Un rapport intitulé ‘’Renforcer la protection des données personnelles en Afrique : vers un système harmonisé et efficient” est partagé par le Laboratoire d’analyse des sociétés et pouvoirs/Afrique-Diasporas (Laspad) de l’université Gaston Berger. Il révèle des insuffisances par rapport à la non-maîtrise des usages des données personnelles, à la qualité de la norme ou encore à la performance des institutions de mise en œuvre du cadre juridique.
Déceler les risques non pris en charge par le cadre juridique et institutionnel en vigueur, en matière de protection des données personnelles. C’est tout le sens d’un rapport consacré au Sénégal et intitulé ‘’Renforcer la protection des données personnelles en Afrique : vers un système harmonisé et efficient”. Partagé par le Laboratoire d’analyse des sociétés et pouvoirs/Afrique-Diasporas (Laspad) de l’université Gaston Berger, il révèle des insuffisances par rapport à la non-maîtrise des usages des données personnelles, à la qualité de la norme ou encore à la performance des institutions de mise en œuvre du cadre juridique, tout en relevant les opportunités.
En effet, par le biais du ministère des Télécommunications, le Sénégal est en train de mettre en place une stratégie nationale sur l’intelligence artificielle (IA) dont l’objectif est de réguler les algorithmes. Au regard de l’intérêt suscité par l’IA, des rencontres et des études transdisciplinaires regroupant mathématiciens, politiques, juristes, sociologues, etc., esquissent une cartographie des prérequis pour l’utilisation adéquate et sûre de l’intelligence artificielle.
Déjà, la société civile alerte sur la nécessaire articulation entre le cadre juridique de l’intelligence artificielle et celui relatif aux données personnelles.
Il faut néanmoins souligner que l’opérationnalité des diverses applications de l’IA au Sénégal sera tributaire d’un égal accès au marché de la donnée, aujourd’hui dominée par les géants dits Gafam, d’après les auteurs du rapport.
‘’Cela postule la nécessité d’une modération des plateformes en vue de contrecarrer les monopoles, la capacité des petites plateformes nationales étant inhibée par celle des Gafam. Si on ajoute à cette situation le fait que le potentiel économique des Gafam leur donne la capacité de désorganiser le marché en leur faveur, il est important que l’État du Sénégal prenne des initiatives propres à porter le débat sur cette problématique au niveau de l’UA. Cela permettra de résoudre deux séries de problèmes : la position dominante des Gafam et le contrôle de leurs activités de collecte de données personnelles dans le cadre de l’économie de la donnée et de l’intelligence artificielle”, indique le rapport.
Dans un tel contexte de développement de la culture et des usages numériques, selon les auteurs de l’étude, le gouvernement du Sénégal, en concertation avec les différentes parties prenantes, devrait adapter le cadre juridique sénégalais en vue de tirer le meilleur parti du secteur de la donnée et de la donnée personnelle.
Recommandations
À ce titre, six principales préconisations sont formulées pour remédier aux insuffisances notées. Ces recommandations invitent, d’abord, à repenser le phénomène. Là, il s’agit de concevoir la donnée personnelle en tant que composante de la donnée. À ce jour, le Sénégal ne dispose pas de cadre juridique de régulation des données en général. Cela constitue, dans une certaine mesure, un facteur d’insécurité juridique pour les entreprises du secteur de l’économie de la donnée, en particulier les start-up désireuses d’investir dans ce domaine. Repenser le phénomène, c’est aussi procéder à une typologie opératoire des données (données essentielles, données critiques, données de souveraineté). Cela constitue la suite logique de l’élargissement du champ de compréhension du phénomène. En saisissant la donnée personnelle comme sous-ensemble de la donnée, il est possible de catégoriser les données suivant leur nature et les enjeux qui s’y rattachent. Cette première recommandation invite en également à analyser la donnée comme enjeu de souveraineté ; et à intégrer la cybersécurité dans la régulation de la donnée. Le futur cadre juridique de la cybersécurité devrait être mis en corrélation avec le droit de la donnée et des données personnelles.
Une autre recommandation consiste à repenser les usages. Il est question de garantir la sécurité individuelle et collective (infrastructures de données, données essentielles) : il s’agit de mettre en avant la sécurité technique et juridique des données et ainsi permettre de maîtriser les risques conformément à la recommandation. Il est aussi recommandé d’élargir et d’améliorer la protection normative ; d’améliorer le cadre de régulation institutionnelle en prenant en compte l’Agenda 2063 et la vision 2050 de la CEDEAO, de mettre en place des cadres formels de coopération intergouvernementale ; de faciliter le partage d’informations et d’expériences, ainsi que les actions concertées entre tous les acteurs intervenant en matière de protection des données à caractère personnel ; de mettre en place un index de sécurité technique et de protection juridique des données, entre autres.
Notion de donnée personnelle
Il est important de noter qu’au plan juridique, la donnée personnelle désigne toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique, etc. À ce titre, la donnée personnelle est d’abord un élément d’identification de la personne au plan physique, biologique, génétique, social et culturel, etc.
Selon l’importance des enjeux et risques qu’ils cristallisent, la loi sénégalaise opère une distinction entre les données sensibles et les données non sensibles. Sont classées données sensibles, toutes les données à caractère personnel relatives aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives (pour plus de détails, voir infra, le contenu du cadre juridique. Au plan politique, deux niveaux d’analyse peuvent mettre en exergue les usages et perceptions des données personnelles.
D’abord, la gestion adéquate de ces données peut aider à atteindre l’objectif de transparence dans la gouvernance publique en général et dans la conduite du processus électoral en particulier. Au chapitre de la gouvernance publique, la mise en œuvre de l’obligation de redevabilité par les acteurs politiques, critère essentiel de mesure de la démocratie, implique la fourniture d’informations aux citoyens, en particulier les informations sur la gouvernance économique, administrative, politique, environnementale, etc., et la protection effective de leurs droits fondamentaux. Par exemple, en matière de gouvernance minière, avec le concours des règles et principes de l’ITIE, et dans le but de maîtriser les bénéficiaires effectifs des entreprises minières, les données collectées peuvent aider à instaurer la transparence et la redevabilité.
C’est le même postulat de l’instauration d’un niveau de transparence dans la gouvernance économique qui justifie la collecte de l’information économique et financière de toutes les entreprises par le truchement du RCCM et de la Centif. Ensuite, dans le cadre électoral spécifiquement, la contribution des données personnelles à l’efficience du processus est sans conteste.
Babacar Sy Sèye
(Source : Enquête, 28 avril 2023)