Mme Awa Ndiaye, Présidente de la Commission de protection des Données Personnelles : ‘’ Il faut faire également dans un avenir proche pour que le contrôle à postériori puisse se faire’’
Vous avez pris fonction il y a 6 mois, et pendant tout ce temps, on ne vous a pas entendu sur votre vision sur la Commission de protection des Données Personnelles (CDP). Pourquoi avez-vous attendu jusqu’à ce moment pour briser le silence et communiquer ?
Merci c’est vrai, cela fait 6 mois et ça constitue une étape importante pour moi .Je viens d’arriver dans ce service important et j’ai voulu prendre le temps de m’imprégner. J’ai voulu prendre le temps de connaitre mon affaire ; de réfléchir sur les dossiers, de voir un petit peu la loi et me l’approprier, de regarder la stratégie qui a été mise en œuvre, il y a deux ans, par mon prédécesseur, Docteur Mouhamadou Lo, que je salue au passage. Et de voir comment moi, je vais prendre la relève et continuer le processus tout en l’enrichissant. Donc cela m’a vraiment demandé un certain retour sur moi-même, retour sur certaines choses qui ont été faites, retour sur la loi pour une bonne imprégnation des dossiers avant de pouvoir sortir et de dérouler mon plan d’actions.
Vous vous êtes imprégnée des dossiers. Que comptez- vous faire à la tête de la CDP ?
Ce que je compte faire et j’ai commencé à le faire d’ailleurs, c’était d’abord de mettre en place une campagne de communication. Lorsque j’ai regardé les dossiers et que je me suis imprégnée des missions de la CDP, j’ai compris ce que l’on attendait de la CDP. Et j’ai vu et constaté le travail qui a été fait en termes de traitement des dossiers, des traitements de déclarations, en termes de traitement des usagers aussi bien responsables de traitement que des citoyens qui viennent à la CDP pour demander des avis, demander des conseils ou simplement porter plainte. Il a fallu maintenant, que je me dise quelle est la prochaine étape. Nous avons dans la loi deux missions précises : la première était de faire que les déclarations soient faites de la part des responsables de traitement ; mais une autre mission est de contrôler que ces déclarations soient conformes et restent conformes dans le long terme. En effet, il ne s’agit pas qu’ils soient conformes pendant un mois après une autorisation, il faut qu’ils restent conformes dans le long terme avec la loi. Il faut également que ceux qui mettent à leur disposition leurs données personnelles c’est-à-dire les citoyens, à savoir vous, moi, tout le monde nous connaissons nos droits. Donc il a fallu, d’une part faire un contrôle a priori de qu’est ce qui se passe au niveau du traitement. Et comment faire pour que le traitement soit bien fait et que les déclarants, des responsables de traitement, ils se conforment absolument a la loi et qu’ils agissent conformément à la loi également dans le terrain. Mais il faut faire également dans un avenir proche pour que le contrôle a posteriori puisse se faire. J’ai, donc à mon arrivée, décidé de mettre en place la Direction du Contrôle et de la Vérification et donc les contrôles dans les sites, c’est-à-dire dans les entreprises privées, dans les entreprises publiques vont se faire. Nous attendons un expert, puisque nous avons fait une formation dans nos services rattachés. Nous attendons un expert de la CNIL, c’est-à-dire de la CDP française, qui va venir deux jours pour faire la formation pour les Commissaires de la CDP. Parce-que les commissaires vont faire partie prenante aux missions de contrôle et, une fois que cette formation sera faite, nous entamerons les missions de contrôle ; donc c’est un chantier important pour nous.
Concrètement comment les missions de contrôle vont se dérouler sur le terrain ?
Les missions de contrôle : avant d’aller sur le terrain, il y a un travail préalable à faire. Le premier travail, c’est d’aviser, d’informer le Procureur ; il faut absolument faire une lettre au Procureur. Ensuite, il faut préparer tous les papiers : les ordres de missions, les procès-verbaux, donc pour dire que nous arrivons et voilà ce que nous avons l’intention de faire. Donc tous ces papiers doivent être signés dès notre arrivée sur le site par le responsable du traitement ou par le responsable de la structure. C’est à eux de voir de voir maintenant, une fois que ces papiers ont été signés entre nous qui attestent donc que la CDP qui est là, qu’elle a le droit d’être la et nous allons entamer le traitement. A ce moment-là, nous allons commencer à rentrer dans le listing, les fichiers qui seront traités. Nous commençons à vérifier, à auditer, à contrôler la manière dont ces fichiers sont manipulés. Comment est-ce qu’ils sont stockés ? Qui est ce qui a accès à ces fichiers ? Est-ce que ces fichiers restent confidentiels ? Est-ce que ces fichiers vont être conservés et pendant combien d’années ? Est ce qu’il y a un sous-traitant qui a aussi accès à ces fichiers ? Est-ce qu’il y aura un transfert par rapport à ces fichiers ? Est-ce qu’ils seront transférés dans un pays tiers ? Tout cela nous le contrôlons et nous le faisons en adéquation avec les obligations légales. Une fois que c’est fait, nous signons un procès-verbal de fin de mission et la structure signe et nous signons. Et ensuite, nous emmenons tous nos papiers, toutes les photocopies que nous avions faites, tout ce que nous avons pu recueillir dans nos clés USB. Et à ce moment-là, nous allons revenir au niveau de la CDP et nous allons faire une étude exhaustive de tous ces documents. Si on estime que tout c’est bien passé et que le traitement s’est passé dans les termes adéquats, le dossier est classé et on félicite la structure. Et si maintenant il y a un problème, à ce moment-là, on intervient au niveau de la Session Plénière et des commissaires. Après en avoir délibéré au niveau de la Session Plénière, on porte le dossier au comité de sanction. Le comité de sanction est composé de trois commissaires choisis parmi tous les autres qui œuvrent exclusivement et réétudient le dossier sur la base des commentaires et avis qui ont étaient émis pendant la Session plénière, et, décident de la sanction qui doit être prise. La sanction peut être administrative, pécuniaire mais peut être également pénale. Donc comme cela que ça va se passer.
Vous l’avez dit tantôt la sanction peut être administrative, pécuniaire, pénale. A combien peut s’élever la sanction pécuniaire par exemple ? Ou pénale, qu’est-ce que vous pouvez nous dire ?
Oui, la CDP en elle-même a donc une prérogative de sanctions administratives. Il s’agit de l’avertissement, de la mise en demeure, de l’interdiction du traitement pour une durée déterminée ou alors pours toujours. On peut décider que ce traitement doit être arrêté et ne doit plus être continué. La CDP a également une possibilité de sanction pécuniaire qui va de 1 million de francs CFA à 100 millions de francs CFA selon la gravité de la faute. Maintenant, si nous décidons que c’est assez grave pour saisir le Procureur ; lui a de son côté a la possibilité de sanctions pécuniaires qui vont de 100 milles francs CFA à 10 millions francs CFA. Mais en plus de cela, il a une possibilité d’infliger une sanction privative de liberté.
‘’ Maintenant, il est évident qu’il faut une large vulgarisation de la loi pour que toutes les personnes qui collectent des données sachent qu’elles ont une obligation de déclaration, une obligation de sécurisation de ces données, une obligation de confidentialité de ces données’’.
Les données médicales, judiciaires ethniques, religieuses dites des données sensibles posent préjudice à certains citoyens. Que faut-il faire pour que les entreprises se conforment à la loi en vigueur ?
Alors, deux choses : il faut les y appeler. Il faut appeler les entreprises qui ne l’ont pas encore fait. Il faut appeler les administrations qui ne s’y sont pas encore arrivées avant, à venir faire leurs déclarations. Donc nous faisons ce que l’on appelle un appel à déclaration. Nous écrivons et nous expliquons la mission de la CDP : qu’elle existe et voilà sa mission, voilà les obligations légales qui vous incombent et nous vous demandons de vous rapprocher de nous. Nous vous expliquerons mieux et nous vous accompagnerons pour pouvoir remplir vos obligations légales. Donc, nous faisons des appels a déclarations, sinon lorsque nous avons une plainte d’un citoyen sur tel ou tel fait par rapport à ses données personnelles mal traitées ou traitées de façon frauduleuses ou délictueuses ou illicites ; à ce moment-là, nous allons directement vers la structure concernée. Nous lui demandons une explication, nous l’appelons dans nos locaux quelques fois pour lui parler et l’entendre, et, nous lui disons qu’il faut absolument déclarer vos données de telle ou telle manière. Et nous l’informons de la loi et donc des obligations qui lui sont dévolues. Maintenant, il se peut également qu’une société déclare ces données de façon tout à fait normale et quelques fois de façon spontanée. Et en faisant la déclaration, elle déclare un sous-traitant qui a accès à ces données ; à ce moment-là, avant de donner l’autorisation, nous demandons que ce sous-traitant vienne également déclarer avant que nous ne délivrons le récépissé de déclaration. Maintenant, il est évident qu’il faut une large vulgarisation de la loi pour que toutes les personnes qui collectent des données sachent qu’elles ont une obligation de déclaration, une obligation de sécurisation de ces données, une obligation de confidentialité de ces données.
Informer, vulgariser, sensibiliser : est-ce que vous avez les moyens de votre politique de communication ?
Alors, je dois dire tout de suite et c’est bien dommage, que les moyens ne sont pas très importants à la CDP. Mais, je pense que cela peut se comprendre, c’est une institution très jeune, qui démarre. On ne peut pas, dès le démarrage, affecter des sommes colossales, c’est une structure qui démarre. Mais, je pense que les autorités de ce pays mesurent l’importance des données personnelles. C’est pour cela que l’Acte additionnel de la CEDEAO a été adopté par notre pays. La Convention Africaine relative à la cybercriminalité et à la protection des données personnelles a été adoptée par notre pays, la Convention de Budapest relative à la cybercriminalité a été adoptée, la Convention 108 du Conseil de l’Europe relative à la protection des données personnelles et à la cybercriminalité a été adoptée par notre pays. Ils prennent la mesure et je pense qu’il faut que la CDP monte en puissance. Mais, cette montée en puissance, c’est à nous d’en donner l’impulsion. Nous CDP, par notre travail, par notre sensibilisation que nous en faisons, par cette sortie de l’anonymat de la CDP. Parce que je l’ai dit une fois et cela a soulevé un tollé. Je ne connaissais pas les données personnelles ni qu’il y avait une institution dédiée qui est la Commission de protection des données personnelles. Il faut qu’entre nous, nous nous approprions ce que c’est la CDP. Je le dis chaque fois, il faut que la CDP devienne une amie, un compagnon. Un compagnon dans notre appropriation des TIC. On ne peut pas être dans les réseaux sociaux, on ne peut pas vouloir faire partie de cette société de l’information si l’on n’a pas conscience des menaces qui pèsent sur nos données personnelles. Et ces menaces doivent être prises en charge par chacun d’entre nous mais avec l’accompagnement de la CDP. Et je pense que si on arrive petit à petit à comprendre l’importance qu’il y a à se garantir contre toutes ces menaces qui peuvent nous arriver au cours de notre cheminement dans les TIC. Parce qu’il faut le dire, pour chacun d’entre nous, c’est nouveau. C’est un monde nouveau et que chacun explore, et , il faut que chacun doit être conscient qu’il peut y avoir des contraintes, des menaces et des désavantages mais que la CDP est là et que la CDP doit pouvoir accompagner les utilisateurs, doit pouvoir accompagner les gens qui travaillent dans ce secteur pour que chacun soit en confiance et chacun puisse utiliser de façon très positive les TIC dans notre pays. Je pense que dès l’instant que nous allons plus travailler, nous allons nous faire entendre, nous allons faire nos preuves sur le terrain, à ce moment, je pense également, et, au fur et à mesure, nous pourrons également et en même temps réclamer des budgets en accord avec notre travail que nous faisons. Là déjà, je dois le dire, cette année, nous avons eu une rallonge budgétaire et c’est déjà un pas très positif et nous devons continuer comme ça et je pense que ça va continuer comme ça.
Le secteur des TIC va vite. Aujourd’hui, on parle d’objets connectés, de drones, Comment la CDP compte se positionner sur ce champ de l’innovation ?
C’est un champ extrêmement difficile parce qu’il demande des moyens. Nous avons les ressources humaines parce que dans notre pays, c’est ça l’avantage, nous avons des ressources humaines bien formées, nous avons des expertises dans le domaine qui ne demandent qu’à faire des recherches et qu’à rentrer dans ces pistes de l’innovation technologique. Elles ont simplement besoin d’être accompagnées, que les infrastructures soient là, que les budgets pour la recherche soient là. Nous avons l’intention et nous avons dans le département qui va s’occuper du contrôle, nous avons également une division qui va s’occuper des systèmes d’information. Et cette division, c’est elle qui va être en charge de l’innovation technologique. Nous avons un expert qui a fait ses études à l’étranger et qui a véritablement une expertise dans ce domaine, qui a travaillé dans ce domaine à l’étranger et sur qui véritablement j‘ai beaucoup d’espoir. Parce que je sais qu’il peut nous apporter énormément et, déjà, il a commencé à mettre en place tout un dispositif dans notre environnement informatique qui va lui permettre déjà d’asseoir notre système. Parce la CDP, nous n’avions même pas notre serveur propre, toutes nos données sont logées à l’ADIE. Donc nous sommes en train de voir avec l’ADIE, comment faire en sorte que nos données reviennent à la CDP, que nous ayons notre serveur propre et que nous puissions gérons nous-même nos propres données. Cela me semble quand même être le minimum que la CDP puisse faire par elle-même ; et nous avons les ressources humaines pour ce faire. Nous avons besoin d’un peu plus de budget pour permettre de dédier certaines personnes à cette recherche, parce que cela demande du temps, de la concentration, c’est difficile d’être dehors et dedans en même temps, donc tout cela c’est un problème budgétaire. Il faut, comme je le dis souvent, que la CDP monte en puissance, sur le plan de ses ressources humaines et également sur le plan de ses ressources budgétaires.
Le contexte mondial est marqué par le terrorisme, le Sénégal n’y échappe pas, la menace est bien là. Est-ce que les forces de sécurité et de défense peuvent-elles utiliser les données personnes d’une tierce personne pour lutter contre le terrorisme?
Je pense qu’il faut être pragmatique. Lorsqu’on me pose souvent cette question, je me dis, écoutez, dans la protection des personnes et des biens, dans la protection publique, il y a le mot protection. Dans la protection des données, il y a le mot protection et les deux ont mis en place et décidés, donc il y a une volonté politique des plus hautes autorités de ce pays à protéger les libertés individuelles, donc la vie privée des citoyens, donc leurs données personnelles mais également de protéger les libertés publiques et la sécurité publique dans notre pays donc les libertés de tout en chacun d’un point de vue collectif. Ces deux devoirs régaliens de l’Etat doivent être pris en compte. En matière de terrorisme, il est vrai que la sécurité intérieure déclare ses données, elle a le devoir de le faire et elle le fait. Mais il y a quelque chose qui leur incombe personnellement et il faut le leur laisser. Quant à la sécurité du pays, donc ils n’échappent pas à l’obligation déclarative pour les données qu’ils traitent. Que ce soit des données biométriques, des données simples ou plus compliquées, ils n’y échappent pas, ils le déclarent. Il y aussi le fait qu’ils gèrent la sécurité publique du pays et qu’il faut leur laisser la latitude de le faire en toute bonne conscience et en toute responsabilité.
‘’Déclarer votre système de vidéosurveillance vous permet de rester dans la légalité’’.
C’est devenue monnaie courante, l’utilisation des nouvelles technologies telles que la vidéosurveillance. Beaucoup l’installent sans respecter la loi. Quelle est la bonne démarche ?
Alors la bonne démarche, c’est de respecter la loi !
En quoi faisant ?
En se rapprochant de la CDP. Lorsque vous voulez installer une vidéosurveillance chez vous à titre privé ou alors une société veut installer un système de vidéosurveillance, elle doit se rapprocher de la CDP. Et elle doit déclarer cette vidéosurveillance à la CDP. Que la CDP voit si toutes les mesures légales sont respectées avant la mise en place. Parce que la vidéosurveillance, c’est bien, mais, il faut également protéger la vie privée des citoyens. C’est un droit absolu et fondamental de chacun de voir sa vie privée respectée. Le système ne doit pas être installé partout : il y a des zones comme dans les cuisines, les salles de bain, vous n’avez pas le droit d’installer des systèmes dans ces endroits-là. Lorsque ce n’est pas une caisse dans une banque ou d’une société, vous n’avez pas le droit d’installer un système de vidéosurveillance dans les bureaux de vos salariés. Cela est une violation du droit fondamental des citoyens ; donc il y a des choses à respecter. Et déclarer votre système de vidéosurveillance vous permet de rester dans la légalité. La société qui vous l’installe doit également se déclarer auprès de la CDP. Donc il faut déclarer ! Si vous n’avez pas déclaré et qu’il y a une plainte en ce qui concerne votre système de vidéosurveillance, vous êtes dans l’illégalité et vous êtes fautif. Si par hasard, par le plus grand des malheurs, vous avez installé un système de vidéosurveillance sans l’avoir déclaré et que par exemple, vous prenez un voleur qui vient chez vous et vous l’avez vu dans les images de votre caméra. Cet instrument, c’est-à-dire cette caméra-là ne constitue pas une preuve ou encore c’est une preuve qui ne sert à rien, qui est égale à zéro si la vidéosurveillance n’a pas été déclarée. C’est une preuve qui ne peut être acceptée par la justice que si le système de vidéosurveillance a été au préalable déclaré. Donc vous avez tout intérêt, chacun d’entre nous, si nous avons ces systèmes chez nous, ou dans nos locaux ou dans nos bureaux à déclarer nos systèmes de vidéosurveillance.
Des opérateurs de téléphonie mobile ont été avertis, mis en demeure dans le cadre de leurs activités de prospection. Comment faut-il les sanctionner pour qu’ils ne récidivent pas concernant l’envoi des Sms destinés à des consommateurs non avertis au préalable ?
Alors les sanctionner, ce que nous faisons lorsque nous avons une plainte par rapport à la prospection directe qui n’a pas été autorisée, c’est de demander d’abord une explication. Pourquoi il y a eu prospection directe non autorisée puisqu’il y a plainte. Le plus souvent, les opérateurs de téléphonie nous disent, pour nous c’est autorisé, parce qu’il s’agit de nos clients. Ils sont clients chez nous donc nous leur envoyons des messages parce qu’ils sont nos clients. D’accord à ce moment-là, nous leur disons, il faut leur permettre à vos clients de se désinscrire s’ils ne sont pas intéressés par ce que vous leur envoyez. Et donc il y a un STOP qui est obligatoire, une possibilité de les désinscrire gratuitement. Malheureusement, la plupart du temps, il semblerait ce lien de STOP pour se désinscrire marche très peu. Donc nous les appelons, nous les informons, les mettons en demeure de faire arrêter immédiatement cette prospection directe, donc la plupart du temps, ça s’arrête. Il y a eu des cas dont un qui reste dans ma mémoire, où à plusieurs reprises il y a eu comme un harcèlement. La personne, qui se sentait véritablement harcelée, a porté plainte devant le tribunal et l’affaire est pendante en justice.
C’est quoi une donnée personnelle, puisque les Sénégalais méconnaissent leurs données la plupart ?
Alors les données personnelles, c’est tout ce qui vous identifie. C’est votre nom, c’est votre prénom, c’est votre date de naissance, c’est le lieu de naissance, c’est votre sexe, c’est le nom de vos parents, c’est votre carte d’identité nationale, c’est votre carte d’électeur, c’est votre registre de santé, c’est votre carnet de santé, c’est votre compte bancaire ; c’est tout qui peut faire qu’on vous identifie comme monsieur tel ou madame telle. Tout ce qui peut vous identifier de manière directe comme une photo ou de façon indirecte comme par exemple, le numéro d’un compte bancaire ; tout cela fait partie de vos données personnelles et doivent être géré par vous de façon responsable pour ne pas les mettre à disposition de n’importe qui, de n’importe comment et également par les responsables de traitement qui doivent être responsables pour les gérer dans la sécurité et dans la confidentialité.
Propos recueillis par Ismaïla Camara (RFM)