Quelles protections de nos données personnelles au Sénégal ?

Qu'est-ce qu'une donnée à caractère personnelle?

Une donnée personnelle est une donnée qui permet d'identifier une personne physique. Cela peut être un numéro de téléphone, un e-mail, des données relatifs à l'identité de la personne comme le prénom et le nom, la date et le lieu de naissance, la photo ou encore l'adresse; des données relatives à une vie professionnelle tels que le CV, les diplômes, la formation, la fonction ou le lieu de travail ou des données relatives à la vie personnelle comme l'habitude de vie,  de consommation, les loisirs, la situation familiale, l’orientation politique, les croyances religieuses, l’appartenance ethnique etc. Aujourd'hui, on parle même de données biométriques  (empreintes digitales, ADN, ... )

Qui collecte nos données?

Plusieurs entités collectent nos données pour des raisons diverses. Premièrement, l’Etat du Sénégal détient les données personnelles de tous les citoyens. Cette collecte se fait à travers l’identification de chaque citoyen de la naissance à la mort. Le certificat de naissance comporte un ensemble d’informations sur l’individus ainsi que les informations collectées pour l’obtention de la carte d’identité nationale, du passeport entre autres. Ces données sont également détenues par les écoles et les universités.

Deuxièmement, les entreprises collectent un ensemble de données sur les individus à l’instar des entreprises de télécommunications. En s’abonnant sur le réseau de ces entreprises, les Sénégalais fournissent des données personnelles à travers l’identification des personnes qui détiennent les cartes. De même que les autres entreprises qui interagit avec des acheteurs et qui collectent des données de leur client comme le nom, le numéro de téléphone ou l’adresse.  

Troisièmement, nous partageons tous les jours nos données personnelles sur internet. Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) déploient plusieurs méthodes pour collecter des données en ligne, que ce soit via les adresses IP, les historiques de navigation, les cookies, ou les informations que nous partageons en remplissant des formulaires. Nous partageons également beaucoup de données sur les réseaux sociaux en "aimant" ou en réagissant à des publications.

Ces actions peuvent révéler des informations sensibles, souvent à notre insu. Ces données, qui peuvent inclure des éléments comme l'orientation sexuelle, les informations de santé, les affiliations politiques ou religieuses, ou encore des détails sur l'origine ethnique, sont considérées comme sensibles car leur divulgation peut entraîner du harcèlement, de la discrimination, ou même des cas d'usurpation d'identité.  

Quelles sont les dispositions prises par l'Etat du Sénégal pour protéger les données personnelles?

La protection des données personnelles est un droit constitutionnel pour chaque citoyen sénégalais.  C’est dans cette logique que La loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel a été votée suivi du décret n° 2008-721 du 30 juin 2008 portant application de la loi énoncée précédemment. Cette loi a établi une autorité indépendante qui a pour rôle de s'assurer du respect de la législation : Commission de protection des données personnelles (CDP). Elle permet de réguler le flux d'informations entre les utilisateurs et les différentes entités qui collectent ces données.

Malgré ces dispositions, le respect de la loi reste un défi majeur pour la CDP. Certaines entreprises ne respectent pas les procédures à suivre avant de collecter des données.  De plus, les acteurs de ce domaine estiment que la loi doit être revisitée pour prendre en compte les nouvelles réalités du numérique liées à l'évolution fulgurante des technologies de l'information et de la communication.  Un projet de loi a été introduit à l'Assemblée nationale du Sénégal en 2020 pour que la précédente date de 2008 soit abrogée .

En dehors de la loi de 2008 sur la protection des données personnelles, le Sénégal a ratifié en 2016, la convention à l'échelle continentale sur la cybercriminalité et la protection des données personnelles qui a été adoptée par l'Union africaine deux ans plutôt.