Avis Trimestriel N°04-2016 de la Commission de Protection des Données Personnelles du Sénégal (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce dernier trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi  ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 23 Décembre 2016, la CDP publie le présent avis trimestriel qui décrit   la situation actuelle de la protection des données personnelles au Sénégal.

I. COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce quatrième trimestre, la CDP a accueilli 53 structures venues s’imprégner de la législation sur les données à caractère personnel.

La Commission a traité 60 dossiers dont 42 déclarations et 18 demandes d’autorisation.

A l’issue des 04 sessions plénières tenues à la CDP, 21 récépissés de déclaration et 16 autorisations ont été émis.

La Commission a, en outre, envoyé des demandes d’explication, reçu des demandes d’avis et émis des appels à déclaration :

• Demandes d’explication : 04
• Nombre d’appels à déclaration : 13
• Demandes d’avis : 05
• Refus d’autorisation de traitement : 02
• Plaintes reçues : 06

1. A.      Observations /constats                                     

L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont les plus récurrents sont les suivants :

Manquements constatés sur les formulaires :

1. B.     Demandes d’avis reçus par la CDP

1. C.    Les structures appelées à la déclaration de leurs fichiers et bases de données :

1. D.    Décisions rendues par la Session Plénière :

1. 1.      Autorisations accordées :

1. 2.      Récépissés délivrés :

1. 3.      Refus d’autorisation de traitement/ Rejet de déclaration de traitement :

1. 4.      Délibération de portée générale :

–          Délibération n° 2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation des systèmes de vidéosurveillance dans les lieux de travail

Les entreprises publiques et privées qui comptent installer des systèmes de vidéosurveillance dans les lieux de travail doivent se conformer à la délibération susmentionnée, qui indique les emplacements interdits et autorisés pour l’installation de caméras de vidéosurveillance. La délibération rappelle également les droits des personnes concernées, notamment les salariés (droit à l’information préalable et droit d’accès aux images).

Avec cette délibération, il est interdit d’installer des caméras de surveillance aux endroits suivants :

–          postes de travail, à l’exception des caisses ;

–          « Open space », à des fins de contrôle permanent des employés ;

–          vestiaires ;

–          cabinets d’aisance ;

–          cabines d’essayage dans les boutiques ou magasins ;

–          bureaux ou espaces mis à la disposition des employés à des fins de détente ou de pause ;

–          locaux réservés aux délégués du personnel et les issues à ces locaux.

Toutefois, il est autorisé d’installer des caméras aux endroits suivants :

–          entrées et sorties de bâtiments, à condition qu’elles ne filment pas la voie publique ;

–          entrées et sorties des locaux ou salles multimédia ;

–          voies de circulation ou couloirs ;

–          escaliers ;

–          issues de secours ;

–          entrepôts de marchandises ou de biens ;

–          caisses, à condition que la caméra ne soit pas davantage orientée sur le caissier ;

–          salles d’attente ;

–          parkings.

La délibération est téléchargeable à partir du lien ci-dessous :

–          http://cdp.sn/images/doc/Delibration_n2016-00238_Videosurveillance_lieux_de_travail.pdf

1. 5.      Annexe portant demande d’autorisation de transfert de données vers un pays-tiers :

Tout responsable de traitement de données personnelles qui compte transférer des donnés vers un pays tiers doit demander l’autorisation de la CDP en remplissant le formulaire dédié. Ce formulaire contient une annexe de demande d’autorisation de transfert de données vers un pays tiers permettant de donner les informations suivantes :

–          l’identité du destinataire des données, son secteur d’activité et sa qualité (succursale, filiale, sous-traitant, hébergeur, etc.) ;

–          le pays de destination ;

–          le nom du fichier à transférer ;

–          la finalité du transfert ;

–          le nombre de personnes concernées par le transfert ;

–          les catégories de données transférées ;

–          la conformité du destinataire à la législation du pays de destination des données ;

–          le fondement juridique du transfert ;

–          le mode de transfert des données ;

–          le consentement des personnes concernées ;

–          les mesures prises pour assurer la sécurité des données lors du transfert.

Le formulaire de demande d’autorisation ainsi que son annexe est téléchargeable à partir de ce lien : http://cdp.sn/liste-des-formulaires. 

       I.            LA SECURITE DES TRAITEMENTS DECLARES, LES PLAINTES ET SIGNALEMENTS, LES MISSIONS DE CONTROLE 

1. 1.      L’importance d’appliquer une politique formalisée d’administration, d’accès ou d’exploitation des données

Au regard de l’article 71 de la loi n°2008-12 du 25 janvier 2008, la mesure de sécurité désigne toute précaution utile qu’est tenue de prendre le responsable d’un traitement relativement à la nature des données traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès. Dès lors, afin de gérer efficacement les risques liés au stockage ou au traitement des données personnelles, le responsable de traitement doit mettre en place et veiller à l’application d’une politique formalisée sur les conditions et modalités d’accès, d’administration, d’exploitation et de maintenance des systèmes qui traitent ou stockent les données collectées.

Cette politique formelle documentée dans une Charte Informatique, une Politique de Sécurité du Système d’Information (PSSI), ou même dans le règlement intérieur est imposée unilatéralement par l’organisme. En effet, l’objectif est de :

• fixer les orientations et mesures en matière de sécurité de l’information ;
• organiser l’utilisation des outils informatiques tout en garantissant le respect de la vie privée des salariés et intervenants  au traitement ;
• informer et sensibiliser les intervenants au traitement du respect de la vie privée sur les données traitées ;
• informer les salariés sur les procédés de surveillance mis en place par l’employeur et permettant notamment de dissuader les salariés d’utiliser les outils informatiques à des fins répréhensibles ;
• disposer d’un outil clair de rappel des droits et obligations des utilisateurs soumis au SI ;
• réduire au plus bas niveau les risques humains liés à l’utilisation des systèmes notamment la maladresse, l’inconscience et l’ignorance, l’ingénierie sociale^[i], etc.
• responsabiliser les utilisateurs sur le bon usage du système informatique.

L’élaboration d’une politique formalisée d’accès, d’administration ou d’exploitation des systèmes est indispensable pour faire face aux risques humains, techniques et juridiques liés à l’utilisation du SI.

Ainsi, conformément à l’article 16-3 de la loi n°2008-12 du 25 janvier 2008, la CDP peut homologuer les chartes d’utilisation qui lui sont présentées.

1. Plaintes et Signalements :

La nouvelle réforme du Code pénal par la loi n° 2016-29 du 08 novembre 2016 modifiant la Loi n° 65-60 du 21 juillet 1965 est une avancée significative dans le renforcement du droit à la protection des données personnelles. Des infractions telles que l’usurpation d’identité, les enregistrements clandestins et la publication de photos ou de vidéos sans le consentement préalable de la personne concernée sont désormais réprimées par ladite loi.

A titre illustratif, l’article 431-57 de la loi n°2016-29 punit d’une amende et d’une peine d’emprisonnement « celui qui usurpe l’identité d’un tiers ou une ou plusieurs données permettant de l’identifier, en vue de troubler sa tranquillité ou celle d’autrui ou de porter atteinte à son honneur, à sa considération ou à son patrimoine ».

Par ailleurs, la nouvelle loi a prévu un paragraphe spécifique intitulé « De l’atteinte à la vie privée et à la représentation de la personne ». A cet effet, l’article 363 bis dispose : « Est puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500.000 francs à 5.000.000 de francs celui qui, au moyen d’un procédé quelconque, porte volontairement atteinte à l’intimité de la vie privée d’autrui :

1. 1.      en captant, enregistrant, transmettant ou diffusant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel :
2. 2.      en fixant, enregistrant, transmettant ou diffusant, sans le consentement  de celle-ci, l’image d’une personne se trouvant dans un lieu privé. 

Ainsi les citoyens pourront désormais saisir la CDP ou le juge lorsqu’ils sont victimes de telles infractions.

Au cours de ce trimestre, la CDP a reçu des plaintes et signalements pour des activités illicites sur les réseaux sociaux.

a – Nombre de plaintes reçues :

b – Liste des manquements signalés à la CDP:

1. 3.      Les missions de contrôle

Durant ce dernier trimestre 2016, la CDP a effectué deux missions de contrôle sur place auprès des structures ci-après :

Ces missions de contrôle portaient exclusivement sur des systèmes de vidéosurveillance, suite à des plaintes des salariés reçues par la CDP.

À la suite de ces missions de contrôle sur place à la MTOA, après l’examen du procès-verbal et exploitation des pièces issues du contrôle, la CDP a constaté les manquements ci-après :

ü  La disposition de certaines caméras sur des positions de travail, en violation de la loi sur la protection des données personnelles ;

ü  La non formalisation des procédures permettant l’exercice correct des droits des personnes concernés (information préalable, accès, suppression, rectification, opposition)

ü  L’absence de panneaux de signalisation du système de vidéosurveillance ou manque d’information (comme le numéro du récépissé de la CDP) sur les panneaux ;

ü  L’absence de dialogue avec les salariés sur les projets de mise en place de système de vidéosurveillance ;

À la suite de ces manquements, la CDP recommande vivement aux structures disposant d’un système de vidéosurveillance de respecter les dispositions de la loi et de s’inspirer de la délibération de portée générale sur les systèmes de vidéosurveillance, disponible sur son site web. Elle rappelle également la nécessité de partager les projets d’installation de vidéosurveillance avec les délégués du personnel pour éviter des conflits futurs dans l’entreprise.

Par ailleurs, la Direction des systèmes d’information et du contrôle (DSIC) a effectué une visite d’inspection auprès de la société Albatros afin de l’accompagner dans la mise en conformité de son système de vidéosurveillance. La DSIC a orienté Albatros sur l’emplacement des caméras et a rappelé le respect strict des droits des personnes concernées (mise en place d’affiches indiquant la présence du système, coordonnées de la personne chargée de l’exercice du droit d’accès).

III- COMMUNICATION ET SENSIBLISATION

Au cours de ce dernier trimestre de l’année 2016, la Commission de protection des données personnelles a mené des actions de sensibilisation et de vulgarisation de la loi sur les données personnelles. La CDP a, en effet, dispensé des sessions d’information et de formation et effectué des visites de courtoisie à des acteurs et institutions.

Les 04 et 05 Octobre 2016 , la Commission de protection des Données Personnelles(CDP) a reçu un expert de son homologue française, la Commission Nationale Informatique et Libertés (CNIL),  pour une formation intensive sur l’activité de contrôle. C’est à la suite de cette formation que la CDP a procédé au démarrage effectif de ses missions de contrôle.

Deux agents de la CDP ont été primés avec leur groupe lors du Hackathon sous le thème « l’innovation technologique au service de l’administration fiscale », organisé par le  Ministère de l’Economie, des Finances et du Plan et le Fonds Monétaire International(FMI) au mois de novembre. Les agents de la CDP et leur groupe sont arrivés troisième du concours avec un projet sur le thème : « comment tirer profit de toutes les données disponibles, pour la DGID elle – même ou pour tout autre partenaire ? »      Ils ont insisté sur la protection des données personnelles dans le cadre de la déclaration d’impôt par les procédures en ligne.

Face au constat de l’installation tout azimut de systèmes de vidéosurveillance, la CDP  a publié un communiqué qui définit les conditions  à respecter pour l’utilisation desdits systèmes, surtout dans les lieux de travail.

La CDP a organisé, le 24 novembre 2016, un séminaire de sensibilisation qui s’est déroulée en langue wolof, avec la participation d’organisations patronales, syndicales mais aussi des groupements des différents corps de métiers. Etaient également conviés les étudiants, des commerçants, le patronat sénégalais,  l’association des maires du Sénégal, les associations des consuméristes et  la presse. Une opportunité  qui a été mise à profit pour expliquer les enjeux de la loi au secteur informel.

Dans le cadre des travaux de l’Institut sur la Gouvernance Démocratique, la Présidente de la CDP, Mme Awa Ndiaye, sur invitation du CODESRIA, a participé à un panel sur la cybersécurité et le service public. Elle est revenue sur les missions de la CDP et formulé des recommandations pour permettre au Sénégal d’asseoir une véritable politique de cybersécurité.

La Commission de protection des Données Personnelles a reçu, le 14 décembre 2016, une délégation de la Brigade Spéciale de Lutte contre la Cybercriminalité. Cette importante rencontre a été une occasion de passer en revue l’ensemble des questions relatives à la lutte contre la Cybercriminalité et à la protection des données à caractère personnel dans notre pays.

Suite aux affaires de publications de vidéos, photos obscènes ou autres enregistrements sonores publiés par certains sites d’informations en ligne ou les réseaux sociaux, la CDP a sorti un communiqué appelant les Sénégalais à plus de responsabilité dans l’usage de l’Internet, notamment sur les réseaux sociaux. Elle a également rappelé les sanctions auxquelles les utilisateurs s’exposent en cas de diffusion de données personnelles sans le consentement des personnes concernés sur ces dits réseaux et sites web. Des agents de la CDP ont été invités sur des plateaux de télévision et talk-show pour éclairer sur les missions et mandats de la CDP.

La Commission a organisé pour son personnel une session de formation sur les fondements juridiques et techniques de la loi sur la protection des données à caractère personnel. Une formation qui a permis d’ouvrir de nouvelles perspectives mais qui a également donné lieu à des réflexions sur les moyens d’adapter la LPDP aux nouvelles dispositions introduites dans le Code pénal.

IV – COOPERATION ET PARTENARIAT

1-      Au plan national

• CDP- Comité Sénégalais des Droits de l’Homme(CSDH)

En prélude à la signature de la Convention de partenariat entre la Commission de protection des données personnelles (CDP) et le Comité sénégalais des droits de l’homme (CSDH), une séance de formation et d’échanges sur la protection des données personnelles a été faite ce vendredi 09 décembre aux agents du CSDH.

La formation, présidée par le Coordonnateur du Comité, M. Abdoulaye MAR, avait pour but de sensibiliser sur les enjeux de la protection des données, d’informer mais aussi de vulgariser la loi 2008-12 du 25 janvier 2008. Les présentations portaient essentiellement sur le cadre juridique, la gestion des plaintes et les missions de contrôle de la CDP. L’équipe de la CDP a été conduite par le Secrétaire permanent, M. Paul MENDY.

La signature de la Convention de partenariat est prévue très prochainement dans les locaux de la CDP, afin de fixer un cadre général de collaboration et de coopération entre les deux institutions.

• CDP – Centre de Formation Judiciaire(CFJ)

La Commission de protection des données personnelles (CDP) a effectué une visite de courtoisie au Centre de formation judiciaire (CFJ) afin de voir dans quelle mesure des formations pourraient être faites aux élèves magistrats, dans le but de les sensibiliser sur la loi portant protection des données à caractère personnel (le cadre juridique), et les enjeux y liés.

M. Mamadou DIAKHATE, Directeur du CFJ, a souligné que l’information et la sensibilisation des élèves magistrats sont cruciales, dans la mesure où ils interviennent pour tous textes de lois. Aussi, cette formation leur permettra de les préparer à l’application effective de la loi sur la protection des données personnelles, qui est au cœur de nombreux problèmes de société.

Par ailleurs, dans le cadre de la formation continue proposée par le CFJ aux professionnels judiciaires, des séminaires d’une (01) ou de deux (02) journées pourraient être organisées pour les magistrats, les avocats, les greffiers.

Mme Awa NDIAYE, a confirmé que la sensibilisation était primordiale pour ceux qui sont chargés d’appliquer les lois.

• CDP – GROUPE ATOS

Sur invitation du groupe Atos Sénégal, la CDP s’est rendue le mardi 29 novembre 2016, dans les locaux du Groupe pour échanger sur leur approche en matière de protection des données personnelles. En effet, pour garantir la confiance de ses clients, Atos a mis en place une importante politique de protection des données personnelles.

Cette politique a été présentée par Monsieur Lionel De SOUZA, Chef du département de la protection des données personnelles au sein du Groupe. Lors de sa présentation, M. De SOUZA est revenu sur les défis auxquels Atos fait face pour garantir la protection des données personnelles. Ces défis sont notamment l’évolution constante de la législation sur les données personnelles, la prise en compte de la protection des données personnelles dans le cadre de l’offre de solutions innovantes. Toutefois, le groupe Atos est conscient que la conformité aux normes de protection des données personnelles est un avantage concurrentiel.

Après la présentation de M. De SOUZA, Mme Awa NDIAYE s’est réjouie de la politique de protection des données personnelles mise en place au sein du groupe Atos. Toutefois, elle a rappelé aux autorités d’Atos Sénégal leurs obligations déclaratives afin de se mettre en conformité avec la législation sénégalaise sur la protection des données personnelles. Dans cette lancée, Mme Awa NDIAYE a invité Atos Sénégal à se rapprocher de ses services pour recenser et déclarer les traitements mis en œuvre.  Les dirigeants d’Atos Sénégal se sont engagés à déclarer leurs traitements de données personnelles dans les meilleurs délais, et à sensibiliser leurs clients implantés au Sénégal.

• CDP – Comité Interministériel de Lutte contre la Drogue (CILD)

Les membres du Comité interministériel de lutte contre la drogue (CILD) se sont réunis le mardi 14 décembre 2016 au Ministère de l’Intérieur, pour voir dans quelle mesure les activités proposées dans le plan stratégique peuvent être mises en œuvre.

A cet effet, deux groupes ont été constitués et portent respectivement sur le renforcement du cadre juridique (révision des textes législatifs et réglementaires) et le financement et la mise en cohérence des activités.

La CDP est inscrite dans le premier groupe et contribuera à renforcer le cadre juridique de lutte contre la drogue.

Pour rappel, lors du Conseil des Ministres du 13 juillet 2016, le Président de la République avait demandé, entre autres, l’adoption « avant fin septembre 2016, du plan d’action de lutte contre la drogue, qui est un axe prioritaire de notre stratégie de sécurité intérieure ».

Ledit plan a été remis au Gouvernement et adopté.

2-      Au plan international :

Au plan international, le Sénégal est, depuis le 01 décembre 2016, Partie de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention STE n°108) et de son Protocole Additionnel concernant les Autorités de contrôle et les flux transfrontières de données (STE n°181).

Dès lors, le Sénégal devient ainsi le 50^ème Etat Partie de la Convention, après l’Île Maurice.

Pour rappel, l’intérêt de la ratification de ladite Convention est multiple pour le Sénégal qui :

• sera une destination privilégiée pour les entreprises étrangères, et partant, les sociétés nationales peuvent prétendre au marché extérieur de commerce de services ;
• aura un cadre juridique renforcé et un espace commun naturel de libre échange et de facilitation des flux transfrontières de données avec l’Europe ;
• jouira, de la coopération et de l’assistance à la mise en conformité de la législation nationale avec les standards internationaux.