AVIS TRIMESTRIEL N°03-2017 DE LA LA COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES


Rédigé par leral.net le Mardi 24 Octobre 2017 à 12:43 | | 0 commentaire(s)|

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce troisième trimestre de l’année 2017, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 13 Octobre 2017, la CDP publie le présent avis trimestriel qui décrit  la situation actuelle de la protection des données personnelles au Sénégal.

  • COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce troisième trimestre 2017, la CDP a accueilli six (06) structures venues s’imprégner de la législation sur les données à caractère personnel et six (06) déclarants pour le remplissage des formulaires.

Par ailleurs, la CDP a traité 31 dossiers dont 25 déclarations et 06 demandes d’autorisation.

A l’issue des 02 sessions plénières tenues à la CDP, 23 récépissés de déclaration et 06 autorisations ont été délivrés.

  • Nombre d’appels à déclaration : 12
  • Nombre de demande d’avis : 03
  • Nombre de plaintes reçues : 06
  1. Observations /constats           

L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont le plus récurrent est le suivant :

  • Manquement constaté sur les déclarations et demandes d’autorisation :

Manquement

Structures

Fondement juridique

Décision de la CDP

Recommandations

 

 

Absence d’information formelle (note d’information) sur l’installation d’un système de vidéosurveillance

Fast Food Le Bristol

Article 58 de la loi 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel

Autorisation du système de vidéosurveillance sous réserve d’informer par note de service  les employés de l’existence de vidéosurveillance.

Informer formellement (note d’information ou de service)  les employés sur l’installation de caméras de surveillance.

Mettre une affiche indiquant la présence de caméras de surveillance, avec le numéro de récépissé délivré par la CDP et le numéro de la personne ou du service à contacter pour l’exercice du droit d’accès aux images.

Boutique DIENG & Frères

Boutique NIANE & Frères

 

  1. – Demandes d’avis reçues par la CDP         
  •  
  •  

Réponse de la CDP

Prospection

 

La démarche à suivre si le numéro de téléphone est utilisé à des fins de propagande sans autorisation préalable.

 

Conformément à la loi n°2008-12 une personne prospectée peut :

  • s’opposer gratuitement à la réception de nouveaux messages de propagande ;
  • demander la désinscription de ses données personnelles de toute liste de diffusion ou de propagande.

 

Si votre demande est infructueuse, vous pouvez saisir la Commission de protection des Données Personnelles (CDP) d’une plainte ou d’un signalement.

Vous pouvez, par ailleurs, nous signaler directement l’auteur des messages de propagande, afin que nous puissions l’inviter à se conformer à la loi sur les données personnelles.

 

 

Enquête en ligne sur l’éducation et le recours aux soins 

La démarche à suivre pour la conformité de la plateforme d’enquête et de sondage en ligne avec la loi sur la protection des données personnelles.

En application de la loi 2008-12 du 25 janvier 2008, tout traitement contenant des données à caractère personnel doit être obligatoirement déclaré devant la CDP.

Cette déclaration est tout aussi valable pour des sites Internet dédiés à des enquêtes en ligne.

Cependant, dans le cas où aucune collecte de données nominatives (nom, prénom, n° de téléphone, adresse mail, etc.) n'est faite, la déclaration auprès de nos services n’est pas nécessaire.

Par ailleurs, la CDP a émis une délibération de portée générale sur les conditions de prospection directe. Vous pourrez la consulter en cliquant sur ce lien: http://www.cdp.sn/content/d%C3%A9lib%C3%A9ration-n%C2%B02014-20cdp-du-30-mai-2014-portant-sur-les-conditions-de-la-prospection

 

Protection du droit d’auteur

La démarche à suivre pour la protection d’une œuvre cinématographique

La CDP n'est pas compétente en matière de  protection des droits d’auteurs et droits voisins. La Société sénégalaise du droit d'auteur et des droits voisins (SODAV) est la structure en charge.

 

 

 

13- Les structures appelées à la déclaration de leurs fichiers et bases de données
 

Responsables de traitement/ Sous-traitants

  •  
  1.  

Fichiers contenant des données personnelles

  1. M. Dominique ZEZE

Fichiers contenant des données personnelles

  1. M. Mbaye DIOP

Fichiers contenant des données personnelles

  1. Cabinet comptable FIDUCIA

Fichiers contenant des données personnelles

  1. Axa Assurances

Fichiers contenant des données personnelles

  1. M. Abdou Karim Kandji

Fichiers contenant des données personnelles

  1.  

Déclaration de registre des entrées/sorties, de système de vidéosurveillance et de système de pointage biométrique

  1. Fast food « Le Bristol »

Registre des entrées et des sorties

  1.  

Déclaration système de vidéosurveillance

  1. M. Lamine Gueye NDIAYE

Fichiers contenant des données personnelles

  1. CTS (Compagnie de Technologie Sénégalaise)

Fichiers contenant des données personnelles

  1. Service Informatique S3

Fichiers contenant des données personnelles

TOTAL                                                                                                                   12

                                                                                                                                

 

  1. - Décisions rendues par la Session Plénière :               
  2. - Autorisations accordées :

Finalités des traitements

Nombre

Structures

Géolocalisation

2

  1.  
  2. GEORIS GROUP

Base de données de la clientèle

3

  1. GEORIS GROUP
  2.  
  3. SENAC (Concessionnaire d’autoroute)

Plateforme d’investissement participatif (www.diasporik.com)

1

DIASPORIK

TOTAL

6

  1.  

Finalités des traitements

Nombre

Structures

Vidéosurveillance dans les Entreprises pour assurer la sécurité des biens et des personnes

15

  1. FAST FOOD LE BRISTOL
  2. DIENG & FRERES
  3. NIANE & FRERES
  4. Comptoir Commercial du Sénégal (CCS)
  5. PULLMAN HOTEL
  6. EASY LINK
  7. ORYX SENEGAL
  8.  
  9. TEXCOURRIER SA
  10. PHARMACIE Léopold Sédar SENGHOR
  11. SENAC INDUSTRIES(siège)
  12. SENAC INDUSTRIES (Usine de production)
  13. Alimentation Yaram BA
  14. ETS Dahirou FALL
  15.  

Contrôle d’accès par Tourniquet

1

ATOS Sénégal SA & Bull Sénégal SARL

Vidéosurveillance à domicile

 

4

  1. Mme Penda NIANG
  2. M. Hamath Amar DJIGO
  3. M. Mouhamadou Abdoulaye SECK
  4. M. Ibrahima DIAKHATE

Base de données du personnel

2

  1. ATOS Sénégal SA & Bull Sénégal SARL
  2. GEORIS GROUP

Gestion de données de la clientèle

1

  1. Banque Régionale des Marchés (BRM)

TOTAL

23

 

 

II - LES PLAINTES ET SIGNALEMENTS    

21 -Nombre de plaintes reçues :
 

Nombre

Plaignant

Mis en cause

Motifs

Observations

1

Mme S. O. D

Seneporno.com

Collecte illicite et publication d’une vidéo compromettante

Conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008, la vidéo a été supprimée par l’administrateur du site de Seneporno suite à un courrier de la CDP.

 

Par ailleurs, à la suite d’une enquête, le mis en cause qui avait filmé la victime à son insu, a été arrêté par la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC), puis condamné pour usurpation  de fonction et collecte illicite de données personnelles.

2

Mlle A. G

Hackeur

Usurpation d’identité

Pour plus de célérité, la CDP a recommandé à la victime de signaler le compte usurpateur en cliquant sur le lien suivant : https://www.facebook.com/help/174210519303259

 

Par ailleurs, la CDP a invité la plaignante à saisir la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC) conformément l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal.

3

M. Nd. T

Hackeur

Piratage de compte Microsoft

Conformément aux dispositions des articles 70 et 71 de la loi n°2008-12, et suite à une tentative infructueuse du plaignant, la CDP a enjoint Microsoft d’assister le plaignant pour rétablir le compte.

Microsoft a recommandé au plaignant de suivre le lien suivant : https://account.live.com/acsr    ou  https://support.microsoft.com/fr-fr/contactus/.

4

Mlle F. M

Salon de coiffure « Elle Emoi »

Publication de photo sur Facebook à des fins de publicité marketing sans consentement de la personne concernée

La photo a été supprimée conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008.

La CDP a demandé au Salon mis en cause de se conformer à la législation en vigueur en déclarant tous les fichiers, bases et systèmes de  traitement de données personnelles.

5

M. P. D

Webmaster

Abus de confiance et escroquerie portant sur la création d’un site web

La CDP n’est pas compétente à la matière conformément aux dispositions des articles 4-5 et 16 de la loi n°208-12 du 25 janvier 2008.

Par ailleurs, la CDP a enjoint le plaignant à déclarer son site internet (dossier en instruction).

6

M. F.D

Inconnu

Ecoutes téléphoniques

La CDP recommandé de se rapprocher de la Division des investigations criminelles (DIC) conformément aux dispositions de l’article 363-1 bis de la loi n° 2016-29 du 08 novembre 2016 portant réforme du Code pénal.       

 

 

22 – Liste des manquements signalés à la CDP :
 

Mis en cause

Motifs

Observations

La police

Utilisation d’une caméra dans une opération de contrôle d’identité

La CDP a envoyé un courrier à la Direction Générale de la Police Nationale pour des précisions sur la base légale qui prévoit  l’utilisation d’un système de vidéosurveillance dans le cadre d’une telle intervention. (dossier en cours).

Le site internet http://sdskofficiel.com/

Demande de suppression d’un témoignage contenant des données personnelles sur le site internet http://sdskofficiel.com/

L’administratrice du site a supprimé le contenu à la suite de la lettre de la CDP.

Par la même occasion, elle a initié une procédure de mise en conformité avec la loi, de son site web.

Hackeur

Tentative d’arnaque à l’offre d’emploi à l’ONU

La CDP n’est pas compétente en la matière.

Toutefois, en raison des risques liés à la sécurité des données personnelles transmis au cybercriminel se trouvant au Bénin, la CDP par courrier a informé la Brigade Spéciale de lutte contre la Cybercriminalité (BSLC).  

 

III -  LES MISSIONS DE CONTROLE       

Durant ce dernier trimestre 2016, la CDP a effectué deux (02)  missions de contrôle sur site auprès des structures ci-après :
 

Décision

Date de la mission

Structures contrôlées

Traitements concernés

N° 2017­0010C/CDP du 10 aout 2017

Mercredi 16 aout 2017

Expresso Sénégal

  • Site internet
  • Base de données des clients
  • Base de données du personnel et des demandeurs d’emploi

N° 2017­0010C/CDP du 10 aout 2017

Jeudi 17 aout 2017

CBAO GROUPE ATTIJARIWAFA BANK

  • Gestion administration du personnel
  • Gestion de la clientèle

Les  missions de contrôle effectuées auprès de ces structures ont permis de constater des manquements à la législation.

La CDP ne s’est pas encore prononcée sur les suites données à ces missions.

IV -    COMMUNICATION ET SENSIBILISATION

Au cours de ce troisième trimestre de l’année 2017, la Commission de protection des données personnelles a mené des actions de sensibilisation, de promotion et de vulgarisation de la loi sur les données personnelles. A cet effet, elle a participé à plusieurs rencontres où la problématique de la protection des données personnelles a été abordée.

Rencontre à l’ESMT

Dans le cadre du partenariat CDP/Ecole Supérieure Multinationale des Télécommunications (ESMT), la CDP a animé une rencontre, le Mardi 25 juillet 2017 dans les locaux dudit établissement, sur les principes clés de la protection des données personnelles en vigueur au Sénégal. La rencontre a réuni les jeunes entrepreneurs et porteurs de projets issus de l’ESMT, ainsi que le corps professoral. Ces derniers se sont familiarisés aux notions et principes qui régissent le traitement de données personnelles de même qu’aux droits et obligations qui leur incombent en tant que responsables de traitement.

Journée sur l’accès à l’information

La CDP a pris part,  le Jeudi 28 septembre 2017, à la Journée sur l’accès à l’information en co-animant un panel sur le thème ‘’ Les limitations au droit à l’information dans le cyberespace’’. L’objet de ce panel était de concilier les données publiques (Open data)  et Protection des données personnelles au travers les nouvelles technologies. En effet, le respect de la vie privée constitue une exception au droit d’accès à l’information publique. La Commission a  d’abord rappelé les fondamentaux de la loi (principes, obligations du responsable de traitement et droits des personnes concernées) avant de poser les conditions d’ouverture et de réutilisation des données publiques contenant des données personnelles.

Salon Préventica

Dans le cadre du Salon Préventica International, qui s’est tenu du 03 au 04 Octobre 2017, la Commission de protection des données personnelles (CDP) a animé une conférence sur le thème ''Mieux comprendre la protection des données personnelles''.  Une occasion pour la CDP de sensibiliser le public sur l’environnement et l’usage des données personnelles en entreprise. Des acteurs du monde professionnel ont fait part de leurs craintes mais aussi de leurs préoccupations. Ils ont souligné les difficultés à se  conformer à la législation sur la protection des données personnelles, dans un environnement de plus en plus compétitif.

Journée de formation avec les organisations des Droits de l’Homme

La CDP a participé à l’atelier de formation regroupant Amnesty International Sénégal et la Coalition des Défenseurs des Droits de Humains. Outre le cadre juridique de la protection des données personnelles en vigueur au Sénégal qui leur a été présenté, les défenseurs des Droits de l’Homme ont reçu des notions sur la sécurité des réseaux et la protection de leurs données en élaborant une politique de sécurité dans le cadre de leurs activités.

Enregistrements audio et vidéo clandestins

La CDP a été également saisie via ses canaux d’information et de communication classiques notamment le site et les pages des réseaux sociaux sur des questions portant sur la protection des données personnelles. La diffusion de vidéos quelquefois à caractère pornographique a fait l’objet de sorties et d’interventions de la CDP dans les médias (Le Soleil, L’Observateur, Dakaractu.com, SenTV, TFM, RTS, 2STV) pour rappeler aux professionnels de l’information mais aussi au grand public, la législation applicable en la matière et les sanctions encourues en cas de diffusion.

Conformément à l’article 363 bis de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal dispose : « Est puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500.000 francs à 5.000.000 de francs celui qui, au moyen d’un procédé quelconque, porte volontairement atteinte à l’intimité de la vie privée d’autrui :

  1. en captant, enregistrant, transmettant ou diffusant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel :
  2. en fixant, enregistrant, transmettant ou diffusant, sans le consentementde celle-ci, l’image d’une personne se trouvant dans un lieu privé ».

Toutefois, la CDP a plus accentué son discours sur la sensibilisation (éducation au numérique) pour une prise de conscience afin d’éviter de telles pratiques.

Lundi, octobre 23, 2017 - 16:15