Le Sénégal s’engage dans une étape décisive de sa politique numérique avec la préparation d’un projet de loi d’orientation sur les données et leur sécurisation. C’est en conformité avec la politique de promotion de la souveraineté des données, soulignant ainsi l’importance croissante de la protection des données en tant que priorité nationale. Cette démarche vise à renforcer la sécurité et la souveraineté numérique du pays, marquant un tournant significatif dans ses initiatives numériques.
Dans ce contexte, des mesures essentielles sont à intégrer dans ce projet de loi afin d’assurer un traitement et un stockage sûrs des données sensibles du pays, conformément aux normes internationales. Cette initiative, portée par Son Excellence Monsieur Bassirou Diomaye Faye, Président de la République, intervient à point nommé alors que les données occupent une place centrale dans les enjeux stratégiques, organisationnels et technologiques des États, en transformant notamment les services publics pour les rendre plus modernes et efficaces.
En effet, notre administration détient une multitude d’informations liées à divers domaines d’intervention, comprenant, entre autres, les données cadastrale, foncière, étatique, civile, météorologique, personnelle et médicale. Ce potentiel représente une opportunité exceptionnelle pour l’État de développer de nouveaux services publics innovants et répondant aux besoins actuels de la société.
Gestion des données
L’une des premières recommandations essentielles consiste à ce que les structures administratives du pays assument pleinement leur responsabilité dans la sécurisation des données qui leur sont confiées, en garantissant le respect scrupuleux de la législation en vigueur sur la protection des Données Personnelles.
À cette fin, la Commission des Données Personnelles (CDP) sera renforcée afin de mieux surveiller la conformité des structures administratives aux obligations de protection des données. En cas de non-respect, des sanctions appropriées telles que des amendes, des avertissements publics ou des mesures correctives imposées seront appliquées. Les responsables désignés au sein des structures administratives pourront être tenus personnellement responsables en cas de négligence grave ou de non-respect délibéré des obligations de protection des données, pouvant entraîner des sanctions disciplinaires ou judiciaires.
Parallèlement, il convient d’établir des règles claires encadrant toutes les entités, qu’elles soient publiques ou privées, impliquées dans la collecte, le traitement, l’hébergement et le stockage, ou l’utilisation des données numériques, afin d’assurer une gestion efficace, transparente et responsable des données. De surcroît, il est nécessaire de renforcer les liens entre les administrations afin d’inventorier et d’unifier tous les sources de données de l’État.
En outre, les institutions publiques sont tenues d’héberger leurs données dans le Datacenter national de Sénégal Numérique S.A., garantissant ainsi la sécurité et la centralisation des données administratives vitales, sauf dérogation spéciale signée par le Premier Ministre M. Ousmane Sonko. De même, le secteur privé est tenu d’héberger ses données vitales dans le Datacenter de Sénégal Numérique S.A. ou au Parc des Technologies Numériques (PTN), avec des mesures d’accompagnement facilitant l’accès et assurant la sécurité de leurs données.
Inventaire et unification des données
L’établissement d’un inventaire complet des sources de données apparaît comme une étape fondamentale. Cette démarche vise à mieux comprendre l’écosystème numérique du pays, à identifier les vulnérabilités potentielles et à prendre des mesures appropriées pour renforcer la sécurité des données sensibles. Ce qui permet leur unification pour assurer la cohérence et l’intégrité des informations administratives.
Cet inventaire facilitera l’identification des éventuelles lacunes en matière de sécurité et la mise en œuvre de mesures correctives appropriées. Il permettra aux autorités compétentes de prendre des décisions éclairées pour renforcer la sécurité des données et protéger les intérêts du pays contre les menaces numériques.
Mise en cohérence des données
Une fois l’inventaire et l’unification réalisés, l’étape suivante consistera à mettre en cohérence toutes ces sources de données au sein d’un référentiel national unique. Cette mise en cohérence favorisera la cohérence et l’intégrité des informations administratives, éliminant les doublons et les silos de données. Le référentiel servira de pivot central pour l’accès aux données, tant pour les citoyens que pour les administrations. Ainsi, elle facilitera la prise de décision et renforcera la transparence dans la gestion des affaires publiques, en offrant un accès simplifié et sécurisé à l’ensemble des données administratives.
Les entités publiques et privées seront tenues de contribuer à l’alimentation du référentiel, dans le respect des normes de qualité et de sécurité des données établies par Sénégal Numérique S.A. En cas de violation de la protection des données personnelles, les entités peuvent être tenues pour responsable et donc, soumises à des sanctions, y compris des amendes administratives, des injonctions de mise en conformité et des réparations pour les dommages subis par les personnes concernées.
Création d’un Référentiel National de Données (CND)
Le CND permettra de rationaliser les processus administratifs, d’améliorer l’efficacité opérationnelle et de faciliter l’accès aux informations pour les citoyens et les administrations (personnes physiques et morales). Il contribuera également à renforcer la transparence et la responsabilité dans la gestion des données publiques.
Ce choix permet non seulement de centraliser les données sensibles, mais aussi de bénéficier des normes de sécurité les plus élevées. Cette approche contribue grandement à renforcer la souveraineté numérique du Sénégal.
Sécurisation des données et la lutte contre la cybercriminalité
La sécurité des données et la lutte contre la cybercriminalité constituent des volets essentiels de cette démarche. Il est impératif que les autorités administratives prennent des mesures rigoureuses pour protéger les données sensibles contre les menaces et les attaques cybernétiques.
Dans cette optique, il est recommandé que les structures administratives mettent en place des dispositifs de sécurité robustes et actualisés, incluant des pare-feu, des logiciels de détection des intrusions et des protocoles de cryptage avancés. Ces mesures permettront de prévenir efficacement les cyberattaques et de garantir la confidentialité et l’intégrité des données.
Par ailleurs, il est essentiel de sensibiliser et de former les employés aux risques liés à la cybercriminalité, ainsi qu’aux bonnes pratiques en matière de sécurité informatique. Une vigilance accrue et une culture de la sécurité au sein des organisations sont des éléments clés pour prévenir les incidents de sécurité et protéger les données contre les menaces internes et externes.
En outre, il est recommandé d’établir des partenariats avec les organismes compétents en matière de lutte contre la cybercriminalité, tels que les forces de l’ordre et les agences de sécurité nationales. Ces collaborations permettront de renforcer les capacités de réponse aux incidents et de mener des enquêtes efficaces en cas d’attaques cybernétiques.
Enfin, il est très important de mettre en place des mécanismes de surveillance et d’évaluation continus pour détecter les menaces émergentes ety répondre rapidement. La veille technologique et l’analyse des tendances en matière de cybercriminalité sont des outils précieux pour anticiper les risques et adapter les stratégies de sécurité en conséquence.
Ainsi, il est indispensable de mettre en place un Security Operations Center (SOC) national et un Computer Emergency Response Team (CERT) national. Ces entités joueront un rôle central dans la protection et la gestion des incidents liés à la sécurité informatique à l’échelle nationale.
Le SOC national sera chargé de surveiller en temps réel les infrastructures informatiques critiques du pays, détectant les activités suspectes et les menaces potentielles. Doté de technologies avancées de détection des intrusions et d’analyse des cybermenaces, le SOC assurera une veille constante pour identifier et neutraliser les attaques avant qu’elles ne causent des dommages importants.
Quant au CERT national, il sera responsable de coordonner la réponse aux incidents de sécurité informatique à travers le pays. En étroite collaboration avec les autorités compétentes, les entreprises et les organisations concernées, le CERT mobilisera les ressources nécessaires pour enquêter sur les incidents, partager les informations pertinentes et mettre en œuvre des mesures correctives efficaces.
En travaillant de concert, le SOC national et le CERT national renforceront la capacité du pays à faire face aux menaces cybernétiques, en assurant une surveillance proactive, une réponse rapide et une coordination efficace. Leur mise en place témoigne de l’engagement des autorités à garantir la sécurité et la stabilité du cyberespace national, en protégeant les données sensibles et en préservant l’intégrité des infrastructures informatiques essentielles
L’ouverture des données (OpenData)
De manière similaire, l’ouverture des données représente un autre aspect décisif de cette démarche. Il est primordial que les autorités administratives favorisent activement l’accès aux données publiques tout en garantissant leur sécurité et leur intégrité.
Ainsi, il est recommandé que les structures administratives mettent en place des mécanismes transparents et accessibles permettant aux citoyens et aux acteurs concernés de bénéficier pleinement des informations publiques. Cela implique la création de portails en ligne dédiés et conviviaux, offrant un accès facilité aux données pertinentes.
Par ailleurs, afin de garantir la protection des données sensibles tout en promouvant la transparence, il est nécessaire d’établir des procédures de vérification et de filtrage appropriées. Ces mesures garantiront que seules les données non confidentielles et pertinentes sont rendues accessibles au public.
En parallèle, il est nécessaire de sensibiliser et de former les responsables administratifs et les employés aux principes de l’ouverture des données, ainsi qu’aux bonnes pratiques en matière de gestion et de publication de ces informations. Cela contribuera à garantir la qualité et la pertinence des données mises à disposition du public.
Il est impératif aussi de mettre en place des mécanismes de surveillance et de contrôle afin de garantir le respect des normes et des directives en matière d’ouverture des données. Les autorités compétentes doivent être en mesure d’intervenir en cas de non-conformité et d’appliquer des sanctions appropriées, le cas échéant, pour assurer l’intégrité et la fiabilité du processus d’ouverture des données.
Valorisation des données
L’objectif premier est de tirer pleinement parti des données recueillies, en leur donnant une valeur ajoutée significative. Cela implique d’adopter des stratégies et des mesures visant à exploiter efficacement ces données dans divers domaines d’application, tels que la recherche, l’innovation, les politiques publiques et le développement commercial.
En valorisant ces données, les institutions publiques peuvent contribuer de manière substantielle à la croissance économique et à l’amélioration des services publics. En effet, une utilisation judicieuse des données peut conduire à de nouvelles découvertes, à des innovations technologiques, à une meilleure prise de décision et à une optimisation des processus.
Il est donc essentiel que les institutions publiques mettent en œuvre des stratégies efficaces de valorisation des données, en veillant à ce qu’elles soient accessibles, exploitables et utilisées de manière éthique et responsable. Cela peut impliquer la création de plateformes de données ouvertes, le développement d’outils d’analyse avancée, la promotion de partenariats public-privé et la sensibilisation à l’importance des données en tant que ressource précieuse pour le développement socio-économique.
Création d’API pour la Réutilisation des Données
Les interfaces de programmation d’applications (API) jouent un rôle central dans cette démarche. Elles fournissent des moyens standardisés et sécurisés d’accéder aux données et d’interagir avec elles, permettant ainsi leur intégration dans des applications tierces. Cette ouverture et cette standardisation favorisent la collaboration et l’échange de données entre différentes entités, qu’elles soient gouvernementales, privées (Entreprises et Startups) ou de la société civile.
Ainsi, en facilitant l’accès aux données et en encourageant leur réutilisation, la création d’API contribue à stimuler l’innovation et à dynamiser le développement économique. Les entreprises, startups et les organisations peuvent exploiter ces données pour créer de nouveaux produits, services et applications qui répondent aux besoins de la société.
Ensuite, il est essentiel de mettre en place des politiques et des infrastructures appropriées pour soutenir la création et l’utilisation d’API pour la réutilisation des données. Cela peut inclure le développement de normes et de directives, la mise en place de plateformes d’API centralisées, ainsi que la formation et la sensibilisation des parties prenantes sur l’importance de cette démarche pour la promotion de l’innovation et de la croissance économique
Régulation des plateformes numériques
Les plateformes numériques locale et étrangère doivent se conformer à la législation nationale en matière de protection des données personnelles, de sécurité des données et de respect de la vie privée des utilisateurs. Cependant, celles étrangères sont tenues donc de respecter les lois sénégalaises en matière de traitement des données des utilisateurs sénégalais, et peuvent faire l’objet de sanctions en cas de non-conformité.
Par ailleurs, les autorités sénégalaises sont habilitées à mener des enquêtes sur les activités des plateformes numériques et à imposer des sanctions en cas de violation de la législation en vigueur. Sanction en cas d’infraction : Publication des résultats de l’enquête, amendes administratives et mesures correctives imposées par l’autorité de régulation des données.
Protection des traces numériques sur les réseaux sociaux : Mise en place d’un code de conduite
Les entreprises de réseaux sociaux sont tenues de mettre en œuvre des mesures de sécurité appropriées pour protéger les données des utilisateurs contre tout accès non autorisé ou toute divulgation illicite. En cas de violation de la protection des données, des sanctions peuvent être appliquées, y compris des amendes.
Un code de de conduite définira des normes spécifiques de protection des données et établira des mécanismes de surveillance et de contrôle pour garantir le respect des engagements pris par les entreprises signataires.
Les entreprises de réseaux sociaux doivent qui adhérer au code de conduite et en cas de non-conformité ou de violation des dispositions légales, celles qui ne respectent pas leurs engagements pourront faire l’objet de sanctions, telles que des amendes.
Fiscalité des entreprises numériques
Les entreprises numériques opérant au Sénégal doivent respecter les obligations fiscales nationales applicables, y compris celles spécifiques aux activités numériques. Cela inclut le paiement des impôts sur les bénéfices, la TVA et d’autres taxes pertinentes conformément à la législation fiscale en vigueur.
Les autorités fiscales seront chargées de surveiller le respect des obligations fiscales par les entreprises numériques et de prendre des mesures en cas de non-conformité. Cela peut inclure des vérifications fiscales, des amendes pour non-paiement ou sous-déclaration des impôts, ainsi que des sanctions administratives ou pénales en cas de fraude fiscale avérée.
Les entreprises numériques qui opèrent à l’étranger mais génèrent des revenus au Sénégal telles que Yango, Jumia, doivent être assujetties à des obligations fiscales dans le pays. Les autorités fiscales peuvent coopérer avec d’autres juridictions pour garantir le respect des obligations fiscales transfrontalières et lutter contre l’évasion fiscale.
Portabilité des données
La portabilité des données permet aux utilisateurs de récupérer leurs données personnelles d’un fournisseur de services et de les transférer à un autre, dans un format structuré, couramment utilisé et lisible par machine. Cette disposition vise à promouvoir la concurrence et à renforcer les droits des utilisateurs sur leurs données.
Les entreprises qui collectent et traitent des données personnelles sont tenues de fournir aux utilisateurs les moyens nécessaires pour exercer leur droit à la portabilité des données. Cela inclut la mise à disposition d’outils permettant de récupérer et de transférer facilement les données, ainsi que des processus clairs et transparents pour faciliter le processus.
En cas de non-respect du droit à la portabilité des données, les entreprises peuvent être passibles de sanctions, y compris des amendes administratives et des mesures correctives imposées par l’autorité de régulation des données. Les utilisateurs ont également le droit de déposer des plaintes auprès des autorités compétentes en cas de non-respect de leurs droits en matière de portabilité des données.
Cadre de gouvernance
Un cadre de gouvernance associé au projet de loi d’orientation sur les données et leur sécurisation en conformité avec la politique de promotion de la souveraineté des données au Sénégal pourrait être mis en place sous plusieurs aspects:
- Comité Interministériel sur les Données : La mise en place d’un comité interministériel des Données sous tutelle de la Présidence de la République chargé de superviser la mise en œuvre de la politique de souveraineté des données. Ce comité serait composé de représentants des différents ministères concernés ainsi que d’experts en matière de protection des données.
- Administrateur Général des Données (AGD) : La nomination d’un AGD par décret présidentiel, qui sera sous tutelle de la Présidence de la République. Il présidera le comité interministériel des Données de coordonner et se chargera de coordonner les initiatives liées à la collecte, au traitement, au stockage, à la mise en place du référentiel, à l’accès, au partage et à la sécurité des données à l’échelle nationale. Il jouera un rôle central dans la mise en œuvre de la politique de souveraineté des données et veillerait à ce que les normes de sécurité et de confidentialité soient respectées.
- Conseil consultatif sur la sécurité des données : La constitution d’un conseil consultatif composé d’experts en cybersécurité et en protection des données, ainsi que de représentants de la société civile et du secteur privé. Ce conseil serait chargé de conseiller le gouvernement sur les meilleures pratiques en matière de sécurité des données et d’élaborer des recommandations pour renforcer la protection des données sensibles.
- Cadre réglementaire renforcé : Sous l’impulsion de M. @Alioune SALL, Ministre de la Communication, des Télécommunications et du Numérique L’adoption d’un cadre réglementaire renforcé comprenant des lois, des décrets et des directives spécifiques sur la protection des données et la promotion de la souveraineté des données. Ce cadre réglementaire clarifierait les responsabilités des différentes parties prenantes et établirait des sanctions pour les violations des règles de sécurité des données.
- Partenariats public-privé : La promotion de partenariats public-privé pour renforcer la sécurité des données et promouvoir l’innovation dans le domaine de la technologie de l’information et de la cybersécurité. Ces partenariats pourraient prendre la forme de collaborations entre le gouvernement, les entreprises privées et les institutions académiques pour développer des solutions technologiques innovantes et partager des bonnes pratiques en matière de sécurité des données.
En mettant en place de telles recommandations, le Sénégal pourrait cultiver un contexte favorable à la préservation et à la promotion de la souveraineté des données, renforçant ainsi la confiance des citoyens et des entreprises dans la gouvernance des données au Sénégal.
