Comprendre la Protection des Données Personnelles au Sénégal

1. Le champ d’application de la Loi n°2008-12 sur les données à caractère personnel

A qui la loi n°2008-12 s’applique à t-elle ? 

La Loi n°2008-12 sur la protection des données personnelles s’applique : 

• aux entités qui réalisent des traitements de données personnelles sur le territoire sénégalais ou en tout lieu où la loi sénégalaise s’applique et ;
• à toutes les entreprises localisées ou non sur le territoire sénégalais qui traitent des données personnelles de personnes situées au Sénégal.

Qu’est-ce qu’une donnée personnelle au sens de la loi sénégalaise ? 

D’après l’article 4 de la Loi n°2008-12 sur la protection des données personnelles, une donnée personnelle désigne “toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique”.

Cela peut inclure des informations telles que : 

• Le nom, 
• L’adresse, 
• Le numéro de téléphone, 
• L’adresse e-mail, 
• la date de naissance, 
• le lieu de travail, 
• les habitudes d’achat,
•  les données de localisation et bien plus encore.

Comment déterminer si ma startup réalise un traitement de données personnelles selon la loi 2008-12 sur la Protection des Données Personnelles au Sénégal ? 

Aux termes de l’article 4 de la Loi n°2008-12, un traitement des données à caractère personnel désigne “toute opération ou ensemble d’opérations […] effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel”.

Ainsi, si vous réaliser une opération ou un ensemble d’opérations consistant par exemple à collecter une donnée personnelle, comme cela est définit ci-dessous, alors vous pouvez (sous réserve des exceptions mentionnées dans la Loi n°2008-12) être considéré comme réalisant un traitement de données personnelles.

Les startups sont souvent amenées à effectuer des traitements de données personnelles dans le cadre de leurs activités courantes, notamment en gérant la paie de leurs salariés, en développant un site e-commerce ou en réalisant des campagnes marketing. Ces activités nécessitent de traiter des données à caractère personnel, par exemple : nom, prénom, date de naissance, log de connexion, email, photo, numéro de téléphone, RIB, adresse IP.

Par conséquent, ces données qui permettent d’identifier ou de rendre identifiable les personnes concernées (ex : salariés, clients ou fournisseurs), doivent être protégées par la mise en œuvre de mesures de sécurité et de confidentialité.

2. Quelles sont les obligations à respecter au regard de la Loi n°2008-12 lorsque je réalise un traitement de données personnelles ?

Quelles sont les formalités préalables à la mise en œuvre du traitement des données à caractère personnel à respecter au Sénégal ? 

La déclaration préalable relative à réaliser lors de la réalisation d’un traitement à caractère personnel

L’article 18 de la Loi n°2008-12  prévoit que tous les traitements de données personnelles doivent être déclarés préalablement à leur mise en œuvre auprès de la Commission des Données Personnelles (la “CDP”). 

Il convient donc, a priori, lorsque vous démarrez votre activité et souhaitez réaliser un ou plusieurs traitements à caractère personnel, faire une déclaration de ce ou ces traitements préalablement auprès de la CDP. 

La startup effectue cette déclaration en respectant la procédure mise en place par la CDP. Cette dernière doit notamment comporter l’engagement que le traitement satisfait aux exigences de la loi.

La CDP atteste par un accusé de réception tout dépot de déclaration. Elle délivre ensuite dans un délai d’un mois, un récépissé qui permet au demandeur de mettre en oeuvre le traitement sans toutefois l’exonérer d’aucune de ses responsabilités. Ce délai peut être prorogé une fois sur décision motivée de la CDP. Seule la réception du récépissé donne droit à la mise en œuvre d’un traitement.

Attention : Pour les catégories les plus courantes de traitements des données à caractère personnel dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la CDP établie et publie des normes destinées à simplifier ou à exonérer l’obligation de déclaration.

L’autorisation préalable à obtenir auprès de la Commission des Données Personnelles

Il est important de noter que la loi sénégalaise sur la protection des données personnelles accorde une attention particulière aux données personnelles dites “sensibles”. 

Lorsqu’il s’agit de traitement de données sensibles, c’est à dire “toutes les données à caractère personnel relatives aux options ou activités religieuses, philosophique, politique, syndicales, à la vie sexuelles ou raciales, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives” il convient d’obtenir de la CDP une autorisation préalable.

La CDP dispose d’un délai de deux (2) mois à compter de la réception de la demande d’avis ou d’autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CDP. Lorsque la CDP ne s’est pas prononcée dans ces délais, l’autorisation est réputée favorable.

Quelles sont les obligations vis à vis des consommateurs/clients et de ma société au regard de la Loi 2008-12 ?

La Loi 2008-12 établit les règles pour le traitement des données personnelles au Sénégal. Elle stipule que les données personnelles ne peuvent être collectées, traitées ou utilisées qu’avec le consentement de la personne concernée.

Les entreprises qui collectent, traitent ou utilisent des données personnelles doivent respecter les obligations légales énoncées dans la loi sénégalaise sur la protection des données personnelles, dont notamment : 

• Collecte des données personnelles : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Par ailleurs, les données personnelles collectées doivent être pertinentes, adéquates et non excessives par rapport à la finalité pour laquelle elles sont collectées.
• Obtention du consentement : le consentement de la personne concernée doit être obtenu avant la collecte, le traitement ou la conservation de ses données personnelles.
• Sécurité et confidentialité : les entreprises doivent veiller à ce que des mesures techniques et organisationnelles appropriées soient mises en place pour protéger les données personnelles contre les risques de perte, d’utilisation abusive, de divulgation ou d’accès non autorisé. Cela peut inclure l’utilisation de mesures techniques telles que le cryptage et les pare-feu, ainsi que des politiques et des procédures internes pour assurer la sécurité et la confidentialité des données.
• Accès aux données personnelles : les personnes concernées ont le droit d’accéder à leurs données personnelles, de les corriger et de les supprimer si nécessaire. Les entreprises doivent donc mettre en place des procédures pour permettre aux personnes concernées d’exercer ces droits.
• Violation des données personnelles : les entreprises doivent notifier les autorités de réglementation et les personnes concernées en cas de violation de données. Les entreprises doivent donc mettre en place des procédures pour détecter les violations de données et pour notifier rapidement les personnes concernées.
• Sous-traitants : les entreprises peuvent faire appel à des sous-traitants pour traiter les données personnelles. Les sous-traitants doivent respecter les obligations légales énoncées dans la loi sur la protection des données personnelles listées ci-dessus.

3. Quelle autorité assure la protection des données personnelles au Sénégal ?

Au Sénégal, la protection des données personnelles est assurée par la Commission de Protection des Données Personnelles (CDP), créée en vertu de la loi de 2008 relative à la protection des données à caractère personnel. 

La CDP est l’autorité de régulation indépendante chargée de veiller au respect de la loi sur la protection des données personnelles. 

Elle a pour mission d’informer les personnes concernées et les responsables de traitement de leurs droits et obligations et s’assure que les TIC ne comportent pas de menace au regard des libertés publiques et de la vie privée.

Quelles sont les obligations vis à vis des consommateurs/clients et de ma société au regard de la Loi 2008-12 ?

La CDP dispose de plusieurs pouvoirs et attributions pour s’acquitter de sa mission, notamment :

1. veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la Loi n°2008-12 ; 
2. publier les autorisations accordées et les avis émis dans le répertoire des traitements des données à caractère personnel.
3. informer les personnes concernées et les responsables de traitement de leurs droits et obligations. A cet effet :

• elle reçoit les formalités préalables à la création de traitements des données à caractère personnel ;
• elle reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;
• elle informe sans délai le procureur de la République des infractions dont elle a connaissance ; 
• elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services de procéder à des vérifications portant sur tout traitement et, le cas échéant, d’obtenir des copies de tout document ou support d’information utile à sa mission ; 
• elle peut prononcer une sanction à l’égard d’un responsable de traitement ; 
• elle répond à toute demande d’avis. 

Quelles sont les mesures que peut prendre la CDP dans le cadre du non respect de la Loi 2008-12 ?

En cas de violation de la loi sur la protection des données à caractère personnel, la CDP peut prendre différentes mesures, notamment :

1. Avertir ou mettre en demeure le responsable de traitement ;
2. Si le responsable de traitement ne se conforme pas à la mise en demeure qui lui a été adressée, la CDP peut prononcer à son encontre, après procédure contradictoire les sanctions suivantes : Un retrait provisoire de l’autorisation accordée pour une durée de trois (3) mois à l’expiration de laquelle, le retrait devient définitif                                                                                                          Une amende pécuniaire d’un (1) million à cent (100) millions de FCFA ;
3. En cas d’urgence, lorsque la mise en oeuvre d’un traitement ou l’exploitation de données personnelles entraîne une violation de droits et libertés, la CDP peut décider : l’interruption de la mise en oeuvre du traitement pour une durée maximale de trois (3) mois ; le verrouillage de certaines données à caractère personnel traitées pour une durée maximale de trois mois ; l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la loi. 

La CDP joue donc un rôle crucial dans la protection des données personnelles au Sénégal et veille à ce que les responsables de traitement respectent les droits des personnes concernées.

5. Qui sont les personnes responsables de la protection des données personnelles au sein de l’entreprise ?

Les obligations du responsable de traitement 

Selon l’article 4 de la Loi n°2008-12 toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités est un responsable de traitement.

Le responsable du traitement doit respecter les droits des personnes concernées, notamment le droit d’accès, de rectification et d’opposition. 

La loi sénégalaise sur la protection des données personnelles établit des obligations spécifiques pour les responsables de traitement de données, tels que : 

• l’obligation de notifier les violations de données ; et 
• l’obligation de maintenir des registres des traitements de données.

Les obligations du sous-traitant

Selon l’article 4 de la Loi n°2008-12 toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement est un sous-traitant.

Les sous-traitants doivent également respecter ces droits en ce qui concerne les données qu’ils traitent pour le compte du responsable du traitement.

Tout traitement effectué pour le compte du responsable du traitement par un sous-traitant, doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations visées au présent article incombent également à celui-ci.

Qu’est-ce que le délégué à la Protection des Données

Les entreprises peuvent nommer un délégué à la protection des données (DPO) pour veiller au respect de la loi sur la protection des données personnelles. 

Le DPO peut conseiller l’entreprise sur les questions relatives à la protection des données personnelles et veiller à ce que les droits des personnes concernées soient respectés.

6. Quelles sont les sanctions applicables en cas de violation de la loi sur les données personnelles au Sénégal ?

En cas de violation de la loi sur la protection des données personnelles au Sénégal, des sanctions peuvent être appliquées. Ces sanctions sont prévues par l’article 39 de la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel.

Outre les sanctions civiles et administratives listées ci-dessus, les infractions à la Loi n°2008-12 du 25 janvier 2008 sont prévues et réprimées par le code pénal ainsi que par la loi relative à la cybercriminalité.

Il est donc indispensable de se mettre en conformité avec la Loi n°2008-12, cela d’autant plus que cela permet de vous démarquer de vos concurrents au niveau national et international. En effet, vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de vos clients ainsi que le respect de mesures de sécurité et de confidentialité.

🚨Les éléments listés ci-dessus ne constituent pas un conseil d’avocat. Afin d’avoir un avis juridique sur votre situation ou projet nous vous recommandons de vous rapprocher d’un avocat.

📚Pour aller plus loin, vous pouvez consulter les articles suivants : 

• Apprendre à se mettre en conformité avec la loi ivoirienne relative à la protection des données à caractère personnel ;
• Déclarer ses traitements de données personnelles au Maroc ;
• Apprendre à se mettre en conformité avec la réglementation européenne RGPD.