COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

Comment encadrer les données publiques détenues par les administrations ?

Les impératifs de transparence administrative et de bonne gouvernance supposent la mise à la disposition des citoyens des données informatisées détenues par les administrations publiques. Au Sénégal, l’ouverture des données publiques tend à se développer progressivement avec la création essentiellement du portail «http://senegalouvert.org/data».

Les données publiques sont des informations collectées par l’Etat ou un de ses démembrements et destinées à être publiées. Ces deux conditions cumulatives qualifient une donnée dite publique.

La loi n°2012-03 du 03 janvier 2012 portant organisation des activités statistiques imposent des modalités qui doivent être respectées par les acteurs. Il s’agit  de l’accès aux données statistiques détenues par l’administration, de leur diffusion après anonymisation mais aussi de leur réutilisation.

En effet, en application de l’article 5 nouveau de la loi précitée, l’accès par tout utilisateur aux informations traitées, doit être gratuit ou onéreux selon le cas, dès la disponibilité des données scientifiques.

Par ailleurs, l’article 8 ter précise que les données relatives à des unités statistiques individuelles ne peuvent être diffusées sous la forme d’un fichier à usage public consistant en des données rendues anonymes qui sont présentées de telle sorte que l’unité statistique ne puisse pas être identifiée, ni directement, ni indirectement que sur autorisation écrite du responsable du service ou organisme producteur de statistiques publiques concerné.

Cependant, il peut arriver que les données publiques contiennent des données personnelles, relevant de la vie privée. Ces dernières font également exception au principe d’obligation d’ouverture des données publiques. A cet effet, les administrations sont confrontées à un dilemme : comment alors protéger la vie privée des administrés et tout en instaurant une administration ouverte aux citoyens.

En application de l’article 38 du décret n°2008-721 du 30 juin 2008 portant application de la loi n°2008-12 du 25 janvier 2008 sur les données personnelles, « les résultats du traitement des données personnelles à des fins statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l’identification de la personne concernée, sauf si :

  • la personne concernée a donné expressément son consentement ;
  • la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée ».

A côté du décret d’application susmentionné, l’alinéa 2 de l’article 5 nouveau dispose « les personnes physiques et morales assujetties aux opérations de collecte de données statistiques  doivent être informées, par les moyens appropriés, du cadre légal et institutionnel dans lequel l’activité est réalisée. Elles sont aussi informées des objectifs poursuivis par ces opérations, de la finalité des données collectées, des méthodes de collecte et de traitement des données, des supports et du calendrier de diffusion des données collectées ainsi que des dispositions adoptées pour assurer et garantir la confidentialité et la protection des informations individuelles conformément à l’article 6 (nouveau) ci-après ».

Toutefois, en application de l’article 7 nouveau de la loi précitée, les services et organismes producteurs de statistiques publiques doivent s’assurer qu’aucune identification directe ou indirecte des personnes physiques ou morales concernées n’est faite lors de la publication ou de la transmission à des tiers des résultats statistiques de ces opérations.

Afin d’éviter les risques liés à la mise en ligne des données personnelles des citoyens   et d’une réutilisation par un tiers, l’administration à l’obligation de se conformer à la loi  portant sur les données à caractère personnel, notamment :

  • accomplir les formalités préalables auprès de la CDP (déclaration, demande d’autorisation ou d’avis) ;
  • recueillir le consentement de la personne concernée par le traitement ou ses ayants droits ;
  • rendre sous une forme anonyme les données personnelles traitées à des fins historiques, statistiques ou scientifiques et destinées à une publication ;
  • garantir la sécurité et la confidentialité des données pour empêcher que des tiers non autorisés y aient accès ;
  • conserver les données collectées et traitées que pour la durée nécessaire à la finalité.

La CDP formule, à l’endroit des acteurs, les recommandations suivantes :

  • Pas de publication de données non anonymisées 
  • Mesures de sécurité fortes : une anonymisation si possible au Sénégal, avec un degré conforme aux standards
  • Mentionner l’obligation de confidentialité dans les protocoles et conventions ;
  • Etc.

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles