COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N°01-2017 DE LA LA COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de veiller àla légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce premier trimestre de l’année 2017, et conformément à son programme d’activités annuel, la CDP a émisplusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueillides plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Par ailleurs, dans un souci de vulgariser davantage les missions qui lui sont assignées, en vertu de l’article 16 de la loi précitée, la CDPa initié au cours du premier trimestre 2017, des campagnes de sensibilisationà la protection des données dans les écoles et universités de la capitale.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi21avril2017, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

 

 

 

 

  1. COMPTE RENDU DES ACTIVITES DECLARATIVES             

Au cours de ce premier trimestre 2017, la CDP a accueilli 22 structures venues s’imprégner de la législation sur les données à caractère personnel.

La Commission a traité 102 dossiers dont 83 déclarations et 19 demandes d’autorisation.

A l’issue des 5 sessions plénières tenues à la CDP, 75récépissés de déclaration et 18 autorisations ont été émis.

Refus d’autorisation de traitement : 01 ;  Nombre d’appels à déclaration : 52 ; Nombre de demandes d’avis : 08.

 

 

  1. OBSERVATIONS /CONSTATS

L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont les plus récurrents sont lessuivants :

  • Manquements constatés sur les formulaires :

 

Manquements

Structures

Recommandations

Fondement juridique de l’obligation de signature d’un engagement de confidentialité 

 

 

Non signature d’un engagement de confidentialité  avec un sous-traitant

Caisse de dépôt et de Consignation (CDC)

 

 

 

Faire signer aux sous-traitants un engagement de confidentialité

 

 

 

 

 

 

Article 39 alinéa 2 de la de la loi sur la protection  Tout traitement effectué pour le compte du responsable du traitement doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations de sécurité et de confidentialité incombent également à celui-ci.

Ecole Supérieure de Technologie et de Management (ESTM)

TECH LAB PC

Etablissement LE NDIAMBOUR

Union des Institutions Mutualistes Communautaires d’Epargne et de Crédit (U-IMCEC)

Salon de coiffure « Coup de tête » à l’hôtel Pullman

Diadame Pharma

Pharmacie Khar Yalla

Touba Oil

GIE Nim Agency

 

 

 

 

 

 

 

 

 

 

 12. DEMANDES D’AVIS REÇUS PAR LA CDP

 

 

Structures ou Particuliers

  •  

Réponse de la CDP

M. DIANKHA

Formalités préalables des sous-traitants et responsables de traitement, pour l’installation d’appareils dans une entreprise.

Les obligations déclaratives pèsent sur le client du sous-traitant, dans le cas où des appareils sont installés pour son propre compte.

Le sous-traitant est assujetti, au même titre que le responsable de traitement,  aux obligations déclaratives pour ses propres fichiers, systèmes et bases de données contenant des données personnelles.

M. DIENG

Procédure pour l’installation de systèmes de vidéosurveillance.

Télécharger sur www.cdp.snle formulaire de déclaration de système de vidéosurveillance, le remplir et le déposer auprès de la CDP.

Par ailleurs, une jurisprudence quant à l'emplacement des caméras existe et est accessible sur le site (délibération n°2016-00238/CDP du 11 novembre 2016).

 

M. KHOUMA

Conditions d’installation de caméras de surveillance dans un domicile.

M. KOTE

Formalités préalables pour l’installation des caméras dans un domicile.

M. DIOP

Législation concernant letransfert des données hors du Sénégal.

La loi 2008-12 du 25 janvier 2008 sur la protection des données personnelles encadre les transferts de données personnelles vers un pays tiers.

Demander une autorisation de la CDP pour les transferts de données à l’étranger en remplissant le formulaire de demande d'autorisation téléchargeable via le lien suivant: http://www.cdp.sn/liste-des-formulaires
 

M. GUEYE

Procédure pour l’installation de caméras chez les clients.

Les obligations déclaratives pèsent sur les clients qui exploitent les systèmes de vidéosurveillance.

Toutefois, le sous-traitant est assujetti aux mêmes obligations déclaratives pour ses propres fichiers, systèmes et bases de données contenant des données personnelles.

Le client doit télécharger sur www.cdp.snle formulaire de déclaration de système de vidéosurveillance, le remplir et le déposer auprès de la CDP.

Une jurisprudence quant à l'emplacement des caméras existe et est accessible sur le site (délibération n°2016-00238/CDP du 11 novembre 2016).

 

M. FALL

Informations sur le droit à l’oubli et le profilage.

Le droit à l'oubli peut se définir comme le principe selon lequel l'exploitant d'un moteur de recherche doit être considéré comme un responsable de traitement et, en tant que tel, est tenu de supprimer les données traitées relatives à une personne physique sur simple demande de cette dernière.

Concrètement, ce droit vise à permettre de protéger la vie privée de tout individu en lui permettant notamment de demander la suppression partielle ou complète d'informations à son nom et qu'il juge inappropriées.

Quant au profilage, il peut être défini comme permettant de classer, avec une certaine probabilité, un individu dans une catégorie particulière afin de prendre des décisions adaptées à lui et de prédire ses futurs choix, son rendement professionnel, sa situation économique, sa localisation, ses préférences personnelles, etc. 

Les techniques de profilage représentent un intérêt important pour l'économie ou pour les administrations publiques; elles peuvent aussi avoir des effets bénéfiques pour les personnes concernées, par exemple dans le domaine de la santé. Cependant, elles génèrent également des conséquences négatives pour le respect des droits et des libertés fondamentales, notamment le droit à la vie privée et à la protection des données et peuvent priver certains individus de l'accès à des biens ou des services.

 

M. NAIADE

Procédure pour l’installation des caméras dans une pharmacie.

Télécharger sur www.cdp.snle formulaire de déclaration de système de vidéosurveillance, le remplir et le déposer auprès de la CDP.

Une jurisprudence quant à l'emplacement des caméras existe et est accessible sur le site (délibération n°2016-00238/CDP du 11 novembre 2016).

TOTAL : 08

 

 

 

 

 

 

 

13- LES STRUCTURES ET PARTICULIERS APPELES A LA DECLARATION DE LEURS FICHIERS ET BASES DE DONNEES

 

Responsables de traitement/ Sous-traitants

  •  

ADB Group

Déclaration de fichiers contenant des données personnelles

Afric Management

Déclaration de fichiers contenant des données personnelles

CAMTECH

Déclaration de fichiers contenant des données personnelles

DISSEL

Déclaration de fichiers contenant des données personnelles

Entreprise Dieye et Frères (EDF)

Déclaration de fichiers contenant des données personnelles

NCT Telecom

Déclaration de fichiers contenant des données personnelles

ACCEL Technologies

Déclaration de fichiers contenant des données personnelles

M. Ali KASSEM

Déclaration de fichiers contenant des données personnelles

CABEX

Déclaration de fichiers contenant des données personnelles

CERITEL

Déclaration de fichiers contenant des données personnelles

M. Cheikh GUEYE

Déclaration de fichiers contenant des données personnelles

CIB Sénégal et Référence Distribution

Déclaration de fichiers contenant des données personnelles

Dantila Technologies

Déclaration de fichiers contenant des données personnelles

DIENG & CO ENGINEERING

Déclaration de fichiers contenant des données personnelles

ETS SARR ABOU KARIM

Déclaration de fichiers contenant des données personnelles

GENESIS Africa

Déclaration de fichiers contenant des données personnelles

Globale Sécurité SARL

Déclaration de fichiers contenant des données personnelles

M. Abdourahmane DIALLO

Déclaration de fichiers contenant des données personnelles

IDEC TECH

Déclaration de fichiers contenant des données personnelles

Barry Technicien

Déclaration de fichiers contenant des données personnelles

MICRO + SARL

Déclaration de fichiers contenant des données personnelles

ONTRACK

Déclaration de fichiers contenant des données personnelles

SECURIS

Déclaration de fichiers contenant des données personnelles

STI Trading

Déclaration de fichiers contenant des données personnelles

TESELEC

Déclaration de fichiers contenant des données personnelles

ANOTECH

Déclaration de fichiers contenant des données personnelles

CAM Solutions Technologies

Déclaration de fichiers contenant des données personnelles

CTECH

Déclaration de fichiers contenant des données personnelles

ELEC 2000

Déclaration de fichiers contenant des données personnelles

GAWANE SECURITY SYSTEMS

Déclaration de fichiers contenant des données personnelles

Générale Distribution Carreaux et Sanitaire (GDCS)

Déclaration du système de badge et du registre des mouvements

Générale Technologie

Déclaration de fichiers contenant des données personnelles

Globale Sécurité SARL

Déclaration de fichiers contenant des données personnelles

Général power

Déclaration de fichiers contenant des données personnelles

PHOENIX Sénégal

Déclaration de fichiers contenant des données personnelles

Re’Tech

Déclaration de fichiers contenant des données personnelles

Société Industrielle et Commerciale de l’Automobile au Sénégal (SICAS)

Déclaration du registre de pointage

VISIOCONT@CT

Déclaration de fichiers contenant des données personnelles

Agence Dalalbi Presta SUARL

Déclaration de fichiers contenant des données personnelles

AVCI Sénégal

Déclaration de fichiers contenant des données personnelles

AXIME SARL

Déclaration du système de Badge

COMET AFRIQUE TELECOMS

Déclaration du système de Biométrie

DSL Electricité

Déclaration de fichiers contenant des données personnelles

AMG Protection Assistance SUARL

Déclaration de fichiers contenant des données personnelles

Libya Oil Sénégal SA

Déclaration du système de Badge

Medina Télécom

Déclaration de fichiers contenant des données personnelles

Pacifique Electronique

Déclaration de fichiers contenant des données personnelles

SBO CONCEPT

Déclaration du système de badge et du registre des entrées et des sorties

Sen Solution Infotel

Déclaration de fichiers contenant des données personnelles

Solutions et Prestations Technologiques (SOPRETE)

Déclaration de fichiers contenant des données personnelles

SYCONSLTING

Déclaration de fichiers contenant des données personnelles

Union des Institutions Mutualistes Communautaires d’Epargne et de Crédit (U-IMCEC)

Déclaration du système de Biométrie

TOTAL : 52

 

 

 

 

  1.  

 

141. Autorisations accordées

 

Finalités des traitements

Nombre

Structures

Collecte d’empreintes digitales des clients

1

Crédit Mutuel du Sénégal (CMS)

Collecte de données personnelles sur le site internet www.cdc.sn

1

Caisse des dépôts et Consignations (CDC)

Gestion des ressources humaines

2

  1. Caisse des dépôts et Consignations (CDC)
  2. Wafacash West Africa

Contrôle d’accès biométrique

7

  1. Caisse des dépôts et Consignations (CDC)
  2. Touba Oil
  3. Société industrielle et Commerciale de l’Automobile au Sénégal (SICAS)
  4. Générale Distribution Carreaux et Sanitaires(GDCS)
  5. Sénégalaise Industrie et Commerce(SENICO)
  6. Ascor Afrique
  7. Siagro SA

Base de données des clients du magasin et des demandes de permis d’armes

1

Armurerie Dakaroise (AD) Technologies

Création et animation d’une base de données de clients et prospects

2

  1. Intouch
  2. Galeries 54

 

Application android access oxygen

1

Air Liquide Sénégal

Plateforme Mobimedia International PTE – Mdelivery

1

Baatine Agency

Base de données des utilisateurs de la plateforme Adouna

1

Adouna

Beezlink reseau social d’affaires disponible sur Play store

1

Axime SARL

TOTAL = 18

 

 

 

142. Récépissés délivrés 

 

 

Finalités des traitements

Nombre

Structures

 

Vidéosurveillance dans les Entreprises pour assurer la sécurité des biens et des personnes

44

  1. Keur Thiané Automobiles
  2. Caisse des dépôts et consignations
  3. Pharmacie Guigon
  4. Daniel Haddad & Fils (DHF)
  5. Pharmacie du Goye
  6. Restaurant Gallard
  7. Maguette Multiservices
  8. Hôtel du Plateau
  9. Pharmacie Thiaala
  10. Société sénégalaise de presse et de publication « SSPP Le Soleil »
  11. Pharmacie Serigne Touba
  12. Africa Consultants International
  13. Nour Chalhoub (Kadel)
  14. Khoury Transports
  15. Royaume informatique du Sénégal
  16. GIE Sen Afrique Energie solaire
  17. Pharmacie Wakhinane
  18. Seydina Oumar GUEYE
  19. Sénégalaise industrie commerce (SENICO)
  20. Direction générale des impôts et des domaines (DGID)
  21. Pharmacie Dabakh
  22. Afro Business center
  23. Auberge Rapaccioli
  24. Star Oil
  25. Ascor Afrique
  26. Ecole supérieure de technologie et de management (ESTM)
  27. Tech Lab PC
  28. Etablissement Le Ndiambour
  29. General Manager d’International Staffing Company
  30. Etablissement Eva
  31. Eumeu zone VT Sport
  32. Ecole supérieure d’électricité et des travaux publics (ESEBAT)
  33. Métal Afrique
  34. GIE Nim Agency
  35. Société industrielle et commerciale de l’automobile au Sénégal (SICAS)
  36. RMG SA
  37. Puma Energy
  38. Armurerie dakaroise technologies (AD Technologies)
  39. Baobab High Tech
  40. Magic Land
  41. Valdafrique Laboratoires Cannone SA
  42. Pharmacie Khar Yalla
  43. SCP Papa Sambaré DIOP & Nguenar DIOP Notaires Associés
  44. Pharmacie Mariétou SECK

Contrôle d’accès par badge

4

  1. Caisse des dépôts et consignations
  2. Touba Oil
  3. Port autonome de Dakar
  4. Ascor Afrique

Registre des entrées et sorties

5

  1. Caisse des dépôts et consignations
  2. Atos Sénégal SA
  3. Union des Institutions mutualistes communautaires d’épargne et de crédit (U-IMCEC)
  4. Société de conserverie en Afrique (SCA SA)
  5. Géoris Group SA

Vidéosurveillance à domicile

 

13

  1. El Hadji Bécaye NDIAYE
  2. Serigne Massamba MBAYE
  3. Massamba SEYE
  4. Thiendiate Bouyo NDAO
  5. Makane Diouf NDIAYE
  6. Papa Amadou FALL
  7. Moussa CASSE
  8. Abdali MOUNIR
  9. Serigne Abdou DIA
  10. Mamadou NDIOUR
  11. Adboulaye KEITA
  12. Marcelle SONKO
  13. Bécaye Sidy DIOP

Gestion des salariés

2

  1. Touba Oil
  2. Port Autonome de Dakar

Gestion des clients

3

  1. Port Autonome de Dakar
  2. Union des Institutions mutualistes communautaires d’épargne et de crédit (U-IMCEC)
  3. OOLU SUARL

Base de données prospection

1

Axime SARL

Gestion de la base de données centralisée de la portabilité des numéros au Sénégal

1

Comet Afrique Télécoms

Déclaration formulaire de contact sur site internet

1

Géoris Group SA

Gestion des tiers

1

Caisse des dépôts et consignations

TOTAL75

 

 

 

143. Refus d’autorisation de traitement/ Rejet de déclaration de traitement :

Nombre

Intitulé du traitement

Responsables du traitement

Finalités du traitement

Motifs de refus ou de rejet

 

 

01

 

 

Dématérialisation des actes de l’état civil

 

 

 

SBO CONCEPT

 

« avoir un fichier informatique qui permettra à la population sénégalaise d’obtenir dans les meilleurs délais leur état civil sans se déplacer de localité en localité »

  • Lanumérisation ou de dématérialisation de registres et d’actes d’état civil sont du ressort du Centre National d’Etat Civil, à travers le Programme d’Appui à la Modernisation de l’Etat Civil (PAMEC) ;
  • l’existence de risque potentiel pour la sécurité et la confidentialité des registres et actes d’état civil manipulés.

 

 

 

144. Réflexion sur la révision de la loi n°2008-12 du 25 janvier 2008-12 portant sur la protection des données à caractère personnel :

Au cours du premier trimestre 2017, la Commission de protection des Données Personnelles a entamé une réflexion sur la révision de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

Le contexte de cette réflexion est fortement marqué par l’adhésion du Sénégal à la Convention 108 du Conseil de l’Europe et à son protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données.

Aussi, les réformes intervenues sur le Code pénal et le Code de procédure pénale sur les sanctions relatives aux atteintes aux données à caractère personnel  ont amené la CDP à anticiper une meilleure articulation des textes applicables.

A cet effet, la législation sénégalaise sur la protection des données personnelles mériterait d’être mise à jour par rapport aux nouvelles tendances internationales.

Pour ce faire, un diagnostic  du cadre juridique et institutionnel actuel relatif à la protection des données personnelles a été mené, afin de :

  • identifier les limites dans le fonctionnement de l’Institution.
  • trouver des moyens de diversifier les ressources financières de la CDP ;
  • identifier les améliorations à apporter par rapport aux formalités déclaratives.

Par ailleurs, un accent particulier a été mis sur la modernisation et l’harmonisation du cadre normatif  de la protection des données personnelles, à travers l’extension des droits personnels, la nécessité de promouvoir des délégués à la protection des données personnelles dans les entreprises publiques et privées, l’élargissement de la responsabilité des sous-traitants, et la consécration de la notion d’étude d’impact, préalable à la mise en œuvre de projets susceptibles d’intéresser la vie privée.

 

  1. PROTECTION DES ENFANTS EN LIGNE, LES PLAINTES ET SIGNALEMENTS ET LES MISSIONS DE CONTROLE 

 

  1. PROTECTION DES ENFANTS EN LIGNE ET EDUCATION AU NUMERIQUE

L’une des missions fondamentales de la CDP est d’informer et de sensibiliser les personnes concernées et les responsables de traitement de leurs droits et obligations. 

Couche particulièrement vulnérable de la société, les enfants sont impliqués dans une vaste gamme d’activités sur Internet, dont la plupart se combinent entre elles et peuvent présenter des risques, d’où l’intérêt pour la CDP d’asseoir une véritable éducation au numérique.

Une enquête par questionnaire effectuée sur 1000 enfants de 10 à 18 ans par un agent de la CDP a permis de constater que :

  • Les activités principales des enfants sur internet sont les réseaux sociaux, la recherche,  les jeux vidéo ;
  • Les supports les plus utilisés sont les smartphones et les tablettes;
  • La durée moyenne d’utilisation d’internet par jour est de 5 h 44 mn ;
  • 56, 10% des enfants discutent avec leurs parents des dangers d’internet ;
  • 20,04% des parents contrôlent les activités de leurs enfants sur internet ;
  • 54,90% des enfants pensent que leurs informations personnelles sont bien protégées sur internet.

Au regard de ces résultats, nous pouvons constater que le contrôle parental et la supervision restent encore ineffectifs. Pourtant, bien que les jeunes générations soient « éduqués » entre le portable, la tablette et l’ordinateur, le contrôle parental reste essentiel dans l’éducation.

Face aux risques liés à la cybercriminalité (l’usurpation d’identité, l’intimidation, les menaces, les insultes, la pédopornographie, l’atteinte à la vie privée sur internet  et sur les réseaux sociaux en particulier), de nombreuses recommandations s’imposent, en même temps qu’un cadre plus strict et déterminé.   

Il est en effet urgent que les régulateurs du numérique, les associations et organismes qui luttent pour la protection de l’enfance et les acteurs du digital entreprennent une série d'actions communes, visant à favoriser la prise de conscience des risques, le développement des compétences pour une utilisation sûre et responsable de l’internet, et une culture de la protection de ses données.

C’est fort de ce constat que la CDP a initié une campagne de vulgarisation de la loi et de sensibilisation à la protection des données, dans les écoles et universités sénégalaises.

Le lycée Galandou Diouf a été le premier établissement choisi à cet effet, le 22 mars 2017.

 

  1. PLAINTES ET SIGNALEMENTS :

a -Nombre de plaintes reçues :

Nombre

Plaignant

Mis en cause

Motifs

Observations

1

M. M. C

M. M. A

Installation de caméras qui filment la voie publique et l’entrée de la résidence du plaignant

C’est à l’issue d’une visite d’inspection auprès du domicile du mis en cause que les caméras de vidéosurveillance ont été finalement réorientées conformément à la jurisprudence de la CDP. 

Le mis en cause après avoir déclaré le système de vidéosurveillance, bénéficie d’un récépissé délivré par la CDP.

2

M. A. MB

Mme. A. TH.

Menaces de publication de photos compromettantes

Pour des mesures d’urgences, la CDP a recommandé au plaignant de saisir la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC), afin d’éviter toute diffusion de ces contenus qui peuvent nuire à sa réputation.

La personne mise en cause et son complice ont été appréhendés par la BSLC.

3

Mme. B. KH. D

Mme S. T. D

Installation de caméras de vidéosurveillance dont deux caméras sont orientées vers le domicile du voisin

A la suite d’une lettre de demande d’explication envoyée par la CDP, la personne mise en cause a transmis un formulaire de déclaration de système de vidéosurveillance pour se conformer à la loi en vigueur (dossier en instruction)

 

 

 

 

 

b – Liste des manquements signalés à la CDP:

Nombre

Mis en cause

Motifs

Observations

1

Page Facebook « Aminade Lemaire »

Commentaires injurieux citant le prénom et le nom du  défunt oncle du plaignant et toute sa famille

Le profil  créé par Aminade Lemaire a été supprimé à la suite d’une requête adressée à Facebook par la CDP

 

2

Sites d’informations en ligne (SENEWEB, DAKARACTU, LERAL)

Nom de l’auteur du signalement cité dans une affaire de falsification de signature

 

La CDP a demandé à l’auteur du signalement de saisir au préalable les sites d’information mis en cause en vertu du principe du contradictoire (dossier en cours).

 

 

Librairie « Aux 4 Vents »

Installation de caméras de vidéosurveillance sur des positions de travail

Suite à la demande d’explication envoyée par la CDP, la structure mise en cause précise qu’elle suspend  le déploiement du système de vidéosurveillance pour procéder à sa déclaration (dossier en cours)

 

 

 

 

 

 

 

 

 

 

  1. Les visites d’inspection et les missions de contrôle

Durant ce premier trimestre 2017, la CDP a effectué des visites d’inspection et des missions de contrôle sur site :

  1. Visite d’inspection :

 

Décision

Date de la visite d’inspection

Structures visitées

Traitements concernés

Décision N°8 de la Session plénière du 10 février 2017

17 février 2017

Armurerie Dakaroise Technologie (AD Technologies)

Vidéosurveillance

Décision N°8 de la Session plénière du 10 février 2017

17 février 2017

Librairie « Aux 4 Vents »

Vidéosurveillance

Décision N°8 de la Session plénière du 10 février 2017

17 février 2017

Ecole Supérieur d’Electricité du Bâtiment et des Travaux Publics (ESEBAT)

Vidéosurveillance

Sur demande du responsable de traitement

22 mars 2017

SOTRAMAP

Vidéosurveillance

 

A l’issue des constats, des recommandations ont été émises conformément à la délibération n°2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation d’un système de vidéosurveillance dans les lieux de travail :

  • de ne pas filmer la voie publique ;
  • de ne pas installer des caméras sur des positions de travail ;
  • de signaler la présence des systèmes par des panneaux avec le n° du récépissé de la CDP et le n° de téléphone de la personne à contacter pour l’exercice du droit d’accès ;
  • de ne pas prendre de sons.

 

 

  1. Missions de contrôle sur site :

Décision

Date de la mission

Structures contrôlées

Traitements concernés

Décision

N° 2017­006C/CDP du 20 janvier 2017 de la Session plénière de la CDP

 

08 février 2017

 

Société Nationale d’Electricité du Sénégal  (SENELEC)

 

Gestion des clients (SIC) et des applications connexe

Décision

N° 2017­007C/CDP du 20 janvier 2017 de la Session plénière de la CDP

 

16 février 2017

 

 

Ministère de l’Enseignement Supérieur et de la Recherche (MESR)

 

Système de traitement automatisé Campusen

N° 2017­008C/CDP du 20 janvier 2017 de la Session plénière de la CDP

08 mars 2017

Générale de Distribution Carreaux et Sanitaire (GDCS)

Vidéosurveillance

N° 2017­009C/CDP du 24 février 2017 de la Session plénière de la CDP

21 mars 2017

SOGEPAL SARL

Vidéosurveillance

 

 

 

 

 

 

En ce qui concerne les missions de contrôle sur site, les manquements suivants ont été relevés :

 

  1. Au niveau du Ministère de l’Enseignement Supérieur :

 

  • le non-respect de la formalité de demande d’autorisation  modificative suite à l’extension de la finalité initialement déclarée (orientation des étudiants) pour la plateforme Campusen ;

 

  • la non définition d’une durée exacte de conservation des données personnelles ;

 

  • le risque d’atteinte à la confidentialité des données personnelles ;

 

  • l’absence de procédure formalisée pour le respect des droits des personnes concernées ;

 

  • la faiblesse des mesures de sécurité prises pour les échanges de données entre  intervenants au traitement ;

 

  1. Au niveau de la SENELEC :

 

  • l’absence de dispositions relatives à la protection des données personnelles sur  les formulaires d’abonnement ;

 

  • l’absence de procédure formalisée pour le respect des droits des personnes ;

 

 

Suite aux manquements constatés, la CDP a enjoint aux responsables de traitement des organismes contrôlés :

 

 

  1. Pour le Ministère de l’Enseignement Supérieur et de la Recherche :

 

  • identifier de manière formelle les personnes qui ont accès aux fichiers et aux bases de données contenant des données personnelles de la plateforme Campusen ;

 

  • mettre en place une procédure formelle d’accès, d’administration et d’exploitation de la plateforme ;

 

  • utiliser des procédures sécurisées pour les échanges de données entre intervenants au traitement relatif à la plateforme ;

 

  • sécuriser la connexion à la plateforme avec le protocole HTTPS ;

 

  • s’assurer de la confidentialité et du respect de la finalité des données communiquées aux partenaires financiers ;

 

  • fixer une durée exacte de conservation des données collectées ;

 

  • formaliser le respect des droits des personnes (droit à l’information préalable, droit d’accès, droit de rectification et droit de suppression

 

 

  1. Pour la SENELEC :

 

  • mettre à jour les formulaires d’abonnement en y intégrant les aspects liés à la protection des données personnelles ;
  • formaliser le respect des droits des personnes (droit à l’information préalable, droit d’accès, droit de rectification et droit de suppression ;
  • d’avoir plus d’informations et de garantie sur l’utilisation des données personnelles par ses partenaires ;

 

Par ailleurs, la CDP recommande aux responsables de traitement, de prévoir dans  les contrats qui les lient avec les prestataires, une clause imposant la conformité à la loi sur la protection des données personnelles. 

 

Dans les prochains avis trimestriel, la CDP donnera plus des détails sur les autres résultats des missions de contrôle sur site.

 

  1. COMMUNICATION ET SENSIBILISATION

Au cours de ce 1er trimestre de l’année 2017, la Commission de protection des données personnelles a mené des actions de sensibilisation, de promotion et de vulgarisation de la loi sur les données personnelles.

 

L’activité phare a été le lancement de la campagne ‘’Education au Numérique’’ qui s’est déroulée le Mercredi 22  Mars 2017 au  Lycée NGalandou Diouf de Mermoz.

 

  • Education au Numérique

Cette campagne vise à inculquer chez les élèves et étudiants du Sénégal une culture digitale qui leur permet de mieux protéger leurs données à caractère personnel en ayant un comportement  responsable sur Internet  et sur les réseaux sociaux. Plusieurs établissements scolaires et instituts de formation publics et privés de Dakar et des autres régions du Sénégal sont ciblés.

La CDP a par la même occasion, procédé à la mise en place du premier «Club Protection des données personnelles ».  Son principal objectif est de permettre aux élèves et étudiants de poursuivre ces activités en interne et de véhiculer les bonnes pratiques sur le « Réseau des réseaux ».

 

 

  • Vidéosurveillance

Face aux préoccupations des Sénégalais face à la présence massive de caméras dans les artères des villes et  pour répondre aux nombreuses interpellations à ce sujet, la CDP a diffusé un communiqué dans lequel elle assure de la finalité et de la légalité des systèmes de vidéosurveillance mis en place par le Ministère de l’Intérieur  et de la Sécurité publique, en vue de lutter contre la criminalité. Un récépissé leur a été délivré par la Session Plénière de la CDP en date du 24 avril 2015.

  • Enjeux commerciaux, politiques et stratégiques liés aux données personnelles

Par ailleurs, la CDP a été conviée à la première rencontre du Réseau des blogueurs du Sénégal, qui s’est tenue le samedi 25 février 2017 à la Place du Souvenir sur le thème « Des lois sénégalaises face aux utilisateurs d’Internet ». Une des thématiques de cet évènement, plus connu sous le vocable de « Ndadje Tweetup », a porté sur la protection des données personnelles.

Plusieurs sujets ont été évoqués lors de cet atelier, qui avait pour principaux experts Docteur Mouhamadou Lo, ancien président de la CDP et Mohamed Diop, Chef de la Division juridique de la CDP.

Tous deux ont répondu aux nombreuses questions des participants à cet atelier en rappelant, d’emblée, les enjeux liés aux données personnelles, notamment commercial, politique, mais aussi et surtout stratégique. Ils ont également abordé l’importance et le caractère très sensible des données de santé et des données bancaires. Des recommandations ont été transmises au terme des travaux qui ont permis à la communauté des blogueurs du Sénégal  de s’imprégner de certaines lois sur la société de l’information au Sénégal. 

  • Sensibilisation à la protection des données personnelles

La Commission de protection des données personnelles a aussi accompagné l’Association TIC Protection lors de sa journée de sensibilisation, le jeudi 29 Mars 2017 à l’université Cheikh Anta Diop. Cette journée axée sur la sécurité sur Internet et le mobile a enregistré une grande affluence des étudiants qui se sont familiarisés avec la législation sur la cybercriminalité.

La CDP a profité de cette journée pour sensibiliser les étudiants à la protection des données personnelles et à un usage responsable d’Internet. Elle les a, par ailleurs, invité à s’approprier de la loi sur la protection des données personnelles, et à s’informer sur les missions de l’Institution. Elle a tenu également à leur rappeler les risques qu’ils encourent quant à la divulgation  inconsidérée de leurs données personnelles sur les réseaux sociaux et Internet.

                                                                                                                                                         

IV.    COOPERATION ET PARTENARIAT

  1. - Au plan national

 

  • CDP – Comité Sénégalais des Droits de l’Homme (CSDH)

La Commission de protection des données personnelles (CDP) a participé, sur invitation du Comité Sénégalais des Droits de l’Homme (CSDH), à l’atelier de finalisation du plan de développement stratégique 2017-2021 du CSDH et du plan d’action de l’observatoire des droits humains dans le secteur extractif.

Cette activité s’est tenue les 16 et 17 mars 2017 au siège du Comité et a vu la participation de tous les acteurs des droits de l’Homme au Sénégal : acteurs étatiques, non-étatiques et partenaires techniques et financiers.

Durant les deux jours, Le CSDH, avec la collaboration des autres acteurs, a pu décliner sa nouvelle Vision qui est : « Etre une Institution Nationale des Droits de l’Homme capable d’impulser une véritable culture des Droits de l’Homme au Sénégal, en se positionnant comme une force de proposition et d’action en faveur de l’effectivité des droits des populations ».

Ce fut l’occasion pour la CDP et le CSDH de réaffirmer leur volonté d’un partenariat dynamique.

Fort de son expérience dans le cadre de la rédaction de son plan stratégique 2016-2019, la CDP en tant que partenaire, a apporté son expertise et formulé des recommandations pour une meilleure prise en compte des droits humains, et de la vie privée.

  1. Au plan africain

L’Union internationale des télécommunications (UIT) en partenariat avec l’Autorité de régulation des communications électroniques et de la poste (ARCEP) du Bénin a abrité, du 14 au 16 mars 2017, le forum régional UIT sur l’information, la protection et les droits des consommateurs pour l’Afrique 2017.

Cet évènement a vu la participation de plusieurs pays et Autorités de protection. La Commission de protection des données personnelles (CDP) du Sénégal était représentée par M. Saikou FALL, Directeur des systèmes d’information et du contrôle et Mme Fatou NDIOUCK, Informaticienne. 

Les participants au Forum ont, à cette occasion, formulé des recommandations importantes, visant à :

  • renforcer le partenariat entre les parties prenantes par la mise en place d’un cadre de dialogue au niveau national, régional et international pour la protection effective des droits des consommateurs ;
  • promouvoir dans chaque pays, la mise en place d’associations des consommateurs, tout en mettant l’accent sur leur professionnalisation et le renforcement des capacités de leurs membres.
Lundi, avril 24, 2017 - 16:30

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles