La protection des données personnelles est aujourd’hui une question qui est au cœur des préoccupations des Etats. Les législateurs se montrent de plus en plus soucieux de la protection des informations permettant d’identifier directement ou indirectement les personnes physiques. Pour cause, ces informations, mal utilisées, pourront gravement porter atteinte aux droits et libertés des personnes objets de traitement.

En effet, le droit de la protection des données personnelles ne cesse d’évoluer en vue de mieux protéger les personnes contre l’utilisation abusive de leurs informations personnelles. Tantôt de nouveaux droits sont conférés aux personnes, tantôt les obligations du responsable de traitements sont renforcées ; et la tendance actuelle même consiste à inciter les responsables de traitement à faire recours à des professionnels maîtrisant les aspects juridiques et techniques de la protection des données personnelles pour les assister et les conseiller.

Ces professionnels sont qualifiés de délégués à la protection des données plus connus sous l’acronyme DPO (« Data Protection Officier » en anglais). Ces derniers jouent aujourd’hui un rôle primordial dans la protection des données au niveau européen voir même international d’où l’intérêt d’étudier leur place dans l’environnement juridique sénégalais. Mais avant tout, intéressons-nous à la fonction de DPO.

Qu’est-ce qu’un DPO ?

Le délégué à la protection des données est un professionnel disposant de connaissances spécialisées du droit et des pratiques en matière de protection des données. Il est chargé de la mise en œuvre de la conformité à la législation au sein de l’organisme qui l’a désigné. A cet effet, il a pour missions de conseiller et d’accompagner le responsable de traitement dans la mise en œuvre des bonnes pratiques en matière de traitement de données personnelles.

Le DPO peut être choisi en interne ou en externe. Pour le premier cas, il s’agira de désigner au sein de l’organisme, une personne présentant les qualités requises pour exercer cette fonction. Pour le second cas, le responsable de traitement va faire recours à un professionnel étranger à l’organisme et qui est spécialisé pour cette fonction pour être accompagné de la manière la plus efficiente. Cette deuxième possibilité semble être la plus pertinente afin d’éviter les conflits d’intérêts dans l’exercice de sa mission.

Que dit la législation sénégalaise sur la désignation d’un DPO ?

A l’heure actuelle, aucune disposition légale ou réglementaire n’aborde cette question. La loi de 2008 sur la protection des données personnelles ainsi que son décret d’application sont restés muets sur ce sujet. La CDP aussi à son niveau n’a pas encore pris de délibération allant dans ce sens. Pour ainsi dire que la fonction de DPO ne bénéficie d’aucun statut reconnu juridiquement.

En France, avant l’arrivée du RGPD, la loi de 78 prévoyait déjà la fonction de « correspondant informatique et liberté » qui avait des missions et un statut un peu similaires aux DPO. Au Sénégal, même si en 2008 la cyberlégislation venait de faire ses premiers pas, même si le droit de la protection des données n’était pas si développé, néanmoins prévoir cette fonction s’imposait même si c’était à titre facultatif.

Que devrait prévoir la législation sénégalaise ?

La désignation d’un DPO devrait être obligatoire pour bon nombre d’organisme. Ceux traitant des données sensibles sont au premier rang. En effet, les données relatives à la santé des personnes, aux numéros d’identification nationale, aux poursuites et aux sanctions pénales etc., doivent être traitées de la manière la plus moins attentatoire aux droits et libertés des personnes. Dans ce sillage, l’accompagnement par un DPO semble être crucial.

De plus, les entreprises traitant d’importantes quantités de données notamment celles évoluant dans le secteur du e-commerce, dans les télécommunications ou encore dans le secteur bancaire, devraient obligatoirement désigner des DPO pour les accompagner dans le traitement de ces volumes intéressants d’informations personnelles. A cela s’ajoute les organismes disposant d’un nombre important d’employés qui seront amenés à traiter les données des salariés pour les fiches de paie, la tenue d’un registre unique des salariés, les contrôles d’accès (empreinte digitale, …) etc.

En outre, les organismes publics (y compris les collectivités territoriales) devraient avoir des DPO car l’exercice de missions de service public nécessite pour la plupart une interaction entre l’administration et les particuliers. Une interaction nécessitant dans la majorité des cas, une collecte et un traitement des données personnelles par l’administration.

Quelle solution pour les entreprises ?

Comme soulevé plus haut, la fonction de délégué à la protection des données n’est pas encore réglementée au Sénégal et les responsables de traitement ne sont pas tenus d’en avoir. Néanmoins, pour un organisme soucieux de sa conformité, préoccupé par la protection des données de ses clients et de ses employés, désigner un DPO lui est fortement recommandé. Même si celui-ci ne sera pas d’office le point de contact entre l’autorité de protection et le RT, toutefois, il pourra assister le responsable de traitement en lui fournissant des conseils durant tout le processus de traitement pour une meilleure gestion des données personnelles.

Une de ces lacunes de la législation sénégalaise a poussé l’autorité de protection à initier une révision de la loi de 2008 en vue de l’actualiser et de l’adapter au standard international marqué par le renforcement des droits et obligations des acteurs classiques mais surtout par l’émergence d’un nouvel acteur clé à savoir le délégué à la protection des données.

Mouhamed Bocoum Cyberjuriste, Spécialiste protection données personnelles