Le Sénégal a récemment amorcé une transformation numérique ambitieuse à travers son New Deal technologique. Cette stratégie vise à moderniser les services publics, renforcer l’inclusion digitale et faire du numérique un levier de croissance pour les citoyens comme pour l’État. Dans ce contexte, la plateforme Tabax Sénégal a été présentée comme un des outils innovants au service des talents sénégalais, notamment ceux de la diaspora. Une très belle initiative sur le papier et sur le discours. Mais une question centrale demeure :
Peut-on digitaliser sans sécuriser ?
Une digitalisation sans cybersécurité affaiblit la confiance
Après avoir testé la plateforme, force est de constater que le lancement de la plateforme Tabax Sénégal semble précipité. Plusieurs manquements visibles à l’œil nu fragilisent la crédibilité d’un projet pourtant prometteur. En tant que consultant en cybersécurité et protection des données, j’ai pris le temps de tester le site.
Voici une synthèse des constats techniques et juridiques relevés, accompagnés d’une lecture plus large sur la gouvernance numérique.
5 alertes critiques pour un projet national
Absence de mentions légales et de politique de confidentialité :
La plateforme Tabax Sénégal ne fournit aucune mention légale, ni politique de confidentialité. On ne sait pas qui est responsable du traitement des données, ni à quoi elles servent exactement. Ce manque de transparence viole la loi sénégalaise n°2008-12 sur la protection des données personnelles, qui impose d’informer clairement les utilisateurs.
Pour les Sénégalais de la diaspora, notamment en Europe, cela constitue aussi une violation du RGPD, qui exige une communication claire sur les droits, les finalités et les destinataires des données.
Le même problème est visible sur d’autres sites vitrines, comme newdealtechnologique.sn, vitrine du projet numérique du pays et du Sénégal Numérique adie.sn, le portail de l’Agence de l’Informatique de l’État du Sénégal. Cela révèle un manque de prise en compte des obligations légales minimales, pourtant essentielles pour construire un numérique digne de confiance et donner l’exemple aux entreprises domiciliées au Sénégal. Le respect de la loi doit accompagner cette ambition pour garantir la protection des citoyens, la crédibilité des outils numériques et la souveraineté digitale du Sénégal.
Collecte excessive de données personnelles
Dès l’inscription, la plateforme demande des informations très personnelles : lieu de naissance, situation matrimoniale, adresse complète, handicap, numéro WhatsApp, CV, etc. Or, aucune explication n’est donnée sur l’utilité réelle de ces données pour la finalité du service.
Cela contrevient au principe de minimisation, prévu par des textes comme le RGPD ( la protection des données personnelles) : seules les données strictement nécessaires doivent être collectées. Une telle collecte non justifiée peut être perçue comme une atteinte au principe de proportionnalité surtout en l’absence de garanties et de finalité clairement définie.
Absence de sécurité à l’inscription
La plateforme Tabax Sénégal ne prévoit aucun mécanisme de sécurité forte lors de l’inscription : pas de validation d’email, pas de code de confirmation, pas de CAPTCHA, ni d’authentification à deux facteurs. Cette faiblesse ouvre la porte à la création de faux profils, à des inscriptions automatisées via des bots, et à des attaques par déni de service (DDoS). Elle fausse aussi les statistiques du projet et compromet la fiabilité des données collectées.
D’un point de vue juridique, la loi sénégalaise n°2008-12 sur la protection des données personnelles impose au responsable du traitement de mettre en place des mesures de sécurité proportionnées aux risques. Ne pas sécuriser une plateforme nationale exposée publiquement constitue donc un manquement grave, à la fois technique, juridique et éthique.
Aucune vérification de nationalité
Bien que la plateforme ait pour ambition de valoriser les talents sénégalais, aucune vérification de nationalité ni de contrôle d’identité n’est mise en place. Cette absence remet en question la cohérence entre le discours affiché et la mise en œuvre technique, et peut conduire à un détournement de la cible initiale.
Sécurité technique insuffisante : un risque pour tous les utilisateurs
Le site présente des failles de configuration SSL non négligeables :
- Utilisation de protocoles obsolètes (TLS 1.0 / 1.1).
- Présence d’algorithmes de chiffrement faibles (AES 128 CBC SHA).
- Absence de HSTS, ce qui rend possible un accès non sécurisé au site.
Ces failles exposent les utilisateurs à des risques d’interception de données, d’usurpation ou d’attaques réseau, inacceptables pour une plateforme publique.
Hébergement à l’étranger : un risque pour la souveraineté numérique
La plateforme Tabax Sénégal est hébergée chez Infomaniak, un prestataire privé basé en Suisse. Les données des utilisateurs sénégalais, y compris celles de la diaspora, sont donc stockées à l’étranger, hors du contrôle direct de l’État sénégalais.
Même si Infomaniak est reconnu pour son sérieux et ses engagements environnementaux, ce choix soulève plusieurs problèmes stratégiques :
Perte de contrôle juridique : En cas de conflit ou de demande d’accès aux données, ce sont les lois suisses qui s’appliquent, pas forcément celles du Sénégal.
Risque de dilution de souveraineté : Ce type de projet public devrait prioritairement être hébergé sur des infrastructures nationales, notamment celles de l’ADIE, qui dispose déjà de datacenters étatiques sécurisés.
Contradiction avec les pratiques gouvernementales : Le site officiel du New Deal Technologique, pourtant issu du même cadre stratégique, est hébergé par l’ADIE, l’Agence De l’Informatique de l’État. Pourquoi ne pas appliquer la même exigence à Tabax Sénégal ?
Qui porte la responsabilité ?
Cette situation met en lumière une question de gouvernance du projet.
La réussite d’un projet numérique national comme Tabax Sénégal repose sur une gouvernance claire et la responsabilité de chaque partie prenante :
- État / Ministère des Télécommunications / Sénégal Numérique : Ils doivent garantir la conformité juridique, la sécurité de la plateforme et la protection des données. En tant que donneurs d’ordre, ils portent une responsabilité politique et institutionnelle.
- Prestataire technique / Développeur : Il a l’obligation d’intégrer la sécurité dès la conception (security by design) et de conseiller l’État sur les meilleures pratiques. En cas de négligence, il peut engager sa responsabilité contractuelle ou professionnelle.
- CDP (Commission de Protection des Données Personnelles) : Elle joue un rôle clé dans le contrôle et l’encadrement des traitements de données. Un manque de vigilance de sa part peut être perçu comme un défaut de régulation.
- Citoyens utilisateurs : Ils doivent pouvoir s’inscrire, utiliser la plateforme et exercer leurs droits en toute confiance. En cas de défaillance, ils s’exposent à des risques d’atteinte à leur vie privée ou d’exploitation abusive de leurs données.
Ce que le New Deal technologique exige réellement
Le New Deal technologique du Sénégal n’est pas une simple initiative de communication. C’est un pacte entre l’État, les citoyens et les acteurs du numérique. Mais ce pacte repose sur la transparence, la conformité, la sécurité et la confiance. Une plateforme non conforme met en péril non seulement les utilisateurs, mais aussi la crédibilité du modèle numérique national.
Recommandations pour sécuriser Tabax Sénégal mais pas que :
Publier une politique de confidentialité conforme à la loi sénégalaise et aux lois internationales
Justifier la collecte de chaque donnée personnelle, et réduire ce qui est excessif.
Mettre en place des mécanismes de sécurité standard (MFA, CAPTCHA, vérification d’email).
Activer les protocoles de chiffrement modernes (TLS 1.2/1.3) et HSTS.
Effectuer un audit indépendant (technique & juridique).
Nommer un DPO (Délégué à la protection des données).
Enfin : l’ambition de digitalisation ne doit pas devancer la rigueur sur les aspects sécuritaires.
Le projet Tabax Sénégal est une belle idée. Mais pour qu’il inspire confiance, il doit d’abord être conforme, sécurisé et transparent. Le New Deal technologique du Sénégal gagnerait à s’appuyer sur des plateformes exemplaires, tant sur le fond que sur la forme.
Digitaliser, c’est bien. Digitaliser en toute sécurité, c’est indispensable. Et exposer la plus haute autorité de l’État sur des outils non finalisés, c’est un risque qu’on ne devrait plus se permettre.
Certifié EBIOS RM | 27005 | DPO
