INTRODUCTION

En Afrique, le Sénégal fait partie des premiers pays à avoir voté une loi dans ce sens
depuis 2008. Puis, il a ratifié la convention de Malabo de 2014, lors de la 23ème
session ordinaire du sommet de l’UA1. Cet accord entre les pays membres vise à
renforcer la confiance et la sécurité dans le cyberespace2 en Afrique.
De nos jours, tout le monde est exposé au numérique, à chaque étape de la vie
quotidienne. En tant que citoyens comme en tant que consommateurs, les
informations de la population doivent être protégées. Ainsi, l’assemblée nationale
sénégalaise a adopté la loi sur la protection des données à caractère personnel lors
de sa séance du vendredi 30 novembre 2007 et le Sénat l’a adopté le mardi 15
janvier 2008. Le 25 janvier 2008, une commission pour le respect de cette loi a été
mis sur pied. Cette autorité indépendante (CPD) est promulguée par la loi n° 2008-
12, elle a pour principal but de veiller sur la légalité de toute collecte et
transmissions de fichiers ou renseignements concernant des personnes identifiables.
C’est-à-dire veiller sur les données permettant d’identifier la personne concernée. La
loi assure en d’autres mots le respect des libertés et droits fondamentaux de la vie
privée des personnes.

De récents événements qui ont marqué l’International, ont démontré que l’absence
de protection appropriée des données personnelles peuvent avoir un impact
important, non seulement sur les individus concernés, mais également sur la société
en général, au point de mettre en danger les systèmes démocratiques.
Dans ce contexte, ce nouveau marché au cœur duquel se trouvent les données
nécessite un décryptage technologique des enjeux et un cadrage des opportunités et
responsabilités. En effet, l’usage du numérique révèle souvent des risques
importants notamment en termes de protection de la vie privée et de responsabilité
pour les utilisateurs et fabricants et le corpus juridique évolue sans cesse pour tenter
d’imposer un ensemble d’obligations que les entreprises doivent respecter.

Les données constituent un

véritable enjeu de pouvoir entre
les États qui veulent s’assurer le
Les données constituent un véritable enjeu de pouvoir entre les Etats qui veulent
s’assurer le contrôle sur celles qui circulent sur leur territoire, et entre les entreprises
privées qui fournissent les réseaux qu’elles empruntent. Véritable richesse
immatérielle, l’intérêt qu’elles suscitent reflète bien les transformations que connaît
1
Nation unis
2
ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à
l’interconnexion mondiale des ordinateurs.

1
 la géopolitique à l’ère numérique : remise en cause des frontières physiques
nationales, affirmation d’acteurs privés et non étatiques, «
numérisation/digitalisation » des conflits (revendications de souveraineté sur le
cyberespace, attaques informatiques). Outre l’information elle-même, c’est en effet
la façon dont les données sont générées (et par qui), la façon dont elles
circulent, et qu’elles sont stockées, qui font des données une ressource précieuse.
Maîtriser la donnée suppose de maîtriser ses moyens et ses conditions de
production, ses canaux de transmission, et son mode et son lieu de stockage. La
donnée, ainsi créatrice de valeur et de pouvoir « fait le lien entre espaces physiques
et numériques. »
Les données et leur maîtrise reconfigurent les rapports de force au plan stratégique
et économique et donnent lieu à de nouvelles représentations de souveraineté.
Récemment, l’entreprise Cambridge Analytica, spécialisée dans le recueil et l’analyse
de données, est accusée d’avoir accédé illégalement aux informations de plus de 50
millions de comptes Facebook. Les enjeux sont donc colossaux.

definition
A partir de là, la question qui se pose est : quelles sont les données à caractère
personnel ? Les données sont à caractère personnel dès lors qu’elles portent sur une
personne identifiée ou la rendent identifiable, directement comme indirectement.
Avec l’entrée en vigueur de cette loi, il faut faire attention à toute information que
l’on communique sur une personne. Par exemple, donner le nom d’une personne
peut être considéré comme divulguer un renseignement personnel. Car l’identité (le
nom et le prénom) est la donnée personnelle la plus évidente. Il en est de même que
les contacts, le numéro d’identification, la plaque d’immatriculation et même
l’adresse-email. Ce sont des informations permettant d’identifier clairement une
personne. A cela s’ajoutent les données personnelles à caractère sensible. Ce sont
toutes les informations relatives à la race, l’état de santé, les opinions politiques ou
religieuses et même le contenu du casier judiciaire. D’ailleurs, le législateur a prévu
une haute protection lors de la récolte, le traitement la transmission, le stockage et
l’usage des données. Cette loi met en place un dispositif permettant de lutter contre
les atteintes à la vie privée susceptibles d’être engendrées durant tout le processus.
Elle veille à ce que les Technologies de l’Information et de la Communication (TIC) ne
portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie
privée.
NDBDPAGE 31ème Conférence internationale des autorités et commissaires à la protection
des données personnelles et à la vie privée.

Dans la mission régalienne de l’Etat, il est tenu d’assurer la sécurité et l’intégrité des
personnes et des biens. Cette loi ajoute ainsi à l’Etat le devoir de sécuriser les
données personnelles de la population, il est aidé en cela par des entités privées à
travers la commission. “Le gouvernement du Sénégal va encourager activement la

2
formation et la sensibilisation sur les problèmes de la confidentialité en ligne, de la
protection de la vie privée et plus généralement, de celle des données personnelles
des consommateurs”, disait le président de la République du Sénégal. Cette
déclaration montrant la détermination du président est affichée en gros caractère
sur le site de la commission de protection des données. Dans le but de donner plus
d’informations aux personnes, la commission a mis en ligne cette plateforme
informative. Sur le site, les personnes désireuses d’avoir plus d’informations sont
servies. Les particuliers qui souhaitent en savoir plus sur leurs droits sont guidés. On
peut lire en descriptif sur cdp.sn, “Chaque personne dont les données à caractère
personnel font l’objet d’un traitement dispose d’un certain de droits. C’est-à-dire
d’un ensemble des règles qui lui permettent d’exercer un contrôle sur l’usage qui
peut être fait de ces données”. La personne a droit à l’information lors de la collecte
et du traitement de celle-ci. Elle peut demander à y avoir accès pour la vérifier et
peut même la rectifier. La personne a également le droit de s’opposer à sa
publication ; mieux, elle peut demander la suppression de cette dernière. A côté, une
fenêtre guide également le particulier pour qu’il puisse exercer ses droits. Plusieurs
modèles de documents administratifs sont proposés pour les différentes étapes de la
saisine de la commission. A titre préventif, des fiches conseils sont proposés sur le
site dans le but de sensibiliser et d’orienter les citoyens.

ET LES ENTREPRISES DANS TOUT ÇA

Pour les entreprises, la loi est moins tolérante. Selon l’ancien président de la
Commission de Protection des Données personnelles par ailleurs conseiller juridique
de l’Agence de l’Informatique de l’Etat (ADIE), Dr. Mouhamadou Lo, auteur du livre,
"La protection des données à caractère personnel en Afrique" , “le règlement général
sur la protection des données ( RGPD) interdit aux entreprises européennes
d’échanger des données personnelles avec d’autres entités ne répondant pas à
certaines garanties prédéfinies.” Sur PressAfrik, il précisait que "la loi européenne
interdit très clairement que l’entreprise envoie des données en Afrique ou dans un
autre pays sans que cette entreprise ne soit en mesure de prouver, par des audits ou
des certifications que les données reçues seront sécurisées conformément à leurs
exigences ». Selon toujours le sieur, les entreprises européens devront se conformer,
s’adapter pour pouvoir faire du business avec l’UA, la CEDEAO ou toute autre entité
communautaire. Il ajoute, “il a été mis en place une législation (ndlr : Convention de
Malabo) avec des exigences propres à notre contexte, à nos réalités et que les
partenaires européens seront aussi obligés de respecter”. Mouhamadou Lo est d’avis
qu’ « un combat devra être mené au niveau africain. Le Sénégal gagnerait d’ailleurs à
le diriger, au vu du nombre d’entreprises menacées ». Dans cette veine, sur le site de
la commission de protection des données, tout est mis en œuvre pour faciliter la
conformité aux règles des entreprises. Un chapitre entier est mis à la disposition de
l’ensemble des acteurs proposant des biens et services sur le marché, du micro-
entrepreneur aux grandes entreprises, en passant par les associations et les
organismes publics. Cette fenêtre leur permet de connaître leurs obligations vis à vis
des personnes dont ils sont détenteurs d’informations personnelles. Le chapitre est
libellé comme suit, “le responsable d’un traitement des données à caractère
personnel est tenu par une obligation de confidentialité, de sécurité, de conservation
et de pérennité des informations collectées”. En parallèle, dans un autre chapitre, y

3
sont décrits les formalités à remplir par les institutions : « Selon la nature du
traitement envisagé, les responsables des traitements opérés pour le compte de
l’Etat ou toute personne morale de droit privé gérant un service public doivent
effectuer des formalités auprès de la commission ».
Certes, une contrainte pour les entreprises qui doivent désormais sécuriser leur
système d’informations pour plus de vigilance face au cybercriminalité et minimiser
les pertes de données, la protection des renseignements personnels est également
une étape qui rend le système transparent et confiant.