New Mali Cybercrime Law Potentially Problematic to Digital Rights

By Simone Toussi |

On December 5, 2019, the president of Mali promulgated Law n° 2019-056 on the Suppression of Cybercrime. Although timely and relevant, a number of provisions pose potential threats to privacy and freedom of expression online, especially in view of Mali’s democracy deficits and low press freedom ranking.

The new law, applies to “any offence committed by means of Information and Communication Technologies (ICT) in whole or part on the territory of Mali, to any offence committed in cyberspace and whose effects occur on the national territory” (article 2).  It is part of a legislative framework deemed necessary to support reforms in the technology sector, pursuant to the 2000  Mali Telecommunications Sector Policy Declaration.

From Privacy Breaches to Digital Authoritarianism

Mali’s Constitution provides for privacy of communications under Article 6 while the Personal Data Protection Act of 2013 under article 5 and the Telecommunications Act, 1999 in article 1 buttress the constitutional provision. Unfortunately, the cybercrime law conflicts with these existing right to privacy guarantees.

The Cybercrime Law in articles 74 to 78 authorises search of computers and seizure of data as part of criminal investigations. Moreover, under article 75, data may be copied and stored where “seizure of the medium seems inappropriate”. The law does not provide for how the copied data should be stored, processed or disposed of upon conclusion of investigations. This undermines the data protection principle laid down in article 7 of the  Personal Data Protection Act – that personal data must only be kept for a specified period and purpose.

Further, articles 83 to 86 suggest real-time surveillance through interception of communications. Service providers are required to cooperate with authorities, including through ensuring that they have in place the necessary technical means to facilitate interception of communications. These wide powers double as an addition to those given to authorities under article 4 of the Telecommunications Act. This article which states: “When public security or the defense of the territory of Mali so requires, the Government may, for a limited period, requisition all the telecommunications networks established in the territory of Mali, as well as the equipment connected to it and / or prohibit the provision of telecommunications service.” This article has in the past been evoked when the government ordered  social media disruptions in 2016 during public protests and more recently during the 2018 elections when it ordered an internet shutdown.

Furthermore, communications service providers are required to put in place mechanisms to monitor systems for potential illegal activity, with failure to inform authorities of illegal activities being punishable by a prison sentence of between six months and two years, a fine of Central African Francs (CFA) 500,000 to 2,000,000  (USD 830 to 3,318 ) or both (article 25).

Warnings for Freedom of Expression

Although Mali’s constitution guarantees freedom of expression and opinion (article 4), the Law on the Press Regime and Press Offences (2000) is vague as it does not explicitly guarantee freedom of the press or media pluralism, nor does it define press offences. It also does not contain any provisions on online media. This constitutes a vacuum preceding the law on the Suppression of Cybercrime which, for its part, contains provisions which directly affect freedom of expression and opinion.

Articles 20 and 21 of the new law punish threats and insults made through an information system, with penalties ranging from six months to 10 years imprisonment, a fine of CFA 1,000,000 to 10,000,000 CFA (USD 1,680 to 16,800), or both. Without a clear definition and detail of the constituent elements of ‘threat’ or ‘insult’, these provisions are open to interpretation that can hinder freedom of expression. This is all the more critical since these terms are also not defined by the law on the press regime and press offences, in its article 33 on incitement and article 38 on defamation.

Moreover, articles 55 and 56 condemn the “public dissemination” of “all printed matter, all writings, drawings, posters, engravings, paintings, photographs, films or stereotypes, matrices or photographic reproductions, emblems, all objects or images that do not tie with good morality.” The corresponding penalties range from six months to seven years imprisonment, a fine of CFA 500,000 to 10,000,000 (USD 840 to 16,800), or both.

Article 54 of the cybercrime law states that “press offenses, committed through information and communication technologies, with the exception of those committed by the press on the internet, are punishable by ordinary law”. Given that the Press Law does not include provisions for online press, it is unclear what the distinction is between press offences via ICT and press offences via the internet. Furthermore, there is a lack of precision on the determination as to whether an offense falls under the cybercrime law, ordinary law, or press law.

Article 23 provides for a fine of CFA 200,000 to 2,000,000 (USD 332 to 3,318), imprisonment of between six months and one year, or both, for fake reports of illegal activity or content online, “with the aim of obtaining its withdrawal or having it stopped by a public eCommunications service provider”. However, activities and contents considered as illegal are not defined by the law, and therefore subject to denunciation.

Way forward

The law is well intentioned in seeking to ensure safe and secure use of ICT in Mali. However, it comes into effect in a fragile context. Provisions relating to data processing as part of criminal investigations pose significant risk to personal data integrity, security and privacy. Further, the law places a huge burden on telecommunications intermediaries to track and monitor network activity, and holds these intermediaries liable for the actions of their clients. Provisions relating to online press offences are inconsistent with legislating the media in the age of digitalisation. The new law and existing related laws therefore require revisions to safeguard and uphold constitutional guarantees of freedom of expression and privacy, online and offline.

L'Afrique Face à de Nouveaux Systèmes de Désinformation et de Surveillance Qui Sapent la Démocratie

Par Daniel Mwesigwa |

Une gamme de fournisseurs de logiciels espions, dont la firme italienne Hacking Team, l’anglo-germanique Gamma Group et l’israélienne NSO Group, ont trouvé un marché ouvert auprès des gouvernements autoritaires et répressifs en Afrique et ailleurs. De même, des campagnes de propagande systématiques conçues par des acteurs fantaisistes – y compris des agents du gouvernement et des entreprises ambitieuses d’analyse de données telles que Cambridge Analytica travaillant pour le compte d’acteurs étatiques et non étatiques – deviennent de plus en plus visibles en Afrique, en particulier pendant les périodes électorales.

Les outils et tactiques de ces opérateurs, pour la plupart non africains, sapent de plus en plus la démocratie et le respect des droits humains en Afrique, car ils permettent une surveillance de masse et une désinformation qui manipule et sape le discours politique.

Lire également: L’écriture en quête de liberté: politique et droits numériques en Afrique

Par exemple, le quotidien Wall Street Journal a révélé dans le détail le 15 août 2019 comment le géant chinois de la technologie Huawei et ses techniciens avaient aidé la police ougandaise à pirater les communications cryptées d’une figure de l’opposition. Les agents de sécurité ont ainsi pu contrecarrer les plans de mobilisation du chef de l’opposition. L’article indiquait également que des techniciens de Huawei avaient aidé les autorités zambiennes à accéder aux téléphones et aux pages de médias sociaux d’un groupe de blogueurs de l’opposition qui avaient été traqués et arrêtés.

Grâce à des failles de sécurité, les outils et logiciels espions confèrent aux gouvernements, notamment aux services de renseignement et d’application de la loi, des pouvoirs immenses pour surveiller l’utilisation de systèmes d’intrusion secrets sur les principales plates-formes mobiles et systèmes d’exploitation. En 2016, le Citizen Lab, un laboratoire interdisciplinaire travaillant à l’intersection des affaires mondiales et de la technologie à l’Université de Toronto, a découvert Pegasus – un malware sophistiqué développé par la firme israélienne NSO Group qui est injecté dans le téléphone d’une cible via du texte ou WhatsApp, l’outil de messagerie populaire en Afrique. Le Citizen Lab a depuis identifié les opérations de Pegasus dans plus de 45 pays, dont l’Algérie, l’Égypte, la Côte d’Ivoire, le Kenya, le Maroc, le Rwanda, l’Afrique du Sud, le Togo, l’Ouganda et la Zambie. Mais NSO se serait vanté maintes et maintes fois comment elle pouvait pénétrer divers systèmes d’exploitation et applications indépendamment des correctifs de sécurité.

Selon le Rapport 2019 sur l’état de la liberté d’Internet en Afrique, “l’état de surveillance” en Afrique a acquis une notoriété au tournant de la décennie, après le tristement célèbre printemps arabe qui a balayé l’Afrique du Nord en 2011, qui aurait été amplifié par des voix dissidentes sur les réseaux sociaux. Le rapport montre comment des États répressifs tels que la Tanzanie, l’Ouganda, l’Éthiopie, le Botswana et le Rwanda ont depuis renforcé leurs capacités de surveillance en achetant des logiciels espions avancés. En 2015, il a été révélé que l’Ouganda et la Tanzanie avaient acheté le système de contrôle à distance (RCS) premium de Hacking Team pour l’intrusion dans les systèmes des principales plates-formes mobiles et systèmes d’exploitation.

Plus récemment, le Financial Times a rapporté que le Rwanda avait versé jusqu’à 10 millions de dollars américains au groupe NSO pour espionner les critiques et dissidents du gouvernement via WhatsApp – une allégation que le président rwandais M. Paul Kagame a démentie lors d’un point de presse présidentiel tenu le 8 novembre 2019, reconnaissant seulement qu’ils espionnent “nos ennemis” en utilisant “l’intelligence humaine”. Il a ajouté: “Je ne dépenserais pas mon argent pour des non-personne [les exilés rwandais], nous avons des secteurs comme l’éducation pour dépenser cet argent”.

Toutefois le déni de M. Kagame doit être pris avec prudence. En 2016, un tribunal rwandais a condamné un chanteur populaire, M. Kizito Mihigo, à 10 ans de prison pour des allégations de complot en vue de renverser le gouvernement, sur la base de messages WhatsApp et Skype échangés en privé piratés avec de prétendus dissidents en exil.

Les cas présumés du Rwanda semblent être liés à d’autres cas dans lesquels NSO a infiltré des comptes WhatsApp de journalistes, de militants des droits de l’homme, de dissidents politiques, d’éminentes femmes dirigeantes et d’autres membres de la société civile dans jusqu’à 20 pays, ce qui a incité Facebook (propriétaire de WhatsApp ) à poursuivre NSO en octobre 2019. Le procès intenté par Facebook devant la Cour fédérale des États-Unis accuse le fabricant de logiciels espions d’avoir piraté les comptes WhatsApp de 1 400 utilisateurs dans le monde. Bien que l’on ne dispose que de peu de détails sur l’identité exacte des personnes touchées, 174 personnes sont des avocats, des journalistes, des défenseurs des droits de l’homme et des chefs religieux.

Selon le Financial Times, six des personnes ciblées au Rwanda, ont été interviewées et ont confirmé avoir été alertées par WhatsApp sur la possible surveillance par NSO de leurs communications. Il s’agit notamment d’un journaliste vivant en exil en Ouganda qui avait adressé une demande au gouvernement ougandais “d’aider à protéger les Rwandais du pays contre les assassinats”, des personnalités de l’opposition vivant en Afrique du Sud et en Grande Bretagne membres du Rwanda National Congress (RNC), un groupe d’opposition en exil; d’un officier de l’armée qui a fui le Rwanda en 2008 et a témoigné contre des membres du gouvernement rwandais devant un tribunal français en 2017, et d’un membre belge du parti d’opposition FDU-Inkingi.

Pendant ce temps, certaines puissances étrangères testent prétendument, comme l’a récemment rapporté le New York Times, “de nouvelles tactiques de désinformation en Afrique pour étendre leur influence”. Le rapport détaille comment le groupe Wagner fondé par l’homme d’affaires Yevgeny Prigozhin, qui aurait des liens étroits avec le gouvernement russe, a mené ces dernières années des campagnes de désinformation agressives sur Facebook.

Il est rapporté que la campagne de Prigozhin a utilisé des comptes Facebook ouverts localement pour dissimuler son comportement et a également utilisé des réseaux de nouvelles factices qui republient régulièrement des articles de l’organisation de presse publique russe Sputnik pour promouvoir les politiques russes tout en sapant les politiques américaines et françaises en Afrique. Le 31 octobre 2019, Facebook aurait supprimé ces comptes qui influençaient les opérations “dans la politique intérieure” de huit pays africains – le Cameroun, la République centrafricaine, le Congo Brazzaville, la Côte d’Ivoire, Madagascar, le Mozambique et le Soudan.

Plus tôt en 2019, Facebook aurait fermé une opération distincte de “fake news” ciblant les élections dans des pays africains tels que le Nigeria, le Sénégal, le Togo, le Niger, l’Angola et la Tunisie, propagée par des comptes “inauthentiques” sur Facebook et Instagram gérés par une société commerciale israélienne, Groupe Archimède. Entre 2013 et 2017, des gouvernements tels que celui du Kenya et du Nigéria auraient engagé Cambridge Analytica pour manipuler l’électorat dans le but de faire remporter les élections présidentielles par les candidats sortants.

Outre les campagnes de désinformation liées aux acteurs russes et les logiciels espions fabriqués en Israël, il existe également des programmes de surveillance par reconnaissance faciale tels que les “Smart Cities” de Huawei, qui ont été déployés dans 12 pays africains. Certains considèrent ce phénomène           comme une exportation de l’autoritarisme numérique.

Il est désormais évident que les gouvernements et des acteurs non étatiques ont la tâche ardue de relever les défis de gouvernance causés par ce phénomène. Par conséquent, avec l’aide de plateformes technologiques, les gouvernements doivent comprendre quelles lois et politiques, y compris les mécanismes de contrôle et d’application, sont nécessaires pour renforcer la protection de la démocratie et des droits de l’homme dans un monde numérique en rapide évolution.

The Africa Digital Rights Fund Awards USD 152,000 to Advance Digital Rights in 18 African Countries

By Ashnah Kalemera |

The second round of the Africa Digital Rights Fund (ADRF) has awarded a total of USD 152,000 to 14 initiatives that will work to advance digital rights in 18 African countries. Among the focus areas of the initiatives are access to information, data protection and privacy, digital economy, Digital Identity (ID), digital security, diversity and inclusion, freedom of expression, hate speech, misinformation, and innovation for democratic participation, transparency and accountability (civic and social tech).

ADRF Round Two focus countries: Algeria, Cameroon, Democratic Republic of Congo, Ethiopia, Ghana, Ivory Coast, Kenya, Malawi, Mozambique, Nigeria, Rwanda, Somalia, Somaliland, Sudan, Tanzania, Tunisia, Uganda and Zimbabwe

Launched in April 2019, the ADRF responds to rising digital rights violations such as arrests and intimidation of internet users, network shutdowns, and a proliferation of laws and regulations that hamper internet access and affordability. It offers flexible and rapid response grants to initiatives in Africa to implement activities that advance digital rights and the potential of technology to uphold human rights, advance democratic governance, and drive innovation. In the inaugural round of ADRF, initiatives with activities spanning 16 African countries received a total of USD 65,000.

The second call for applications attracted 164 applications from 33 countries. The applicants were assessed on the following attributes:

  • The applicant’s experience in advancing digital rights/track record on similar work;
  • Demonstrated need for the project, including relevance to described context and priorities of the Fund;
  • Eligibility in terms of geographic coverage, proposed activities, duration, and evidence of the applicant’s formal registration or operations;
  • Demonstration of innovation with regards to approach, feasibility of deliverables and timelines, and potential impact of the intervention;
  • Potential for data-driven advocacy;
  • Budget feasibility; and
  • Diversity considerations.

The assessment was conducted by CIPESA programme staff and five external experts with extensive experience in the digital rights field.

Together with the inaugural grantees, grantees from  the second round will be eligible for technical and institutional capacity building, including on data literacy and advocacy skills through the Data4Change initiative, as well as impact communication.

The grantees of the ADRF’s second call are:

Action et Humanisme – Ivory Coast: Action et Humanism will work to promote internet use among persons with disabilities in Cote d’Ivoire by conducting quality of service/user experience surveys, assessments of ICT accessibility compliance among government entities and telecommunications companies, and knowledge and skills building exercises on inclusive internet access for 100 representatives from media, disability rights organisations, academia and technology companies.

ADISI – Cameroon: ADISI will promote social accountability and citizen-duty bearer interactions beyond Cameroon’s economic capital Douala through its civic engagement and data journalism initiatives, and capacity building of youth leaders in digital advocacy, public policy participation, and  access to information.

African Feminism – Pan African: Through its network of writers, contributors and editors, African Feminism will document legal and policy developments as well as survivor experiences of revenge pornography in Malawi, Nigeria, and Uganda towards pushing for accountability (prevention, protection and redress) of governments and platform operators. The documentation will be via in-depth articles, visual stories and social media campaigns.

Centre for International Trade, Economics and Environment (CUTS) – Kenya: While acknowledging the potential gains of digital innovation in Kenya’s financial services sector, concerns about threats and vulnerabilities to privacy and data protection, as well as to consumer rights, prevail. Accordingly, through research, policy analysis and online campaigns, CUTS will examine the technological, institutional, and legal environment relating to digital financial consumer protection in Kenya and identify opportunities for strengthening the sector.

Digital Shelter – Somalia: In response to arrests and intimidation of several journalists and social media activists by the Somali federal government and federal states, digital attacks, and threats from terrorist groups, Digital Shelter will organise a series of events under the theme “Protect Our Online Space”. Targeting 120 human rights defenders, activists, journalists and bloggers, the project will work on digital safety and security, the shrinking civic space, freedom of expression and hate speech.

Forum de Organizacoes de Pessoas com Deficiencia (Disabled Persons Organisations Forum) – Mozambique: The Forum will conduct ICT accessibility and compliance assessments of Mozambique’s state obligations under the United Nations Convention on the Rights of Persons with Disabilities (CRPD) and work to build the capacity of disability rights organisations to advocate for accessible ICT for persons with disabilities including through the G3ict Digital Accessibility Evaluation Index. The findings and recommendations will form the basis of a stakeholder submission as part of Mozambique’s upcoming Universal Periodic Review (UPR).

Global Voices – Sub-Saharan AfricaMiddle East and North Africa: Building on “Writing Toward Freedom: Politics and digital rights in Africa”, Global Voices will investigate identity-driven hate speech, disinformation and harassment in online spaces in Algeria, Cameroon, Ethiopia, Nigeria, Sudan, Tunisia and Uganda. Through collaborative workshops, multilingual in-depth feature stories, and curated social media dialogue, the initiative will explore how language, culture, gender, religion and ethnicity affect digital spaces in the seven focus countries during politically charged periods, and how technology platforms regulate and moderate harmful content.

iWatch Africa – Ghana: This project will focus on tracking, documenting, and analysing online abuse and harassment against journalists and rights activists covering political and societal issues in Ghana. Based on the various cases, iWatch Africa will engage the Commission on Human Rights and Administrative Justice (CHRAJ) and policy makers to develop protocols for legal support for victims to seek redress.

Jamii Forums – Tanzania: In the run up to the general elections in Tanzania, Jamii Forums will work to enhance the digital security of 100 activists, journalists, lawyers, bloggers and human rights defenders, including raising awareness on digital vulnerabilities, the link to between digital vulnerabilities and physical/offline environments and effects on their work. A reporting and rapid response system will provide onward support in the elections period. The project will also feature stakeholder engagements on data protection and privacy, targeting law enforcement authorities and the communications regulator.

JP Media and Sobanukirwa – Rwanda: Based on Rwanda’s seven-year-old Access to Information Law and the five-year-old Sobanukirwa initiative, this project will research challenges to implementation of the law and uptake of the platform respectively, so as to promote increased citizens’ information requests, duty bearer responsiveness, and proactive disclosure.

Mzalendo Trust – Kenya: Building on its track record in promoting transparency and accountability, as well as citizen participation in legislative processes, Mzalendo will conduct research on the impact and perceptions of the Huduma Namba initiative in Kenya, run a public awareness campaign on data rights in Kenya and enhance the interactive functionality of its Dokeza platform.

Rudi International – Democratic Republic of Congo (DR Congo): Goma-based Rudi International will work to build a coalition of digital rights lawyers to support digital rights advocacy and strategic litigation efforts in the DR Congo’s fast-evolving but challenging telecommunications landscape. The lawyers, to be drawn from the four cities of Bukavu, Goma, Kisangani, and Lubumbashi, will benefit from ICT policy training, webinars, and connections to relevant regional and international fora.

Somaliland Journalists Association (SOLJA) – Somaliland: Through a knowledge, attitude and perceptions (KAPs) survey, design thinking workshop, digital literacy training, and roundtable engagements on digital media in the context of conflict regions, SOLJA will work with media practitioners and law enforcement authorities to strengthen media freedom and combat hate speech and misinformation in Somaliland.

Zimbabwe Centre for Media and Information Literacy (ZCMIL) and the National University of Science and Technology (NUST) – Zimbabwe: This collaborative project will work to empower 120 grassroots-based citizen journalists in media and information literacy. Covering a range of topics, including ethical standards, information and news verification and fact-checking, as well as digital security, the project beneficiaries will be drawn from six localities (Bulawayo, Plumtree, Kwekew, Lupane, Gweru and Hwange) and are expected to support citizen voice and agency in rule of law, constitutionalism, improved service delivery and good governance.

———————————————————————————————————————————-

The ADRF is an initiative of the Collaboration on International ICT Policy for East and Southern Africa (CIPESA) with support from the Ford Foundation, the Swedish International Development Cooperation Agency (Sida), the German Society for International Cooperation Agency (GIZ) and the Omidyar Network.

Senegal to Review Data Protection Law

By Thomas Robertson |

Twelve years after being among the first African countries to enact data protection legislation, Senegal has published a bill to replace the 2008 Personal Data Protection Law. The Personal Data Protection Bill of 2019 is part of the government’s goal of upgrading the legal and institutional framework of the technology and telecommunications sector by 2025 as part of “Digital Senegal 2016-2025 Strategic Plan” and seeks to address key emerging digital issues including biometrics, big data, artificial intelligence, geo-location and cloud computing. Further, the bill seeks to address  gaps in the existing legislation related to the composition and independence  of the oversight authority, mechanisms for self-referral, and cross-border cooperation.

In January 2008, Senegal adopted Law No. 2008-12 of 25 which provides a legal and institutional framework for the protection of personal data. The law established an independent authority known as the Commission of Personal Data (CDP) whose mandate is to ensure that the processing of personal data is implemented in accordance with the provisions of this law, and upholds the rights of data subjects and the obligations of data processors. A few years later in 2016, Senegal went on to become the first African country to ratify the continent-wide convention on Cyber Security and Personal Data Protection, which was adopted by the African Union in 2014.

Despite being a pioneer on data governance in Africa, implementation and enforcement of the law has remained a challenge. There have been reports of resource limitations for the CDP to sufficiently fulfill its mandate. In February 2018, CDP president Awa Ndiaye made a plea for government assistance to support efforts for sensitisation and compliance monitoring.

Meanwhile, the country has recorded a growing telecommunications sector, with a 2018 internet penetration rate of 68.49%, a diverse digital media and technology innovation landscape. However, several private and public actors continue to collect personal data in Senegal without any regulatory enforcement by the CDP. This is the case for mandatory SIM card registration implemented by the Regulatory Authority for Telecommunications and Posts (ARTP) through mobile telecom operators, which is  linked to the national identity database.

The principles of the bill state that collection, registration, processing, storage and transmission of personal data must be done in a lawful, fair and non-fraudulent manner. According to Article 7 of the bill, personal data processing is defined as lawful if “consent is given, processing is necessary for legal obligations, a task of public interest, a task related to exercising public authority, the implementation of policy, or in order to protect the interest of fundamental rights and liberties of the person whose data is being processed”.

Consent is defined as a declaration or clear affirmative action, either orally or in writing, that gives permission to process personal data (Article 8). The data processed must be stored securely and confidentially, be limited to data relevant to the task at hand, and be stored only within the period necessary (Articles 10-12). The bill also addresses third party processing of data and mandates a contract between the data controller and subcontractor that guarantees compliance with the law (Article 16). Article 110 maintains the rights of a data subject to access data held about them and to monitor its accuracy.

Section 1 of the bill proposes the establishment of the Personal Data Protection Authority (APDP) to replace the existing CDP. The APDP would operate much like the CDP, but its member composition is different in size and selection. The APDP would have 12 members, one more than the CDP. The APDP’s composition would be two presidential representatives, and one representative each from the National Assembly, the Finance Ministry, the Justice Ministry, the Ministry of Telecommunications and Digital Economy, a business organisation, a digital media organisation, a medical organisation, a human rights organisation, a civil society organisation and the Bar Association of Senegal. On the CDP, there are three presidential representatives, a deputy nominated by the head of the National Assembly, a Senator nominated by the head of the Senate, one magistrate member each from the Council of State and the Court of Cassation, the Director of the State Digital Information Agency (ADIE), a lawyer nominated by the Chairman of the Bar Association of Senegal and one representative each from a business organisation and a human rights organization.

The proposed constitution of the APDP is a four-member increase in the non-governmental representation in the oversight body, replacing seats formerly taken by government representatives and presidential advisors. Even if these non-governmental representatives must be nominated by decree of the president, the inclusion of non-state actors in APDP’s membership bodes well for incorporating the interests of civil society into the work of the Authority. Moreover, the 2019 bill builds on the 2008 law’s promise of CDP’s impartiality and protection of members’ freedom of expression by guaranteeing that members cannot be detained, arrested, or punished based on their opinions or decisions made.

Under the proposed law, exemptions apply when processing personal data for the purposes of journalism, research, artistic or literary expression, if implemented within “the ethical standards of these professions” (Article 105). Exemptions under the existing law are outlined under Article 2, which states that “any processing of data relating to public security, defense, investigation and prosecution of criminal offenses or state security, as well as significant economic or financial interests of the State, is subject to the exceptions defined by this law and specific provisions on the matter set by other laws.”

Provisions proposed under Section 6 specifically speak to personal data and law enforcement. Section 6  states that data collection as part of crime prevention, investigation and punishment must respect the principles of necessity and proportionality as well as follow a legitimate goal. Although both the 2008 law and 2019 bill do well in defining technical terms, “legitimate goal” is undefined in the bill, and as such, is a vague description that may be subject to abuse by the government.

The bill also introduces regulation of video surveillance, with a requirement for a visible  notification of the presence of the surveillance system, a receipt reference issued by the Authority, and contact details of the person or service responsible for the “rights of access, opposition and deletion” of content from the video system (Article 121). Other than for purposes of safety of property and people, the installation of video surveillance for “systematic, deliberate and permanent monitoring” at places of work as defined in the Labor Code is outlawed (Article 120). Video monitoring at workplaces was a contentious issue in Senegal in 2019.

Article 128 expands the definition of “sensitive data,” which is illegal to process, to include familial descent and genetic data. Article 129 allows the processing of genetic data only in order to verify the existence of genetic connections in the context of court proceedings or criminal investigations. This expanded definition of “sensitive data” builds upon how it was defined under the previous law, where sensitive data was defined as personal data relating to religious, philosophical, political, and labor union activities, as well as sexual life, race, and health.

In a move to promote research and collaboration, the management of big data is also included in the bill, mandating that risks of big data collection and processing must be identified and evaluated (Article 114). Additionally, Article 118 sets out the conditions  for the use and reuse of open data.

Overall, the bill is a significant step towards establishing a modernised data protection framework for Senegal that is rights respecting, and provides a conducive environment to support innovation amidst an increasingly digitised environment. Public consultations on the bill are ongoing and it remains to be seen whether ongoing drafting will incorporate recommendations and provide clarity on ambiguous/vague provisions.

Thomas Roberston is a fourth-year undergraduate student studying international affairs and foreign languages at Occidental College in Los Angeles, California, United States. He is currently interning with the Collaboration on International ICT Policy for East and Southern Africa (CIPESA) as part of research on his final year composition paper on digital expression and China-Africa relations. 

Le Sénégal va Réviser la Loi sur la Protection des Données Personnelles

Par Thomas Robertson |

Douze années après avoir été l’un des premiers pays africains à promulguer la législation sur la protection des données personnelles, le Sénégal a proposé un projet de loi pour remplacer la Loi sur la Protection des Données à Caractère Personnel de 2008. Le projet de loi de 2019 portant sur la Protection des Données à Caractère Personnel rejoint la vision gouvernementale de moderniser le cadre légal et institutionnel du domaine des télécommunications et de la technologie d’ici 2025, comme partie de la «Stratégie Sénégal Numérique 2016-2025.» Ce projet de loi essaie d’aborder des nouvelles questions essentielles, y compris la biométrie, les méga données, l’intelligence artificielle, la géolocalisation et l’informatique en nuage. Il aborde également les insuffisances dans la législation actuelle concernant la composition et l’autonomie de l’autorité de surveillance, les mécanismes pour l’auto-déclaration, et la coopération transfrontalière. 

Le 2008 janvier, le Sénégal avait adopté la Loi n° 2008-12 sur 25, qui constitue un cadre légal et institutionnel pour la protection des données personnelles. La loi a établi une autorité indépendante connue comme la Commission de Protection des Données Personnelles (CDP) dont le mandat est d’assurer que le traitement des données personnelles  dans le respect des dispositions de la loi, et de défendre les droits des personnes concernées et les obligations des responsables du traitement. Quelques années plus tard en 2016, le Sénégal devenait le premier pays africain à ratifier la convention à l’échelle continentale sur la cybersécurité et la protection des données personnelles, qui était adoptée par l’Union africaine en 2014. 

La mise en application de la loi demeure un défi malgré le statut du Sénégal comme un pionnier de la gouvernance des données en l’Afrique. Il y avait des informations de manque de ressources permettant à la CDP de réaliser suffisamment son mandat. En février 2018, la présidente de la CDP Awa Ndiaye a fait un appel à l’aide gouvernementale pour soutenir les efforts de sensibilisation et de vérification de conformité. 

Entretemps, le pays a enregistré une croissance dans le secteur des télécommunications, avec un taux de pénétration d’Internet de 68,49% en 2018, et une scène diverse d’innovation technologique et des médias numériques. Cependant, quelques acteurs publics et privés continuent de collecter les données personnelles au Sénégal sans suivi réglementaire par la CDP. Ceci est le cas pour l’enregistrement obligatoire des cartes SIM mis en place par l’Autorité de Régulation des Télécommunications et des Postes (ARTP) entre les opérateurs des télécoms mobiles, qui est lié à la banque des données de l’identité nationale.

Les principes du projet de loi préconisent la collecte, l’enregistrement, le traitement, le stockage et la transmission des données personnelles de manière licite, loyale et non frauduleuse. Selon article 7 du projet de loi, le traitement des données personnelles est défini comme licite si «la personne concernée donne son consentement, le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande, [ou] le traitement est nécessaire à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée.»

Le consentement est défini comme une déclaration ou une action affirmative claire, oralement ou par écrit, qui donne permission de traiter les données personnelles (Article 8). Il faut stocker les données traitées en toute sécurité et confidentiellement, seulement dans la période de temps nécessaire (Articles 10-12). Le projet de loi aborde aussi le traitement des données personnelles par des tierces personnes, et mandate un contrat entre les responsables des données et les sous-traitants pour garantir le respect de la loi (Article 16). L’article 110 maintient les droits des personnes d’accéder aux données les concernant et d’en contrôler l’exactitude.

La Section 1 du projet de loi propose la création de l’Autorité de Protection des Données à Caractère Personnel (APDP) pour remplacer la CDP actuelle. L’APDP fonctionnerait similairement que la CDP, mais la composition des membres diffère en nombre et en qualité. L’APDP se composerait de 12 membres, un plus que la CDP. L’APDP serait composée de deux représentants de la Présidence de la République et un représentant de chaque institution dont de l’Assemblée nationale, du Ministère chargé des Finances, du Ministère de la Justice, du Ministère chargé des Télécommunications et de l’Économie numérique, des organisations patronales désigné par le Ministre chargé des Organisations professionnelles, de l’association de la presse en ligne désigné par le président de ladite association, de la société civile désigné sur proposition des organisations de la société civile, de l’ordre des médecins désigné par le Président dudit ordre, des organisations de défense des droits de l’homme désigné par le Garde des sceaux, Ministre de la Justice, un magistrat membre de la Cour suprême désigné par le Président de ladite Cour, et un avocat désigné par le Bâtonnier de l’Ordre des avocats. La CDP est composé de trois représentants de la Présidence de la République, chacun un magistrat membre du Conseil d’Etat et de la Cour de Cassation, un député désigné par le Président de l’Assemblée nationale, un sénateur désigné par le Président du Sénat, un représentant des organisations patronales désigné par le Ministre chargé des organisations professionnelles, un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal, un représentant des organisations de défense des droits de l’homme désigné par le Ministre de la Justice, Garde des sceaux, et le Directeur de l’Agence De l’Informatique de l’Etat (ADIE).

La constitution proposée de l’APDP ajoute quatre membres de représentation non-gouvernementale dans cet organisme de supervision, qui remplacent les anciens sièges des représentants du gouvernement et des conseillers présidentiels. Même si ces représentants non-gouvernementaux sont nommés par décret du Président, l’inclusion de ces acteurs non-gouvernementaux est un bon augure pour l’incorporation des intérêts de la société civile dans le travail de l’Autorité. Le projet de loi de 2019 d’ailleurs conforte de la promesse de la loi de 2008 relative à la neutralité de la CDP et la protection du droit d’expression des membres avec une garantie qu’ils ne peuvent pas être détenus, arrêtés, ou punis à cause de leurs opinions ou leurs décisions prises.

Selon la loi proposée, des dérogations s’appliquent lorsque le traitement des données personnelles à des fins journalistiques, de recherche et d’expression artistique ou littéraire, si ce traitement est fait « dans le respect des règles déontologiques de ces professions» (Article 105). Les dérogations selon la loi actuelle sont soulignées dans l’article 2, qui indique « tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’État, même liées à un intérêt économique ou financier important de l’État, sous réserve des dérogations que définit la présente loi et des dispositions spécifiques en la matière fixées par d’autres lois.»

Les dispositions proposées selon la Section 6 concernent spécifiquement les données personnelles et la police. La Section 6 déclare que la collecte des données comme partie de la prévention, l’investigation, et la punition du crime doit respecter les principes de proportionnalité et de nécessité et suivre un but légitime. Bien que la loi de 2008 et le projet de loi de 2019 réussissent à bien définir les termes techniquest, le « but légitime» n’est pas défini dans le projet de loi et par conséquent, porte une description vague pouvant susciter des abus de la part du gouvernement.

Le projet introduit aussi la régulation de la vidéosurveillance, exigeant qu’«une affiche suffisamment visible doit signaler la présence du système, la référence du récépissé délivré par l’Autorité de protection ainsi que les coordonnées de la personne ou du service chargé de répondre à l’exercice des droits d’accès, d’opposition et de suppression» (Article 121). Sauf pour l’objectif de la sécurité de la propriété et des personnes, l’installation de la vidéosurveillance «sur les lieux de travail [comme défini au Code du Travail] ne doit pas avoir pour but la surveillance délibérée, systématique et permanente des employés» (Article 120). La vidéosurveillance sur les lieux de travail était une question litigieuse au Sénégal en 2019. 

L’Article 128 élargit la définition de « données sensibles», dont elle interdit le traitement, et de l’inclure dans la filiation et des données génétiques. L’Article 129 permet le traitement des données génétiques seulement pour vérifier l’existence des connexions génétiques dans le cadre des procédures juridictionnelles ou des investigations criminelles. Cette définition élargie de « données sensibles» conforte la définition dans la loi de 2008, où les données sensibles étaient définies comme les données personnelles concernant les activités religieuses, philosophiques, politiques, et syndicales, ainsi que la vie sexuelle, l’origine raciale et celles relatives à l’état de santé. 

Dans la perspective de promouvoir la recherche et la collaboration, l’administration des mégadonnées est  incluse  comprises dans le projet de loi, qui préconise qu’il faut identifier et évaluer les risques de la collecte et le traitement des mégadonnées (Article 114). En plus, l’Article 118 souligne les conditions pour l’utilisation et la réutilisation des données ouvertes. 

Dans son ensemble, le projet de loi de 2019 est une étape importante vers la mise en place d’un cadre de protection des données personnelles modernisé au Sénégal, qui respecte les droits fondamentaux et fournit un environnement favorable à l’innovation dans un monde de plus en plus numérisé. Les consultations publiques sur le projet de loi se poursuivent, et il reste à voir si la rédaction actuelle va incorporer les recommandations et clarifier les dispositions ambiguës ou vagues.

Thomas Robertson est en quatrième année du premier cycle d’études en diplomatie et langues étrangères à Occidental College à Los Angeles, Californie, États-Unis. Il fait actuellement un stage avec la Collaboration sur les Politiques Internationales des TIC pour l’Afrique de l’Est et australe (CIPESA), comme une partie de la recherche pour son mémoire de fin d’études sur “L’Expression numérique et les Relations sino-africaines.”