L'élection présidentielle de 2019 au Sénégal a révélé l’utilisation de nouvelles technologies numériques de communication politique, tels que les logiciels de stratégie électorale, qui impactent nécessairement sur la sincérité et la transparence des élections. Apparus aux États-Unis au début des années 2000, les logiciels de stratégie électorale permettent de mettre en œuvre une campagne électorale plus efficiente. L’un des principaux avantages de ces outils est qu’ils sont particulièrement adaptés aux structures à faible implication militante, ainsi avoir un parti politique bien structuré et organisé avec des militants engagés n’est plus nécessaire pour gagner une élection. Cependant, sans le « big data » ou données de masse ou encore mégadonnées ces logiciels sont inutiles, aussi la collecte et le traitement des données personnelles sont devenus la pierre angulaire des nouvelles stratégies électorales des partis politiques. Aussi, avoir une stratégie de collecte de données afin de créer une puissante base de données est devenu un atout fort pour tout candidat à une élection. L’adoption au Sénégal de ces nouvelles techniques de campagne électorale indique les enjeux attachés à l'encadrement de la collecte et du traitement des données personnelles en contexte politique et électoral mais aussi à l’utilisation de fichiers publics par des partis politiques à des fins de communication politique. Le respect de la législation en matière de protection des données est un vecteur parmi d’autres favorisant le déroulement d’élections libres et honnêtes. En effet, le non-respect de ce droit peut porter atteinte au droit à la vie privée, à la liberté de penser et à la liberté d’expression rendant possible la désinformation et par conséquent la manipulation d’opinions politiques qui peuvent entacher la sincérité des élections. De surcroît, le recours aux technologies numériques de traitement de données relatives aux opinions politiques affecte d’autres droits fondamentaux, tels que le droit de vote, la liberté de choix et le secret du vote. Les possibles abus dans l’utilisation de ces données rendent possible la fourniture de messages personnalisés qui enferment les personnes ciblées dans des bulles informationnelles polarisées sur des intentions de vote particulières. Dès lors, toutes les parties prenantes d'une élection, notamment, les partis politiques et les électeurs, doivent prendre conscience des risques inhérents à la collecte de données relatives aux opinions politiques dont le traitement permet d’influencer les choix de vote des électeurs. Aussi, il convient de faire preuve de la plus grande vigilance dans la collecte et l’utilisation des données personnelles des électeurs et de s’assurer, en tout état de cause, du respect du cadre légal. Au Sénégal, même si le cadre légal est particulièrement strict quant aux conditions dans lesquelles la collecte et le traitement de données sensibles, telles que les opinions politiques, peuvent être mis en œuvre, les défaillances observées de la CDP, les lacunes des partis politiques et la méconnaissance des citoyens de leurs droits, mettent en évidence les progrès qu’il reste à accomplir pour une élection respectueuse du droit à la protection des données personnelles. Dans ce contexte, pour empêcher l’utilisation abusive à nouveau de ces données sensibles, un rappel des principes de protection de données personnelles à respecter et des points clés de vigilance s’avère nécessaire au moment où le parti au pouvoir a commencé une opération de vente de cartes de membre, visant la collecte de données personnelles de 1 500 000 personnes, et ce à quelques mois de l'élection présidentielle de 2024. Le parti au pouvoir a lancé en novembre 2022 une opération de vente de cartes de membre. Cependant, la description des informations à collecter par des responsables de ce parti révèlent, sans aucun doute, qu’il s’agit d’une campagne de collecte de données personnelles d’électeurs en vue de la présidentielle de 2024. « Les comités sont composés de 50 militants ayant une carte d’identité et une carte d’électeur » déclare un responsable. Dans une autre localité, les mêmes explications sont données. Il ressort de ces déclarations, dont les exemples sont nombreux, que pour vendre les cartes de membres, il est collecté aussi bien les informations d’identification que celles électorales. En effet, dans la fiche de comité, support papier d’enregistrement des nouveaux membres, il existe entre autres rubriques, celles du numéro d’identification et de la carte d’électeur. Ainsi donc, le parti politique au pouvoir est entrain de collecter des données personnelles dont le régime juridique applicable est l’autorisation. Il y a lieu de s’interroger ainsi d’abord sur le respect de la loi par ce parti et ensuite de son application par la CDP. Bien que n’étant pas interdit par le code électoral, le démarchage électoral doit cependant être conforme à certaines dispositions du droit à la protection des données personnelles. Aucune exception ne peut être invoquée par un parti politique pour se soustraire à l’application de la loi, dès lors que la collecte et le traitement de données effectués dépasse son cercle de membres existants. Par conséquent, le démarchage électoral du parti au pouvoir doit se faire conformément aux dispositions de l’Acte additionnel A/SA.1/01/10 de la CEDEAO du 16 février 2010 et de la LOI n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel, mais aussi, de la Convention 108+ du Conseil de l'Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel. L’article 12, alinéa 4 de l’Acte additionnel du 16 février 2010, et l’article 20, alinéa 4 de la loi du 25 janvier 2008, disposent : « les traitements portant sur un numéro national d’identification ou tout autre identifiant de portée générale sont mis en œuvre après autorisation de la Commission des Données Personnelles ». En application de cette disposition, le parti au pouvoir ne peut pas, et ne doit pas, collecter le numéro de la carte nationale d’identité ainsi que celui de la carte d’électeur des personnes ciblées sans une autorisation de la CDP. Cette autorisation indique entre autres, l’identité du responsable du traitement, les données traitées, la finalité, la durée de conservation, les destinataires, la sécurité, l’interconnexion, les transferts et le sous-traitant (Article 7, Acte additionnel du 16 février 2010 et Article 22 de la loi du 25 janvier 2008). Cependant, il n’a pas été constaté dans les avis trimestriels n°1, n°2, n°3 et n°4 de l’année 2022, une quelconque autorisation accordée par la CDP au parti au pouvoir. L'article 11, alinéa 3 de l'Acte additionnel du 16 février 2010 et l’article 17, alinéa 3 de la loi du 25 janvier 2008 ne sauraient être invoqués pour justifier une dispense de formalité préalable. En effet, par cette opération de vente de cartes de membre, ce parti collecte des données personnelles de personnes dont il veut qu’elles soient membres. Donc, il ne s'agit pas de collecte de données sur des personnes déjà membres. Par conséquent, la vente de cartes de membre du parti politique au pouvoir, sans une autorisation de la CDP, est déjà une première violation de la loi. De surcroît, seules les informations pertinentes et nécessaires à l’adhésion doivent être collectées et traitées. Aussi, celles relatives aux informations électorales ne doivent pas être enregistrées. Une autre violation de l’article 25 de l’Acte additionnel du 16 février 2010 et de l’article 35 de la Loi du 25 janvier 2008 qui disposent que les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement. Cette interdiction de collecter des informations électorales est confirmée par l’article 4.4 de la délibération n°00627 du 22 décembre 2022 de la CDP relative aux traitements de données personnelles mis en œuvre à des fins de prospection politique. Au regard de ce qui précède, le démarchage électoral en cours ciblant 1 500 000 personnes du parti politique au pouvoir est illégal. Outre les enjeux juridiques, c’est donc également des enjeux éthiques dont il est question afin de garantir une licéité, une loyauté et une transparence dans la collecte et le traitement des données personnelles des électeurs qui s’avèrent indispensables pour garantir un processus électoral intègre. À cet effet, en application des articles 23 à 29 de l’Acte additionnel du 16 février 2010 et des articles 33 à 39 de la Loi du 25 janvier 2008, le parti au pouvoir doit impérativement observer les principes du consentement et de légitimité; de licéité et de loyauté; de finalité, de pertinence, de conservation; d'exactitude; de transparence; de confidentialité et de sécurité; du choix du sous-traitant. Le respect de ces principes est le garant des droits et libertés des citoyens. En conséquence, la collecte de données personnelles du parti au pouvoir doit s’accompagner d’une information claire et précise sur : l’identité du responsable du traitement, la finalité, le ou les destinataires des données, leurs droits (droit d’accès, de rectification, et d’opposition) et les éventuels transferts de données vers l'étranger. En sus, les personnes ciblées doivent être informées sur de quelle manière le parti a eu le nom et l’adresse qui leur a permis de les contacter, de quelle façon et auprès de qui exercer leurs droits et enfin recueillir leur consentement. Le consentement, se fait par écrit pour assurer sa validité. Par ailleurs, l’enregistrement de données d’électeurs dans un fichier de nouveaux membres où adhérents via les fiches de comité du parti au pouvoir fait nécessairement apparaître les opinions politiques réelles ou supposées des personnes concernées. Aussi, le traitement de ces données sensibles peut être utilisé par ce parti pour porter atteinte à la liberté de vote et au secret du vote des électeurs enrôlés. Ainsi, pour empêcher toute exploitation abusive, la loi interdit à un parti politique de procéder à la collecte et à tout traitement qui révèlent les opinions politiques, dès lors que cette activité dépasse le cercle des membres existants (art.40 de la loi du 25 janvier 2008), à moins que, la personne concernée ai donné son consentement par écrit (art.41, alinéa 2 de la loi du 25 janvier 2008). Enfin, cette vente de carte de membre par le porte à porte demandé par le président de ce parti et adopté par les responsables, est de la prospection directe, interdite sans le consentement préalable des personnes ciblées (Art.47 de la loi du 25 janvier 2008). Par les motifs sus-mentionnés, la collecte de données personnelles d’électeurs qu’effectue le parti au pouvoir doit faire l’objet d’un niveau élevé de contrôle de conformité par la CDP. A cet effet, pour vérifier que les pratiques de collecte de données de ce parti sont conforment à la loi, la CDP peut procéder à des missions de contrôle à la suite de plaintes qu’elle reçoit, de signalements qui lui ont été faits, ou parce qu’elle décide de s’autosaisir. Il est à noter, en considérant le dernier avis trimestriel de 2022, que la CDP n’avait encore initiée aucune mission qui aille dans ce sens. Bien qu’elle dispose des moyens juridiques pour vérifier et sanctionner, l’expérience a montré que la CDP n’en fera rien. Quand, il s’agit de travailler pour veiller au respect du droit à la protection des données personnelles des sénégalais en contexte politique et électoral, l’autorité « ferme les yeux ». Elle se limitera comme à son habitude, à des rappels de quelques dispositions du cadre légal, tendant à faire croire qu’elle veuille au respect du droit à la protection des données personnelles et de la vie privée des sénégalais. Ainsi, la CDP ne s’est jamais réellement emparée du sujet afin de renforcer la sincérité et la transparence des élections au Sénégal. Pour rappel, en perspective de la présidentielle de 2019, ce parti au pouvoir avec sa coalition avait mené en catimini en 2018, une campagne de collecte de données personnelles de 3 500 000 personnes. En outre, la campagne de parrainage, aussi bien de la présidentielle de 2019 que celle des législatives de 2022, s’est déroulée sans que la CDP ne fasse appliquer la loi. Elle s’était limitée à publier un guide sans mettre en œuvre ses pouvoirs de contrôle de conformité, tandis que pour les activités en cours de vente de cartes de membre du parti politique au pouvoir, la CDP a publié une délibération sur la prospection politique. Il est d’abord à noter qu’il n’existe, dans cette délibération de portée générale n°00627/CDP du 22 décembre 2022, aucune disposition qui encadre l’utilisation des listes électorales et des listes d’émargement des élections passées à des fins de prospection politique. Ensuite, il y est omis de préciser à l’article 4.2, que le porte à porte en cours du parti au pouvoir, qui est aussi un moyen de prospection directe, est interdit sans le consentement préalable, libre et éclairé des personnes ciblée. Enfin, l’article 6 de cette délibération dispose : « Les données doivent être conservées pendant une durée nécessaire à la période de la campagne de prospection politique, qui ne peut excéder six (06) mois. » Se pose alors la question de la date du compte à rebours de cette durée de conservation des données. D’abord, en l’absence d’une autorisation de la CDP délivrée au parti au pouvoir, et ensuite, d’une période de campagne électorale, ces dernières peuvent être conservées indéfiniment. Il ressort de ce qui précède, que cette délibération de la CDP sur la prospection politique comporte des limites qui laissent croire qu’elle a pour but de donner de la légalité aux activités illégales de vente de cartes de membre en cours du parti politique au pouvoir, plutôt que d’encadrer une collecte de donnée personnelle par tout parti politique au Sénégal. En considérant tout ce qui précède, Il est temps d’initier des actions politiques et citoyennes pour un processus électoral intègre en vue de la présidentielle de 2024. A cet effet, c’est une nécessité dans l’immédiat pour les partis ou coalitions politiques de se doter d’un spécialiste de la protection des données personnelles capables d’éclairer les sénégalais sur tous les manquements à l’application de la loi qui pourraient entacher la sincérité du scrutin de 2024. Tout manquement, aux dispositions de la loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel, est réprimé par la Loi n° 2016-29 du 08 novembre 2016 modifiant la loi n° 65-60 du 21 juillet 1965 portant Code pénal, notamment, par les articles 431-14 à 431-21. Dès lors, il est extrêmement important pour les partis politiques de trouver dans un premier temps des personnes enrôlées comme nouveaux membres par le parti au pouvoir. Et dans un second temps, vérifier la conformité de la collecte de leurs données avec la loi et enfin, les assister pour porter plainte sur le fondement d’une des dispositions de la Loi n° 2016-29 du 08 novembre 2016 portant Code pénal. Les actions de saisine du juge, et en référée, sont les seules à pouvoir stopper où tout au moins limiter, les pratiques illégales de collecte et de traitement des données personnelles des électeurs du parti au pouvoir au Sénégal. L’heure est plus que jamais à la mobilisation politique et citoyenne pour le respect du droit à la protection des données personnelles en contexte politique et électoral et à l’appel à la vigilance individuelle et collective afin que chacun des acteurs concernés, notamment les électeurs et les partis politiques, contribue dans la complémentarité au fonctionnement vertueux du processus électoral de la présidentielle de 2024. Fait à Dakar, le 12/ 02 / 2023 |