Souveraineté numérique du Sénégal : le vrai, le faux, le flou du Datacenter de Diamniadio (Enquête)

DataCenter de Diamniadio, un bunker d’incongruités ? Ce projet conçu pour permettre au Sénégal d’obtenir sa souveraineté numérique est encore très loin du compte. Des membres de l’administration sénégalaise hésitent encore à transférer leurs données stockées à l'étranger. Pour preuve : les données des passagers du Train Express Régional (TER) sont logées à la RATP (Régie Autonome des Transports Parisiens). Qu’est-ce qui justifie cette option ? Serait-il possible de trafiquer ou de manipuler des élections à partir de ces données issues du parrainage ? Pourquoi les hackers arrivent-ils si facilement à bloquer certaines plateformes de nos institutions ? Quelles en sont les raisons, et quelles menaces pèsent sur la sécurité des données sensibles du pays ? Enquête sur une infrastructure moderne entachée de doutes et de vulnérabilités.



Le bâtiment qui abrite du Datacenter de Diamniadio
«Bonjour, madame vous avez une carte d’identité» ?
 
«Oui, tout comme un bon Sénégalais», lance-t-elle fièrement. Elle est une étudiante en licence 2 en droit des Affaires croisée à la sortie de la station de Liberté 6.

A la question de savoir si *Absa* sait où sont stockées les informations collectées lors de la confection de la carte biométrique ? Là, elle devient hésitante. Une mine un peu désemparée. «C’est quoi ça ?», rebondit-elle avec étonnement.

Avant de balancer ceci : «Je ne sais pas la finalité des informations recueillies à travers la confection de nos cartes nationales d’identité», avoue-t-elle. 
 
Un tour à Grand-Yoff, banlieue dakaroise confirme ceci : bon nombre de Sénégalais interrogés ne savent pas à quoi servent ces données encore moins où elles sont stockées. 

Pourtant, le 22 juin 2021, Dakar a inauguré son premier Datacenter national, en vue de certification de classe Tier 3. Le thème avait porté sur «La souveraineté numérique». Une occasion pour le président de la République, Macky Sall de lancer un appel pour le transfert «immédiat» des données des sénégalais  hébergées à l’étranger ou dans des lieux de stockage locaux non conformes aux standards internationaux, vers le nouveau Datacenter national.
 
Le Datacenter de Diamniadio, une infrastructure pas totalement fonctionnelle 
 
Plus de deux ans après, quand en est-il de cette injonction du Président Macky Sall ? Une enquête de PressAfrik révèle que mis à part le ministère de la Santé et de l’Action sociale qui est à 80% de son transfert, aucune des institutions du pouvoir public ou même privé n’a effectué une migration de ses données vers Diamniadio, ville située à plus d’une trentaine de km de Dakar.
 
De la Présidence à la Primature en passant par l’Assemblée nationale, ministères et directions, tous trainent les pieds. Un refus d’obtempérer à cette injonction du chef de l’Etat… Pourquoi? Aucune de ces structures étatiques n’acceptent d’aborder la question. Malgré notre insistance pendant 10 mois d’enquête.
 
Manque de confiance des acteurs 
 
Des sources qui se sont confiées à nous, sous le couvert de l’anonymat, signalent que l'administration sénégalaise préfère stocker ses données à l’étranger. L’autre aspect est que l’Etat du Sénégal n’a pas bien pris en compte le volet sécuritaire en dévoilant l’emplacement du centre surtout pour une infrastructure qui devait être classée «secret défense». D’ailleurs, lors de l’inauguration en 2021, des acteurs du numérique ont fustigé «la publicité» faite sur la localisation du centre alors que ce n’est pas le cas dans beaucoup de pays qui comptent une infrastructure du genre. «Même si on parvient à savoir où se trouve leur infrastructure, ils n’en font pas la publicité», clament-ils. 
 
Ces réserves sur la sécurité de l’infrastructures ne semblent pas être le seul goulot d’étranglement. En effet, beaucoup de ministères, de Directions générales et autres structures de l’Etat ne se préoccupent guère de la migration vers le Datacenter pour diverses raisons. Au ministère des Finances, ils disposent de leur propre centre de données qui est la Direction du traitement automatique de l’information (DTAI). Ils ont créé les conditions de leur autonomie.
 
Si cet appel à une migration en masse des données des établissements privés et publics se faisait est ce que l’infrastructure a les capacités pour supporter toutes ces données ? Justement, à combien s’élève sa bande passante ? Est-ce qu’elle a une capacité de stockage suffisante pour recevoir les données rapatriées et celles issues de l’administration sénégalaise, du privé et même des starts-up ? Autant d’interrogations qui peinent à trouver réponse où un interlocuteur qui peut renseigner.
 
Toutefois, le Président Sall était clair. Il avait instruit le gouvernement et tous ses démembrements à faire héberger, dorénavant, l’ensemble de leurs données et plateformes de l’État dans cette «infrastructure aux normes», de procéder à une migration rapide des données hébergées à l’étranger. 
 
« À partir d’aujourd’hui avec la mise en service de ce Datacenter, je ne voudrais plus voir les autres sociétés nationales développer leurs propres data centers, qui n’atteindront pas ce standard et ce sera une grosse dispersion de moyens et de synergies», avait martelé le Président Sall. Une mise en garde qui donne raison au chef de l’Etat avec le piratage de l’Autorité de Régulation des Télécommunications et des Postes, par le célèbre groupe Hakert Karkurt, du site de la Présidence attaqué en mai 2023.
 

Cheikh Bakhoum, Directeur général chez Sénégal Numérique S.A. (Ex-ADIE)
Le Datacenter de Diamniadio, pas le plus grand en Afrique de l’Ouest 
 
Cheikh Bakhoum, Directeur général chez Sénégal Numérique S.A. (Ex-ADIE) déclarait que le Sénégal dispose du «plus grand datacenter en Afrique de l’Ouest avec presque 1000 mètres carré (m2) de salles techniques et 1,4 mégawatts (MW) de puissance énergétique ». 
Dans un article consacré au datacenter de Diamniadio,  le média Social Netlink renseigne que la «zone technique informatique est équipée de 02 salles d’hébergement informatique de 250 m² de capacité, de 04 modules de confinement de 18 armoires (ou baie) chacune». 
 
S’agissant de la capacité d’hébergement du centre, il en résulte que celui de Diamniadio n’est pas le plus grand en Afrique de l’Ouest comme indiquait Cheikh Bakhoum, Directeur général chez Sénégal Numérique S.A. (Ex-ADIE). Puisque le Datacenter de la Sonatel de type Tier3  est sur une superficie globale de 3500 m2 et équipé de 3 salles d’hébergement avec chacune une puissance énergétique de 750 kilowatts.
 
Par rapport à la capacité de stockage de celui de Diamniadio, Emmanuel Diokh, juriste en droit numérique, souligne qu’il faut d’abord quantifier les données sénégalaises à héberger. Ce qui est carrément utopique. «Parce qu’il y a des structures qui ont préféré héberger leurs données à l’étranger, du coup s’ils ne communiquent pas sur leurs informations, le calcul ne pourra pas se faire», précise l’expert.  
 
Subséquemment, quelle est la conséquence de ne pas avoir ses données sur son sol ? «L’accessibilité naturellement», fait savoir M. Diokh avant d’expliquer que «Si jamais un incident se produit chez ton hébergeur et que les mesures de sauvegarde ne sont pas respectées, là tu perds. Même si la mesure de sauvegarde est respectée, il te faudra du temps pour disposer de ces informations. Ce qui peut être un dommage. Le plus malheureux est que si l’information tombe dans d’autres mains, cela peut compromettre la politique de sécurité du pays.» 
 
Par exemple, avance-t-il : «Si on prend les informations sur la santé et que la sécurité qu’il faut n’est pas assurée, cela peut avantager les firmes pharmaceutiques. Parce que tout simplement ils ont l’information. Elles pourront, par conséquent, moduler leurs stratégies marketing et les médicaments sut lesquels il y a forte demande. Il faut savoir qu’il y a toujours des lobbys à la recherche de données brutes ou affinées». « Les secteurs bancaire et de l’assurance ne sont pas épargnés», indique l’expert en cyberdroit. 
 

Iris Corporation Berhad, adjudicataire du marché de fabrication des cartes biométriques et passeports des Sénégalais
L’enjeu de la sécurité  
 
Le Datacenter de Diamniadio n’est pas conçu par le Sénégal, encore moins par des Sénégalais. C’est en coopération avec le géant chinois des télécoms Huawei qu’il a été réalisé. En tant que concepteur de l’infrastructure, il peut, sans nul doute, avoir un contrôle ou un brèche qui lui donne accès sur les données hébergées à Diamniadio.

En 2006, le Sénégal a vécu cette amer expérience avec la confection des nouvelles cartes nationales d’identité biométriques de la CEDEAO. En effet, c’est une entreprise malaisienne Iris Corporation Berhad qui était adjudicataire du marché de fabrication des passeports biométriques qui court sur une durée de 20 ans et également bénéficiaire du marché (de 76 millions d’euros) de confession des cartes biométriques. Ces cartes plus «sécurisées» que les anciennes selon le gouvernement sénégalais, parce qu’une puce sécurisée et non visible est intégrée sur chacune des cartes. Celle-ci enregistre des informations biométriques de son détenteur comme le nom et le prénom, le sexe, la date et lieu de naissance, l'adresse, la taille, la couleur des yeux, les empreintes digitales et la photographie. 
 
Toutes ces informations collectées lors de la confession de ces cartes sont stoquées à l’étranger, en Malaisie. Ce qui constitue une violation grave et flagrante de la loi sur les données à caractère personnel votée et promulguée en janvier 2008. Et puisque Dakar dispose désormais de son propre Datacenter, « l’une des plus grandes infrastructures de stockage et d’hébergement des données d’Afrique », pourquoi l’Etat n’a pas demandé et obtenu le transfert de toutes ces données des citoyens à l’étranger. Ainsi, il s’agit là d’une contradiction manifeste par rapport à cette volonté d’accéder une souveraineté numérique. Jusque-là, aucun transfert n’a été effectué vers le Datacenter de Diamniadio. Pourtant, toutes les procédures ont été faites en ce sens du côté des responsables du DataCenter dont nous préférons taire les noms.
 
Depuis 2010, l’informatisation ou la digitalisation d’une bonne partie de l’administration est en vogue. De manière disparate, des municipalités, des établissements de santé comme des ministères et certaines directions publiques et privées se sont lancés dans la mouvance. Ce qui a entraîné la numérisation du fichier électoral, du permis de conduire, de la carte d’identité nationale et de beaucoup d’actes d’état civil. 

Cheikh Bakhoum, Directeur général chez Sénégal Numérique S.A. (Ex-ADIE) n’a pas voulu épiloguer sur ce sujet. Il a préféré nous renvoyer vers Assane Sine, vice-coordonnateur du pôle communication et Rse de Sénégal-Numériques (SENUM) S.A. 
«S’agissant des informations recueillies par l’entreprise malaisienne pour la confession de cartes biométriques et passeports, le Sénégal numérique travaille beaucoup avec le ministère de l’Intérieur, mais il ne peut pas confirmer que ces données sont à l’étranger ou à Dakar. Tout ce que je peux dire est que le processus suit son chemin», révèle Assane Sine.  

Par soucis d’équilibre, nous avons essayé de contacter l’entreprise malaisienne. Un mail a été même envoyé ; Sans réponse.

Cependant, toutes les sources qu’elles soient informaticiennes, administratives ou de la société civile sont catégoriques. Les informations collectées via ces différentes opérations de digitalisation ne sont pas stockées à Dakar. Ce qui pourrait avoir une conséquence fâcheuse. Comme dit le dicton, aujourd’hui, l’information est le nerf de la guerre. «Qui détient l’information gagne la guerre.» Surtout dans un contexte d’insécurité avec les menaces terroristes, sans oublier les fraudes électorales en Afrique. 
 
 
 

Le risque de fraude électorale
 
Les failles sur la souveraineté numérique peuvent engendrer une fraude électorale. A quatre mois de la présidentielle de février 2024, des craintes subsistent selon Mountaga Cissé, Consultant – Formateur en nouveaux médias. L’expert en analyste TMT (Technologies, Médias et Télécoms) est d’avis que «il y a un risque réel de fraude sur le fichier électoral surtout concernant le parrainage». 
 
L’expert et formateur de préciser : «si un candidat à la candidature a accès à toutes ces données comme c’était le cas avec les élections précédentes, il peut les utiliser pour remplir ses fiches de parrainages. Parce que sur la fiche de parrainage, il n’y a pas la signature faite par le parrain».

Mountaga Cissé d'en rajouter ceci: « mais ce que l’on ne dit pas c’est que pour les élections passées, le Conseil constitutionnel penche dans le décompte des parrains des candidats, sur le document électronique des parrainages. Il s’occupe de la version papier qu’en dernier ressort».

Alors pour « quelqu’un qui a le fichier électoral des Sénégalais de manière électronique, il peut justement faire ce qu’il en veut. Même si après, ils disent qu’ils travaillent sur  le discriminant de chaque élection. Et qu’il y a chaque fois un élément qui différencie le discriminant de l’autre soit la taille, le numéro de CEDEAO, la date d’expiration mais si quelqu’un a la copie de la carte d’identité, il a toutes ces données. Le risque est que nos données personnelles peuvent se retrouver dans des mains de politiques qui n’y ont pas droit généralement. »

Sans oublier que le système de contrôle de parrainage est une prérogative du Conseil Constitutionnel. Rappelons que dans les conclusions des travaux du dialogue national, il a été retenu la participation de la société civile, des représentations administratives et de la CENA dans le processus de vérification. Chose qui n'a pas été faite, selon Babacar Fall du Groupe de Recherches et d'Appui à la Démocratie participative et la bonne Gouvernance (Gradec). Qui révèle, que " ni la société civile encore moins les partis politiques n'ont un droit de regard sur ce logiciel de contrôle de parrainage du Conseil constitutionnel qui est un flou total".

Le Président Macky Sall et son épouse lors de l'inauguration du TER
Les incongruités sur la souveraineté numérique
 
 Pendant que le chef de l’Etat et certaines autorités publiques nous bassinent les oreilles avec la souveraineté numérique, d’autres données outre que celles de nos CNI, permis de conduire et état civil sont allégrement conservées en France. En effet, il s’agit des informations à caractère personnel relatives au ticket des usagers du Train Express Régional (TER). Ceux prennent quotidiennement ce moyen de transport peuvent retrouver leurs données dans les servers du RATP (Régie autonome des transports parisiens) en France. Le contrat signé entre l’Etat du Sénégal et SNCF Paris n’exige pas, selon des sources qui ont requis l’anonymat, le stockage des données dans les servers sénégalais. Pourtant, les autorités européennes se sont battues pour exiger de Facebook qui est une entreprise américaine, que le stockage des données des utilisateurs se fasse sur le sol européen.
 
C’est une exigence élémentaire pour un Etat qui tient à la souveraineté numérique. Mais qu’est ce qui a empêché l’Etat du Sénégal de refuser le transfert de ces données en France, d’exiger lors de la signature que les données des citoyens sénégalais soient sauvegardées sur notre sol comme ils l’ont exigé avec Facebook ?
 
Abdou Ndéné Sall DG de SENTER apporte une réponse 

PressAfrik a pris langue avec Abdou Ndéné Sall, le Directeur général de la Société nationale de Gestion du Patrimoine du Ter (Sen Ter) pour lui demander pourquoi les données à caractère personnel des Sénégalais ne sont pas encore logées au Data center de Diamniadio ? 
 
Selon lui :  «Le système n’est pas encore abouti.» De quel système s’agit-il ? Le DG de répondre : «nous avons un système de billetterie qui dispose de son propre système informatique que nous sommes en train de développer. En plus, il y a une monnaie mobile qui s’accompagne avec ce système. Cependant, ils ne sont pas encore opérationnels. Nous attendons qu’il le soit, d’avoir un système complet pour tout loger là-bas».
 
Abdou Ndéné Sall prend des libertés et souligne : «Nous avons le droit de ne pas mettre nos données au niveau du Data Center. Il y a aussi un détail numérique qui était en défaut et nous avons changé de prestataire. On pense que d’ici la fin d’année, nous aurons un système complet.»
 
PressAfrik, rappelle que cette conversation téléphonique était en novembre 2022, date à laquelle l’enquête a démarré. Depuis le système de billetterie et de monnaie électronique dont fait allusion le Directeur général de la SENTER ne sont pas déployés ni opérationnels. Cela fait presque un an et rien pendant que les données des usagers du TER continuent à être sauvegardées à Paris.
 
A la question de savoir si nos données ne sont pas logées au RATP de Paris, M. Sall soutient: « je peux vous affirmer que nos données sont logées ici à Dakar. Un centre de maintenance du matériel roulant à Colobane s’occupe de ça».
 
Ce qui est incorrect, après vérification, nous avons eu connaissance qu'un mail a été envoyé à Monsieur Abdou Néné Sall pour lui demander le transfert des données à Diamniadio. Un mail qui est resté sans suite.  
 
*Absa* Nom d'emprunt 

*Cette enquête a été produite  dans le cadre de la bourse de journalisme sur les IPN organisée par la fondation des médias pour l’Afrique de l’ouest et Co-Develop.*


Fana CiSSE

Samedi 21 Octobre 2023 09:44


Dans la même rubrique :