnĂ©es personnelles par des tierces personnes, et mandate un contrat entre les responsables des donnĂ©es et les sous-traitants pour garantir le respect de la loi (Article 16). L’article 110 maintient les droits des personnes d’accĂ©der aux donnĂ©es les concernant et d’en contrĂ´ler l’exactitude.
La Section 1 du projet de loi propose la création de l’Autorité de Protection des Données à Caractère Personnel (APDP) pour remplacer la CDP actuelle. L’APDP fonctionnerait similairement que la CDP, mais la composition des membres diffère en nombre et en qualité. L’APDP se composerait de 12 membres, un plus que la CDP. L’APDP serait composée de deux représentants de la Présidence de la République et un représentant de chaque institution dont de l’Assemblée nationale, du Ministère chargé des Finances, du Ministère de la Justice, du Ministère chargé des Télécommunications et de l’Économie numérique, des organisations patronales désigné par le Ministre chargé des Organisations professionnelles, de l’association de la presse en ligne désigné par le président de ladite association, de la société civile désigné sur proposition des organisations de la société civile, de l’ordre des médecins désigné par le Président dudit ordre, des organisations de défense des droits de l’homme désigné par le Garde des sceaux, Ministre de la Justice, un magistrat membre de la Cour suprême désigné par le Président de ladite Cour, et un avocat désigné par le Bâtonnier de l’Ordre des avocats. La CDP est composé de trois représentants de la Présidence de la République, chacun un magistrat membre du Conseil d’Etat et de la Cour de Cassation, un député désigné par le Président de l’Assemblée nationale, un sénateur désigné par le Président du Sénat, un représentant des organisations patronales désigné par le Ministre chargé des organisations professionnelles, un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal, un représentant des organisations de défense des droits de l’homme désigné par le Ministre de la Justice, Garde des sceaux, et le Directeur de l’Agence De l’Informatique de l’Etat (ADIE).
La constitution proposĂ©e de l’APDP ajoute quatre membres de reprĂ©sentation non-gouvernementale dans cet organisme de supervision, qui remplacent les anciens sièges des reprĂ©sentants du gouvernement et des conseillers prĂ©sidentiels. MĂŞme si ces reprĂ©sentants non-gouvernementaux sont nommĂ©s par dĂ©cret du PrĂ©sident, l’inclusion de ces acteurs non-gouvernementaux est un bon augure pour l’incorporation des intĂ©rĂŞts de la sociĂ©tĂ© civile dans le travail de l’AutoritĂ©. Le projet de loi de 2019 d’ailleurs conforte de la promesse de la loi de 2008 relative Ă la neutralitĂ© de la CDP et la protection du droit d’expression des membres avec une garantie qu’ils ne peuvent pas ĂŞtre dĂ©tenus, arrĂŞtĂ©s, ou punis Ă cause de leurs opinions ou leurs dĂ©cisions prises.
Selon la loi proposĂ©e, des dĂ©rogations s’appliquent lorsque le traitement des donnĂ©es personnelles Ă des fins journalistiques, de recherche et d’expression artistique ou littĂ©raire, si ce traitement est fait « dans le respect des règles dĂ©ontologiques de ces professions» (Article 105). Les dĂ©rogations selon la loi actuelle sont soulignĂ©es dans l’article 2, qui indique « tout traitement des donnĂ©es concernant la sĂ©curitĂ© publique, la dĂ©fense, la recherche et la poursuite d’infractions pĂ©nales ou la sĂ»retĂ© de l’État, mĂŞme liĂ©es Ă un intĂ©rĂŞt Ă©conomique ou financier important de l’État, sous rĂ©serve des dĂ©rogations que dĂ©finit la prĂ©sente loi et des dispositions spĂ©cifiques en la matière fixĂ©es par d’autres lois.»
Les dispositions proposĂ©es selon la Section 6 concernent spĂ©cifiquement les donnĂ©es personnelles et la police. La Section 6 dĂ©clare que la collecte des donnĂ©es comme partie de la prĂ©vention, l’investigation, et la punition du crime doit respecter les principes de proportionnalitĂ© et de nĂ©cessitĂ© et suivre un but lĂ©gitime. Bien que la loi de 2008 et le projet de loi de 2019 rĂ©ussissent Ă bien dĂ©finir les termes techniquest, le « but lĂ©gitime» n’est pas dĂ©fini dans le projet de loi et par consĂ©quent, porte une description vague pouvant susciter des abus de la part du gouvernement.
Le projet introduit aussi la rĂ©gulation de la vidĂ©osurveillance, exigeant qu’«une affiche suffisamment visible doit signaler la prĂ©sence du système, la rĂ©fĂ©rence du rĂ©cĂ©pissĂ© dĂ©livrĂ© par l’AutoritĂ© de protection ainsi que les coordonnĂ©es de la personne ou du service chargĂ© de rĂ©pondre Ă l’exercice des droits d’accès, d’opposition et de suppression» (Article 121). Sauf pour l’objectif de la sĂ©curitĂ© de la propriĂ©tĂ© et des personnes, l’installation de la vidĂ©osurveillance «sur les lieux de travail [comme dĂ©fini au Code du Travail] ne doit pas avoir pour but la surveillance dĂ©libĂ©rĂ©e, systĂ©matique et permanente des employĂ©s» (Article 120). La vidĂ©osurveillance sur les lieux de travail Ă©tait une question litigieuse au SĂ©nĂ©gal en 2019.Â
L’Article 128 Ă©largit la dĂ©finition de « donnĂ©es sensibles», dont elle interdit le traitement, et de l’inclure dans la filiation et des donnĂ©es gĂ©nĂ©tiques. L’Article 129 permet le traitement des donnĂ©es gĂ©nĂ©tiques seulement pour vĂ©rifier l’existence des connexions gĂ©nĂ©tiques dans le cadre des procĂ©dures juridictionnelles ou des investigations criminelles. Cette dĂ©finition Ă©largie de « donnĂ©es sensibles» conforte la dĂ©finition dans la loi de 2008, oĂą les donnĂ©es sensibles Ă©taient dĂ©finies comme les donnĂ©es personnelles concernant les activitĂ©s religieuses, philosophiques, politiques, et syndicales, ainsi que la vie sexuelle, l’origine raciale et celles relatives Ă l’Ă©tat de santĂ©.Â
Dans la perspective de promouvoir la recherche et la collaboration, l’administration des mĂ©gadonnĂ©es est  incluse  comprises dans le projet de loi, qui prĂ©conise qu’il faut identifier et Ă©valuer les risques de la collecte et le traitement des mĂ©gadonnĂ©es (Article 114). En plus, l’Article 118 souligne les conditions pour l’utilisation et la rĂ©utilisation des donnĂ©es ouvertes.Â
Dans son ensemble, le projet de loi de 2019 est une étape importante vers la mise en place d’un cadre de protection des données personnelles modernisé au Sénégal, qui respecte les droits fondamentaux et fournit un environnement favorable à l’innovation dans un monde de plus en plus numérisé. Les consultations publiques sur le projet de loi se poursuivent, et il reste à voir si la rédaction actuelle va incorporer les recommandations et clarifier les dispositions ambiguës ou vagues.
Thomas Robertson est en quatrième annĂ©e du premier cycle d’études en diplomatie et langues Ă©trangères Ă Occidental College Ă Los Angeles, Californie, États-Unis. Il fait actuellement un stage avec la Collaboration sur les Politiques Internationales des TIC pour l’Afrique de l’Est et australe (CIPESA), comme une partie de la recherche pour son mĂ©moire de fin d’études sur “L’Expression numĂ©rique et les Relations sino-africaines.”Â
