COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 03-2018 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce troisième trimestre de l’année 2018, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

 Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 26 octobre 2018, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

I.    COMPTE RENDU DES ACTIVITES DECLARATIVES         

Au cours de ce troisième trimestre 2018, la CDP a accueilli 12 structures venues s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 35 dossiers dont 19 déclarations et 16 demandes d’autorisation.

A l’issue des deux (02) sessions plénières tenues à la CDP, 18 récépissés de déclaration et 15 autorisations ont été émis.

La Commission a, en outre, reçu des demandes d’avis, émis des appels à déclaration et prononcée des avertissements et des mises en demeure:

- Nombre d’appels à déclaration : 15

- Demande d’avis : 02

- Refus d’autorisation de traitement : 02

- Plaintes reçues : 12

- Avertissements : 11

- Mises en demeure : 04

 

 

  1. - Demandes d’avis reçus par la CDP  

 

 

  •  

Réponse de la CDP

Demande d’informations sur les attributions de la CDP

 

Les attributions de la CDP  sont prévues par l’article 16 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

A ce titre, la CDP  est chargée, entre autres :

  • de veiller au respect de la loi précitée lors de la mise en œuvre d’un traitement de données à caractère personnel ;
  • de recevoir et de traiter les demandes d’autorisation et les déclarations de traitement de données personnelles ;
  • d’informer les responsables de traitement et les personnes concernées de leurs obligations et de leurs droits ;
  • de contrôler les sites servant de mise en œuvre de  traitements de données à caractère personnel.

Demande d’informations sur les obligations à respecter pour l’installation d’un système de vidéosurveillance à domicile

Pour l’exploitation d’un système de vidéosurveillance dans un domicile privé, il faut :

  • déclarer le système auprès de la CDP ;
  • signaler la présence du système avec un panneau contenant le numéro du récépissé de la CDP et les coordonnées de la personne chargée de répondre à l'exercice du droit d'accès ;
  • se limiter strictement à la finalité du système déclaré ;
  • ne pas orienter les caméras sur la voie publique ou sur le voisinage ;
  • informer le personnel de maison, s'il y'a lieu, de l'existence du système ;
  • éviter d’installer des caméras dans les espaces privés (cuisine, chambres, salon etc.) pour  filmer le personnel en permanence.

 

 

 

 

 

 

 

 

 

 

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants

Traitements

  1. ASER 

Registre des entrées et sorties, et système de contrôle d’accès par badge

  1. AXENGINEERING

Fichiers contenant des données personnelles

  1. CISIX SARL

Fichiers contenant des données personnelles

  1. Mademba SARR

Fichiers contenant des données personnelles

  1. Référence Distribution SARL

Fichiers contenant des données personnelles

  1. TERROU-BI

Système de vidéosurveillance

  1. UBIPHARM Sénégal SA

Système de contrôle d’accès par badge 

  1. APRIL AFRICA

Registre des entrées et sorties

  1. Electrotech Réseaux & autres Services (ER@S)

Fichiers contenant des données personnelles

  1. ETS CERITEL

Fichiers contenant des données personnelles

  1. Globo Equipements & Security

Fichiers contenant des données personnelles

  1. Direction Général des Impôts et des Domaines (DGID)

Registre des entrées et sorties, et système de contrôle d’accès par badge

  1. Mamadou Lamine FALL

Fichiers contenant des données personnelles

  1. SOTRAPAL

Registre des entrées et sorties

  1. VIGILUS SARL

Fichiers contenant des données personnelles

 

  1. - Décisions rendues par la Session Plénière :

 

  1. - Autorisations accordées :  

Finalités des traitements

Nombre

Structures

Gestion des Ressources Humaines

01

DAMCO SENEGAL

 

Gestion du temps de présence des salariés par biométrie

04

ATOS SENEGAL SA & BULL SENEGAL SARL AGENCE SENEGALAISE D’ELECTRIFICATION RURALE (ASER)

UBIPHARM SENEGAL SA

SYNDICAT DES AUXILAIRES  DE TRANSPORT DU SENEGAL

Base de données clients

02

SMALL WORLD FINANCES SERVICES

BASE DE DONNEES CLIENTS

Collecte de curriculum vitae pour le site internet d’annonces d’emploi, de stage et de formation (www.access-emploi.com )

01

FOULADOU CONSULTING

Portail captif d’authentification pour accès à internet

01

HOTSPOT-SERVICES

 

Base de requêtes pour le traitement des réquisitions judiciaires et les résultats obtenus des systèmes d’informations de la SONATEL

01

SONATEL SA

Plateforme de commerce électronique (www.otobi.sn  )

01

BETA TRADE & SERVICES GROUP SUARL

Site web marchand pour courtage d’assurance

(www.april-sn.com )

01

APRIL AFRICA

 

Déclaration des impôts et taxes via internet au moyen de l’application etax

01

DIRECTION GENERALE DES IMPOTS ET DES DOMAINES

Plateforme Google RCS (Rich Communication Suite)

01

SONATEL SA

 

Ma Tontine : Plateforme digitale de services financiers

01

MA TONTINE

 

 

  1. -  Récépissés délivrés : 

 

Finalités

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

09

  • ASKANWI BUSINESS SERVICES
  • ATOS SENEGAL SA & BULL SENEGAL SARL
  • AGENCE SÉNÉGALAISE D’ELECTRIFICATION RURALE (ASER)
  • PATRIMMO SAS
  • DECATHLON SENEGAL SARL
  • SOTRAPAL
  • GENERAL NTAB
  • SATREC SA
  • GRANDE CÔTE OPÉRATIONS S.A                                     

 

Vidéosurveillance chez des particuliers

 

 

 

05

 

  • M. OUSSEYNOU COUNDOUL
  • MME. NDIDI DANIELA NWAOBASI
  • M. MANSOUR FAYE
  • M. BAYE NDIÉMÉ MBAYE
  • M. GORGUI GUEYE

Base de données des gagnants à plus d’un million de franc CFA

 

01

  • LOTERIE NATIONALE SENEGALAISE (LONASE)

Registre des entrées et sorties

02

  • GIE GAÏNDE 2000
  • GIE GAÏNDE 2000

Bases et fichiers de traitement des données du personnel de SONATEL

01

  • SONATEL

 

 

 

 

  1. - Refus d’autorisation de traitement/ Rejet de déclaration de traitement :  

 

Nombre

Intitulé du traitement

Responsables du traitement

Finalités du traitement

Motifs de refus ou de rejet

01

Système de vidéosurveillance dans un domicile privé

Mme Ramatoulaye DIENG

La  protection des abords des bâtiments

Le déploiement du dispositif de vidéosurveillance n’est pas conforme aux exigences de respect de la vie privée telles que définies par la jurisprudence de la CDP. La surveillance générale et permanente des occupants de la maison constitue une violation de leur vie privée et une collecte illégitime de données personnelles.

Par ailleurs, la cuisine est également un lieu de travail soumis au régime de la vidéosurveillance en milieu professionnel.

La Session plénière exige à ce que les caméras installées dans la cuisine, le salon et la chambre des enfants soient déplacées à l’extérieur.

Pour cela, la SP a émis un avis défavorable.

02

Système de sonorisation des espaces accessibles au public

  •  

La conservation des traces des échanges entre le personnel de Terrou-Bi et les clients pour avoir des éléments probants en cas de contestation d’une opération ou de réclamation des clients.

La Commission considère que le traitement envisagé doit être expressément prévu par une disposition législative ou réglementaire spécifique.

L’enregistrement systématique et permanent des communications sur les lieux de travail et les lieux ouverts au public est une pratique qui dépasse le cadre des traitements récurrents. Le moyen de traitement utilisé, en raison de son caractère extrêmement intrusif, présente un risque grave pour la vie privée et les données personnelles des clients et du personnel.  

Relativement au contentieux visé, son caractère purement éventuel ne saurait conférer à cet argument une base légitime et suffisante.

Par conséquent, la SP  demande que le système soit intégralement désinstallé s’il est en cours d’exploitation.

 

II - LES PLAINTES ET SIGNALEMENTS    

 

21 -Nombre de plaintes reçues :

Nombre

Plaignant

Mis en cause

Motifs

Observations

1

M. A. A. G

Hackeur sur Dailymotion

  • Sextorsion ou chantage à la webcam 
  • Divulgation de la vidéo compromettante sur Dailymotion

M. G a été victime de sextorsion. Le hackeur voulant lui extorquer une somme d’argent a publié la vidéo compromettante le concernant  sur le site Dailymotion. La victime a saisi la CDP d’une plainte.

En retour, la CDP a accompagné la victime et lui recommande de porter plainte à la Police ou la Gendarmerie pour la recherche et l’identification de l’auteur de l’infraction. 

2

Mme M. MB

APIX

Publication sur Internet de CV sans le consentement de la personne concernée à la suite d’une demande d’emploi.

Mme M a saisi la CDP d’une plainte car à la suite d’une demande d’emploi déposée à l’APIX  en 2014, son curriculum vitae contenant ses données personnelles (photo, adresse, numéro de téléphone, parcours, cursus etc.), s’est retrouvé sur les moteurs de recherche comme Google.

Suite à une demande d’explication de la CDP, la Direction générale d’APIX précise qu’elle charge ses services compétents pour procéder aux investigations nécessaires afin d’apporter une réponse au dysfonctionnement lié au référencement sur le site www.investinsenegal.com  de données à caractère personnel de la plaignante.

L’APIX a supprimé la page du CV de la plaignante en déréférençant ses données personnelles dans son site.

 

3

Mme. H.D

Hackeur sur Facebook

Usurpation d’identité et piratage de compte Facebook

Mme D a été victime d’usurpation d’identité sur Facebook. Après avoir effectuée sans succès plusieurs tentatives de récupération   du compte en remplissant le formulaire dédié mis en ligne par Facebook, elle saisit la CDP d’une plainte.

La CDP adressant un courrier au  Public Policy Director Africa – Facebook, en moins d’une semaine, le compte a été récupéré avec l’appui du point focal Facebook au Sénégal.

4

Me S. agissant pour le compte des sieurs Mb.

Organisation Internationale pour les Migrations (OIM)

Collecte d’ADN sans le consentement du demandeur de regroupement familial

Me S., représentant légal des sieurs M. a transmis à la CDP une plainte contre le représentant d’une ambassade pour suspension de la procédure de regroupement  familial aux motifs que les requérants doivent préalablement subir des tests ADN auprès de la Représentation de l’Organisation Internationale pour les Migrations (OIM) aux fins de déterminer les liens parentaux des concernés.

Suite à la demande d’information de la CDP relative au consentement des demandeurs, l’Organisation Internationale pour les Migrations (OIM) précise qu’elle est gouvernée par des règles strictes en ce qui concerne la protection des données personnelles, notamment ses principes de Protection datant de 2009.

En l’espèce, l’OIM dans le cadre de l’assistance apportée à l’Ambassade concernée pour l’octroi de visas de regroupement familiale, ne collecte l’ADN du demandeur qu’après avoir obtenu son consentement libre et éclairé.

5

Me S., agissant pour le compte du sieur Mb.

Clinique de la Madeleine

Test de vérification osseuse pour la détermination de l’âge du demandeur de visa

Me S., représentant légal  du sieur M. a transmis à la CDP une plainte contre le représentant d’une ambassade pour suspension de la procédure de regroupement familial aux motifs que le requérant doit préalablement subir des tests de vérification de son âge osseux auprès de la Clinique de la Madeleine.

En application des dispositions des articles 20 et 33 de la loi n°2008-12 sur la protection des données personnelles, la CDP a demandé au spécialiste radiologue, mandaté par l’Ambassade concernée, de préciser le texte juridique qui prévoit un tel traitement et si le consentement de la personne objet de collecte est requis.  

En retour, le spécialiste précise qu’il a le consentement du postulant à exécuter l’acte de radiologie. Ce traitement est régi par un protocole consulaire.     

6

M. A. F

Hackeur sur WhatsApp

Chantage et Cyber-harcèlement

M. F a saisi la CDP  d’une plainte mettant en cause le détenteur du numéro de téléphone XXXX pour des faits de chantage et de cyber-harcèlement en son encontre.

La plainte a été transmise à la Division Spéciale de la Cybersécurité pour traitement conformément aux dispositions du Code pénal.

7

Mme K. G

www.sanslimitesn.com

Collecte et publication de données personnelles sans consentement de la personne concernée

Mme G a porté plainte auprès de la C DP contre le site sanslimitesn.com pour collecte frauduleuse d’images privées prises lors d’un baptême et leur publication sans le consentement de la personne concernée.

La CDP a requis auprès du site sanslimitesn.com, la suppression immédiate des images concernées et des explications par courrier officiel sur la collecte frauduleuse et la publication. 

Suite à un courriel de relance, l’administrateur du site sanslimitesn.com a finalement  supprimé toutes les photos et la page de l’article concerné a été déréférencée.  

 

 

 

 

 

22 – Liste des manquements signalés à la CDP:

 

Mis en cause

Motifs

Observations

Nom de profil sur Facebook B. A

Usurpation d’identité et arnaque sur Facebook

L’auteur du signalement précise qu’un individu  dont le numéro de téléphone est XXXX se cache derrière un profil Facebook d’une fille dénommé B. A pour arnaquer les gens.

Conformément aux dispositions de l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier à la Division Spéciale de la Cybersécurité.

Nom de profil sur Linkedln E. D

Arnaque sur LinkedIn

Une personne a été victime d’une tentative d’arnaque sur LinkedIn, il en a informé la CDP.

En retour, la Commission lui a demandé de signaler automatiquement le message aux équipes de LinkedIn en lui rappelant les paramètres à mettre en œuvre pour procéder au signalement.

 

Burotic Diffusion

Vérification de caméras installées dans les bureaux

La CDP avait reçu un signalement relatif à l’installation de caméras de vidéosurveillance sur des positions de travail au sein de la société Burotic Diffusion.

La Session plénière a chargé les Commissaires et agents habilités  d’effectuer une mission de contrôle sur site dans les locaux de ladite structure.  

Suite à cette mission, le représentant légal de Burotic Diffusion a été auditionné par les Commissaires de la CDP lors de la Session plénière du 07 septembre 2018. 

Le représentant de Burotic Diffusion a pris l’engagement d’adresser un courrier à la CDP avec indication de la prise en charge de toutes les observations formulées par les membres de la Session plénière.

 

 

  1. LES MISSIONS DE CONTRÔLE 

 

  • Les Grands Moulins de Dakar « GMD »

Sur décision N°2017-017C/CDP du 20 janvier 2017 de la Session plénière, la CDP a effectué le 19 juillet 2018 une mission de contrôle sur site chez Les Grands Moulins de Dakar. Cette mission avait pour objet de vérifier la conformité du système de vidéosurveillance de la Société Les Grands Moulins de Dakar par rapport aux dispositions de la loi n°2008-12 du 25 janvier 2008. Cette mission a permis de relever des manquements :

  1. Détournement de finalité : surveillance permanente des ouvriers et des agents de la sécurité sur leur position de travail ; 
  2. Modalités d’exercice des droits des personnes : non formalisées ;
  3. Nombre d’affiches ou panneaux d’information sur le système de vidéosurveillance : insuffisant ;
  4. Concernant l’accomplissement des formalités préalables : Au cours des opérations de contrôle, la délégation de la CDP a relevé des traitements de données à caractère personnel non déclarés à la Commission (traitements relatifs à la biométrie). Ce qui constitue un manquement à l’accomplissement des formalités préalables.  

Constatant ces divers manquements, la commission de protection des données personnelles CDP à recommandé aux Grands Moulins de Dakar ce qui suit :

  1. Déplacer à l’extérieur, la caméra installée au niveau de la salle de supervision des caméras où se trouvent les agents ICG ;
  2. Réorienter les deux (02) caméras installées dans la salle de maintenance des équipements industriels, afin d’éviter de filmer en permanence les employés sur leur position de travail ;
  3. Formaliser les modalités d’exercice des droits des personnes concernées ;
  4. Augmenter le nombre d’affiches ;
  5. Mentionner sur les affiches, le numéro du récépissé de la CDP et le numéro de téléphone de la personne chargée de répondre à l’exercice du droit d’accès ;
  6. Procéder à la régularisation de tous les traitements de données à caractère personnel mis en œuvre par GMD ;

 

 

  • BUROTIC DIFFUSION : Rappel

Le 19 avril 2018, la CDP avait effectué une mission de contrôle sur site du système de vidéosurveillance de la société Burotic Diffusion. Du fait des manquements relevés lors de la mission de contrôle chez BUROTIC DIFFUSION, la Session plénière de la CDP a tenu à auditionner le Responsable Logistique de Burotic Diffusion, le 07 Septembre 2018. A la suite de cette audition, la Session Plénière de la CDP a pris les décisions suivantes : 

  1. Prend acte des déclarations du représentant de Burotic Diffusion ;
  2. Prend acte de la décision de Burotic Diffusion d’envoyer un courrier assurant du respect des recommandations de la CDP ;

 

 

  1. COMMUNICATION ET RELATIONS PUBLIQUES        

Au cours de ce troisième trimestre de l’année 2018, la Commission de protection des données personnelles a mené des actions de mise à niveau,  de signature de convention et surtout de gestion de la campagne du parrainage en vue de l’élection présidentielle de 2019.

  • Formation du personnel de la CDP sur la gestion des noms de domaine.

En collaboration avec le chapitre Sénégal d’Internet Society et du bureau de gestion des noms de domaines au Sénégal, la CDP a outillé son personnel sur cet aspect crucial de l’écosystème numérique. La session tenue le 2 juillet dans les locaux de la CDP a permis aux experts et cadres de la CDP de comprendre les procédures  en cours dans la gestion des noms de domaine

  • Signature de convention de partenariat avec l’association FELDE et formation des femmes sur la protection des données personnelles

FELDE est une organisation féminine très dynamique dont les activités couvrent  la région de Thiès et qui est la première à mener des activités de sensibilisation  des femmes  sur la protection des données personnelles. La CDP, consciente du rôle déterminant que joue la femme dans l’éducation des enfants, ouvre un axe de partenariat avec les organisations féminines du Sénégal ; FELDE de Thiès est la première à bénéficier de ce programme à travers une session de formation de ses membres et la signature d’une convention  de partenariat avec la CDP

 

 

  • Production et publication d’un mini-guide sur le parrainage

A la suite d’une visite de courtoisie suivie d’une séance de travail avec le Président du Conseil constitutionnel et après plusieurs rencontres de travail avec le ministère de l’Intérieur, la CDP a décidé de produire un mini guide pour accompagner le processus délicat du parrainage en vue de l’élection présidentielle de février 2019. Ce mini-guide a été mis à la disposition des candidats à la candidature, des médias, des institutions et du grand public. Ainsi, plus de 5000 exemplaires du document ont été distribués  en plus de la version téléchargeable mis en ligne sur le site de la CDP, depuis le 27 Aout 2018, jour de démarrage officiel de la campagne de parrainage.

  •  

Dans le cadre de ses missions de sensibilisation, la CDP a organisé le 4 Septembre 2018, en partenariat avec Facebook et Ejicom, un séminaire sur la sécurité en ligne. L’objectif de ce séminaire visait d’une part à faire un état des lieux des dispositifs en place pour garantir la sécurité en ligne des utilisateurs et dégager des pistes de réflexion sur les nouveaux défis liés à la sécurité des utilisateurs face aux nouvelles technologies. Il a également permis de sensibiliser les journalistes et acteurs des médias sur la sécurité en ligne.

 

CDP au contact des médias :

Entre juillet et septembre 2018, la CDP a répondu à plusieurs sollicitations de la presse afin de communiquer sur des questions liées à la protection des données personnelles. Les sorties de la CDP ont été axées sur les méfaits récurrents de la divulgation de données personnelles sur les réseaux sociaux, ainsi que des avis, communiqués et conseils sur la sécurisation des données personnelles par les utilisateurs.

Ainsi, la Présidente de la CDP et quelques cadres ont donné des interviews à des organes comme la TFM, RFM… La Présidente a également été interpellée par la presse après la publication du mini-guide sur le parrainage, de même que le Directeur des affaires juridiques qui a porté l’essentiel de la communication concernant ce guide.

Durant cette période, la CDP a boosté le contenu de son site web et ses pages sur les réseaux sociaux, devenus le principal support de communication de la Commission. Option saluée par le grand public et les partenaires qui ont accès à toutes les informations concernant les activités de la CDP. C’est ainsi que des tutoriaux et des fiches pratiques sont désormais mis en ligne pour compléter l’éducation au numérique. Une dizaine de tutoriaux principalement proposés par la direction de la Technologie, de l’Innovation et du Contrôle, ainsi que la direction de la communication ont été postés en ligne et ont reçu un écho très favorable auprès du grand public.

 

  1. Coopération

 

  1. Signature d’un Protocole d’accord et de coopération entre la Commission de Protection des Données Personnelles et FELDE. FELDE se trouvant être une organisation de femmes qui est basée à Thiès et joue un rôle prépondérant dans la sensibilisation des femmes dans beaucoup de domaines spécifiquement dans la protection des données personnelles.
  2. Collaboration avec l’Africa Web Festival pour un soutien technique dans le cadre de l’organisation du festival du 29 novembre au 01 décembre 2018.
  3. Participation  à la 40éme conférence internationale des Commissaires à la protection des données personnelles et à la vie privée à Belgique, du 22 au 27 octobre 2018.
  4. Participation à l’atelier de validation de la mise à jour des travaux de l’étude diagnostic sur le visa unique de l’UEMOA au Burkina du 07 au 11 octobre 2018.
  5. Perspectives :
  • Signature d’un protocole d’accord avec SAYTU,
  • Signature d’un protocole d’accord avec NEUROTECH
Mercredi, novembre 7, 2018 - 12:00

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles