MINISTERE DE L’ENSEIGNEMENT SUPERIEUR, DE LA RECHERCHE ET

DE L’INNOVATION

UNIVERSITE GASTON BERGER DE SAINT-LOUIS

FACULTE DES SCIENCES JURIDIQUES ET POLITIQUES

LICENCE 3

   

DROIT DES TIC

Yamar SAMB

Agrégé des Facultés de Droit

Maître de Conférences à l’Université Gaston Berger de Saint-Louis

 
  

INTRODUCTION

Les TIC présentent une ambivalence certaine. Aujourd’hui, leur développement

fulgurant et leur expansion à l’échelle planétaire ont permis à l’homme d’exécuter des tâches
qui jusque-là, étaient inconcevables à une dimension humaine. A côté de ces bénéfices et au fur
et à mesure que les avancées technologiques se font le plus sentir, l’informatique et toutes les
applications qui s’y rattachent, présentent des risques grandissants, menaçant à chaque instant
l’individu et ses biens.
Il est dès lors plus qu’opportun pour les États et pour la communauté internationale, de
se doter d’instruments juridique et institutionnel afin de réagir efficacement aux méfaits
inhérents au progrès du cyber espace. Au Sénégal, la volonté politique de développer une
solidarité numérique a permis de prendre conscience de la nécessité de la mise en place d’un
environnement juridique propice au développement des TIC tout en tenant en compte l’aspect
sécuritaire en érigeant des garanties suffisantes pour les droits et libertés fondamentaux ainsi
que les droits de propriété.
Le numérique qui est devenu donc incontournable dans nos vies, indispensable pour
notre travail, s’est imposé dans nos maisons et a bâti un lien pour rapprocher les personnes du
monde. Certains d’ailleurs comme le professeur Abdoullah Cissé, parlent de « colonisation »
numérique. Le législateur sénégalais a ainsi compris qu’il fallait un cadre pour permettre aux
acteurs du numérique de travailler, d’échanger mais également de mettre à profit leur
potentialité pour dynamiser l’économie. Plusieurs législations vont dès lors être mises en œuvre
afin qu’aucun des acteurs du TIC ne puisse être laissé en rade dans leur nécessaire encadrement
juridique avec la loi n°2008-08 du 25 Janvier 2008 sur les transactions électroniques et ses
décrets d’application qui vont poser ainsi le cadre du commerce électronique. La loi n°2008-11
du 25 Janvier 2008 sur la cybercriminalité tente de dissuader les esprits malvenus de vouloir
utiliser les systèmes informatiques à des fins délictuelles. La loi n°2008-12 du 25 Janvier 2008
sur la protection des données personnelles vient rappeler que derrière les machines et les câbles,
il y a des hommes et ce qui les individualise doit être protégé. Enfin, la loi n°2008-09 portant
loi sur le droit d’auteur et les droits voisins donne un cadre de protection littéraire et artistique.
De législation récente essentiellement inspirée de celle de la France, le numérique
bénéficie ainsi d’un concours jurisprudentiel très important, la jurisprudence ayant permis de
mieux différencier les responsabilités des différents acteurs du digitale.

 
  

CHAPITRE I : LES ACTEURS TECHNIQUES ET LEURS

RESPONSABILITES

SECTION 1 : QUALIFICATION DE L’INTERMEDIAIRE TECHNIQUE

Les premières définitions sont celles données par la loi sur les transactions
électroniques. L’intermédiaire technique est défini comme tout prestataire utilisant les
protocoles de l’internet qui met à la disposition des personnes physiques ou morales, publiques
ou privées des biens et services. Il s’agit principalement des fournisseurs d’accès à internet qui
incluent les fournisseurs de cash.

Paragraphe 1 : Les Fournisseurs d’Accès à internet

Un fournisseur d’accès à internet peut être défini comme toute personne dont l’activité
est d’offrir un accès à des services de communication au public en ligne, informer leurs abonnés
de l’existence de moyens techniques permettant de restreindre l’affaire à certains services ou
de les sélectionner et de leurs proposer au moins un de ces moyens. En d’autres termes, un FAI
est une structure qui fournit une connexion à internet. Cette définition a été élargie par la
jurisprudence dans une décision du 4 février 2005 (affaire WPO contre BNP Paribas) dans
laquelle on considère qu’une entreprise peut être considérée comme une FAI lorsqu’elle donne
à ses salariés un accès à internet.
Au final, la qualification de FAI est retenue à chaque fois qu’il y a une mise à disposition
de postes informatiques pour accéder à internet. Certains auteurs qualifient de FAI les réseaux
wifi et les cybers café.

Paragraphe 2 : Les fournisseurs d’hébergement

Le fournisseur d’hébergement peut être défini comme le logiciel permettant d’avoir une
double interface sur l’ordinateur d’un côté, le site de l’autre, l’espace loué par l’hébergeur.

Paragraphe 3 : Le régime d’un forum de discussion

Le principe qui s’en dégage est qu’il y a possibilité d’engager la responsabilité d’un site
pour des propos écrits par des internautes et publié dans son forum. Les propos tenus en ligne,
peuvent en effet être caractérisés comme étant des injures ou de la diffamation susceptibles par
conséquent de faire l’objet de plainte de la part des personnes visées. En l’espèce, le directeur
de la publication d’un site, rendu dorénavant obligatoire pour la presse en ligne par l’article 178
du nouveau code de la presse, peut être poursuivi par ses propos. Dès lors, il y a deux

 
  

possibilités : si le site modère les messages qui y sont publiés avant leur diffusion, le directeur
de publication est responsable si celui-ci contrevient à la loi. Si en revanche, le Forum n’est
modéré qu’a postériori, le directeur de publication est responsable que s’il décide de ne pas
supprimer le message litigieux ou de tarder à le faire promptement dès l’instant qu’il en a eu
connaissance. A l’inverse, s’il a agi promptement pour supprimer le message litigieux porté à
sa connaissance, il ne peut voir sa responsabilité engagée. L’auteur de la plainte devra alors
rechercher la responsabilité de l’internaute, auteur des propos incriminés. Il est donc préférable
de mettre en place une modération a postériori si l’administrateur du site est capable de réagir
promptement pour supprimer des messages susceptibles d’être injurieux ou diffamatoires. Un
système de modération des messages avant diffusion sur le site permettant un contrôle avant
publication est toutefois préférable si une modération régulière après publication n’est pas
possible. En tout état de cause, le nouveau code de la presse ne dispose pas sur le moment en
amont ou en aval de la modération mais se contente d’en suggérer la nécessité.

SECTION 2 : LE REGIME JURIDIQUE DES INTERMEDIAIRES TECHNIQUES

Paragraphe 1 : La responsabilité délictuelle

Il faut noter que pour les fournisseurs d’accès à internet et pour les fonctions
d’hébergeurs, il y a le principe d’une absence d’obligation générale de surveillance. Toutefois,
il y a une obligation envers les FAI et les FH à concourir à la lutte contre les infractions
spécifiques qui se déclinent en un dispositif de signalement, c’est-à-dire une obligation
d’informer les autorités publiques sous peine d’encourir des sanctions. En outre, les
fournisseurs d’accès à internet et les fournisseurs d’hébergement doivent fournir les moyens
techniques permettant de satisfaire aux obligations d’identification prévues. Par conséquent,
l’autorité judiciaire peut demander au FAI et FH qu’ils communiquent les données relatives à
leurs abonnés. La procédure est la suivante : il s’agit d’une requête auprès du TGI afin
d’autoriser le FAI à donner l’identité de la personne qui a diffusé le message. Par ailleurs, le
tribunal a la possibilité d’ordonner la suspension par tout moyen du contenu illicite. Toutefois,
le FAI et les FH ne peuvent être tenus responsables en cas de contrefaçon notamment pour les
fournisseurs d’accès à internet, il y a une absence de responsabilité par rapport au contenu.
Notons que pour les fournisseurs d’hébergement, leur responsabilité civile n’est pas engagée
du fait des informations stockées. En pratique, pour engager la responsabilité de l’hébergeur, il
faut porter à sa connaissance par lettre de mise en demeure préalable, l’existence d’un contenu
illicite. En matière de responsabilité pénale, il n’existe pas de présomption. De même, toute

 
  

personne peut dénoncer un contenu à caractère illicite sous réserve du délit de dénonciation
calomnieuse si l’information n’est pas avérée.
Le fournisseur d’hébergement doit veiller par ailleurs à ce que le contenu dénoncé et
jugé illicite ne puisse pas réapparaître sur sa plateforme.

Paragraphe 2 : La responsabilité contractuelle

Beaucoup d’obligations sont à la charge des FAI. Il s’agit principalement de l’obligation
d’information sur les conditions de modification du contrat ainsi que de la réglementation et de
la résiliation du contrat. Pour le fournisseur d’hébergement, il y a une obligation de fournir la
disponibilité d’un serveur 24h/24h, 7j/7 avec la possibilité d’interruption du service pour des
besoins de maintenance. En outre, le fournisseur d’hébergement est tenu d’une obligation de
sauvegarde des données et de communication à ses clients des logins d’accès.

CHAPITRE II : LA PROTECTION DES DONNEES PERSONNELLES

SECTION 1 : LA CONSECRATION DES DONNEES A CARACTERE PERSONNEL

Par données à caractère personnel, il convient d’entendre toutes les informations qui
servent ou qui peuvent conduire à l’identification directe ou indirecte d’une personne physique.
Il peut s’agir d’une adresse, d’un cv, de données biométriques… c’est pourquoi la loi
sénégalaise, s’inspirant de la directive européenne sur la protection des données personnelles,
donne une définition claire de la notion : « toute information relative à une personne physique
identifiée ou identifiable, directement ou indirectement par référence à un numéro
d’identification ou à un ou plusieurs éléments propre à son identité physique, physiologique,
génétique, psychique, culturelle, sociale ou économique ».
Cette définition appelle quelques considérations. Elle comporte en effet quatre éléments
qui méritent d’être analysés. Il est question d’abord de « toute information ». Ce premier
élément permet d’appréhender de façon large le concept de donnée personnelle. A cet égard,
aucune importance n’est accordée à la nature ou au contenu des informations, ni au support et
au format technique pour la présentation de toutes informations concernées. Ensuite, le terme
« relatif » ne doit pas être négligé car il permet d’établir l’existence ou non d’un lien entre les
données et la personne dont il est question. A priori, on peut dire que les informations sont
relatives à toutes les personnes si elles ont trait à ces mêmes personnes. Pour le troisième
élément « identifiée ou identifiable », un intérêt est accordé aux conditions dont la satisfaction
conduit à identifier une personne déterminée. Une importance capitale est également accordée

 
  

aux moyens qui peuvent être raisonnablement mis en œuvre par l’utilisateur des données pour
identifier la personne. Par ailleurs, certaines données ne permettent pas ou en tout cas, ne
facilitent pas l’identification des personnes dont elles se rapportent. Le quatrième élément qui
sort de la définition est relatif à la « personne physique », c’est dire que la protection des
données personnelles protégées par la loi ne concerne que les êtres humains vivants, a contrario,
des informations relatives à des personnes décédées ne sauraient être vues comme des données
à caractère personnel et faire l’objet de protection par la loi. Toutefois, le droit à la protection
des données personnelles peut survivre après la mort du sujet grâce au droit à l’image, à la
dignité…

SECTION 2 : LES DROITS DES PERSONNES CONCERNEES

La reconnaissance d’un certain nombre de droits aux fins d’une protection appropriée
est la conséquence de l’identification des personnes concernées. A cet effet, le législateur
reconnait quatre prérogatives aux personnes physiques dont les informations personnelles font
l’objet de traitement. Il s’agit du droit à l’information qui matérialise le droit d’être informé sur
toutes les questions touchant au traitement des données, au responsable du traitement, au
destinataire, à la destination poursuivie enfin au droit de la personne concernée dans le
traitement.
Le droit d’accès se traduit par la faculté reconnue à toute personne physique justifiant
de son identité d’interroger les organismes ou services chargés des traitements des informations
nominatives. Les informations sont délivrées gratuitement par le responsable du traitement sous
réserve d’une somme qui ne peut excéder le coût de la reproduction ou des droits de timbre.
Le droit d’opposition consiste en la possibilité offerte à toute personne justifiant d’un
motif légitime, de s’opposer au traitement des données personnelles qu’elle a constatée. Le droit
d’opposition vise en particulier à contrecarrer le traitement de données nominatives à des fins
publicitaires ou de prospections commerciales. En revanche, lorsque le traitement est destiné à
satisfaire une obligation légale, le droit d’opposition ne peut être mis en œuvre par son titulaire.
Enfin, le droit de rectification et de suppression est la dernière prérogative reconnue à
la personne concernée. En vertu de ce droit, toute personne physique justifiant de son identité,
peut exiger du responsable d’un traitement, que soient rectifiées, complétées, mises à jour,
verrouillées ou supprimées les données à caractère personnel la concernant.

SECTION 3 : LES PERSONNES INTERVENANT DANS LE TRAITEMENT DES

DONNEES A CARACTERE PERSONNEL

 
  

Il s’agit de toutes les personnes intéressées par les opérations touchant aux données autre
que les personnes concernées. On distingue à cette effet les responsables de traitement, les sous-
traitants, les destinataires, les tiers autorisés et toutes les autres personnes pouvant accéder à
des données personnelles. Au regard de la LDCP, deux personnes ou organismes peuvent être
considérées comme étant directement impliquées dans le traitement des données à caractère
personnel. Il y a d’abord le responsable du traitement et ensuite éventuellement le sous-traitant.
Le responsable du traitement correspond selon la loi « à la personne physique ou morale,
publique ou privée ou tout autre organisme ou association qui, seul ou conjointement avec
d’autres, prend la décision de collecter des DCP et d’en déterminer leur finalité. C’est donc par
référence aux opérations qu’il applique sur données nominatives qu’est identifié le responsable
du traitement. Ainsi, c’est lui qui détermine les moyens et les objectifs de ses opérations. Le
législateur sénégalais n’exige pas que le traitement soit uniquement automatisé pour entrer dans
le champ d’application de la loi. Avec les données à caractère personnel, le danger se situe
principalement au niveau de leur traitement et c’est pourquoi le responsable du traitement des
informations nominatives se distingue également par les obligations que la loi met à sa charge
pour la licéité de cette activité de traitement.
Ses obligations sont au nombre de quatre. Tout d’abord, le législateur impose une
obligation de confidentialité. En effet, tout traitement de données personnelles doit être
confidentiel. Dès lors, le responsable du traitement est tenu de veiller à ce que les données
collectées ne soient exposées à la vue de n’importe qui, même le personnel travaillant sous
l’autorité du responsable ne doit avoir accès qu’aux données ou aux informations leur
permettant d’accomplir leurs fonctions. Ensuite, la loi met à la charge du responsable du
traitement une obligation de sécurité qui vise à garantir l’intégralité des données collectées et
la rationalisation de l’accès à ces informations. Il pèse également sur le responsable du
traitement une obligation de conservation qui doit être appréhendée de manière négative. Il est
interdit en effet au responsable du traitement de conserver les données personnelles au-delà de
la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été recueillies. Il existe
cependant quelques dérogations. C’est le cas de la conservation des données sous une forme
nominative que pour des impératifs scientifiques, techniques ou à des fins statistiques. Enfin, il
est mis à la charge du responsable du traitement une obligation de pérennité qui répond à une
question de suivi et de contrôle de conformité des moyens de traitement avec l’évolution
technologique.
Le sous-traitant de données à caractère personnel quant à lui, s’identifie comme « toute
personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite

 
  

des données pour le compte du responsable du traitement ». L’intervention d’un sous-traitant

pour la collecte et le traitement des données personnelles implique l’existence d’un responsable
du traitement de ces données qui prend l’initiative et fixe les objectifs et les moyens du
traitement. C’est donc le responsable du traitement qui demeure l’interlocuteur principal des
personnes concernées. Dès lors, à la base de la relation, entre le responsable et le sous-traitant,
il y a un contrat qui oblige le premier à veiller à ce que toutes les obligations lui incombant en
matière de traitement des informations nominatives soient respectées par le mandataire. A cet
égard, le législateur sénégalais a été très précis en exigeant que « le contrat liant le sous-traitant
au responsable du traitement comporte l’indication des obligations incombant aux sous-traitants
et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

SECTION 4 : LA MISE EN PLACE D’UN ARSENAL JURIDIQUE ET

INSTITUTIONNEL
Cet arsenal juridique et institutionnel s’articule autour de certaines normes qui ont pour
vocation d’encadrer le traitement des données à caractère personnel (A) avec des principes
directeurs bien définis (B).

Paragraphe 1 : Les normes encadrant le traitement des données à caractère personnel

En fonction de la nature des traitements de données envisagés et de la qualité de la
personne chargée du traitement, le législateur sénégalais a prévu trois types de procédures.
En premier lieu, il y a la déclaration qui constitue le régime de droit commun de tous les
traitements de données personnelles, quel que soit le responsable.
En second lieu, il peut être exigé du responsable du traitement de formuler une demande
d’autorisation. Cette procédure est prévue pour les catégories de données personnelles dont le
traitement peut gravement porter atteinte à la vie privée de la personne concernée. A cet effet,
le législateur énumère six types de traitement de données dont la mise en œuvre est subordonnée
à cette formalité, on y retrouve entre autres : les traitements des données relatives à la santé, des
données génétiques, des données sensibles, ainsi que celles ayant pour objet une interconnexion
de fichiers.
En troisième lieu, l’introduction d’une demande d’avis auprès de la commission peut
être nécessaire préalablement au traitement de certaines informations personnelles. Mais il faut
noter que le régime de demande d’avis demeure toutefois réservé à certaines catégories de
traitement relevant du secteur public, en particulier, celui dit de la souveraineté.

 
  

Paragraphe 2 : Les principes directeurs de traitement des données personnelles

Il s’agit des principes qui ont contribué à façonner les règles régissant le traitement des
informations nominatives.
D’abord, le principe de légitimité qui signifie que la personne concernée doit donner de
manière claire et sans ambiguïté son consentement libre et éclairé, précédé d’une information
utile sur toutes les opérations envisagées.
Il y a ensuite le principe de licéité et de loyauté qui suggère que les données personnelles
ne doivent pas être traitées de manière illicite ou déloyale.
Le principe de finalité de pertinence et de conservation s’intéresse particulièrement à
l’objectif recherché lors de la collecte des données nominatives.
Le principe d’exactitude quant à lui, commande que les informations nominatives soient
conformes à la réalité et aux besoins et qu’elles puissent faire l’objet de rectification ou le cas
échéant, de suppression.
Le principe de transparence implique que les personnes concernées puissent disposer de
l’information nécessaire relative au traitement dont leurs informations personnelles font l’objet
mais également la possibilité pour elles d’exercer un contrôle personnel sur ces opérations.
Enfin, le principe de sécurité et de confidentialité qui réprouvent toute divulgation non
justifiée ou toute négligence de la part du chargé de traitement permettant un libre accès à ces
informations personnelles.

SECTION 5 : L’EXISTENCE D’UN ORGANE DE REGULATION : LA

COMMISSION DES DONNEES PERSONNELLES (CDP)

Paragraphe 1 : La CDP, une commission administrative indépendante

En tant que commission administrative indépendante, la CDP n’est soumise ni au
pouvoir exécutif ni à une autre autorité de tutelle. C’est pourquoi la loi dispose que « dans
l’exercice de leurs activités, les membres de la CDP ne reçoivent d’instructions d’aucune
autorité ». A cet égard, la loi leur reconnait une immunité totale pour les opinions émises dans
l’exercice de leurs fonctions. Cette autonomie se perçoit également en matière financière car la
CDP est libre en la manière de gérer son budget.

Paragraphe 2 : Les attributions de la commission

Fondamentalement, la commission se fixe comme tâche de veiller à ce que les
conditions de traitement de données à caractère personnel soient mises en œuvre conformément

 
  

aux dispositions de la loi. A cet effet, elle est chargée d’éclairer les personnes concernées et les
responsables de traitement sur leurs droits et obligations. La règle des formalités préalables est
ainsi un moyen efficace pour l’autorité de contrôler et de recueillir suffisamment d’éléments
sur les traitements envisagés et d’en faire part aux personnes concernées. Elle dispose à cet effet
d’un pouvoir d’investigation a priori et a postériori. Elle est également investie d’un pouvoir de
contrôle, celui-ci s’exerçant selon plusieurs modalités et selon qu’il est effectué avant
l’opération sur les données ou après le traitement.
Cependant, la mise en œuvre de cette prérogative ne peut prendre la marque de
l’arbitraire, ce pouvoir d’investigation devant s’exercer dans la légalité et conformément aux
finalités précises de la mission. C’est pourquoi seuls les lieux à usage professionnel servant au
traitement sont ciblés dès lors qu’une interdiction formelle se lève contre l’accès aux lieux
privés et par ailleurs, l’aspect préventif de l’exercice des missions de contrôle s’exerce
également en relation avec les autorités judiciaires. Ainsi, le procureur de la République
territorialement compétent, en est préalablement informé. Aussi, dans le cas où le responsable
du traitement manifeste une certaine résistance par rapport à la visite des membres ou agents
de la commission, celle-ci ne pourra se faire qu’avec l’autorisation du président du tribunal de
grande instance qui donne l’autorisation ou un juge délégué par lui. A l’issue de ces
investigations, s’il s’avère que les conditions et les modalités dans lesquelles sont mises en
œuvre les traitements ne satisfont pas aux exigences de la loi, des sanctions peuvent subvenir à
l’encontre du responsable.

Paragraphe 3 : Les sanctions

Deux types de sanctions sont à distinguer selon le type et la gravité de l’état par rapport
aux exigences de la loi, on distingue : les sanctions pénales des sanctions non pénales.

A- Les sanctions non pénales

Elles désignent toutes réactions organisées soit par l’État, soit par toute autre entité dotée
d’une autorité autre que le juge pénal pour réprimer un écart par rapport à la norme préétablie.
Il s’agit d’une part de la variante administrative et de la variante civile. Même si elles ont le
caractère d’une punition, les sanctions administratives s’effectuent dans le respect de certains
principes garantissant les droits de la défense et du traitement équitable. C’est pourquoi, les
sanctions sont prononcées au terme d’une procédure contradictoire qu’après une mise en
demeure ou un avertissement à l’égard du responsable du traitement. Dès lors, après
l’avertissement ou la mise en demeure, la CDP peut prononcer des sanctions qui vont du retrait

 
  

provisoire de l’autorisation à une interdiction temporaire ou définitive du traitement. Une

amende pécuniaire d’un à cent millions de francs CFA peut être prononcée à l’encontre du
responsable du traitement fautif.
B- Les sanctions pénales
Évoquer les sanctions pénales parallèlement aux sanctions administratives, c’est aussi
poser le problème de leurs articulations. En d’autres termes, dans quelles conditions doit-on
privilégier la punition sur la régulation. En effet, il revient à la CDP d’établir l’existence d’une
infraction et de déterminer si les charges relevées à l’encontre des responsables sont suffisantes
pour saisir le juge pénal. Il est dès lors permis de douter que l’organe de régulation, fort de son
indépendance et de son pouvoir de sanction, soit toujours enclin à transférer les plaintes aux
autorités pénales. Il n’en demeure pas moins que les sanctions pénales sont prévues pour les
infractions relatives au traitement des données. On peut remarquer par ailleurs que les peines
pécuniaires prévues par le code pénal et la loi sur la cybercriminalité sont plus douces que celles
pouvant être prononcées par la CDP. En effet, le dispositif pénal prévoit une peine d’un à sept
ans de prison et une amende de cinq cent mille à dix millions de francs CFA.

CHAPITRE III : LA CYBERCRIMINALITE

La législation sur la cybercriminalité vise à combler le droit positif pour sanctionner les
agissements qui seraient restés en dehors du droit pénal classique. Ces différentes infractions
technologiques peuvent être classées en deux catégories : les infractions liées aux TIC et les
infractions facilitées ou liées à l’utilisation des TIC.

SECTION 1 : LE DROIT PENAL SUBSTANTIEL

Il s’agit de l’ensemble des infractions pénales ayant pour objet ou pour moyen les TIC.

Paragraphe 1 : les infractions ayant pour objet les TIC

Ces infractions sont définies par rapport à leur objet, l’outil informatique et de manière
générale, les TIC. En se référant à la loi sénégalaise de 2008, il s’agit des infractions
attentatoires au système informatique, aux données informatisées et au contenu des systèmes.

A- Atteintes aux systèmes informatiques

Le système informatique est entendu comme tout dispositif isolé ou non, tout ensemble
de dispositif interconnecté assurant en tout ou en partie un traitement automatisé en exécution

 
  

d’un programme. Le droit sénégalais retient trois sortes d’atteinte au système informatique :
l’atteinte à la confidentialité, à l’intégrité et à la disponibilité des systèmes informatiques.
1- Atteinte à la confidentialité des systèmes informatisés
Elle renvoie à l’accès et au maintien frauduleux dans des systèmes informatiques et la
tentative d’accès ou de maintien frauduleux. Cette infraction incrimine également le fait de se
procurer ou de tenter de se procurer frauduleusement pour soi ou pour autrui un avantage
quelconque en s’introduisant dans un système informatique. On condamne alors la prise
d’informations confidentielles ou non se trouvant dans un système informatique dont l’accès
est interdit.
2- Atteinte à l’intégrité des systèmes informatiques
Elle se matérialise par un acte ou l’agissement du contrevenant destiné à entraver ou fausser
le fonctionnement du système ou une tentative de ces actes. Il y a entrave au système lorsque
les actes ou tentatives sont destinés à rendre inaccessible un système d’information. Le délit
d’entrave suppose dès lors un acte positif de nature à altérer son fonctionnement, c’est à-dire
de faire produire aux systèmes d’information un résultat différent de celui attendu.
3- Atteinte à la disponibilité des systèmes informatiques
Cette atteinte existe toutes les fois qu’une personne accède frauduleusement ou introduit
frauduleusement des données dans un système d’information ou tente de le faire. La sanction
prévue est la même pour l’atteinte à l’intégrité des systèmes informatiques.

B- L’atteinte aux données informatisées

Est considérée comme une donnée informatisée toute représentation de fait,
d’informatisation ou de concept qui se manifeste sous une forme qui se prête à un traitement de
données informatisées.

C- Les informatiques se rapportant au contenu

Ces infractions incriminent le contenu illicite par le biais de l’image de représentation
de son ou d’écriture. Il s’agit entre autres de la répression de la pornographie infantile et de la
pédopornographie ainsi que de l’interdiction de la diffusion d’un message à caractère de
pornographie infantile. Il y a également l’interdiction d’accéder à un contenu de pornographie
infantile. Enfin, il y a l’interdiction de l’accès à un mineur à des sites ou images
pornographiques. Il y a également l’interdiction de la xénophobie et du racisme.

Paragraphe 2 : l’adaptation de certains aux TIC

 
  

Cette sous-catégorie concerne les délits où l’informatique n’est qu’un moyen de

commission d’une infraction classique. Il s’agit de la commission d’infraction classique qui se
retrouve grandement facilitée par la rapidité et l’anonymat qu’offrent les TIC.

A- Les atteintes aux biens

D’une manière générale, est interdite et sanctionnée toute utilisation des TIC pour
commettre un vol, une escroquerie, un recel, un abus de confiance, une extorsion de fonds ou
de chantage, du terrorisme ou du blanchiment de capitaux. La commission de ces infractions
par le biais des TIC est érigée en circonstance aggravante.

B- Infraction commise par tout moyen de diffusion public

Pour rappel, la communication électronique consiste à mettre à la disposition du public
ou d’une catégorie du public par un procédé électronique ou magnétique de signaux, d’écrits,
de sons, d’images ou de messages de toute nature. Ainsi, la loi interdit la production, la
propagation et la diffusion de tout objet ou image contraire aux bonnes mœurs.

C- L’atteinte à la défense nationale

Il s’agit principalement de la divulgation de secret national qualifiée de haute trahison
et punie de la perpétuité. Cette infraction punit la livraison à une puissance étrangère, à ses
agents un renseignement, un objet, un document ou donnée numérisée ou fichier informatisé
qui doit être tenu secret dans l’intérêt de la défense nationale. Il en est de même pour toute
personne qui détruit ou laisse détruire des documents en vue de favoriser les puissances
étrangères.

D- Les atteintes à la vie privée

Il s’agit d’infractions pouvant être commises par voie de presse dont la diffamation et
l’injure. (La signature électronique et la preuve électronique à réviser pour les examens avec la
loi portant transaction électronique de 2008).

SECTION 2 : LE DROIT PENAL PROCEDURAL

La mise en œuvre de la sanction pénale passe par plusieurs étapes : enquête, poursuite,
instruction et l’ultime étape, le jugement. Les deux premières étapes sont importantes car
permettant la mise en mouvement par le ministère public ou parquet, la recherche des
infractions, des éléments de preuve nécessaires à la manifestation de la vérité qui incombent au

 
  

juge d’instruction. Bien qu’en droit pénal, le principe est la recevabilité de tout moyen de
preuve, la recherche des faits et actes pour établir la culpabilité des agents pénaux est rarement
efficace dans le cyber espace. L’investigation des infractions cybercriminelles est rendue
difficile par l’anonymat des auteurs de l’infractions, la facilité de dissimuler des preuves, de les
déplacer ou de les détruire et les différences entre ordres juridiques. Les délinquants peuvent
en effet facilement compromettre l’accès à la preuve en localisant les serveurs dans un pays
étranger. C’est pourquoi le Sénégal a essayé d’apporter une réponse adéquate en aménageant
la procédure pénale classique par rapport aux TIC et adopter une procédure pénale spécifique à
certaines infractions pénales. Ses réponses se déclinent tant sur le plan institutionnel que sur le
plan procédural.

Paragraphe 1 : Sur le plan institutionnel

Les instances supranationales communautaires ou continentales suggèrent la création
d’unité spécialisée pour les enquêtes et la répression d’infractions cybercriminelles. Cette
création est importante car la poursuite des infractions cybercriminelles requiert des
compétences spécifiques pour garantir une intervention rapide et efficace contre la forme de
délinquance cybercriminelle. C’est pourquoi le Sénégal a mis en place une brigade spéciale de
la police nationale chargée de la lutte contre la cybercriminalité au niveau de la DIC. Par
ailleurs, en dehors des autorités policières et judiciaires, la recherche des infractions
cybercriminelles fait intervenir des personnes dont la collaboration est nécessaire en raison de
leurs expertises. Et par exemple, les prestataires techniques sont requis pour l’interception des
données informatisées si leur collecte ou enregistrement sont utiles à la poursuite de la
procédure.

Paragraphe 2 : Sur le plan procédural

Il s’agit d’adapter la procédure pénale classique notamment les actes d’enquêtes
préliminaires et de flagrances comme ceux de l’instruction à la procédure pénale.
- Sur la saisie des données informatiques ou numériques, le juge d’instruction peut
saisir dans le cadre des perquisitions, tous les objets et documents ayant servi à la
commission de l’infraction ou en sont le résultat.
- En matière d’interception des communications, pour la recherche d’éléments de
preuve, le juge d’instruction peut prescrire la collecte, l’enregistrement et la
transcription en temps réel des données relatives au contenu des communications. Il
s’agit là, d’une exception au principe du secret des correspondances susceptibles

 
  

d’être atteintes par l’autorité publique dans les seuls cas de nécessité d’intérêt public,
c’est-à-dire que cette interception est limitée dans le temps en fonction de la nature
de l’infraction.
- Enfin, le juge d’instruction peut ordonner le déchiffrement des données saisies lors
de l’instruction ou le procureur de la République lors de l’enquête. Ils peuvent
requérir toutes les personnes qualifiées en vue d’effectuer les opérations techniques
permettant d’obtenir une version utile des données saisies et dans le cas où un moyen
de cryptologie a été utilisé, la clef de déchiffrement.