Avis Trimestriel N°02-2016 de la Commission de Protection des Données Personnelles du Sénégal (CDP)
La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours de ce deuxième trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.
Sur le plan de la coopération, des avancées majeures ont été engrangées, notamment dans le domaine de l’adoption et de la ratification de conventions importantes pour notre pays.
Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 19 Aout 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
- Compte rendu des activités déclaratives
Au cours de ce deuxième trimestre, la CDP a reçu 19 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives.
La Commission a traité 36 dossiers dont 28 déclarations et 08 demandes d’autorisation.
A l’issue des 05 sessions plénières tenues à la CDP, 33 récépissés de déclaration et 23 autorisations ont été émis.
La Commission a, en effet, envoyé des demandes d’explication, à recevoir des demandes d’avis et à émettre des appels à déclaration :
- Demandes d’explication : 04
- Nombre d’appels à déclaration : 125
- Demandes d’avis : 07
- Observations /constats
A l’examen des dossiers reçus à la CDP, il a été constaté des manquements dans le traitement des données personnelles de la part de plusieurs structures.
Du point de vue juridique, l’examen des dossiers a mis en exergue les manquements suivants :
- Manquements constatés sur les formulaires :
| Manquements | Recommandations |
| Conservation pour une durée indéfinie des images et vidéos d’un système de vidéosurveillance | Définir une durée de conservation limitée des images et vidéos
|
| Installation de caméras dans des bureaux | Ne pas installer de caméras de surveillance sur les postes de travail à l’exception de ceux sensibles (caisses)
|
| Absence d’engagement de confidentialité signé par un sous-traitant chargé de la maintenance d’un système de vidéosurveillance | Faire signer un engagement de confidentialité aux prestataires qui interviennent dans l’installation et la maintenance d’un système de vidéosurveillance
|
| Absence d’engagement de confidentialité signé par un sous-traitant chargé de l’installation, de la maintenance et de la conservation de données d’un système de géolocalisation | Faire signer un engagement de confidentialité aux prestataires qui interviennent dans l’installation et la maintenance d’un système de géolocalisation
|
| Absence d’affiches pour informer les personnes sur la présence d’un système de vidéosurveillance | Informer les personnes concernées de la présence de caméras de vidéosurveillance (affiches avec indication du numéro de récépissé de la CDP, s’il y a lieu).
|
- Nombre de plaintes reçues :
| Nombre | Plaignant | Mis en cause | Motifs | Observations |
| 01 | Particuliers | Hacker anonyme | Piratage de compte Gmail | Compte des plaignants rétablis |
| 02 | Particuliers | www.seneweb.com www.dakaractu.com www.leral.net www.setal.net www.cms.net |
Commentaire par la presse en ligne d’une décision rendue par le TGI de Dakar portant atteinte à l’honneur du plaignant | La CDP a demandé au plaignant de saisir les organes de presse cités pour la suppression des articles incriminés. A la suite de cette saisine restée infructueuse, la Commission a saisi les organes de presse concernés. |
- Liste des manquements signalés à la CDP :
Les signalements au niveau de la CDP s’articulent autour de deux (2) points :
- Collecte de la CNI dans le cadre d’un transfert d’argent sur le réseau Wizall pour les services d’Orange Money, sans informer préalablement les personnes concernées sur la finalité de ladite collecte.
- Publication d’une vidéo sur internet sans le consentement de la personne concernée
Suite à ces signalements, des demandes d’explication ont été envoyées aux sociétés et organe concernés
- Demande d’avis reçus par la CDP :
| Demande d’avis | Avis de la CDP |
|
La CDP a recommandé au CNRA de demander au plaignant de saisir au préalable, l’organe de presse (responsable du traitement) pour suppression de l’image, conformément aux dispositions de l’article 69 de la Loi sur les données personnelles. |
|
Le traitement envisagé par l’ARTP dans le cadre du dispositif de supervision et de contrôle des flux des communications sur les réseaux des opérateurs de télécommunication a été déjà autorisé par la CDP (Récépissé n° RD – 2015 – 00113/SP du 27 février 2015) |
|
Le responsable du traitement à l’obligation de recueillir le consentement des personnes concernées, de les informer des finalités de la collecte et de déclarer à la CDP le traitement envisagé. |
|
La loi n°2008-12 du 25 janvier 2008 sur les données personnelles ne fixe pas une durée de conservation des données liées à la vidéosurveillance. C’est au responsable du système de vidéosurveillance de fixer une durée limitée de conservation tenant compte de la finalité |
|
Un fournisseur de services titulaire d’un serveur vocal a l’obligation de déclarer à la CDP le traitement mis en œuvre sur les données personnelles traitées dans le cadre de ses activités |
|
La consultation de données personnelles des salariés se trouvant, s’il y a lieu, dans les ordinateurs mis à leur disposition, doit obligatoirement se faire en leur présence et avec leur consentement. |
- Décisions rendues par la Session Plénière :
- Autorisations accordées :
| FINALITES | NOMBRE |
| Gestion des Ressources Humaines en cloud | 04 |
| Gestion d’une base de données de CV (CVthèque) | 01 |
| Gestion du personnel (paie, congés, absences) | 01 |
| Collecte d’empreintes digitales pour le contrôle de l’identité des bénéficiaires de crédits dans le cadre du Bureau d’Information sur le Crédit (BIC) | 01 |
| Interactivités par SMS et sur Twitter lors d’événements | 01 |
| Dématérialisation de la circulation des dossiers des patients | 01 |
| Constitution d’un guichet unique pour la collecte et l’échange des informations nécessaires dans le cadre des procédures préalables au Hajj | 01 |
| Mise en relation de clients, fournisseurs et livreurs sur une plateforme de commerce électronique | 01 |
| Centralisation de toutes les informations relatives au crédit des clients des banques pour l’élaboration des rapports de solvabilité dans le cadre du Bureau d’Information sur le Crédit (BIC) | 01 |
| Mise en relation d’artistes avec leur public sur un site internet | 01 |
| Contrôle d’accès par biométrie | 02 |
| Interactivité par SMS et sur Twitter sur des questions thématiques liées à la jeunesse allant de la santé reproductive aux violences en passant par l’éducation | 01 |
| Envoi de mailing, recrutement et promotion sur un site internet | 01 |
| Mise en relation des banques de sang avec des donneurs de sang dans le cadre d’une plateforme de messagerie | 01 |
| Information des parents d’élèves en temps réel de la situation des élèves à l’école (absences, notes, suggestions, recommandations et autres) par la mise en place d’une plateforme web et SMS | 01 |
| Evaluation de la situation alimentaire des populations du Sénégal | 01 |
| Constitution d’une base de données clients, d’un site de commerce en ligne, de promotion, de prospection (SMS et mailing), de relance clients et d’envoi de newsletters | 01 |
| Mise à la disposition d’un service de gestion en ligne de la paie et des Ressources Humaines pour des entreprises, pour leur permettre d’éditer leurs bulletins de paie et de faire l’administration du personnel | 01 |
| Contrôle d’accès et gestion du temps de présence des salariés | 01 |
| TOTAL | 23 |
- Récépissés délivrés
| FINALITES | NOMBRE |
| Gestion de la facturation | 01 |
| Gestion administrative du personnel | 03 |
| Vidéosurveillance | 13 |
| Pointage par badge | 05 |
| Contrôle des entrées et des sorties sur registre | 01 |
| Géolocalisation des véhicules | 02 |
| Rappel automatique de rendez-vous de vaccination et visites prénatales et postnatales aux parents par SMS et messages vocaux en langues locales via le téléphone mobile | 01 |
| Consultation de relevés de compte, commande de chéquier, consultation des cours des devises par le canal d’un serveur vocal | 01 |
| Rechargement pour les clients d’une banque des relevés de leurs comptes et sous – comptes | 01 |
| Push-sms pour les producteurs, les commerçants et les transformateurs d’anacarde sur les prix | 01 |
| Gestion des incidents et stocks du matériel informatique | 01 |
| Saisie et validation des ordres de transferts de fonds par une banque | 01 |
| Produire des statistiques du nombre de clients servis par des caissiers de banque | 01 |
| Produire des statistiques du nombre de clients servis par des caissiers de banque | 01 |
| Etudes de marché et sondages dans le domaine marketing | 01 |
| TOTAL | 34 |
- Volet sensibilisation
La Commission de protection des Données Personnelles(CDP) a, au cours de ce deuxième trimestre, mené des actions de communication dans le but de promouvoir et de faire mieux connaitre la législation sur les données personnelles.
La CDP a également pris part à la cérémonie marquant la célébration de la Journée internationale des Femmes dans les TIC (JIFTIC), le Jeudi 28 avril 2016, ainsi qu’à la première Matinée du Numérique, organisée par OPTIC (Organisation des Professionnels des Technologies de l’Information et de la Communication) sur le thème : “Partenariats Public-Privé : quelles opportunités de la nouvelle Loi pour les entreprises du Numérique ? “. En partenariat avec le REJOTIC (Réseau des journalistes Spécialisés en TIC), cette Matinée du Numérique fut une tribune importante de sensibilisation sur la Loi relative à la protection des données personnelles.
La Commission a également participé à la première édition du forum organisée par l’Association des Editeurs et Professionnels de la Presse en ligne (APPEL) sur le thème : Internet local : Souveraineté et / ou Patrimoine numérique.
La CDP a bénéficié de l’appui institutionnel de l’Autorité de Régulation des Télécommunications et des Postes(ARTP), avec l’octroi d’un chèque d’un montant de 25 millions de francs CFA. Une cérémonie de remise du chèque a été organisée à cet effet, au cours de laquelle l’ARTP et le CDP ont réaffirmé leur partenariat, dans le cadre des missions qui leurs sont confiées.
- La sécurité des traitements déclarés et les missions de controle
L’article 71 de la loi 2008-12 du 25 janvier 2008 dispose que « le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Ces notions impératives de confidentialité, de traçabilité, d’authenticité, d’intégrité et de disponibilité permettent de se prémunir efficacement contre les risques liés aux traitements de données à caractère personnel.
Ainsi, dans ses missions d’accompagnement aux responsables de traitement pour les formalités déclaratives, la CDP, pour ce deuxième avis trimestriel, a noté les manquements techniques ci-après :
- la méconnaissance par certains responsables de traitement ayant recours à un hébergeur, du lieu exact de stockage des données traitées ;
- l’inexistence pour certains traitements, de clause de confidentialité ou contrat d’hébergement entre structures intervenantes ;
- le manque de maitrise des garanties de sécurité appliquées par le destinataire des données transférées à l’étranger ;
- l’inexistence d’une charte informatique ou d’une politique formalisée d’administration, d’accès ou d’exploitation des données ;
- l’absence de confidentialité des flux de données lors des opérations de sauvegarde ou de communication (données non chiffrées et passerelles de communication non sécurisées) ;
- la vulnérabilité aux attaques de certaines plateformes déclarées ;
- l’inexistence des mesures d’information et de sensibilisation sur la politique de sécurité mise en place à l’intention des acteurs intervenants dans le cadre de traitement relatif aux registres des entrées- et sorties.
- Recommandations aux Responsables de traitement
Au regard des constats à l’examen des dossiers instruits, la CDP formule au profit de toutes les parties prenantes, les responsables de traitement du secteur public, du secteur privé, des organismes de la société civile et autres acteurs, les recommandations suivantes :
- recourir à un professionnel, ou un prestataire pour le remplissage des points techniques des formulaires de demande d’autorisation et de déclaration normale ;
- indiquer, de manière claire et exhaustive, dans les conditions générales de souscription, les pays où se situent les centres de données du prestataire Cloud computing ;
- chiffrer par des procédés fiables (SSH, SSL, Ipsec, etc.) tous les flux d’administration, de communication et d’exploitation qui garantissant la confidentialité et l’intégrité des données.
- protéger les plateformes contre les attaques classiques (en déni de service, en IP options, en injection de code, aux attaques par dictionnaire, etc.) ;
- sensibiliser et informer tous les acteurs intervenants dans le traitement sur les mesures de sécurité mise en place.
- Préparation des missions de contrôle
La loi n° 2008-12, donne à la CDP un pouvoir de contrôle sur site pour tout traitement de données à caractère personnel.
Les missions de contrôle ont pour objectif de s’assurer que les déclarations ou demandes d’autorisation faites par les responsables de traitement devant la CDP, et pour lesquelles ils ont reçu des récépissés ou des autorisations, sont conformes à la législation. Les contrôles peuvent également s’effectuer à la suite de signalements ou de plaintes.
Dans la perspective de ces missions prochaines, une délégation de la CDP a séjourné du lundi 23 au mardi 24 mai 2016 en France pour s’inspirer de l’expérience de la Commission nationale de l’informatique et des libertés(CNIL) France en termes de contrôle.
Des Commissaires seront choisis en séance plénière pour diriger les missions de contrôle. Le comité de sanction, composé de trois (3) autres Commissaires désignés sera également mis sur pied.
- Contribution de la CDP aux initiatives et actions en matière de cybersécurité
La CDP a participé à la séance de restitution de la mission au Sénégal des experts du Conseil de l’Europe pour le projet « Action Globale sur la Cybercriminalité – GLACY ». Ce projet important se propose de former les acteurs (Magistrats, Police, Gendarmerie) sur les méthodes d’enquêtes et d’investigations en matière de Cyber crimes, et de mettre en place un réseau d’entre-aide et de coopération entre les Etats.
- Coopération et partenariat
- Au plan africain :
La Commission de Protection des Données Personnelles (CDP) a reçu la Commission Nationale de l’Informatique et des Libertés (CNIL) du Bénin les 18 et 20 avril 2016, pour une visite de travail. Ce fut l’occasion pour l’Autorité béninoise de profiter de l’expérience de son homologue sénégalaise en matière de protection des données et de la vie privée.
La CDP a également répondu à l’invitation de l’Autorité de Régulation des Télécommunications/TIC de la Cote d’Ivoire (ARTCI) dans le cadre du séminaire sur la Protection des données à caractère personnel portant sur le thème « aspects pratiques de la mise en œuvre pour l’Administration publique, le caractère privé et le grand public », tenu au mois de mai 2016.
- Au niveau international :
Dans le cadre du démarrage de ses missions de contrôle, une délégation de la CDP s’est rendue en France, dans les locaux de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour s’inspirer de leur expérience.
Dans le cadre de la modernisation de la Convention 108, la CDP a pris part à la réunion du comité ad hoc sur la protection des données personnelles (CADHATA), les 15 et 16 juin 2016 à Strasbourg. Cette réunion a été suivie, le 17 juin, de la Conférence internationale « Convention 108 : d’une réalité européenne vers un traité universel », au cours de laquelle la Présidente de la Commission a fait une intervention sur la Processus d’adhésion du Sénégal à ladite Convention.
Lors du Conseil des Ministres du 08 juin 2016, les Autorités ont adopté, un projet de loi autorisant le Président de la République à ratifier la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108) et son protocole additionnel concernant les autorités de contrôle, et les flux transfrontières de données (STE n°181).
Suite à cette décision importante, ledit projet de loi a été soumis au vote à l’Assemblée Nationale et a été largement adopté par notre Assemblée Parlementaire le vendredi 24 juin 2016. Le Sénégal espère ainsi bénéficier de l’assistance et de la coopération du Conseil de l’Europe sous forme notamment, d’expertise législative, et d’assistance à la mise en conformité de sa législation nationale avec les standards internationaux, en matière de protection des données à caractère personnel.
Le Conseil des Ministres a également autorisé le Président de la République à ratifier la Convention de l’Union Africaine (UA) sur la Cybersécurité et la protection des données à caractère personnel.
- Au niveau National :
Dans le cadre de ses activités de coopération au niveau national, la CDP a émis des recommandations, lors du lancement du projet de mise en relation entre la base de données des abonnés identifiés et le fichier de la Direction de l’Automatisation des Fichiers (DAF) sur les cartes nationales d’identité.
La Commission de Protection des Données Personnelles du Sénégal (CDP)
www.cdp.sn
.
