La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours de ce troisième trimestre de l’année 2017, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.
Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 13 Octobre 2017, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
- COMPTE RENDU DES ACTIVITES DECLARATIVES
Au cours de ce troisième trimestre 2017, la CDP a accueilli six (06) structures venues s’imprégner de la législation sur les données à caractère personnel et six (06) déclarants pour le remplissage des formulaires.
Par ailleurs, la CDP a traité 31 dossiers dont 25 déclarations et 06 demandes d’autorisation.
A l’issue des 02 sessions plénières tenues à la CDP, 23 récépissés de déclaration et 06 autorisations ont été délivrés.
- Nombre d’appels à déclaration : 12
- Nombre de demande d’avis : 03
- Nombre de plaintes reçues : 06
- Observations /constats
L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont le plus récurrent est le suivant :
- Manquement constaté sur les déclarations et demandes d’autorisation :
Manquement | Structures | Fondement juridique | Décision de la CDP | Recommandations |
Absence d’information formelle (note d’information) sur l’installation d’un système de vidéosurveillance | Fast Food Le Bristol | Article 58 de la loi 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel | Autorisation du système de vidéosurveillance sous réserve d’informer par note de service les employés de l’existence de vidéosurveillance. | Informer formellement (note d’information ou de service) les employés sur l’installation de caméras de surveillance. Mettre une affiche indiquant la présence de caméras de surveillance, avec le numéro de récépissé délivré par la CDP et le numéro de la personne ou du service à contacter pour l’exercice du droit d’accès aux images. |
Boutique DIENG & Frères | ||||
Boutique NIANE & Frères |
- – Demandes d’avis reçues par la CDP
| | Réponse de la CDP |
Prospection | La démarche à suivre si le numéro de téléphone est utilisé à des fins de propagande sans autorisation préalable. | Conformément à la loi n°2008-12 une personne prospectée peut :
Si votre demande est infructueuse, vous pouvez saisir la Commission de protection des Données Personnelles (CDP) d’une plainte ou d’un signalement. Vous pouvez, par ailleurs, nous signaler directement l’auteur des messages de propagande, afin que nous puissions l’inviter à se conformer à la loi sur les données personnelles. |
Enquête en ligne sur l’éducation et le recours aux soins | La démarche à suivre pour la conformité de la plateforme d’enquête et de sondage en ligne avec la loi sur la protection des données personnelles. | En application de la loi 2008-12 du 25 janvier 2008, tout traitement contenant des données à caractère personnel doit être obligatoirement déclaré devant la CDP. Cette déclaration est tout aussi valable pour des sites Internet dédiés à des enquêtes en ligne. Cependant, dans le cas où aucune collecte de données nominatives (nom, prénom, n° de téléphone, adresse mail, etc.) n'est faite, la déclaration auprès de nos services n’est pas nécessaire. Par ailleurs, la CDP a émis une délibération de portée générale sur les conditions de prospection directe. Vous pourrez la consulter en cliquant sur ce lien: [http://www.cdp.sn/content/d%C3%A9lib%C3%A9ration-n%C2%B02014-20cdp-du-30-mai-2014-portant-sur-les-conditions-de-la-prospection]url:http://www.cdp.sn/content/d%C3%A9lib%C3%A9ration-n%C2%B02014-20cdp-du-30-mai-2014-portant-sur-les-conditions-de-la-prospection |
Protection du droit d’auteur | La démarche à suivre pour la protection d’une œuvre cinématographique | La CDP n'est pas compétente en matière de protection des droits d’auteurs et droits voisins. La Société sénégalaise du droit d'auteur et des droits voisins (SODAV) est la structure en charge. |
13- Les structures appelées à la déclaration de leurs fichiers et bases de données
Responsables de traitement/ Sous-traitants | |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Déclaration de registre des entrées/sorties, de système de vidéosurveillance et de système de pointage biométrique |
| Registre des entrées et des sorties |
| Déclaration système de vidéosurveillance |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
| Fichiers contenant des données personnelles |
TOTAL 12 |
- - Décisions rendues par la Session Plénière :
- - Autorisations accordées :
Finalités des traitements | Nombre | Structures |
Géolocalisation | 2 |
|
Base de données de la clientèle | 3 |
|
Plateforme d’investissement participatif ([www.diasporik.com]url:http://www.diasporik.com/ ) | 1 | DIASPORIK |
TOTAL | 6 |
Finalités des traitements | Nombre | Structures |
Vidéosurveillance dans les Entreprises pour assurer la sécurité des biens et des personnes | 15 |
|
Contrôle d’accès par Tourniquet | 1 | ATOS Sénégal SA & Bull Sénégal SARL |
Vidéosurveillance à domicile | 4 |
|
Base de données du personnel | 2 |
|
Gestion de données de la clientèle | 1 |
|
TOTAL | 23 |
II - LES PLAINTES ET SIGNALEMENTS
21 -Nombre de plaintes reçues :
Nombre | Plaignant | Mis en cause | Motifs | Observations |
1 | Mme S. O. D | Seneporno.com | Collecte illicite et publication d’une vidéo compromettante | Conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008, la vidéo a été supprimée par l’administrateur du site de Seneporno suite à un courrier de la CDP. Par ailleurs, à la suite d’une enquête, le mis en cause qui avait filmé la victime à son insu, a été arrêté par la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC), puis condamné pour usurpation de fonction et collecte illicite de données personnelles. |
2 | Mlle A. G | Hackeur | Usurpation d’identité | Pour plus de célérité, la CDP a recommandé à la victime de signaler le compte usurpateur en cliquant sur le lien suivant : [https://www.facebook.com/help/174210519303259]url:https://www.facebook.com/help/174210519303259 Par ailleurs, la CDP a invité la plaignante à saisir la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC) conformément l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal. |
3 | M. Nd. T | Hackeur | Piratage de compte Microsoft | Conformément aux dispositions des articles 70 et 71 de la loi n°2008-12, et suite à une tentative infructueuse du plaignant, la CDP a enjoint Microsoft d’assister le plaignant pour rétablir le compte. Microsoft a recommandé au plaignant de suivre le lien suivant : [https://account.live.com/acsr]url:https://account.live.com/acsr ou [https://support.microsoft.com/fr-fr/contactus/]url:https://support.microsoft.com/fr-fr/contactus/ . |
4 | Mlle F. M | Salon de coiffure « Elle Emoi » | Publication de photo sur Facebook à des fins de publicité marketing sans consentement de la personne concernée | La photo a été supprimée conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008. La CDP a demandé au Salon mis en cause de se conformer à la législation en vigueur en déclarant tous les fichiers, bases et systèmes de traitement de données personnelles. |
5 | M. P. D | Webmaster | Abus de confiance et escroquerie portant sur la création d’un site web | La CDP n’est pas compétente à la matière conformément aux dispositions des articles 4-5 et 16 de la loi n°208-12 du 25 janvier 2008. Par ailleurs, la CDP a enjoint le plaignant à déclarer son site internet (dossier en instruction). |
6 | M. F.D | Inconnu | Ecoutes téléphoniques | La CDP recommandé de se rapprocher de la Division des investigations criminelles (DIC) conformément aux dispositions de l’article 363-1 bis de la loi n° 2016-29 du 08 novembre 2016 portant réforme du Code pénal. |
22 – Liste des manquements signalés à la CDP :
Mis en cause | Motifs | Observations |
La police | Utilisation d’une caméra dans une opération de contrôle d’identité | La CDP a envoyé un courrier à la Direction Générale de la Police Nationale pour des précisions sur la base légale qui prévoit l’utilisation d’un système de vidéosurveillance dans le cadre d’une telle intervention. (dossier en cours). |
Le site internet [http://sdskofficiel.com/]url:http://sdskofficiel.com/ | Demande de suppression d’un témoignage contenant des données personnelles sur le site internet [http://sdskofficiel.com/]url:http://sdskofficiel.com/ | L’administratrice du site a supprimé le contenu à la suite de la lettre de la CDP. Par la même occasion, elle a initié une procédure de mise en conformité avec la loi, de son site web. |
Hackeur | Tentative d’arnaque à l’offre d’emploi à l’ONU | La CDP n’est pas compétente en la matière. Toutefois, en raison des risques liés à la sécurité des données personnelles transmis au cybercriminel se trouvant au Bénin, la CDP par courrier a informé la Brigade Spéciale de lutte contre la Cybercriminalité (BSLC). |
III - LES MISSIONS DE CONTROLE
Durant ce dernier trimestre 2016, la CDP a effectué deux (02) missions de contrôle sur site auprès des structures ci-après :
Décision | Date de la mission | Structures contrôlées | Traitements concernés |
N° 20170010C/CDP du 10 aout 2017 | Mercredi 16 aout 2017 | Expresso Sénégal |
|
N° 20170010C/CDP du 10 aout 2017 | Jeudi 17 aout 2017 | CBAO GROUPE ATTIJARIWAFA BANK |
|
Les missions de contrôle effectuées auprès de ces structures ont permis de constater des manquements à la législation.
La CDP ne s’est pas encore prononcée sur les suites données à ces missions.
IV - COMMUNICATION ET SENSIBILISATION
Au cours de ce troisième trimestre de l’année 2017, la Commission de protection des données personnelles a mené des actions de sensibilisation, de promotion et de vulgarisation de la loi sur les données personnelles. A cet effet, elle a participé à plusieurs rencontres où la problématique de la protection des données personnelles a été abordée.
Rencontre à l’ESMT
Dans le cadre du partenariat CDP/Ecole Supérieure Multinationale des Télécommunications (ESMT), la CDP a animé une rencontre, le Mardi 25 juillet 2017 dans les locaux dudit établissement, sur les principes clés de la protection des données personnelles en vigueur au Sénégal. La rencontre a réuni les jeunes entrepreneurs et porteurs de projets issus de l’ESMT, ainsi que le corps professoral. Ces derniers se sont familiarisés aux notions et principes qui régissent le traitement de données personnelles de même qu’aux droits et obligations qui leur incombent en tant que responsables de traitement.
Journée sur l’accès à l’information
La CDP a pris part, le Jeudi 28 septembre 2017, à la Journée sur l’accès à l’information en co-animant un panel sur le thème ‘’ Les limitations au droit à l’information dans le cyberespace’’. L’objet de ce panel était de concilier les données publiques (Open data) et Protection des données personnelles au travers les nouvelles technologies. En effet, le respect de la vie privée constitue une exception au droit d’accès à l’information publique. La Commission a d’abord rappelé les fondamentaux de la loi (principes, obligations du responsable de traitement et droits des personnes concernées) avant de poser les conditions d’ouverture et de réutilisation des données publiques contenant des données personnelles.
Salon Préventica
Dans le cadre du Salon Préventica International, qui s’est tenu du 03 au 04 Octobre 2017, la Commission de protection des données personnelles (CDP) a animé une conférence sur le thème ''Mieux comprendre la protection des données personnelles''. Une occasion pour la CDP de sensibiliser le public sur l’environnement et l’usage des données personnelles en entreprise. Des acteurs du monde professionnel ont fait part de leurs craintes mais aussi de leurs préoccupations. Ils ont souligné les difficultés à se conformer à la législation sur la protection des données personnelles, dans un environnement de plus en plus compétitif.
Journée de formation avec les organisations des Droits de l’Homme
La CDP a participé à l’atelier de formation regroupant Amnesty International Sénégal et la Coalition des Défenseurs des Droits de Humains. Outre le cadre juridique de la protection des données personnelles en vigueur au Sénégal qui leur a été présenté, les défenseurs des Droits de l’Homme ont reçu des notions sur la sécurité des réseaux et la protection de leurs données en élaborant une politique de sécurité dans le cadre de leurs activités.
Enregistrements audio et vidéo clandestins
La CDP a été également saisie via ses canaux d’information et de communication classiques notamment le site et les pages des réseaux sociaux sur des questions portant sur la protection des données personnelles. La diffusion de vidéos quelquefois à caractère pornographique a fait l’objet de sorties et d’interventions de la CDP dans les médias (Le Soleil, L’Observateur, Dakaractu.com, SenTV, TFM, RTS, 2STV) pour rappeler aux professionnels de l’information mais aussi au grand public, la législation applicable en la matière et les sanctions encourues en cas de diffusion.
Conformément à l’article 363 bis de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal dispose : « Est puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500.000 francs à 5.000.000 de francs celui qui, au moyen d’un procédé quelconque, porte volontairement atteinte à l’intimité de la vie privée d’autrui :
- en captant, enregistrant, transmettant ou diffusant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel :
- en fixant, enregistrant, transmettant ou diffusant, sans le consentementde celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
Toutefois, la CDP a plus accentué son discours sur la sensibilisation (éducation au numérique) pour une prise de conscience afin d’éviter de telles pratiques.