Avis d'experts

La sécurité numérique : levier économique pour le Sénégal à l’horizon 2030

Réguler, ce n’est pas freiner l’économie, c’est la rendre durable, inclusive et créatrice d’emplois.

Réguler, ce n’est pas freiner l’économie, c’est la rendre durable, inclusive et créatrice d’emplois.

Le Sénégal connaît une croissance rapide de son écosystème numérique. Au quatrième trimestre de 2023, 27 674 unités économiques ont été immatriculées au NINEA, soit une hausse de 19 % par rapport à l’année précédente.

En 2025, le gouvernement sénégalais a lancé un plan national de développement économique et social sur 25 ans. La première phase (2025–2029) mobilisera plus de 30 milliards de dollars d’investissement pour soutenir une croissance moyenne de 6,5 % et moderniser les infrastructures du pays. Dans cette dynamique, en février 2025, l’État a lancé le New Deal Technologique. Une stratégie nationale qui vise à faire du numérique un pilier de la modernisation des services publics, à former 100 000 jeunes aux métiers du digital, et à renforcer la souveraineté technologique du Sénégal à l’horizon 2034.

Ainsi, la réforme du cadre juridique du numérique devient un outil stratégique pour sécuriser les transformations économiques et favoriser l’emploi local.

Le New Deal Technologique vise à transformer le service public sénégalais en le rendant plus moderne, agile et tourné vers l’avenir. Présidence du Sénégal, 2025

Pour mener à bien ces projets, une réglementation adaptée est nécessaire à plusieurs niveaux, en particulier en matière de protection des données, de cybersécurité et  de cybercriminalité.

La désuétude de la loi N° 2008-12 sur la protection des données à caractère personnel

La loi n° 2008-12 sur la protection des données personnelles a été pionnière en Afrique francophone. Mais à l’ère du cloud, de l’intelligence artificielle et des objets connectés, elle est dépassée.

Elle n’intègre pas :

  • Le droit à l’oubli ou à la portabilité.
  • La transparence algorithmique.
  • Les notifications obligatoires en cas de fuite.
  • Ni l’obligation de désigner un Délégué à la protection des données (DPO).
  • le non-alignement par les nouvelles orientations de la “convention de l’union africaine sur la cybersécurité et la protection des données à caractère personnel” ratifiée par les Etats membre à Maputo en juin 2014.

Le rapport de l’UIT (2022) confirme que le cadre légal sénégalais reste en attente de mise à jour sur les données, la cryptologie et les transactions électroniques.

Une loi de 2008-41 du 20 août 2008 sur la cryptologie en décalage avec les usages numériques actuels

Sans un cadre clair sur les mécanismes cryptographies répondant à l’état de l’art, il ne peut y avoir ni souveraineté numérique, ni économie numérique de confiance.

Cette loi a été adoptée pour pallier les insuffisances du Code des télécommunications de 2001, notamment en ce qui concerne :

  • La fourniture, l’importation et l’exportation de moyens ou de prestations de cryptologie.
  • Les conditions d’homologation de ces moyens.
  • Les sanctions applicables en cas de non-respect des règles établies.

Elle a également créé une Commission nationale de cryptologie rattachée au Secrétariat Général de la Présidence de la République. Depuis lors, elle constitue l’un des premiers jalons de la régulation du numérique au Sénégal. Pourtant, elle montre aujourd’hui ses limites face à l’évolution rapide des technologies. Elle ne prend pas en compte les usages contemporains du cloud, des services de chiffrement intégrés dans les applications de messagerie ou encore des infrastructures critiques interconnectées. Le texte reste marqué par une approche essentiellement sécuritaire, sans articulation claire avec une stratégie nationale de cybersécurité.

De plus, l’absence de transparence sur l’activité de la Commission nationale de cryptologie interroge sur l’effectivité du dispositif.

Pour renfoncer la posture du Sénégal en matière de cybersécurité et faire du chiffrement un levier de confiance, de souveraineté et de développement, une réforme serait nécessaire.

Une loi n° 2016-29 relative à la cybercriminalité à dominante répressive, en quête d’équilibre

Une législation née pour punir, sans cadre complémentaire pour prévenir et accompagner.

En 2016, le Sénégal a adopté la loi n° 2008-11 du 25 janvier 2008 portant sur la Cybercriminalité. Ce texte visait à définir les crimes et délits informatiques, ainsi qu’à sanctionner les actes illicites commis via les technologies : fraude, piratage, usurpation d’identité, diffusion de contenus illicites. C’était une avancée nécessaire, mais marquée par une approche essentiellement répressive.

Depuis son adoption, l’application de la loi a effectivement produit des résultats sur le plan répressif : de nombreuses personnes ont été interpellées pour des actes commis en ligne. Toutefois, une large partie de la population reste mal informée, voire non formée, sur la nature de ces infractions. L’actualité récente, notamment sur les réseaux sociaux, montre une augmentation significative des arrestations, souvent de jeunes, sans que ces derniers aient pleinement conscience de la gravité ou de la qualification juridique de leurs actes. Cela révèle une carence majeure dans le cadre préventif : notre pays ne dispose pas encore d’une stratégie d’éducation au numérique ni de dispositifs de sensibilisation accessibles à tous.

Ce qu’il aurait fallu en plus ? Tout ce qui permet de construire une véritable sécurité numérique :

Ce cadre aurait dû être complété par une autre loi encadrant les obligations des organisations en matière de cybersécurité, apportant notamment :

  • L’obligation de mettre en place des politiques de sécurité.
  • Un cadre pour la gouvernance des systèmes d’information.
  • La désignation obligatoire d’un responsable de la sécurité.
  • Une obligation de déclaration des incidents auprès d’une autorité dédiée.
  • Politique de sensibilisation de la masse à travers les médias

L’absence de ce dispositif crée une zone grise au Sénégal : les entreprises restent exposées, les citoyens sont mal protégés, et les professionnels de la cybersécurité peu sollicités.

La stratégie nationale de cybersécurité (SNC2022) : une ambition restée lettre morte

En 2017, le Sénégal a élaboré une Stratégie Nationale de Cybersécurité (SNC2022) censée poser les fondations d’une gouvernance cohérente et proactive de la sécurité numérique. Cette stratégie visait notamment à renforcer le cadre de la sécurité des systèmes d’information, à structurer la réponse aux incidents, à accompagner la transformation numérique du pays, et à développer un écosystème national de compétences en cybersécurité.

Cependant, malgré des ambitions affichées, la SNC2022 n’a ni n’été validée ni financée. Présentée en Conseil des ministres, elle n’a jamais fait l’objet d’une approbation officielle. Son budget n’a pas été voté, et aucun plan opérationnel n’a été mis en œuvre.

Conséquence directe : les objectifs stratégiques sont restés à l’état de déclaration d’intention. Aucune mise à jour n’a été entreprise pour intégrer les nouveaux enjeux tels que :

  • La protection des systèmes d’information vitaux d’organismes étatiques et privés.
  • La recrudescence des cyberattaques ciblant les institutions publiques, les infrastructures critiques et les données personnelles.
  • Le besoin urgent de compétences spécialisées, d’organisations de réponse rapide (CERT, SOC), et de gouvernance coordonnée.
  • Le cadre de gouvernance nationale sur la sécurité des systèmes des d’information.

Cette situation creuse un vide stratégique inquiétant dans un contexte où la cybersécurité est devenue un enjeu de souveraineté, de stabilité économique et de protection des citoyens.

Les ambitions du New Deal Technologique (NDT)

Le New Deal Technologique (NDT), lancé en février 2025, intègre la cybersécurité comme un pilier de la transformation numérique du Sénégal. Cette stratégie vise à renforcer la souveraineté numérique du pays en développant des solutions locales, en protégeant les données nationales et en sécurisant les infrastructures critiques.

Cependant, bien que le NDT mentionne la cybersécurité comme un axe, il n’existe pas encore de stratégie nationale de cybersécurité officiellement adoptée. Le plan directeur numérique (Digital Master Plan) du NDT comprend des initiatives telles que le renforcement du cadre réglementaire et de la gouvernance numérique, la mise en place d’une infrastructure publique numérique avec des solutions comme l’identité électronique (e-ID), la signature numérique (e-Sign) et l’interopérabilité des services.

De plus, un Conseil national du numérique, composé de 20 experts, a été institué pour conseiller le Premier ministre sur les questions relatives au numérique, y compris la cybersécurité.

Malgré ces initiatives, l’absence d’une stratégie nationale de cybersécurité clairement définie et approuvée limite la capacité du Sénégal à répondre efficacement aux menaces croissantes dans le cyberespace. Pour assurer la réussite du NDT, il est crucial que le gouvernement élabore et mette en œuvre une stratégie de cybersécurité complète, incluant des mesures concrètes, des mécanismes de coordination et des ressources adéquates.

Les conséquences d’une absence cadre juridique solide : La fuite des cerveaux vers l’étranger.

Les experts en sécurité des systèmes d’information quittent souvent le pays pour des opportunités plus attractives à l’étranger, notamment en raison de meilleures conditions de travail, de rémunérations plus élevées et de perspectives de carrière plus prometteuses. Cette tendance est accentuée par le manque de reconnaissance locale, l’absence de stratégie nationale claire et le déficit d’infrastructures adaptées.

Ce phénomène n’est pas isolé au Sénégal. À l’échelle africaine, la rétention des talents en cybersécurité constitue un défi majeur. La fuite des cerveaux, où les professionnels qualifiés quittent leur pays pour chercher des opportunités à l’étranger, complique davantage cette problématique et ne favorise pas une avancée de nos pays dans le domaine de la sécurité des systèmes d’information.

Comment y remédier ?

Réformer, c’est créer une opportunité d’insertion pour des milliers de diplômés au chômage.

Chaque année, des milliers de jeunes diplômés en droit, économie, informatique ou télécoms sortent des universités et écoles supérieures. Beaucoup sont au chômage ou sous-employés, alors que leurs compétences sont proches des besoins des métiers émergents de la conformité numérique.

Une réforme bien pensée pourrait :

  • Lancer un programme national de reconversion rapide vers les métiers de la donnée et de la cybersécurité.
  • Financer des formations certifiantes accessibles (ISO 27001, RGPD, NITS, réglementation sénégalaise, sécurité des SI…).
  • Créer des bourses ou stages de spécialisation DPO/RSSI en partenariat avec les grandes entreprises et l’administration.

Réformer, c’est créer des emplois spécialisés et durables

La refonte des lois doit imposer aux entreprises des responsabilités claires. Cela générera un besoin structurel en compétences internes ou externalisées :

  • DPO : pour la conformité des traitements.
  • RSSI : pour piloter la cybersécurité opérationnelle.
  • Juristes numériques, auditeurs, analystes de risques IT : pour mettre en œuvre les obligations de la future réglementation.

Plus de 27 000 entreprises formelles ont été créées en un an. Si 20 % d’entre elles recrutaient un seul profil de conformité, ce seraient plus de 5 000 emplois créés immédiatement.

Pourtant, aujourd’hui au Sénégal, la désignation d’un responsable de la conformité, de la sécurité ou de la protection des données reste rare. Ce sont principalement les filiales de multinationales et certaines banques, soumises à des régulations internationales, qui intègrent ce type de fonction. La majorité des entreprises locales n’ont ni obligation, ni incitation légale à structurer cette gouvernance. Résultat : des milliers de jeunes compétents ne trouvent pas d’opportunités, tandis que les entreprises restent vulnérables face aux risques numériques.

Et il ne s’agit pas uniquement de fonctions juridiques ou de gouvernance. Une législation moderne générera également une demande accrue en compétences techniques :

  • Analystes SOC,
  • Experts en sécurité réseau,
  • Spécialistes en tests d’intrusion,
  • Consultants en gestion des identités et accès,
  • Ingénieurs sécurité cloud.

Ces profils seront nécessaires pour mettre en œuvre concrètement les obligations légales dans les systèmes d’information. Autrement dit, le droit créera aussi des emplois très techniques, contribuant à structurer un écosystème cyber complet, du juridique à l’opérationnel.

Cette problématique ne se limite pas aux entreprises privées. De nombreux ministères et administrations sénégalaises ne disposent pas non plus de dispositifs internes de gouvernance de la cybersécurité. Très peu ont désigné de Responsables de la Sécurité des Systèmes d’Information (RSSI) ou mis en place des politiques de sécurité formelles. Le Datacenter national de Diamniadio, pourtant conçu pour centraliser les données critiques de l’État, serait sous-exploité. Pire encore, certaines administrations continuent de stocker leurs données sur des serveurs étrangers, compromettant ainsi la souveraineté et la sécurité numériques du pays. Or, corriger cette situation serait aussi une opportunité directe de création d’emplois spécialisés dans le secteur public : RSSI, analystes de sécurité, auditeurs IT, chefs de projet conformité, ingénieurs systèmes. Une réforme ambitieuse pourrait donc obliger chaque ministère à structurer sa gouvernance numérique en interne, tout en mobilisant les compétences locales aujourd’hui sous-exploitées.

Réformer, c’est créer un régime de sanctions pour rendre la loi crédible et efficace avec une autonomie de la CDP

En vertu de la loi n° 2008-12 du 25 janvier 2008 et de son décret d’application n° 2008-721 du 30 juin 2008, la Commission de protection des données personnelles (CDP) peut :

  • Adresser des avertissements.
  • Émettre des mises en demeure.
  • Saisir les juridictions compétentes.
  • Demander la suspension d’un traitement de données manifestement illicite.
  • Prononcer des sanctions pécuniaires à l’encontre des responsables de traitement n’ayant pas respecté leurs obligations, à l’exception des cas où le traitement est mis en œuvre par l’État ou par une personne morale de droit privé gérant un service public (article 68 du décret n° 2008-721).
  • Notifier les sanctions pécuniaires motivées au responsable du traitement (article 69 du décret n° 2008-721).
  • En cas de procédure pénale, le juge peut ordonner que la sanction pécuniaire prononcée par la CDP s’ajoute ou s’impute sur l’amende qu’il prononce (article 70 du décret n° 2008-721).

Renforcement des pouvoirs de sanction

Bien que la CDP dispose du pouvoir de prononcer des sanctions pécuniaires, l’efficacité de ces sanctions dépend de leur mise en œuvre effective et de la capacité de la CDP à les appliquer de manière dissuasive. Il est donc crucial de renforcer ces pouvoirs pour assurer une meilleure conformité des acteurs traitant des données personnelles.

Réformer, c’est construire un outil de financement et de sécurité numérique

La CDP fait face à des contraintes budgétaires limitant ses capacités d’action. Des recommandations ont été faites pour permettre à l’Autorité de Protection des Données Personnelles (APDP) d’assurer la collecte ou le recouvrement des sanctions pécuniaires infligées aux contrevenants et de renforcer son autonomie financière en lui octroyant une partie des montants recouvrés.

Attribuer à la CDP un pouvoir de sanction financière autonome n’est pas seulement une nécessité technique, c’est aussi une opportunité économique et géopolitique.

Des amendes qui financent l’action publique

Dans l’Union européenne, les amendes infligées au titre du RGPD sont reversées aux États. Elles peuvent :

  • Renforcer les capacités des autorités de régulation.
  • Financer des actions de formation, de sensibilisation et de conformité.
  • Soutenir la transition numérique des entreprises.

Le Sénégal pourrait adopter un modèle similaire, en prévoyant que les amendes collectées par la CDP :

  • Alimentent un fonds dédié à la conformité et à la souveraineté numérique.
  • Financement d’actions concrètes :
  • Formations certifiantes pour les jeunes (DPO, RSSI).
  • Subventions pour la mise en conformité des PME.
  • Campagnes nationales de sensibilisation.
  • Renforcement des moyens humains et techniques de la CDP.

Ainsi, la sanction ne serait pas une simple punition, mais un investissement dans l’inclusion numérique, l’emploi qualifié et la gouvernance.

Réformer, c’est faire respecter notre cadre juridique, même par les GAFAM

Les grandes plateformes internationales (Google, Meta, Amazon, etc.) n’appliquent pas toujours les lois africaines. Cela s’explique souvent par :

  • Le manque de contraintes légales effectives.
  • L’absence de pouvoirs de sanction dissuasifs.
  • Une perception erronée des marchés africains comme peu structurés juridiquement.

Or, l’Afrique, le Sénégal en particulier, représente un vivier stratégique d’utilisateurs numériques. Des millions de citoyens sénégalais utilisent quotidiennement ces plateformes.

En dotant la CDP d’un pouvoir de sanction financière, le Sénégal pourrait :

  • Imposer le respect de ses lois, même aux géants du numérique.
  • Infliger des amendes symboliques et économiques en cas de manquement.
  • Renforcer sa souveraineté numérique, comme l’ont fait les pays européens avec le RGPD.

La souveraineté numérique, ce n’est pas seulement protéger ses citoyens. C’est aussi faire respecter ses règles par les puissances numériques mondiales.

Co-écrit par Mamadou Diop NDIAYE & Moussa SALL

TAGGED:
Leave a Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Follow US

Must Read

- Advertisement -
Ad image