Droit et Environnement Numérique
Séquence 1: La détermination d’un domaine précis de protection des données personnelles
Droit et Environnement Numérique
M Yamar SAMB
Séquence 1: La détermination d’un domaine précis de protection des données personnelles
Chapitre 1 La détermination d’un domaine précis de protection des données personnelles
Déterminer le domaine d’application de la LDCP à travers l’objet de la protection et ensuite sur les sujets de
la protection.
Section 1 L’objet de la protection
La liberté, valeur de référence à ce courant idéologique, trouve en la raison incarnée par la loi les règles la
gouvernant et assurant sa protection . Il apparaît, dès lors, que la valeur que la LDCP cherche à protéger ne
soit autre que la liberté. La sauvegarde des libertés et droits fondamentaux, se réalise à travers cette loi, par
la consécration d’un droit à la protection des données à caractère personnel
Paragraphe 1 La sauvegarde des libertés et droits fondamentaux
L’exposé des motifs de la loi précise que le traitement des données à caractère personnel doit être effectué «
dans le respect des droits, des libertés fondamentales, de la dignité des personnes physiques »
L’article premier de la loi susvisée en son alinéa second précise que ce texte « garantit que tout traitement,
sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques… ».
Le respect des droits humains demeure la raison pertinente qui a motivé les autorités à promouvoir et à
mettre sur pied un cadre juridique et réglementaire garantissant une utilisation sécurisée de ces informations
liées à l’intimité de la personne physique :
- l’article 13 et 16 de la Constitution, en garantissant respectivement l’inviolabilité du secret de la
correspondance, des communications postales télégraphiques, téléphoniques et électroniques et l’inviolabilité
du domicile peuvent constituer des instruments juridiques de protection de la vie privée ;
- le droit au respect de la vie familiale, du domicile, de l’honneur et de la considération proclamé depuis le
10 décembre 1948 par la Déclaration universelle des droit de l’homme ;
- le pacte international relatif aux droits civils et politiques garantit, dans la même lancée, la protection de
ces droits ;
M Yamar SAMB 1
�Droit et Environnement Numérique
Séquence 1: La détermination d’un domaine précis de protection des données personnelles
- la Convention du conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé
des données à caractère personnel du 28 janvier 1981 ;
- la Résolution 45/95 du 10 décembre 1990 sous l’égide des Nations Unis ;
Ainsi, la protection des données personnelles n’est pas seulement rattachée à la vie privée. Une telle démarche
conduirait à restreindre son cadre d’évolution. Il s’agit, en réalité, d’une protection qui profite à l’ensemble
des droits et libertés fondamentaux: ce qui justifie sa consécration en tant que droit autonome.
Paragraphe 2 La consécration d’un droit à la protection des données à caractère personnel
un gage de préservation des droits et libertés fondamentaux. La reconnaissance de ce droit nouveau au
Sénégal a été clairement exprimée par la LDCP en ces termes : « La présente loi a pour objet de mettre en
place un dispositif permettant de lutter contre les atteintes à la vie privée susceptibles d’être engendrées par
la collecte, le traitement, la transmission, le stockage et l’usage des données à caractère personnel. ».
Par données à caractère personnel il convient d’entendre toutes les informations qui servent ou qui peuvent
conduire à l’identification d’une personne physique. Il peut s’agir d’une adresse, d’un CV, de données
biométriques etc.… S’inspirant de la Directive européenne sur la protection des données personnelles, la loi
sénégalaise apporte une définition claire de la notion : « toute information relative à une personne physique
identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un
ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale
ou économique”.
Elle est constituée de quatre éléments imbriqués :
- « toute information » : aucune importance n’est accordée à la nature ou au contenu des informations, ni
au support ou au format technique utilisé pour la présentation des informations concernées ;
« relatif » : ne doit pas être négligé dans la définition car il permet d’établir l’existence ou non d’un lien entre
les données et la personne dont il est question ;
- « identifié ou identifiable », un intérêt est accordé aux conditions dont la satisfaction conduit à identifier
une personne déterminée ;
- « personne physique » : c’est dire que la protection des données personnelles préconisée par la loi sénégalaise
ne concerne que les êtres humains vivants mais la législation nationale prévoit un droit au respect de l’image,
de l’honneur et plus particulièrement un droit au respect de la mémoire du défunt. De même, il n’est pas à
exclure, pour protéger des données relatives à des personnes physiques, que des informations portant sur des
personnes morales puisent bénéficier indirectement d’une protection au sens de la LDCP.
M Yamar SAMB 2
�Droit et Environnement Numérique
Séquence 1: La détermination d’un domaine précis de protection des données personnelles
Section 2 Les sujets de la protection
Toute personne intéressée ou susceptible d’être intéressée par la collecte le stockage et le traitement des
données personnelles.
Paragraphe 1 Les personnes concernées
Pour que la machine juridique puisse être mise en marche, il faut que les données fassent l’objet de traitement
de « Toute personne physique qui fait l'objet d’un traitement des données à caractère personnel ».
L’identification des personnes concernées emportent pour elles l’existence de certains droits :
- le droit à l’information des personnes concernées est réglementé par les articles 58 à 61 de la LDCP. Lorsque
les données personnelles ne sont pas collectées auprès de la personne concernée, les informations lui sont
transmises au moment de l’enregistrement des données ou, si leur communication est prévue, au plus tard
lors de la première communication. Le droit à l’information s’exerce selon deux modalités suivant que la
collecte des données s’effectue de manière directe ou indirecte ;
- le droit d’accès, quant à lui, se traduit par la faculté reconnue à toute personne physique justifiant de son
identité d’interroger les organismes ou services chargées du traitement des informations nominatives.
Le droit d’accès s’exerce par écrit, quel que soit le support, au responsable d'un traitement des données à
caractère personnel. L’exercice du droit peut dépendre des cas (données de santé, sûreté de l’Etat, la défense
ou la sécurité publique). Le responsable du traitement peut s’opposer à l’exercice de ce droit s’il juge de son
caractère abusif et en apporte la preuve.
- Le droit d’opposition est prescrit à l’article 68 de la LDCP. Il consiste en la possibilité offerte à toute personne
justifiant de motifs légitimes de s’opposer au traitement de données personnelles qui la concernent. Il ne
pourra être mis en œuvre lorsque le traitement des données à caractère personnel est destiné à satisfaire à
une obligation légale ou judiciaire.
- Le droit de rectification et de suppression est la dernière prérogative reconnue à la personne concernée. En
vertu de ce droit, toute personne physique justifiant de son identité peut, lorsque besoin est, exiger du
responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou supprimées les
données à caractère personnel la concernant.
Paragraphe 2 Les personnes intervenant dans le traitement des données à caractère personnel
Toutes les personnes intéressées par les opérations touchant aux données à caractère personnel autre que les
personnes concernées (responsables de traitement, les sous-traitants, les destinataires, les tiers autorisés et
toutes les autres personnes pouvant accéder à des données personnelles, notamment via internet).
Les responsables de traitement («la personne physique ou morale, publique ou privée, tout autre organisme
ou association qui, seul ou conjointement avec d'autres, prend la décision de collecter et de traiter des données
à caractère personnel et en détermine les finalités ») et les sous-traitants (comme « : toute personne physique
ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte
du responsable du traitement») peuvent être considérés comme étant directement impliqués dans le
traitement des données à caractère personnel. « Le contrat liant le sous-traitant au responsable du traitement
comporte l’indication des obligations incombant au sous-traitent (…) et prévoit que le sous-traitant ne peut
agir que sur instruction du responsable du traitement. ». (Cf. art 39 LDCP aussi).
M Yamar SAMB 3
�Droit et Environnement Numérique
Séquence 1: La détermination d’un domaine précis de protection des données personnelles
Pour cerner la notion de traitement, les opérations aussi variées les unes que les autres peuvent être
envisagées : elles vont de la collecte à l’utilisation en passant par la conservation, le stockage, la
communication, la modification ou la suppression etc.… peu en important les procédés.
Le responsable du traitement se distingue également de par les obligations que la loi met à sa charge pour
la licéité de cette activité de traitement, au nombre de quatre sont contenues dans le chapitre V de la LDCP :
- obligation de confidentialité : le traitement doit être « effectué exclusivement par des personnes qui agissent
sous l’autorité du responsable du traitement et seulement sur ses instructions ». D’autre part, « le responsable
doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes
les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. » ;
- obligation de sécurité : Article 71 de la LDCP, les mesures de sécurité prescrites peuvent être
organisationnelles ou techniques. « Le responsable du traitement est tenu de prendre toute précaution utile
au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées,
ou que des tiers non autorisés y aient accès ».
- obligation de conservation : une conservation liée à l’obligation de confidentialité d’abord ensuite dauns un
délai fixé : il est interdit au responsable du traitement de conserver les données personnelles au delà de la
durée nécessaire à la réalisation des finalités pour lesquelles elles ont été recueillies sauf consentement de la
personne concernée ou anonymisation des données ou, pour des impératifs scientifiques, techniques ou de
statistiques.
- obligation de pérennité : article 74 LDCP: « Le responsable du traitement est tenu de prendre toute mesure
utile pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le
support technique utilisé. Il doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un
obstacle à cette exploitation».
Dans le cas des diffusions inhérentes au traitement des données personnelles, deux bénéficiaires peuvent être
retenus : d’une part le destinataire du traitement des données personnelles (« toute personne habilitée à
recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le
sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données… » ) et
d’autre part le tiers autorisé (bénéficiant de ce droit d’accès ou de communication qu’en vertu de dispositions
légales particulières).
M Yamar SAMB 4
