Siradiou Bâ, chef de la division du contentieux à la CDP : « La loi sur les données personnelles est obsolète »

Dans les établissements publics et privés, sur internet, dans les rues, les registres ou fiches de renseignement, les citoyens donnent et partagent des informations personnelles. Siradiou Ba, chef de la division du contentieux à la Commission de protection des données à caractère personnel (CDP) explique les règles qui gouvernent le traitement de ces données souvent sensibles et appelle à la responsabilité et à la vigilance.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée personnelle n’est rien d’autre qu’une information qui permet d’identifier directement ou indirectement une personne physique. A l’origine; c’étaient les informations : les noms et prénoms.  Depuis 1995, on parle de données à caractère personnel. Il peut s’agir d’une adresse électronique, du numéro de téléphone, des traces de connexion, de la géolocalisation, de la vidéo, de la photo etc. La liste est extensible.

  Comment la collecte  et la diffusion de ces données sont encadrées au Sénégal ?

  La loi pose des principes et  imposent des obligations à ceux qui collectent des données et confère des droits aux citoyens. Par rapport aux principes, ceux qui manipulent les données, on les appelle des responsables de traitement. Ça peut être une personne physique, morale, publique ou privée. Je prends l’exemple d’un particulier qui installe un dispositif de vidéo surveillance chez lui. Il collecte et traite des images et des enregistrements qui sont des données à caractère personnel. Il peut s’agir aussi d’une entreprise commerciale qui  collecte des données de ses clients et constitue des fichiers ou des bases de données  pour booster son chiffre d’affaires.

L’Etat également, dans le cadre de ses missions de service public, collecte et traite des données. Les hôpitaux recueillent eux aussi des données médicales. Le traitement est donc un ensemble d’opérations qui comprend la collecte, l’enregistrement, le stockage, la communication, le partage et la conservation. Toute personne qui traite des données doit respecter le principe de finalité, c’est-à-dire pourquoi elle collecte les données.

Il y a aussi le principe du consentement. Il faut au préalable recueillir le consentement de la personne. Le principe de proportionnalité les oblige à limiter la collecte au strict nécessaire. La collecte  doit également être licite et loyale. Un procédé intrusif ne doit pas être utilisé pour la collecte des données. Par exemple un employeur qui installe un logiciel espion sur les machines des salariés pour lire les correspondances fait de la collecte frauduleuse.

A côté des principes, il y a des obligations comme celle d’assurer la sécurité et la confidentialité des données. Beaucoup pensent que c’est à la CDP d’assurer cette confidentialité. En réalité, cette responsabilité pèse sur le responsable de traitement. La CDP, elle, a une mission de veille et de contrôle. L’autre obligation est relative à la limitation de la durée de conservation. Quand vous quittez une entreprise ou une organisation, votre employeur peut conserver vos données peut-être pendant 10 ans. Au-delà de cette période, il doit les supprimer ou les archiver. Quand vous quittez un réseau social, normalement vos données doivent être supprimées. En quittant Facebook par exemple vous pouvez formuler une demande. Si après 30 jours, Facebook ne supprime pas le compte, vous pouvez saisir la CDP.

La personne dont les informations sont collectées a droit à une information préalable. Celui qui fait la collecte doit l’informer sur la finalité, sur le lieu où se trouvent ces données, sur les mesures de sécurité prises pour protéger ces données.

Elle a également un droit d’accès. Je peux par exemple demander à accéder à mes données disponibles sur un réseau social. A côté du droit d’accès, il y a le droit d’opposition. Vous recevez souvent des sms des opérateurs qui vous proposent de nouveaux services alors que vous n’avez pas au préalable donné votre consentement. Vous pouvez vous opposer en mettant STOP. C’est la CDP qui leur a imposé de mettre cette fonction.

Il peut aussi y avoir un dispositif de vidéo surveillance qui porte légitimement atteinte à votre intimité. Il y a aussi le droit de rectification et de suppression. Nous recevons beaucoup de  demandes relatives à la suppression de contenus sur internet et les réseaux sociaux. La CDP reçoit aussi des plaintes et signalements des citoyens lorsqu’il y a une utilisation inappropriée de leurs données personnelles.

  Quelles garanties, les citoyens peuvent-ils avoir quant à la sécurité des données qu’ils partagent sur internet ?

  Il appartient aux responsables des traitements de garantir la sécurité et la confidentialité des données. En cas de fuite, le citoyen peut faire une plainte. C’est en ce moment que l’autorité de contrôle peut utiliser ses pouvoirs pour contraindre ces entreprises-là ou les sanctionner.

  En l’occurrence les responsables de traitement sont Facebook.

Ce sont Facebook, Twitter, la Sonatel, le ministère de l’intérieur etc. C’est aussi le Cesti qui collecte également des données personnelles de ses étudiants et de son personnel.

  Beaucoup prennent rarement le temps de lire les conditions de confidentialité avant d’adhérer à un réseau. À quoi s’exposent-ils exactement ?

  Malheureusement, la plupart des internautes ne lisent pas les conditions d’utilisation. Ils donnent leur consentement sans pour autant connaitre les conséquences dans le long terme. Dans ces conditions, il est dit qu’en cas de litige, ce sont les juridictions californiennes qui sont compétentes. De concert avec nos homologues, nous essayons de faire en sorte que ces firmes que nous appelons communément les GAFAM (Google, Amazon, Facebook, Apple, Microsoft, ndlr) puissent se conformer aux lois africaines, pour permettre au moins à nos citoyens de recourir au droit d’opposition.

 Ailleurs, le débat est plus évolué et on parle même de droit à l’oubli sur internet…

  C’est vrai. La loi sur les données à caractère personnel est obsolète. En 2008, il n’y avait pas toutes ces questions et incidences liées aux réseaux sociaux. C’est pourquoi on a élaboré une nouvelle loi qui est actuellement déposée au niveau du secrétariat général du gouvernement. Ce texte prévoit le droit à l’oubli,  le droit à la portabilité des données, renforce le consentement, prévoit le consentement des mineurs, la notification des failles de sécurité en cas d’attaque informatique. Le travail est déjà fait et nous attendons les phases de validation et d’adoption.

  Des vidéos intimes, envoyées dans un cadre privé, se retrouvent  parfois sur la toile du fait des nombreux partages. A quoi s’exposent les différentes parties ?

  Ces questions sont plus liées à la vie privée et à la cybercriminalité qu’à la protection des données.  Le code pénal considère cela comme une infraction avec des sanctions pouvant aller jusqu’à 5 ans d’emprisonnement. La CDP, elle, peut accompagner la victime pour demander le retrait du contenu auprès des géants du net. Elle peut aussi saisir le procureur comme l’impose la loi en cas de constatation d’une infraction où les données personnelles sont utilisées. Le procureur de la République peut ensuite mandater la division spéciale de la cybercriminalité de la police ou la plateforme régionale de lutte contre la  cybercriminalité de la gendarmerie pour rechercher les auteurs des infractions.

  La CDP s’est pourtant prononcée sur les agissements de Kocc (du surnom d'un individu qui publie des vidéos intimes d'autrui sur le web) par exemple…

  On ne devait a priori pas intervenir sur ces dossiers mais beaucoup de personnes sont venues porter plainte et on était obligé d’en parler. Dans un premier temps on a eu des échanges avec lui, on lui a demandé de supprimer certains contenus. Le problème, c’est sa localisation. On a travaillé de concert avec la police. Le dossier en est là.

  Quelle est la limite entre la sphère privée et celle publique ?

  Internet est une zone hybride. A la fois donc publique et privée. Les messages que vous partagez avec une autre personne sont privés. Il y a le secret de la correspondance qui est garanti par la constitution sénégalaise. La majorité des utilisateurs des réseaux sociaux ne s’imprègnent pas des conditions d’utilisation. Si vous ne paramétrez pas correctement votre compte par exemple, il est visible par tous et il peut arriver que des informations d’ordre privé voire intime soient divulguées et débordent dans le public.

Il faudrait donc que les utilisateurs soient vigilants et responsables. Ils doivent savoir qu’un ami est un ami mais qu’ils ne doivent pas publier un contenu sans son accord. Il faut aussi faire attention aux personnes qui demandent à être ajoutées ou à intégrer nos réseaux. On risque d’ajouter un cybercriminel et les conséquences peuvent être fâcheuses. Il faut toujours être prudent.

Rubrique: