Vers la construction d’un cadre légal de protection de données au Sénégal

L’original de cet article est rédigé en anglais par Simone Toussi

L’engouement en Afrique pour le numérique se fait à différents niveaux, que ce soit au niveau technologiques ou juridiques par la mise en place de cadres législatifs qui respectent les droits de l’homme dans la sphère du numérique.

Le Sénégal fait partie des pays africains qui restent déterminés à moderniser les cadres juridiques et institutionnels régissant le secteur technologique.

Il y a douze ans Le Sénégal a adopté une loi sur la protection des données et a été parmi les premiers États africains et le premier pays francophone d’Afrique à ratifier la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles en 2016. Il s’est ainsi imposé parmi les pionniers de la gouvernance des données en Afrique.

Compte tenu des développements rapides liés à la biométrie, aux Big Data, à l’intelligence artificielle et au Cloud Computing, entre autre, le gouvernement du Sénégal est sur le point d’abroger la loi n ° 2008-12 du 25 janvier 2008 qui régit la protection des données personnelles. Un projet de loi publié fin 2019 pour remplacer la loi précédente est actuellement en consultation publique.

Du 27 au 28 février 2020, Jonction Sénégal, en partenariat avec la Collaboration sur la politique internationale des TIC pour l’Afrique orientale et australe (CIPESA) et Facebook, a organisé un atelier pour examiner le projet de loi de 2019 portant sur la protection des données personnelles, et faire les recommandations pertinentes d’un droit numérique la perspective. L’atelier a réuni 25 participants, dont des représentants de la Commission des données personnelles (CDP), du Ministère de l’économie numérique et des télécommunications, du Ministère de la femme, de la famille et du genre, du Ministère de la justice et des représentants du secteur privé et d’organisations de la société civile y compris des défenseurs des droits humains, des avocats, des universitaires, des blogueurs et des journalistes.

Ouvrant l’atelier, le professeur Mamadou Niane, directeur du service juridique du CDP a justifié le projet de loi, invoquant des insuffisances dans la loi de 2008 compte tenu de l’environnement numérique dynamique et de l’émergence d’une diversité d’acteurs et de menaces. En outre, il a noté la nécessité d’une convergence avec les développements et normes régionales et internationales en matière de protection des données tels que ceux énoncés dans le Règlement général sur la protection des données (RGPD), la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatique des données personnelles signée et ratifiée par le Sénégal en 2016, la Convention de Budapest et la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles.

Selon le professeur Niane, d’autres considérations pour une nouvelle loi concernant la composition et les pouvoirs de contrôle du CDP et les mécanismes de contrôle de la conformité doivent également être abordées. Il a déclaré que le projet de loi prévoyait des principes de protection des données dans l’article 7 proposé, y compris la nécessité d’un traitement dans les conditions légales, la recherche du consentement et la nécessité avec des exceptions liées au traitement à des fins licites.

En effet, Diagne El Hadji Daouda, spécialiste de la cybersécurité de l’Institut Computech a souligné l’importance de la sécurité des données et a salué le projet de loi pour exposer les principes d’identification et d’authentification, de confidentialité, de disponibilité et d’intégrité (non-altération ou modification des données lors du traitement) ) au titre des articles 42 et 43. Il a également salué les obligations proposées aux responsables du traitement des données de mettre en place des mesures de chiffrement et de les revoir régulièrement pour garantir la sécurité des données; et la notification des violations aux personnes concernées et aux autorités (article 44).

Cependant, Daouda a noté qu’en dépit de ces dispositions, le projet de loi n’intégrait pas le principe de l’anonymisation, qui est crucial pour préserver la confidentialité des données personnelles et garantir leur sécurité.

Le projet de loi propose la création de l’Autorité de protection des données personnelles (APDP) pour remplacer le CDP – avec une composition diversifiée de membres comprenant une représentation non gouvernementale. La nomination des membres se fait par décret du président (article 52). Cependant, un certain nombre de dispositions du projet de loi font référence à une autorité de contrôle et à une autorité de protection, qui semblent distinctes de l’APDP.

Le Dr Ndiogou Thierno Amadou, chargé de cours et chercheur à la Faculté des sciences juridiques et politiques de l’Université Cheikh Anta Diop (UCAD), a fait part de ses préoccupations concernant la distinction entre les trois autorités différentes mentionnées dans le projet de loi. Les participants ont donc demandé instamment que le rôle de l’autorité de contrôle soit clarifié (article 44), ainsi qu’une définition et une distinction claires entre l’APDP et l’autorité de protection (article 62) afin d’éviter les ambiguïtés.

Le professeur Niane du CDP a précisé que toutes les mentions d’une autorité dans le projet de loi se réfèrent à l’APDP et que les révisions nécessaires seront apportées dans le prochain projet.

La nécessité de trouver un équilibre entre la liberté d’expression et la protection des données personnelles est également apparue. Dans sa présentation, le journaliste indépendant et directeur de PressAfrik.com Faye Ibrahima Lissa a cité la tendance à l’échelle du continent dans les restrictions législatives à la liberté d’expression en raison de la sécurité nationale

Il a souligné que les exemptions prévues au projet d’article 105 du projet de loi relatif aux données personnelles à des fins de journalisme, de recherche, d’expression artistique ou littéraire devraient être précises pour éviter qu’elles ne soient utilisées pour persécuter des voix critiques.

De même, Joe Marone, formateur en médias et directeur de la radio en ligne Futurs Media, a souligné le rôle fondamental des journalistes dans la recherche de la vérité et la conscience morale de l’opinion publique et de la société civile.

À cet égard, l’éthique du journalisme et le code de conduite prévalent sur la protection des données personnelles par la protection des sources. Cependant, avec l’avènement du journalisme de données et des journalistes citoyens, le projet de loi permet de mieux garantir la protection des données personnelles au sein de la profession.

D’autres problèmes sont apparus, notamment l’âge du consentement à la collecte des données. Le consentement est défini comme une déclaration ou une action positive claire, oralement ou par écrit, qui autorise le traitement des données personnelles (article 8). L’âge du consentement n’est pas prévu dans le projet de loi. Le professeur Niane a déclaré que les efforts en cours au CDP et au Ministère de la justice en partenariat avec le Ministère de l’économie numérique et des télécommunications visent à établir un code de l’enfant et une stratégie connexe dédiée à la protection des mineurs dans le contexte de la protection des données et de la vie privée.

Les participants à l’atelier ont formulé les recommandations suivantes de révision dans le prochain projet de loi:

  • Fixer un âge minimum de consentement

  • Le président de l’ADPD devrait être nommé par élection interne des membres afin de garantir l’autonomie de l’autorité.

  • Prévoir une allocation adéquate des ressources à l’APDP pour faciliter la bonne mise en œuvre et l’application de la loi

  • Assurer la surveillance de l’APDP dans l’approvisionnement et la passation de marchés de projets publics ou gouvernementaux impliquant la collecte et le traitement de données personnelles

  • Prévoir l’autorité de l’APDP pour collecter et récupérer les sanctions financières infligées aux contrevenants et les répercuter sur les victimes de violations de données.

  • Renforcer l’autonomie financière de l’APDP en lui accordant 50% des montants récupérés de toute opération de protection des données

  • Prévoir la personnalité juridique de l’ADPD pour lui donner une succession perpétuelle avec capacité de poursuivre et d’être poursuivi en son nom.

Les représentants du CDP et du ministère de l’Économie numérique et des Télécommunications ont salué les recommandations et se sont engagés à les inclure dans le prochain projet de loi, avant leur soumission au Secrétariat général de la présidence du Sénégal.

 

Lien de l’article original: https://cipesa.org/2020/03/building-a-robust-data-protection-regime-in-senegal/

 

 

By |2020-07-09T08:33:23+00:00juillet 9th, 2020|BLOG|Commentaires fermés sur Vers la construction d’un cadre légal de protection de données au Sénégal