Â
Aucun sujet de droit ne saurait de nos jours, au regard de l’avancée de la technologie de l’information et de la communication, se passer du risque d’engager sa responsabilité ou de subir un préjudice par le fait de transactions portant sur le traitement de données personnelles.
C’est parce qu’il ne peut nullement être procédé à une transaction régissant en elle des intérêts personnels sans qu’il ne soit empreint de manipulation d’informations intimement liées aux protagonistes.
C’est certainement pour cette raison que dans l’exposé des motifs de la Loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques, le législateur sénégalais dispose ce qui suit : « Avec le développement des réseaux informatiques, le nombre de transactions électroniques est en constante augmentation. A titre indicatif, les transactions électroniques portent sur la production, la promotion, la vente, la distribution de produits et les échanges par des réseaux de télécommunications ou informatiques (interrogation à distance, envoi d’une facture, etc). »
En son Chapitre premier, ladite Loi encadrant le principe de la Liberté de communication par voie Electronique dispose : « la communication par voie électronique ne peut être limitée que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la sauvegarde de l’ordre public, les besoins de la défense nationale, les exigences de service public et les contraintes techniques inhérentes au moyen de communication. »
En appuie à cette loi, le législateur sénégalais considère qu’« Avec le développement de l’informatique et de ses applications, le domaine traditionnel de la vie privée s’enrichit chaque jour de nouveaux éléments. Partie intégrante de ces éléments, les données à caractère personnel se révèlent être des ressources très convoitées. Leur traitement doit se dérouler « dans le respect des droits, des libertés fondamentales, de la dignité des personnes physiques » dans l’exposé des motifs de la Loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel. En effet, il dégage un large champ d’application au régime de protection des données personnelles. La loi dispose en son article 2 : « Sont soumis à la présente loi : 1) Toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé (…) - 2) Tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier, à l’exception des traitements mentionnés à l’article 3 de la présente loi ; ». Ainsi la loi n’épargne que le responsable qui utilise ces données que « dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ». Elle oblige dès lors le responsable à adopter un Code de conduite qu’elle définit comme : « tout projet de règles, notamment les chartes d’utilisation, élaboré par le responsable du traitement, en conformité avec la présente loi, afin d’instaurer un usage correct des ressources informatiques, de l’Internet et des communications électroniques de la structure concernée et homologué par la Commission des Données Personnelles ».
Le Sénégal dans le cadre de ce projet, s’inscrit ainsi en étroite ligne sur les Orientations relatives aux principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel édictés par l’Assemblée Générale de l’ONU en 1990, les exigences européennes en matière de transfert de données vers des pays tiers et les principes fondamentaux consacrés par la loi d’orientation sur la société de l’information (LOSI).
Â
L’INTERET DE LA PROTECTION DES DONNEES PERSONNELLES
Il tient de la manipulation qui peut être faite sur n’importe quelle donnée numérique intrinsèquement liée à un sujet de droit.
En effet, il y a lieu de se mettre à l’évidence qu’à l’occasion d’une transaction et même de la mise à disposition d’une information de quelque nature que ce soit, il y a une diffusion de données factuelles multiples et variées qui peuvent être transposées en données numériques qui, par la suite sont véhiculées dans un outil de stockage exploitable à merci s’il n y’avait pas la possibilité d’un cadre de règlementation stricte pour limiter les orientations de celle-ci.
Leur accès ouvert porte en lui un risque conséquent, leur configuration un risque de dénaturation ou de modification. Par conséquent, la manipulation consciente ou inconsciente des données à caractère personnel porte en elle un risque aussi bien pour le gestionnaire que pour le titulaire. On peut citer parmi ceux-ci : le BIG DATA, le PROFILAGE, l’HACKING, la FRAUDE, la CYBERCRIMALITE etc.
Il est un phénomène beaucoup plus percutant qui cristallise ce risque : c’est l’Intelligence Artificielle.
Avec l’IA, la compilation de données numériques accessibles est une porte ouverte à des dérives préjudiciables à leur titulaires, et pis, à un Etat. A ce sujet, l’article premier de la Loi sur la Protection des données à caractère personnel dispose : « Elle veille à ce que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée. »
De nos jours, toute initiative d’entrepreneuriat socio-économique, toute gestion administrative locale ou internationale est portée à disparaitre si elle ne s’appuie pas sur les NTIC. Elle n’existe pas si elle ne développe pas une plateforme disponible et accessible au public.
C’est ce qui explique le phénomène de la VENTE EN LIGNE, des STARTUP, de la BANQUE NUMERIQUE, de la FINANCE NUMERIQUE etc…
Dans l’ouvrage CONFORMITE BANCAIRE AU SENEGAL ET DANS LA ZONE UEMOA, Moussa SYLLA rappelle pertinemment que les entreprises disposent aujourd’hui d’importantes données sur leurs clients. Il donne l’exemple des Banques qui, avant l’ouverture d’un compte bancaire, dans respecter la règlementation portant sur le KYC (know your customer), exigent la mise à disposition d’un important lot de données à caractère personnel à la clientèle.
Â
LA PORTEE DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
On peut dans l’exposé des motifs de la Loi n° 2008-11 du 25 janvier 2008 portant sur la Cybercriminalité ce qui suit : « Mais si l’interconnexion permanente des réseaux informatiques constitue un enjeu majeur consistant pour les Etats à tirer parti des possibilités qu’offrent les technologies de l’information et de la communication en faveur des objectifs de développement énoncés dans la Déclaration du Millénaire, du développement des transactions commerciales et de la bonne gouvernance, il reste que l’espace numérisé qu’offrent les technologies de l’information et de la communication notamment l’Internet, est de plus en plus le lieu pour commettre des agissements répréhensibles de toutes sortes, attentatoires tant aux intérêts des particuliers qu’à ceux de la chose publique. (…) L’irruption de ce nouveau phénomène criminel dénommé cybercriminalité caractérisée par sa transnationalité, son immatérialité, sa volatilité et l’anonymat de ses acteurs a contribué à brouiller les repères du système pénal dont les réponses traditionnelles et permanentes, conçues et élaborées pour un environnement matérialisé et national, se sont vite révélées inappropriées et inadaptées pour saisir cette nouvelle réalité de l’ère numérique »
Les individus doivent être protégés contre toute initiative d’exploitation nuisible à leurs intérêts matériel et moraux. C’est d’autant plus urgent du fait de la probabilité de manipulation inconsciente des données personnelles. C’est un danger imminent car les NTIC sont même accessibles aux enfants à plus forte raison les délinquants qui planent dans l’environnement.
Au regard de la Règlementation bancaire, les Etablissements financiers qui sont les plus grands générateurs de stock de données à caractère personnel, sont obligés de respecter un certain nombre de principe ; parmi ceux-ci : LA CONFIDENTIALITE (ou encore le secret professionnel).
C’est dans la perspective de la règle générale et universelle de PROTECTION DU CONSOMMATEUR.
Â
LA MISE EN Å’UVRE DE LA PROTECTION PAR LE LEGISALTEUR SENEGALAIS
La mise en application de la norme de protection des données personnelle s’appuie sur un dispositif structurel permettant de suivre le comportement des usagers des services numériques et de la communication.
Au Sénégal, l’Etat a évité de laisser ce processus de sanction aux seuls organes juridictionnels. C’est sans doute en raison de l’enjeu que portent les NTIC, leur célérité, leur volatilité et leur sensibilité entre autres. Ainsi les juridictions classiques interviennent en aval du processus de régulation en cédant la place à l’organe appelé Commission de protection aux Données à caractère personnelles.
La CDP est un organe administratif qui dispose des compétences coercitives et préventives. Elle est un organe indépendant avec un statut particulier.
L’article 5 de la Loi sur les données personnelles dispose : « La Commission des Données Personnelles est une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi. Elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations et s’assure que les TIC ne comportent pas de menace au regard des libertés publiques et de la vie privée. »
Elle reçoit les réclamations, les plaintes des citoyens, et est dotée de prérogatives lui permettant de donner des injonctions et sanctions aux responsables qui seraient tentés d’enfreindre la Loi.
Elle intervient notamment dans le cadre de :
1) la sûreté de l’Etat, la défense ou la sécurité publique ; 2) la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ; 3) le recensement de la population ; 4) les données à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales, ethniques ou régionales, la filiation, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci lorsqu’elles ne relèvent pas de l’article 22.3 de la présente loi ; 5) le traitement de salaires, pensions, impôts, taxes et autres liquidations.
Â
Par : Jean Gabriel Moussa Senghor - Juriste d'Affaires Spécialisé en Contentieux /Banque
Master en Droit privé, option Contentieux des Affaires | Expérience en médiation et procédures judiciaires
Â
