Guide : L’IA et le droit — cadre juridique au Sénégal

L’IA face au droit sénégalais : un cadre en construction

L’intelligence artificielle soulève des questions juridiques fondamentales : qui est responsable quand une IA cause un préjudice ? Les données personnelles utilisées pour entraîner les modèles sont-elles protégées ? Un contenu généré par IA est-il protégé par le droit d’auteur ? Au Sénégal, le cadre juridique s’adapté progressivement à ces enjeux, avec des textes existants qui s’appliquent et de nouvelles régulations en préparation.

Protection des données personnelles

La loi n° 2008-12 du 25 janvier 2008

Le Sénégal dispose depuis 2008 d’une loi sur la protection des données à caractère personnel, l’une des premières en Afrique de l’Ouest. Cette loi s’applique directement à l’utilisation de l’IA dès lors qu’elle traite des données personnelles.

Principes clés de la loi 2008-12 applicables à l'IA :

1. CONSENTEMENT (Art. 33)
   → L'utilisation de données personnelles pour entraîner une IA 
     nécessite le consentement de la personne concernée
   → Exception : données anonymisées (non identifiables)
   
   En pratique : si vous entraînez un chatbot avec des conversations 
   clients, vous devez obtenir leur consentement ou anonymiser les données

2. FINALITÉ (Art. 35)
   → Les données collectées pour un objectif précis ne peuvent pas 
     être réutilisées pour un autre objectif sans nouveau consentement
   
   En pratique : des données collectées pour un formulaire de contact 
   ne peuvent pas servir à entraîner un modèle IA sans consentement

3. PROPORTIONNALITÉ (Art. 36)
   → Seules les données strictement nécessaires doivent être collectées
   
   En pratique : une IA de reconnaissance faciale à l'entrée d'un bureau 
   ne doit pas stocker les images au-delà de la vérification d'identité

4. DROIT D'ACCÈS ET DE RECTIFICATION (Art. 62-68)
   → Toute personne peut demander accès aux données la concernant 
     et exiger leur correction ou suppression
   
   En pratique : un client peut demander la suppression de ses données 
   utilisées par votre IA, y compris dans les jeux d'entraînement

5. TRANSFERT INTERNATIONAL (Art. 49)
   → Le transfert de données hors du Sénégal est encadré
   
   En pratique : utiliser ChatGPT (serveurs aux États-Unis) avec des 
   données personnelles de clients sénégalais nécessite des précautions

La Commission des Données Personnelles (CDP)

La CDP est l’autorité de régulation sénégalaise chargée de veiller au respect de la loi sur les données personnelles. Toute entreprise qui traite des données personnelles, y compris via des systèmes d’IA, doit effectuer une déclaration ou une demande d’autorisation auprès de la CDP.

Obligations envers la CDP pour les projets IA :

DÉCLARATION SIMPLE (traitements courants) :
- Formulaire en ligne sur cdp.sn
- Décrivez le traitement IA et les données utilisées
- Délai : 2 mois maximum pour la réponse de la CDP
- Pas de frais pour les déclarations simples

AUTORISATION PRÉALABLE (traitements sensibles) :
Requise pour :
- Données de santé traitées par IA
- Données biométriques (reconnaissance faciale, empreintes)
- Profilage automatisé ayant des effets juridiques
- Interconnexion de fichiers ayant des finalités différentes

Sanctions en cas de non-conformité :
- Avertissement
- Mise en demeure
- Retrait temporaire de l'autorisation
- Amende : jusqu'à 100 millions FCFA
- Sanctions pénales : 1 à 7 ans d'emprisonnement (art. 431-8 à 431-22 du Code pénal)

Propriété intellectuelle et IA

Le contenu généré par IA est-il protégé ?

C’est l’une des questions les plus débattues au niveau mondial. Au Sénégal, le droit d’auteur est régi par la loi n° 2008-09 du 25 janvier 2008 sur le droit d’auteur et les droits voisins, harmonisée avec l’Accord de Bangui de l’OAPI (Organisation Africaine de la Propriété Intellectuelle).

Analyse juridique — Droit d'auteur et IA au Sénégal :

PRINCIPE : Le droit d'auteur protège les "œuvres de l'esprit" (art. 2)
→ Une œuvre doit être originale et refléter la personnalité de l'auteur
→ L'auteur doit être une personne physique (être humain)

QUESTION : Un texte ou une image générée par Midjourney, ChatGPT ou 
DALL-E est-il une "œuvre de l'esprit" ?

POSITION PROBABLE AU SÉNÉGAL (par analogie avec le droit OAPI) :
1. Le contenu 100% généré par IA sans intervention humaine créative
   → Probablement NON protégeable (pas d'auteur humain)
   
2. Le contenu généré par IA puis substantiellement modifié par un humain
   → Potentiellement protégeable (l'humain apporte l'originalité)
   
3. Le prompt lui-même (la consigne donnée à l'IA)
   → Probablement non protégeable (trop court, insuffisamment original)

EN PRATIQUE pour les entreprises au Sénégal :
- Ne comptez pas sur le droit d'auteur pour protéger le contenu IA pur
- Ajoutez une contribution humaine significative pour revendiquer la protection
- Protégez votre marque et votre nom commercial via le dépôt à l'OAPI
- Les logos générés par IA peuvent être déposés comme marque 
  (la protection porte alors sur la marque, pas le droit d'auteur)

Utilisation d’œuvres protégées pour entraîner l’IA

L’entraînement des modèles d’IA comme GPT ou Stable Diffusion utilise des milliards de textes et d’images trouvés sur Internet, souvent sans le consentement de leurs auteurs. Des procès majeurs sont en cours aux États-Unis (New York Times vs OpenAI, artistes vs Stability AI).

Au Sénégal, la loi prévoit des exceptions au droit d’auteur pour la recherche et l’enseignement (art. 38), mais pas explicitement pour l’entraînement d’IA. Une entreprise sénégalaise qui entraîne un modèle IA sur des contenus protégés sans autorisation s’exposé à des poursuites pour contrefaçon. La position de l’OAPI sur cette question est attendue dans les prochaines années.

Responsabilité civile et IA

Qui est responsable quand l’IA se trompe ?

Scénarios de responsabilité au Sénégal :

SCÉNARIO 1 : Un chatbot IA donne un conseil médical erroné
Qui est responsable ?
→ Le Code des obligations civiles et commerciales (COCC) du Sénégal 
  prévoit la responsabilité du fait des choses (art. 137)
→ L'exploitant du chatbot est responsable (pas l'éditeur de l'IA)
→ Le médecin qui utilise l'IA conserve sa responsabilité professionnelle
→ L'IA elle-même n'a pas de personnalité juridique

SCÉNARIO 2 : Un véhicule autonome cause un accident à Dakar
→ Responsabilité du gardien de la chose (art. 137 COCC)
→ Le propriétaire/exploitant du véhicule est présumé responsable
→ Le fabricant peut être poursuivi pour défaut du produit
→ L'assurance automobile obligatoire couvre les dommages aux tiers

SCÉNARIO 3 : Une IA de recrutement discrimine des candidats
→ La Constitution sénégalaise interdit toute discrimination (art. 1)
→ Le Code du travail sénégalais prohibe la discrimination à l'embauche
→ L'employeur est responsable même si la discrimination vient de l'IA
→ Le biais algorithmique ne constitue pas une excuse légale

SCÉNARIO 4 : Un article généré par IA contient de la diffamation
→ La loi sur la presse (2017) s'applique
→ Le directeur de publication est responsable
→ Le fait que le contenu soit généré par IA n'est pas une défense

RECOMMANDATION GÉNÉRALE :
L'entreprise qui déploie une IA est juridiquement responsable 
de ses outputs, comme elle le serait pour tout outil ou employé.

Cybersécurité et IA

La loi n° 2008-11 sur la cybercriminalité

Le Sénégal dispose d’une loi sur la cybercriminalité qui s’applique aux utilisations malveillantes de l’IA.

Infractions liées à l'IA dans la loi cybercriminalité :

1. DEEPFAKES (Art. 431-14 et 431-43 du Code pénal)
   → La création de faux contenus (vidéos, audio) par IA pour 
     tromper ou nuire est punissable
   → Usurpation d'identité numérique : 1 à 5 ans d'emprisonnement
   → Atteinte à l'image : 6 mois à 2 ans

2. PHISHING PAR IA (Art. 431-17)
   → L'utilisation de l'IA pour créer des emails de phishing 
     plus convaincants tombe sous l'escroquerie informatique
   → 1 à 5 ans d'emprisonnement + amende

3. PIRATAGE ASSISTÉ PAR IA (Art. 431-8)
   → L'accès frauduleux à un système informatique, même 
     assisté par IA, est puni de 6 mois à 3 ans
   → L'IA qui découvre et exploite des vulnérabilités 
     engage la responsabilité de son utilisateur

4. SPAM ET HARCÈLEMENT PAR IA (Art. 431-42)
   → L'envoi massif de messages générés par IA constitue 
     une infraction si non sollicité
   → Le harcèlement automatisé est aggravé par l'utilisation de l'IA

Le cadre continental : Convention de Malabo

La Convention de l’Union Africaine sur la cybersécurité et la protection des données personnelles (Convention de Malabo, 2014) fournit un cadre continental que le Sénégal a signé. Cette convention traite de la protection des données personnelles, du commerce électronique et de la cybersécurité, sans aborder directement l’IA mais en posant des principes applicables.

En parallèle, l’Union Africaine a lancé en 2024 une réflexion sur une stratégie continentale pour l’IA, inspirée en partie par le AI Act européen mais adaptée aux réalités africaines. Le Sénégal, par l’intermédiaire du ministère de l’Économie Numérique et des Télécommunications, participe activement à ces discussions.

Régulation sectorielle de l’IA

IA et secteur financier

La BCEAO (Banque Centrale des États de l’Afrique de l’Ouest) encadre l’utilisation de l’IA dans le secteur financier de la zone UEMOA. Les banques et fintechs sénégalaises qui utilisent l’IA pour le scoring de crédit, la détection de fraude ou le trading algorithmique doivent se conformer aux instructions de la BCEAO sur la gestion des risques technologiques et la protection de la clientèle.

IA et télécommunications

L’ARTP (Autorité de Régulation des Télécommunications et des Postes) pourrait être amenée à réguler les chatbots IA utilisés par les opérateurs télécoms (Orange, Free, Expresso) pour le service client, notamment en ce qui concerné la transparence (le client doit-il être informé qu’il parle à une IA ?) et la qualité de service.

IA et santé

Le ministère de la Santé et les ordres professionnels (médecins, pharmaciens) n’ont pas encore établi de cadre spécifique pour l’IA médicale au Sénégal. En l’absence de régulation locale, les recommandations de l’OMS sur l’éthique de l’IA en santé (2021) servent de référence aux praticiens et aux startups du secteur.

Recommandations pratiques pour les entreprises

Réalisez une évaluation d’impact. Avant de déployer un système d’IA qui traite des données personnelles, évaluez les risques pour les droits des personnes concernées. La CDP recommande cette démarche, similaire à l’analyse d’impact du RGPD européen. Documentez les données utilisées, les traitements effectués, les risques identifiés et les mesures de protection mises en place.

Informez vos utilisateurs. Soyez transparent sur l’utilisation de l’IA. Si votre chatbot est une IA, dites-le. Si vous utilisez l’IA pour prendre des décisions qui affectent les gens (recrutement, crédit, assurance), informez-les et offrez la possibilité d’une révision humaine.

Déclarez vos traitements à la CDP. La déclaration est obligatoire pour tout traitement de données personnelles. L’amende peut atteindre 100 millions FCFA. La procédure est simple et en ligne sur le site de la CDP (cdp.sn).

Conservez une trace humaine dans les décisions. En droit sénégalais, la responsabilité repose sur les personnes physiques ou morales. Assurez-vous qu’un humain valide les décisions importantes prises par l’IA, particulièrement dans les domaines sensibles (santé, finance, justice, recrutement).

Anticipez l’évolution réglementaire. Le Sénégal prépare un cadre juridique plus spécifique pour l’IA. Les entreprises qui adoptent dès maintenant les bonnes pratiques (transparence, équité, protection des données, supervision humaine) seront mieux positionnées quand la régulation se renforcera.

Consultez un avocat spécialisé. Le droit du numérique évolue rapidement. Pour les projets IA à fort impact, faites-vous accompagner par un cabinet spécialisé en droit du numérique au Sénégal. Plusieurs cabinets dakarois développent cette expertise, notamment dans les domaines de la protection des données et du commerce électronique.