L’information est au cœur de l’entreprise. Avec l’avènement de l’internet et le développement des TICs avec la multiplication des réseaux, et périphériques communicants, les échanges d’informations croissent de façon exponentielle. Tous communiquent et partagent des données souvent sensibles.

L’information est devenue aussi une source de convoitise. Et pour cause : un fichier clients, un bilan, des données personnelles ou encore des données relatives à un savoir-faire se monnaient aisément et chers sur le « marché souterrain ». Ces données d’entreprise (comptes clients, comptabilité, paie, secrets de fabrication, brevets,…) sont des informations capitales pour son activité. Elles le sont aussi pour ses compétiteurs qui pourraient les exploiter à leur profit pour disposer, notamment, d’un avantage concurrentiel certain. Comment ? En mettant sur le marché un produit, un service ou une offre commerciale juste avant celle de son et ses concurrents.

On assiste aujourd’hui de plus en plus au transfert des données personnelles des sénégalais vers l’étranger pour des causes méconnues.

Ces données peuvent alimenter à notre insu des bases d’informations d’entreprises commerciales dont on ignore la finalité de la collecte et du traitement. Cela peut susciter des inquiétudes vis – vis du respect de la protection des données personnelles des consommateurs ou clients de ces firmes.   

Raison pour laquelle, le responsable de traitement ou son sous-traitant au niveau de  l’entreprise se doit de protéger ses données et celles de ses clients contre toute intrusion frauduleuse tendant à nuire les personnes concernées et la sécurité de l’entreprise elle même.

La loi n°2008-12 du 25 janvier 2008 portant protection des données personnelles impose aux responsables de traitements disposant de fichiers de données personnelles d’en garantir la sécurité, la conservation, la pérennité et la confidentialité (art 70 à 74) c'est-à-dire toutes les précautions nécessaires pour assurer la bonne tenue de ces dites données. Par sécurité des données, on entend l’ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» (Art 71 de la loi 2008-12)

Cette sécurité se conçoit pour l’ensemble des processus relatifs à ces données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité.

Les principales menaces qui pèsent aujourd’hui sur les entreprises sont :

• Vol, détournement de données (fichiers clients, brevets, comptabilité, finance…)
• Corruption d’informations, suppression de fichiers.
• Paralysie du système d’information (et donc de son activité).

La protection des données n’est pas assurée comme elle devrait l’être et ce, malgré la législation sénégalaise qui impose des sanctions administratives comme pécuniaires.

Cette législation a investi un organe de contrôle en l’occurrence la Commission de Protection des Données Personnelles (CDP) pour veiller à la conformité des traitements effectués par les entreprises et un contrôle à postériori sur place.

Pour être et rester en conformité avec le cadre juridique et les réglementations en vigueur, l’entreprise doit définir et appliquer des processus visant à renforcer la protection des données en adoptant de bonnes pratiques (les conseils de la CDP) :

1. Analyser les risques

2. Authentifier les utilisateurs

3. Gérer les habilitations & sensibiliser les utilisateurs

4. Sécuriser les postes de travail

5. Sécuriser l’informatique mobile

6. Sauvegarder et prévoir la continuité d’activité

7. Encadrer la maintenance

8. Tracer les accès et gérer les incidents

9. Protéger les locaux

10. Protéger le réseau informatique interne

11. Sécuriser les serveurs et les applications

12. Gérer la sous-traitance

13. Archiver

14. Sécuriser les échanges avec d’autres organismes

15. Déclarer surtout les bases de données à la CDP