SIMTECH LIVE-PROD
SIMTECH LIVE-PROD
SIMTECH LIVE-PROD
SIMTECH LIVE-PROD

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est  chargée de vérifier la légalité de la collecte et du traitement des données personnelles  des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles  soient sécurisées.

Dans cette perspective, au cours de ce deuxième trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.

Sur le plan de la coopération, des avancées majeures ont été engrangées, notamment dans le domaine de l’adoption et de la ratification de conventions importantes pour notre pays.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 19 Aout 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  • Compte rendu des activités déclaratives

Au cours de ce deuxième trimestre, la CDP a reçu 19 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives.

La Commission a traité 36 dossiers dont 28 déclarations et 08 demandes d’autorisation.

A l’issue des  05 sessions plénières tenues à la CDP, 33 récépissés de déclaration et 23 autorisations ont été émis.

La Commission a, en effet, envoyé des demandes d’explication, à recevoir des demandes d’avis et à émettre des appels à déclaration :

    • Demandes d’explication : 04
    • Nombre d’appels à déclaration : 125
    • Demandes d’avis : 07
  • Observations /constats   

A l’examen des dossiers reçus à la CDP, il a été constaté des manquements dans le traitement des données personnelles de la part de plusieurs structures.

Du point de vue juridique, l’examen des dossiers a mis en exergue les  manquements suivants :

  1. Manquements constatés sur les formulaires :
Manquements Recommandations
Conservation pour une durée indéfinie des images et vidéos d’un système de vidéosurveillance  Définir une durée de conservation limitée des images et vidéos

 

Installation de caméras dans des bureaux  Ne pas installer de caméras de surveillance sur les postes de travail à l’exception de ceux sensibles (caisses)

 

Absence d’engagement de confidentialité signé par un sous-traitant chargé de la maintenance d’un système de vidéosurveillance  Faire signer un engagement de confidentialité aux prestataires qui interviennent dans l’installation et la maintenance d’un système de vidéosurveillance

 

Absence d’engagement de confidentialité signé par un sous-traitant chargé de l’installation, de la maintenance et de la conservation de données d’un système de géolocalisation  Faire signer un engagement de confidentialité aux prestataires qui interviennent dans l’installation et la maintenance d’un système de géolocalisation

 

Absence d’affiches pour informer les personnes sur la présence d’un système de vidéosurveillance Informer les personnes concernées de la présence de caméras de vidéosurveillance (affiches avec indication du numéro de récépissé de la CDP, s’il y a lieu).  

 

  • Nombre de plaintes reçues :
Nombre Plaignant Mis en cause Motifs Observations
01 Particuliers Hacker anonyme Piratage de compte Gmail Compte des  plaignants rétablis
02 Particuliers www.seneweb.com
www.dakaractu.com
www.leral.net
www.setal.net
www.cms.net
Commentaire par la presse en ligne d’une décision rendue par le TGI de Dakar portant atteinte à l’honneur du plaignant La CDP a demandé au plaignant de saisir les organes de presse cités pour la suppression des articles incriminés.
A la suite de cette saisine restée infructueuse, la Commission a saisi les organes de presse concernés.

 

  • Liste des manquements signalés à la CDP :

Les signalements au niveau de la CDP s’articulent autour de deux (2) points :

  • Collecte de la CNI dans le cadre d’un transfert d’argent sur le réseau Wizall pour les services d’Orange Money, sans informer préalablement les personnes concernées sur la finalité de ladite collecte.
  • Publication d’une vidéo sur internet sans le consentement de la personne concernée

Suite à ces signalements, des demandes d’explication ont été envoyées aux sociétés et organe concernés

  • Demande d’avis reçus par la CDP :
Demande d’avis Avis de la CDP
  1. Demande d’avis du Conseil National de Régulation de l’Audiovisuel (CNRA) sur une plainte relative à l’utilisation  et à la diffusion de l’image d’une personne, par un organe audiovisuel,  à des fins artistiques.
La CDP a recommandé au CNRA de demander au plaignant de saisir au préalable, l’organe de presse (responsable du traitement) pour suppression de l’image, conformément aux dispositions de l’article 69 de la Loi sur les données personnelles.
  1. Demande d’avis de la SONATEL sur le traitement des données personnelles envisagé par l’ARTP dans le cadre de son dispositif  de supervision et de contrôle des flux des communications sur les réseaux des opérateurs de télécommunication.
Le traitement envisagé par l’ARTP dans le cadre du dispositif de supervision et de contrôle des flux des communications sur les réseaux des opérateurs de télécommunication a été déjà autorisé par la CDP (Récépissé n° RD – 2015 – 00113/SP du 27 février 2015)
  1. Demande d’avis d’un particulier sur les obligations à respecter lors de la collecte et du traitement de données personnelles, par le canal des réseaux sociaux à l’occasion de l’organisation d’événements.
Le responsable du traitement à l’obligation de recueillir le consentement des personnes concernées, de les informer des finalités de la collecte et de déclarer à la CDP le traitement envisagé.
  1. Demande d’avis d’un particulier sur la durée exacte de conservation des données liées à la vidéosurveillance.
La loi n°2008-12 du 25 janvier 2008 sur les données personnelles ne fixe pas une durée de conservation des données liées à la vidéosurveillance. C’est au responsable du système de vidéosurveillance de fixer une durée limitée de conservation tenant compte de la finalité
  1. Demande d’avis d’un particulier sur les obligations des fournisseurs de services titulaires d’un serveur vocal vis-à-vis de la CDP
Un fournisseur de services titulaire d’un serveur vocal a l’obligation de déclarer à la CDP le traitement mis en œuvre sur les données personnelles traitées dans le cadre de ses activités
  1. Demande d’avis d’un salarié sur la confiscation, par son employeur, des ordinateurs de travail, mis à la disposition par celui-ci et pouvant contenir des données personnelles.
La consultation de données personnelles des salariés se trouvant, s’il y a lieu, dans les ordinateurs mis à leur disposition, doit obligatoirement se faire en leur présence et avec leur consentement.
  • Décisions rendues par la Session Plénière :
  • Autorisations accordées :
FINALITES NOMBRE
Gestion des Ressources Humaines en cloud 04
Gestion d’une base de données de CV (CVthèque) 01
Gestion du personnel (paie, congés, absences) 01
Collecte d’empreintes digitales pour le contrôle de l’identité des bénéficiaires de crédits dans le cadre du Bureau d’Information sur le Crédit (BIC) 01
Interactivités par SMS et sur Twitter lors d’événements 01
Dématérialisation de la circulation des dossiers des patients 01
Constitution d’un guichet unique pour la collecte et l’échange des informations nécessaires dans le cadre des procédures préalables au Hajj 01
Mise en relation de clients, fournisseurs et livreurs sur une plateforme de commerce électronique 01
Centralisation de toutes les informations relatives au crédit des clients des banques pour l’élaboration des rapports de solvabilité dans le cadre du Bureau d’Information sur le Crédit (BIC) 01
Mise en relation d’artistes avec  leur public sur un site internet 01
Contrôle d’accès par biométrie 02
Interactivité par SMS et sur Twitter sur des questions thématiques liées à la jeunesse allant de la santé reproductive aux violences en passant par l’éducation 01
Envoi de mailing, recrutement et promotion sur un site internet 01
Mise en relation des banques de sang avec des donneurs de sang dans le cadre d’une plateforme de messagerie 01
Information des parents d’élèves en temps réel de la situation des élèves à l’école (absences, notes, suggestions, recommandations et autres) par la mise en place d’une plateforme web et SMS 01
Evaluation de la situation alimentaire des populations du Sénégal 01
Constitution d’une base de données clients, d’un site de commerce en ligne, de promotion, de prospection (SMS et mailing), de relance clients et d’envoi de newsletters 01
Mise à la disposition d’un service de gestion en ligne de la paie et des Ressources Humaines pour des entreprises, pour leur permettre d’éditer leurs bulletins de paie et de faire l’administration du personnel 01
Contrôle d’accès et gestion du temps de présence des salariés 01
TOTAL 23

 

  • Récépissés délivrés 
FINALITES NOMBRE
Gestion de la facturation 01
Gestion administrative du personnel 03
Vidéosurveillance 13
Pointage par badge 05
Contrôle des entrées et des sorties sur registre 01
Géolocalisation des véhicules 02
Rappel automatique de rendez-vous de vaccination et visites prénatales et postnatales aux parents par SMS et messages vocaux en langues locales via le téléphone mobile 01
Consultation de relevés de compte, commande de chéquier, consultation des cours des devises par le canal d’un serveur vocal 01
Rechargement pour les clients d’une banque des relevés de leurs comptes et sous – comptes 01
Push-sms pour les producteurs, les commerçants et les transformateurs d’anacarde sur les prix 01
Gestion des incidents et stocks du matériel informatique 01
Saisie et validation des ordres de transferts de fonds par une banque 01
Produire des statistiques du nombre de clients servis par des caissiers de banque 01
Produire des statistiques du nombre de clients servis par des caissiers de banque 01
Etudes de marché et sondages dans le domaine marketing  01
TOTAL 34

 

  • Volet sensibilisation

La Commission de protection des Données Personnelles(CDP) a, au cours de ce deuxième trimestre, mené des actions de communication dans le but de promouvoir et de faire mieux connaitre la législation sur les données personnelles.

La CDP a également pris part à la cérémonie marquant la célébration de la Journée internationale des Femmes dans les TIC (JIFTIC), le Jeudi 28 avril 2016, ainsi qu’à  la première Matinée du Numérique, organisée par OPTIC (Organisation des Professionnels des Technologies de l’Information et de la Communication) sur le thème : “Partenariats Public-Privé : quelles opportunités de la nouvelle Loi pour les entreprises du Numérique ? “. En partenariat avec le REJOTIC (Réseau des journalistes Spécialisés en TIC), cette Matinée du Numérique fut une tribune importante de sensibilisation sur la Loi relative à la protection des données personnelles.

La Commission a également participé à la première édition du forum organisée par l’Association des Editeurs et Professionnels de la Presse en ligne (APPEL) sur le  thème : Internet local : Souveraineté et / ou Patrimoine numérique.

La CDP a bénéficié de l’appui institutionnel de l’Autorité de Régulation des Télécommunications et des Postes(ARTP), avec l’octroi d’un chèque d’un montant de 25 millions de francs CFA. Une cérémonie de remise du chèque a été organisée à cet effet, au cours de laquelle l’ARTP et le CDP ont réaffirmé leur partenariat, dans le cadre des missions qui leurs sont confiées.

  • La sécurité des traitements déclarés et les missions de controle

L’article 71 de la loi 2008-12 du 25 janvier 2008 dispose que « le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Ces notions impératives de confidentialité, de traçabilité, d’authenticité, d’intégrité et de disponibilité permettent de se prémunir efficacement contre les risques liés aux traitements de données à caractère personnel.

Ainsi, dans ses missions d’accompagnement aux responsables de traitement pour les formalités déclaratives, la CDP, pour ce deuxième avis trimestriel, a noté les manquements techniques ci-après :

    • la méconnaissance par certains responsables de traitement ayant recours à un hébergeur, du lieu exact de stockage des données traitées ;
    • l’inexistence pour certains traitements, de clause de confidentialité ou contrat d’hébergement entre structures intervenantes ;
    • le  manque de maitrise des garanties de sécurité appliquées par le destinataire des données transférées à l’étranger ;
    • l’inexistence d’une charte informatique ou d’une politique formalisée d’administration, d’accès ou d’exploitation des données ;
    • l’absence de confidentialité des flux de données lors des opérations de sauvegarde ou de communication (données non chiffrées et passerelles de communication  non sécurisées) ;
    • la vulnérabilité aux attaques de certaines plateformes déclarées ;
  • l’inexistence des mesures d’information et de sensibilisation sur la politique de sécurité mise en place à l’intention des acteurs intervenants dans le cadre de traitement relatif aux registres des entrées- et sorties.
  • Recommandations aux Responsables de traitement

Au regard des constats à l’examen des dossiers instruits, la CDP formule au profit  de toutes les parties prenantes, les responsables de traitement du secteur public, du  secteur privé, des organismes de la société civile et autres acteurs, les recommandations suivantes :

  • recourir  à un professionnel, ou un prestataire pour le remplissage des points techniques des formulaires de demande d’autorisation et de déclaration normale ;
  • indiquer, de manière claire et exhaustive, dans les conditions générales de souscription, les pays où se situent les centres de données du prestataire Cloud computing ;
  • chiffrer par des procédés fiables (SSH, SSL, Ipsec, etc.) tous les flux d’administration, de communication et d’exploitation qui garantissant la confidentialité et l’intégrité des données.
  • protéger  les plateformes contre les attaques classiques (en déni de service, en IP options, en injection de code, aux attaques par dictionnaire, etc.) ;
  • sensibiliser et informer tous les acteurs intervenants dans le traitement sur les mesures de sécurité mise en place.
  • Préparation des missions de contrôle

La loi n° 2008-12, donne à la CDP un pouvoir de contrôle sur site pour tout traitement de données à caractère personnel.     

Les missions de contrôle ont pour objectif de s’assurer que  les déclarations ou demandes d’autorisation faites par les responsables de traitement devant la CDP, et pour lesquelles ils ont reçu des récépissés ou des autorisations, sont conformes à la législation. Les contrôles peuvent également s’effectuer à la suite de signalements ou de plaintes.

Dans la perspective de ces missions prochaines, une délégation de la CDP a séjourné du lundi 23 au mardi 24 mai 2016 en France pour s’inspirer de l’expérience de la Commission nationale de l’informatique et des libertés(CNIL) France en termes de contrôle.

Des Commissaires seront choisis en séance plénière pour diriger les missions de contrôle. Le comité de sanction, composé de trois (3) autres Commissaires désignés sera également mis sur pied.

  • Contribution de la CDP aux initiatives et actions en matière de cybersécurité

La CDP a participé à la séance de restitution de la mission au Sénégal des experts du Conseil de l’Europe pour le projet  « Action Globale sur la Cybercriminalité – GLACY ». Ce projet important se propose de former les acteurs (Magistrats, Police, Gendarmerie) sur les méthodes d’enquêtes et d’investigations en matière de Cyber crimes, et de mettre en place un réseau d’entre-aide et de coopération entre les Etats.

  • Coopération et partenariat
  • Au plan africain :

La Commission de Protection des Données Personnelles (CDP) a reçu la Commission Nationale de l’Informatique et des Libertés (CNIL) du Bénin les 18 et 20 avril 2016, pour une visite de travail. Ce fut l’occasion pour l’Autorité béninoise de profiter de l’expérience de son homologue sénégalaise en matière de protection des données et de la vie privée.

La CDP a également répondu à l’invitation de l’Autorité de Régulation des Télécommunications/TIC de la Cote d’Ivoire (ARTCI) dans le cadre du séminaire sur la Protection des données à caractère personnel portant sur le thème « aspects pratiques de la mise en œuvre pour l’Administration publique, le caractère privé et le grand public », tenu au mois de mai 2016.

  • Au niveau international :

Dans le cadre du démarrage de ses missions de contrôle, une délégation de la CDP s’est rendue en France, dans les locaux de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour s’inspirer de leur expérience.

Dans le cadre de la modernisation de la Convention 108, la CDP a pris part à la réunion du comité ad hoc sur la protection des données personnelles (CADHATA), les 15 et 16 juin 2016 à Strasbourg. Cette réunion a été suivie, le 17 juin, de la Conférence internationale « Convention 108 : d’une réalité européenne vers un traité universel », au cours de laquelle la Présidente de la Commission  a fait une intervention sur la Processus d’adhésion du Sénégal à ladite Convention.

Lors du Conseil des Ministres du 08 juin 2016, les Autorités ont adopté,  un projet de loi autorisant le Président de la République à ratifier la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108) et son protocole additionnel concernant les autorités de contrôle, et les flux transfrontières de données (STE n°181).  

Suite à cette décision importante, ledit projet de loi a été soumis au vote à l’Assemblée Nationale et a été largement adopté par notre Assemblée Parlementaire le vendredi 24 juin 2016. Le Sénégal espère ainsi bénéficier de l’assistance et de la coopération du Conseil de l’Europe sous forme notamment, d’expertise législative, et d’assistance à la mise en conformité de sa législation nationale avec les standards internationaux, en matière de protection des données à caractère personnel.

Le Conseil des Ministres a également autorisé le Président de la République à ratifier la Convention de l’Union Africaine (UA) sur la Cybersécurité et la protection des données à caractère personnel.

  • Au niveau National :

Dans le cadre de ses activités de coopération au niveau national, la CDP a émis des recommandations, lors du lancement du projet de mise en relation entre la base de données des abonnés identifiés et le fichier de la Direction de l’Automatisation des Fichiers (DAF) sur les cartes nationales d’identité.

La Commission de Protection des Données Personnelles du Sénégal (CDP)
www.cdp.sn

.

Laisser un commentaire