INTRODUCTION

L’économie numérique a engendré une croissance exponentielle des besoins de

produire, de collecter, d’échanger et de transférer des données. Grace aux technologies
actuelles, tant d’entreprises privées que les administrations publiques disposent aujourd’hui
d’une capacité inédite d’exploitation de données à caractère personnel.

A l’heure du big data1 et de l’intelligence artificielle2, ces données constituent une

opportunité d’innovation et de développement de nouveaux usages tout en soulevant un
certain nombre de questions du point de vue de la vie privée et des libertés publiques.

L’utilisation et la valorisation des données à caractère personnel sont devenues

des enjeux économiques et de société de premier plan, alors même que la confiance des
personnes physiques n’est pas souvent au rendez-vous.

Le développement des technologies de l’information et de la communication, leur

diffusion rapide à travers le monde ont révolutionné le quotidien de l’homme dans tous les
secteurs d’activités. L’accès à ces technologies, le recours aux services multiformes qu’elles
offrent pose toutefois aujourd’hui avec acuité le problème de la protection des droits des
personnes et de leur vie privée.

En effet, les Etats sont de plus en plus confrontés aux abus de toutes sortes liées à
l’utilisation des données personnelles. La lutte contre la cybercriminalité est devenue une
préoccupation mondiale. De nombreux défis interpellent à cet égard la communauté
internationale.

Dans sa mission régalienne, l’Etat est tenu d’assurer la sécurité et l’intégrité des
personnes et des biens. De nos jours, tout le monde est exposé au numérique, à chaque étape
de la vie quotidienne. En tant que citoyens comme en tant que consommateurs, les
informations de la population doivent être protégées.

La protection des données à caractère personnel ne peut s’envisager en vase clos

parce que le cyberespace3 abolit toute idée de frontière. Ce constat met à nu une réalité qui

1
Le big data est un ensemble de données volumineux traitées et analysées à des fins plus souvent prédictives.
2
Ensemble des théories et des techniques développant des programmes informatiques complexes capables de
simuler certains traits de l'intelligence humaine (raisonnement, apprentissage…)
3
Ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à
l’interconnexion mondiale des ordinateurs.

1
appelle à une coopération internationale pour la protection des données personnelles des
populations.

Au regard de cette situation où tout tourne autour des données à caractère personnel,
notamment les transactions civiles et commerciales, il nous revient d’apporter toute la
précision sur les contours juridiques du concept en relation avec l’usage du numérique
comme moyen indispensable de communication et d’échanges.

A partir de là, la question qui se pose est la suivante : qu’entend-on par données à
caractère personnel ? La réponse apparait simple mais son impact juridique s’affiche très
complexe eu égard à la transversalité des réglementations qui sont interpellées

Les données sont à caractère personnel dès lors qu’elles portent sur une personne
identifiée ou la rendent identifiable, directement comme indirectement.

Il en est de même pour les contacts, le numéro d’identification, la plaque

d’immatriculation et même l’adresse-email. Ce sont des informations permettant d’identifier
clairement une personne. A cela s’ajoutent les données personnelles à caractère sensible. Ce
sont toutes les informations relatives à la race, l’état de santé, les opinions politiques ou
religieuses et même le contenu du casier judiciaire. Avec l’entrée en vigueur de la loi n° 2008
– 12 du 25 janvier 2008 sur la Protection des données à caractère personnel au Sénégal, il faut
faire attention à toute information que l’on communique sur une personne.

Par exemple, donner le nom d’une personne peut être considéré comme divulguer un
renseignement personnel car, l’identité (le nom et le prénom) est la donnée personnelle la
plus évidente.

D’ailleurs, les législateurs Gabonais comme Sénégalais ont prévu une haute protection
lors de la collecte, le traitement la transmission, le stockage et l’usage des données. Il
convient de préciser que le traitement des données est toute opération, ou ensemble
d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification, extraction, consultation,
utilisation, communication par transmission diffusion ou toute autre forme de mise à
disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...)

Cette loi met ainsi, en place un dispositif permettant de lutter contre les atteintes à la
vie privée susceptibles d’être engendrées durant tout le processus de traitement des données
échangées. Elle veille à ce que les Technologies de l’Information et de la Communication

2
(TIC)4 ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie
privée.

Prenons quelques instants pour apporter des éclaircissements quant au concept

d’économie numérique : il englobe ici toutes activités économiques et sociales qui sont
activées par des plateformes telles que les réseaux internet, mobiles et de capteurs, y compris
le commerce électronique. Les données à caractère personnel sont au cœur de l’économie
avec de nouveaux usages exponentiels (l’intelligence artificielle des GAFAM 5, data mining6,
etc.).

L’Afrique s’éveille de façon brutale face à la problématique de collecte et du

traitement des DCP. Cette prise de conscience s’explique par l’utilisation croissante 7 des TIC.

Le Sénégal fait partie des premiers pays à avoir voté une loi dans ce sens depuis
2008. Puis, il a ratifié la convention de Malabo de 2014, lors de la 23ème session ordinaire du
sommet de l’Union Africaine (UA). Cet accord entre les pays membres vise à renforcer la
confiance et la sécurité dans le cyberespace en Afrique. Ainsi, l’assemblée nationale
sénégalaise a adopté la loi sur la protection des données à caractère personnel le mardi 15
janvier 2008. La loi assure donc le respect des libertés et droits fondamentaux de la vie privée
des personnes.

Le Gabon à son tour a adopté la loi N°001/2011 relative à la protection des données à
caractère personnel en créant la Commission nationale pour la protection des données à
caractère personnel (CNPDCP). « L’internet est un espace virtuel sans limite où tout le
monde peut dire n’importe quoi. Tout le monde peut filmer et vous présenter aux yeux de tout
le monde. Avec ce que nous regardons tous, les libertés individuelles sont violées », a confié
Joël Dominique LEDAGA8. En effet, selon ce dernier, avec la révolution du numérique, on
assiste au développement des Nouvelles Technologies de l’Information et de la
Communication (NTIC) entrainant ainsi les enjeux importants liés à la protection des données
personnelles, notamment dans un cyber espace aussi complexe et virtuel que l’internet. «

4
Act 13/2004 du 27décembre 2004 de l’Ile Maurice portant protection des données définit les TIC comme
« toute technologies employées pour la collecte, le stockage, l’utilisation ou l’envoie d’information impliquant
l’utilisation d’ordinateur ou de tout autre système de télécommunication ».
5
(Google, Apple, Facebook, Amazon et Microsoft).
6
Exploration de données, ayant pour objet l’extraction d'un savoir ou d'une connaissance à partir de grandes
quantités de données, par des méthodes automatiques ou semi-automatiques.
7
Le Juge Papa Assane TOURE parle de « forte information de la société ». Voir Papa Assane TOURE « le
traitement de la cybercriminalité devant le juge » l’Harmattan, 2014 p 261.
8
Président de la Commission nationale pour la protection des données à caractère personnel du Gabon.

3
Vous avez des données conventionnelles, c’est-à-dire toutes les informations qui permettent
de vous identifier d’une manière directe ou indirecte. Toutes ces informations sont
considérées comme vos données personnelles. Ces données personnelles malheureusement
aujourd’hui sont vendues dans le monde », a-t-il ajouté. Cette autorité administrative
indépendante est chargée de veiller à ce que les traitements des données à caractère personnel
soient mis en œuvre conformément aux dispositions de la présente loi.

Au-delà des frontières Africaines, il faut remarquer l’existence des mêmes législations
des DCP.

Si l’on fait l’historique des législations en matière de DCP, il apparait que les
premières exsudations d’une règlementation remontent à 1974 en France 9, avec l’institution
d’un identifiant unique. L’idée a depuis fait beaucoup de chemin, malgré l’opposition d’une
commission parlementaire française qui considère qu’il s’agit d’une atteinte aux libertés des
individus. C’est ainsi que la culture « protection des données à caractère personnel » est mise
en œuvre depuis 1978 avec la loi « Informatique et Liberté » instituant des règles essentielles
en la matière qui ont servi de support à la Convention 108 du Conseil de l’Europe. Le projet
de loi modifiant la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés intégrant
certains aspects du RGDP s’inscrit dans cette continuité.

Dans l’espace Union Européenne il y a d’abord eu l’adoption de La directive

95/46/CE qui constituait le texte de référence en matière de protection des données à
caractère personnel. Cette directive a été officiellement intitulée « directive 95/46/CE
du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données ».

La norme communautaire Européenne a été renforcée par le règlement n° 2016/679,

dit règlement général sur la protection des données. Ce règlement de l'Union européenne qui constitue
le texte de référence en matière de protection des données à caractère personnel.

Après quatre années de négociations législatives, ce règlement a été définitivement

adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont devenues

9
Marie GEORGES, la problématique de la protection des données personnelles, contribution de l’Association
Francophone des Autorités de protection des données personnelles à l’élaboration du 3ème rapport sur l’état
des pratiques de la démocratie, des droits et libertés dans l’espace francophone –chapitre relatif à la
promotion de la culture démocratique et au plein respect des droits de l’Homme, 2008.

4
directement applicables dans l'ensemble des 28 États membres de l'Union européenne depuis
le 25 mai 2018.

Le Règlement Général sur la Protection des Données 10 à caractère personnelle, loin

d’être un frein, a comme volonté de permettre à chaque acteur de mettre en œuvre sa
conformité en définissant ses propres mesures, procédures grâce notamment à une
cartographie des données, des flux entre les différents prestataires ainsi qu’une sécurisation
des contrats (responsabilisation des acteurs).

Cette conformité doit être « gagnant - gagnant » tant pour les usagers
(consommateurs) avec ce besoin de confiance, de transparence renforcée, que pour les
professionnels en renforçant leur crédibilité. N’oublions pas que dans cette économie digitale,
les données à caractère personnel sont des actifs immatériels ayant une valeur économique
certaine.

L’existence de toutes ces dispositions sus-considéré en Afrique notamment au Gabon

et au Sénégal et comparativement dans l’espace UE se justifie par les nombreuses situations
de vol et d’usurpation de DCP, avec un impact important, non seulement sur les individus
concernés, mais également sur la société en général, au point de mettre en danger les
systèmes démocratiques.

Au regard des incidences que les DCP ont sur la société moderne, présentant des
réalités rythmées par les leviers du numérique et de la technologie digitale, la protection de
droit commun de la vie privée, appelle à un renforcement de régime, afin de prendre en
considération les nouveaux contours de l’économie.

Dans ce contexte, ce nouveau marché au cœur duquel se trouvent les données,

nécessite un décryptage technologique des enjeux et un cadrage des opportunités et
responsabilités. En effet, l’usage du numérique révèle souvent des risques importants
notamment en termes de protection de la vie privée et de responsabilité pour les utilisateurs et
fabricants et le corpus juridique évolue sans cesse pour tenter d’imposer un ensemble
d’obligations que les entreprises doivent respecter.

Les données constituent un véritable enjeu de pouvoir entre les Etats qui veulent
s’assurer le contrôle sur celles qui circulent sur leur territoire, et entre les entreprises privées

10
Le règlement nᵒ 2016/679, dit règlement général sur la protection des données, est un règlement de l'Union
européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il
renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

5
qui fournissent les réseaux qu’elles empruntent. Le Professeur Abdoullah CISSE le justifie en
soulignant la nécessité de « penser à la protection des données personnelles est la manière
dont on gère l’information pour que le message officiel soit protégé » 11

C’est dans cette optique que nous traiterons la protection des données à caractère
personnel dans l’économie numérique en prenant les cas du GABON et du SENEGAL. Eu
égard à ce qui précède, la protection des données à caractère personnelles renvoie à l'action
de protéger, de défendre toutes données se rapportant à l’identité ou l’identification d’un
individu dans le cyberspace.

Parler de la Protection des données à caractère personnel dans l’économie numérique

revient à démontrer le champ d’application de la protection des données, de déterminer les
caractères de la notion mais surtout la mettre en rapport avec le e-commerce dans un
processus de sécurité, de régulation des contentieux liés aux différentes données et de lutte
contre la cybercriminalité12..

Pour satisfaire notre ambition d’analyse du sujet sur la protection des Données à
caractère personnel, une série de questions nous interpelle :

Comment la réglementation accompagne-t-elle l’échange des données

informationnelles personnelles aux travers des moyens modernes de communications
numérisées ?

A l’ère du commerce électronique et des transactions numérisées est-il toujours

possible d’assurer l’intendance légale par rapport aux comportements des acteurs virtuels ?

Le droit matériel s’adapte-t-il confortablement aux nouvelles réalités virtuelles du

monde ?

Quelle est aujourd’hui la position commune de l’Afrique face à ces nouveaux rapports
de force dans une société sous surveillance constante ?

Quelle place pour le citoyen africain, dans un contexte, où la législation, elle, a du

retard pour le protéger ?

11
Table ronde organisées par le Conseil pour le développement de la recherche en sciences sociales en Afrique
(CORDESRIA) sur le thème : « les Etats africains et le service public de cybersécurité », Dakar, 2016.
12
Une infraction criminelle ayant l'ordinateur pour objet (piratage informatique, hameçonnage, pollupostage)
ou pour instrument de perpétration principal (pornographie juvénile, crime haineux, fraude informatique)

6
 Quelles orientations à suivre face à la pénétration de ces normes dans un contexte
africain socioculturel différent du reste du monde ? Tout ceci pour mieux appréhender notre
sujet. Toutefois, il convient de se poser la question de savoir : quelle est réellement
l’effectivité de la protection des données à caractère personnel ?

Véritable richesse immatérielle, l’intérêt que suscite ses interrogations reflète bien les
transformations que connaît la géopolitique à l’ère numérique : remise en cause des frontières
physiques nationales, affirmation d’acteurs privés et non étatiques, «
Numérisation/digitalisation » des conflits (revendications de souveraineté sur le cyberespace,
attaques informatiques).

Outre l’information elle-même, c’est en effet la façon dont les données sont générées
et par qui, la façon dont elles circulent, dont elles sont stockées, qui font des données une
ressource précieuse. Maîtriser la donnée suppose de maîtriser ses moyens et ses conditions de
production, ses canaux de transmission, et son mode et son lieu de stockage.

Récemment, l’entreprise Cambridge Analytica13, spécialisée dans le recueil et

l’analyse de données, est accusée d’avoir accédé illégalement aux informations de plus de 50
millions de comptes Facebook. Les enjeux sont donc colossaux. Pour se rendre compte de
l’acuité de cette problématique et de ses retombées sur la vie de tous les jours, il faut
parcourir la liste des infractions possibles et qui pourraient passer inaperçues, telle
l’installation des vidéo-surveillances dans les lieux autres que ceux ouverts au public, ainsi
que la liste des peines et des pénalités encourues.

C’est tout un chantier qui est ouvert devant les organes et commissions de protection
des données, qui se donne pour mission d’inculquer et divulguer la culture de la préservation
des données personnelles et sensibiliser le citoyen sur ses droits dans ce domaine.

Il convient de noter que l’étude d’une telle thématique est d’une importance majeure,
en ce sens qu’à l’air du numérique, comprendre les enjeux et savoir protéger les données
personnelles dans le monde notamment en Afrique est essentiel.

Ce sujet nous renseigne aussi sur l’état théorique des réglementations plurielles du
phénomène numérique et des différences de préoccupations entre les Etats et les
Organisations d’intégration économique.

13
Cambridge Analytica est une société de publication stratégique combinant des outils d'exploration et
d'analyse des données. Créée en 2013 comme une filière des Strategic Communication Laboratories
spécialisée en politique américaine, elle possède des bureaux à New York, Washington et Londres

7
 Le constat général qui se dégage est qu’il faut multiplier les initiatives pour
accompagner les pays Africain à légiférer davantage dans la protection des données
personnelles et ce au regard de la perspective du développement de l’économie numérique.
L’idéal serait de protéger les données personnelles, accompagner l'innovation, et préserver les
libertés individuelles.

En tentant d’adopter une approche illustrative des législations en vigueur, nous nous
attèlerons d’examiner la protection mise en œuvre au Gabon et au Sénégal. Toutefois la
difficulté constatée réside dans la multiplicité de l’ordre juridique actuelle 14 , s’y ajoutent la
multiplicité des branches du droit applicable. 15 La consécration successive, dans la plupart
des pays africains d’un droit de protection des données à caractère personnel devenue une
préoccupation dans toutes les grandes démocraties.16

Notre analyse sera essentiellement constituée de deux grandeurs articuler autour du

cadre réglementaire de la protection des données à caractère personnel (Première
partie) et des modalités de protection des données dans le commerce électronique
(Deuxième partie).

14
Ordre juridique (national, international, communautaire et continental)
15
Droit des télécommunications, droit public, droit civil, droit pénal, droit sur les transactions électroniques ou
sur la cybercriminalité, droit de l’audiovisuel etc.
16
Explique le Docteur Mouhamadou LO dans la protection des données à caractère personnel en Afrique :
règlementation et régulation, l’harmattan, 2017 p.32.