SIMTECH LIVE-PROD
SIMTECH LIVE-PROD
SIMTECH LIVE-PROD
SIMTECH LIVE-PROD

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est  chargée de vérifier la légalité de la collecte et du traitement des données personnelles  des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles  soient sécurisées.

Dans cette perspective, au cours de ce premier trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 03 Juin 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

1 – Compte rendu des activités 

Au cours de ce premier trimestre, la CDP a reçu 26 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives.

La Commission a traité 51 dossiers dont 28 déclarations et 23 demandes d’autorisation portant sur :

  • La vidéosurveillance ;
  • Les Base de données clients ;
  • Les Bases de données du personnel ;
  • Les Jeux sms
  • Les Sites Internet
  • La Biométrie ;
  • Le Cloud ;
  • Les Plateformes de transfert d’argent ;
  • Les Enquêtes

A l’issue des  04 sessions plénières tenues à la CDP, 26 récépissés de déclaration et 16 autorisations ont été émis.

26 récépissés de déclaration délivrés

Structure Dénomination du traitement N° Récépissé
01 SDE Facturation, recouvrement et traitement des demandes et réclamations des clients 2016–00283
02 Gestion des ressources humaines 2016–00284
03 DAKAR TERMINAL Vidéosurveillance 2016–00285
04 Monsieur M. H.(un particulier) Newsletter pour les prospects, consommateurs et partenaires 2016–00286
05 BGFI BANK Fichier du personnel 2016–00287
06 OPTIC Mise en place d’une base de données à partir du site web pour les besoins du SIPEN 2016–00288
07 COFINA Badges du personnel 2016–00289
08 Registre des entrées et des sorties des visiteurs 2016–00290
09 CASH POINT SERVICES Badges du personnel 2016–00291
10 SDE Géolocalisation des équipes techniques de la SDE 2016–00292
11 OFNAC Contrôle des entrées et sorties des visiteurs 2016–00293
12 INSTITUTION ISLAMIQUE SOCIALE Site internet informatif qui présente leurs activités 2016–00294
13 ATAC SUPERMARCHE Caméra de vidéosurveillance 2016–00295
14 Dossier du personnel 2016–00296
15 DAGE (MESR) Mise en place d’un système de vidéosurveillance 2016–00297
16 GROUPE MOURCHID COMMUNICATION (GMC) Registre des entrées et des sorties 2016–00298
17 Gestion du personnel 2016–00299
18 Jeu SMS via le numéro court 26053 2016–00300
19 Monsieur O. G.(un particulier) Vidéosurveillance domicile 2016–00301
20 TOSTAN INTERNATIONAL Registre des entrées et sorties 2016–00303
21 AUTOLAQUE SARL Système de vidéosurveillance 2016–00304
22 INSTITUT SENEGALAIS DE RECHERCHES AGRICOLES (ISRA) Système d’information de l’ISRA (gestion du personnel, Sage paie, Sage ligne 500) 2016–00305
23 Déclaration du portail web de l’ISRA www.isra.sn 2016–00306
24 POOL TPV Fichier du personnel 2016-00307
25 RESTAURANT LE PALACE Système de vidéosurveillance 2016-00308
26 RESTAURANT LE PALACE SUCCURSALE Système de vidéosurveillance 2016-00309

 

16 autorisations accordées

Structure Dénomination du traitement N° de délibération
01 DAKAR TERMINAL Mise place d’un système de pointage biométrique 2016–00181/CDP
02 INDUSTRY FOR PACKAGING AND CONSTRUCTION (IPC) Mise place d’un système de pointage biométrique pour les employés et les travailleurs journaliers 2016–00182/CDP
03 UBA Mise en place du traitement de la base de données des empreintes biométriques des membres du personnel 2016–00183/CDP
04 TOSTAN INTERNATIONAL Système de pointage biométrique 2016–00184/CDP
05 WUTIKO Plateforme de recrutement en ligne 2016–00185/CDP
06 OFNAC Réception, enregistrement, exploitation, contrôle et archivage des déclarations de patrimoine 2016–00186/CDP
07 Réception et analyse des plaintes 2016–00187/CDP
08 Réception et classement des CV, demandes d’agrément, procédure de recrutement, réception et traitement des dossiers liés à l’assurance maladie 2016–00188/CDP
09 ATAC SUPERMARCHE Mise en place d’un système de pointage biométrique 2016–00189/CDP
10 Ministère de la Santé et de l’Action Sociale Demande de renouvellement de l’autorisation accordée par la CDP relative au programme m-diabète 2016–00190/CDP(Demande d’autorisation modificative)
11 Monsieur M. F.(un particulier) Dynamique de la sociabilité en milieu rural et action collective 2016–00191/CDP
12 PAYDUNYA SARL Plateforme de paiement en ligne PAYDUNYA 2016–00192/CDP
13 SOLID Gestion du profil des clients/abonnés sur le site www.musikbi.com 2016-00193/CDP
14 Site internet www.musikbi.com 2016-00194/CDP
15 ORANGE FINANCES MOBILES SENEGAL Plateforme de gestion de monnaie électronique 2016-00195/CDP
16 DIAMOND BANK SA SENEGAL Enrôlement biométrique des clients 2016-00196/CDP

Au titre des signalements et des plaintes, la CDP a enregistré trois (03)  SMS de prospection sans autorisation  et un (01) déploiement de vidéosurveillance sans information préalable.  Ces cas d’atteinte à la vie privée ont donné lieu à des demandes d’explication qui ont abouti à des déclarations et régularisations devant la CDP. Par ailleurs, la CDP a prononcé  une (01) mise en demeure à la société ABDXMEDIA pour manquements à la législation sur la protection des données personnelles.

 

1 refus de délivrance de récépissé de déclaration

Structure ABDXMEDIA
Dénomination du traitement Site web abdxmedia.com qui présente les formations proposées et organisées, image des participants
Motifs du rejet ·     la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;

·     l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;

·     l’envoi de courriers électroniques de prospection commerciale en violation des exigences légales en matière de prospection directe.N° de délibération2016-00302/CDP – Session plénière du 19 Février 2016Autres observationsEn application des articles 29.2 et 31.3 de la loi n°2008-12, la CDP met en demeure la société ABDXMEDIA

 

 

01 plainte

Date Plaignant Mis en cause Motifs Observations
01 18 mars 2016 Madame H. D. Monsieur O. D. Publication de photo sur Facebook sans consentement La photo a été enlevée suite à une demande de suppression adressée au mis en cause

 

 

03 signalements

Date Mis en cause Motifs Observations
01 09 février 2016 Utilisateur Facebook anonyme Tentative d’extorsion de fonds sur le réseau social La CDP n’étant pas compétente en la matière, a transmis le dossier à la Brigade Spéciale de Lutte contre la Cybercriminalité
02 22 janvier 2016 Novotel Installation d’un système de vidéosurveillance non déclaré à la CDP Novotel a procédé à la déclaration du système de vidéosurveillance et un récépissé lui a été délivré.
03 05 février 2016 Eiffage Envoi de mail de prospection pour une participation au Marathon Eiffage de l’Autoroute de Dakar La société Eiffage s’est rapprochée de la CDP pour déclarer son site internet

 

2- Volet sensibilisation, Relations extérieures et collaboration avec d’autres organismes

La CDP a, comme à son habitude, mené des actions de communication dans le but de promouvoir et faire mieux connaitre la législation sur les données personnelles.

L’Institut de Recherches pour le Développement (IRD) a reçu le Mardi 12  Janvier 2016 une délégation de la Commission de protection des Données Personnelles (CDP) pour une journée de sensibilisation axée sur le traitement des données personnelles à des fins scientifiques.

La CDP a célébré à l’instar de la communauté internationale la Journée mondiale de la protection des données à caractère personnel le Jeudi 28 Janvier 2016. Une occasion mise à profit pour recevoir dans ses locaux le représentant de Google Afrique Francophone qui a animé un débat sur le thème ‘’les services de Google et la protection des données personnelles’’ avec comme invités les étudiants des principaux instituts supérieurs d’enseignement de Dakar. A cet effet, la CDP a publié une délibération portant sur la vidéosurveillance.

Au lendemain de la passation de service entre le Président sortant, Dr Mouhamadou Lo et Mme Awa Ndiaye, la nouvelle Présidente, cette dernière a entamé une série de visites à des acteurs majeurs dont l’ARTP et l’ADIE. Ceci dans le but de développer des partenariats pour la réussite des missions de la CDP.

La Présidente de la CDP, Mme Awa Ndiaye a également pris part le 10 Mars 2016 à la cérémonie de lancement de l’Autorité de Protection des Données Personnelles du Mali (APDP). Occasion d’entretenir les autorités de protection sœurs des avancées sur la mise en place du Réseau africain des autorités de protection des données personnelles.

La CDP a assisté aux journées de la cybersécurité, les ‘’Security Day’’, les 15 et 16 mars, organisées par Kubuk et l’Ambassade de France et qui ont connu un grand succès. Enfin, la CDP a accueilli des membres de l’Autorité Malienne de Protection des Données Personnelles(APDP) pour une formation axée sur le volet juridique et technique des traitements des données personnelles.

3 – Observations/ Constats                          

A la lumière de l’instruction des dossiers traités, il a été relevé différents manquements à la législation :

  • la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;
  • l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;
  • l’envoi de courriers électroniques de prospection commerciale sans le consentement des personnes concernées ;
  • l’utilisation d’une base de données non déclarée à des fins de prospection ;
  • la durée inexacte de conservation des données traitées ;
  • l’installation d’une caméra dans une cuisine d’un restaurant ;
  • le déploiement d’un système de vidéosurveillance non déclaré ;
  • la publication de photo dans un réseau social sans le consentement de la personne concernée ;

L’absence d’un engagement de confidentialité du sous-traitant vis-à-vis du  responsable de traitement.

  1. Recommandations

Se basant sur les dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes de la société civile ainsi que de tous les autres acteurs, les recommandations suivantes :

  • Ne pas installer de caméras de surveillance sur un poste de travail et dans des lieux privés ;
  • Demander le consentement des personnes et les informer préalablement à la collecte de leurs données personnelles sur les réseaux sociaux (Facebook, Twitter, LinkedIn, Viadeo, etc.) sur des pages web à des fins de prospection commerciale ;
  • Mettre à la disposition des prospects un canal de désinscription simple et gratuit à toute campagne de prospection ;
  • Déclarer préalablement toute base de données destinée à la prospection directe et se conformer à la délibération n°2014-20 du 30 mai 2014 sur les conditions de la prospection directe publiée sur le site Internet de la CDP ;
  • Définir une durée limitée de conservation des données traitées ;
  • Signer un engagement de confidentialité avec les sous-traitants ;
  • Déclarer tout système de vidéosurveillance avant son déploiement.

 

La Commission de Protection des Données Personnelles du Sénégal (CDP)
www.cdp.sn

Laisser un commentaire