Avis trimestriel de la CDP : 41 récépissés de la déclaration, 33 autorisations de traitement, une mise en demeure

Commentaires Régulation/TIC

Le quatrième trimestre de l’Année 2015 est marqué sur le plan international par l’intensification de la collecte  des données personnelles devenues l’or du 21 ème  siècle.

L’avènement et l’engouement suscités par les Smartphones, les tablettes, les objets connectés, les  réseaux sociaux et la téléphonie gratuite sur Internet via Skype, Viber ou WhatsApp entre autres, ont eu le mérite de renforcer l’intérêt sur  la question de la protection de nos données personnelles qui est plus que  jamais d’actualité.

Au plan national, la Commission de protection des données personnelles (CDP), chargée de veiller à la légalité  de la collecte et le traitement des données personnelles, continue d’assurer résolument sa mission.

Ainsi, au cours de ce dernier trimestre de l’année 2015, la CDP a, par le moyen d’appels à  déclaration adressés aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation tout en assurant le traitement   diligent   des   plaintes.

Aussi,   la   collaboration   avec   des   partenaires sénégalais et africains impliqués dans les mécanismes de protection des informations nominatives se déroule normalement.

A cet effet, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 08 Janvier 2016, la Commission publie le présent avis trimestriel qui rend compte de la situation actuelle de la protection des données personnelles au Sénégal.

1 – Compte rendu des activités

La CDP a accueilli dans le courant du dernier trimestre de l’année 2015 trente-cinq (35) structures venues procéder à la déclaration de  leurs fichiers. Elle a également reçu  et   traité   plusieurs   déclarations   et   demandes   d’autorisation   relatives   à   la vidéosurveillance, aux bases de données des clients ou des fournisseurs, aux données de santé,  aux formulaires de collecte de  données  personnelles  sur Internet,  aux registres   des   entrées/sorties,   aux   systèmes   de   géolocalisation   ou   de   contrôle biométrique, aux demandes de transferts de données des Sénégalais vers des pays tiers, etc.

Après   examen   des   dossiers,   la   session   plénière   a   délivré   41   récépissés   de déclarations, 33 autorisations de traitement et prononcé une mise en demeure à l’encontre  d’une société   pour atteinte  à   la vie privée des salariés  à la suite  de l’installation irrégulière d’un logiciel d’espionnage sur les ordinateurs de travail.

Par ailleurs,  la prise de conscience progressive des citoyens sénégalais relativement aux abus dont ils sont susceptibles d’être victimes dans l’utilisation de leurs données personnelles, s’est traduite par la réception de dix (10) plaintes en trois mois. Celles-ci concernent le piratage de comptes de messagerie, la violation de la confidentialité de

données,   la réception de sms d’un opérateur téléphonique à des heures indues, l’installation   de   caméras   dans   un   immeuble   à   usage   d’habitation   sans   aucun signalement, etc. Les mesures prises  à cet effet ont eu le  mérite d’aboutir à   la cessation  immédiate du  préjudice  subi  ou  à l’adoption   des  mesures  correctives appropriées.

Dans le cadre des rencontres avec les acteurs, la CDP a reçu l’Autorité de Protection des Données à caractère Personnel (APDP) du Mali, les responsables de la Banque Centrale des Etats de l’Afrique Centrale (BEAC), de la société suédoise SAMRES International (Centre d’appels), l’Agence principale de la BCEAO et la Direction de la monnaie et du crédit (DMC).

La Commission a rendu visite aux officiers de l’Etat-major Général des Armées au Quartier Dial Diop pour présenter le cadre de protection des données personnelles et initier une concertation sur l’opportunité   de la création et de la conservation des fichiers de sécurité et de défense.

Au plan de la communication, la CDP a mené plusieurs actions : une campagne de sensibilisation des élèves de dix établissements de la région de Dakar sur le thème

‘’Internet c’est moi qui décide’’ en collaboration avec le Groupe Computech, une participation au Salon international des  professionnels de l’économie  numérique (SIPEN) en marge des Assises de l’Entreprise et au colloque international sur la cybercriminalité organisé par la Gendarmerie nationale.

Enfin, dans le cadre de la formation, la CDP a eu à organiser une session au profit des agents de la Sonatel.

2 – Observations /constats

Lors de l’examen des dossiers reçus, la CDP a eu à relever quelques manquements dans le traitement des données personnelles. Il s’agit notamment :

– de la violation de la vie privée d’une employée par l’installation d’un logiciel d’espionnage sur son ordinateur de travail ;

– du non-respect des droits à l’information préalable, d’accès de rectification et de suppression de clients et de salariés ;

– l’absence   de   contrat   de   confidentialité   entre   certains   responsables   de traitements et leurs sous-traitants.

La Commission a par ailleurs censuré certains manquements  relatifs notamment :

–   à   la   collecte   de   données   portant   sur   la   religion   et   à   l’appartenance ethnique dans le cadre d’une enquête démographique ;

– au relevé de données  à  caractère personnel manifestement disproportionnées au regard de la finalité déclarée ;

– à la communication de données à des structures qui ne sont pas en règle avec la loi sur la protection des données personnelles.

3 – Recommandations

A la lumière des dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes ainsi que de tous les autres acteurs, les recommandations suivantes :

– s’abstenir   de   collecter   des   données   sensibles   telles   que   les   convictions religieuses   ou   philosophiques,   l’origine   raciale   et   ethnique,   les   opinions politiques,   la   vie   sexuelle   ou   l’appartenance   syndicale   sauf   dispositions législatives ou réglementaires contraires ;

– se garder d’installer un système d’espionnage assurant l’accès frauduleux aux contenus de  la messagerie personnelle des salariés ;

– informer les employés de l’utilisation d’un système de géolocalisation sur le véhicule mis à leur disposition et procéder à la désactivation du dispositif en dehors des horaires de travail ;

– Informer   les   personnes   concernées   de   la   présence   de   caméras   de vidéosurveillance (affiches avec indication du numéro du récépissé de la CDP) en   s’assurant   notamment   que   les   caméras   ne   filment   que   les   parties communes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *