COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.
La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours de ce premier trimestre de l’année 2019, et conformément à son programme d’activités annuel, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.
Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 17 MAI 2019, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
I. COMPTE RENDU DES ACTIVITES DECLARATIVES
Au cours de ce premier trimestre 2019, la CDP a accueilli 08 structures venues s’imprégner de la législation sur les données à caractère personnel.
La Commission a traité 28 dossiers dont 15 déclarations et 13 demandes d’autorisation.
A l’issue des deux (02) sessions plénières tenues à la CDP, 15 récépissés de déclaration, 09 autorisations et 02 refus d’autorisations ont été émis.
La Commission a, en outre, reçu des demandes d’avis et émis des appels à déclaration:
- Nombre d’appels à déclaration : 14
- Demande d’avis : 07
- Plaintes reçues : 12
- Signalements : 03
- Demande d’homologation : 01
QUESTIONS |
REPONSES |
|
Y. S. KA |
« Je voudrais une information concernant l’autorisation de mettre un système de vidéosurveillance dans une maison. La demande se fait avant l’installation ou après l’installation » |
L'installation d'un système de vidéosurveillance est soumise, en principe, à une déclaration. Le système étant déjà installé, il faut obligatoirement régulariser la situation. Télécharger sur le site de la CDP le formulaire de déclaration de système de vidéosurveillance, le remplir et y joindre le plan d'installation des caméras avant le dépôt. |
D. NDIAYE |
« Nous sommes une start-up qui souhaite développer des outils numériques pour la gestion/dépistage des patients diabétiques, pourriez-vous nous communiquer la réglementation en vigueur sur l’utilisation et le stockage de données à caractère médicales (donc sensibles) au Sénégal ? » |
Le traitement des données sensibles est soumis, selon l'article 20 de la Loi n°2008 du 25 Janvier 2008 portant sur la Protection des données à caractère personnel, à une autorisation préalable de la CDP.
En cas d’existence d’un protocole de recherche dans le domaine médical, un formulaire de recherche dans le domaine médical devra être rempli. |
M. SAGNA |
« J’aimerai avoir la liste des Etats qui ont une législation équivalente sur la protection des données personnel » |
Une liste de législations nationales africaines et européennes est disponible à l’adresse : http://www.cdp.sn/Autres_textes |
O. SOW |
« J’aimerai savoir comment un responsable de traitement peut faire pour être conforme avec la loi de 2008 après une mise en demeure délivrée par la CDP ». « Je ne suis pas un responsable de traitement mais plutôt un étudiant qui mène des recherches dans le domaine. Pour préciser ma question, il peut s’agir d'un chef d'entreprise qui a collecté des données sensibles de manière frauduleuse ou une entreprise qui a été mise en demeure après un contrôle de la CDP ». |
Après la mise en demeure, le responsable de traitement peut :
|
A. DIOP |
« Quel est le rôle de la CDP dans la protection des données à caractère personnel ? »
|
Le rôle de la CDP consiste à : - sensibiliser, conseiller et assister tous les acteurs ; - veiller à la bonne application de la loi sur les données personnelles ; - Sanctionner les non-conformités le cas échéant. Vous trouverez davantage d’informations sur le site cdp.sn. |
P. A. DIOP |
« Je suis en phase d'écriture d'un court métrage sur l'utilisation des réseaux sociaux par les jeunes. Ainsi j'aimerais savoir si, lorsque la police enquête sur un cas précis, ils vous soumettent le dossier ou il y a une autre procédure. »
|
Habituellement, les phases de constatation, de recherche et de poursuite des infractions ne font pas l’objet de communication publique. Mais, il peut arriver que la Police ouvre une enquête sur des faits notoirement connus du public. La communication d’éléments du dossier est possible, si besoin, en cas de demande par l’avocat de la partie en cause, par exemple. La CDP peut être saisie par la Police en cas de manquements à la loi n°2008-12 du 25 janvier 2008 sur la protection des données personnelles. |
Responsables de traitement/ Sous-traitants |
Traitements |
|
Registre des entrées et sorties |
|
Fichiers contenant des données personnelles |
|
Registre des entrées et sorties |
|
Fichiers contenant des données personnelles |
|
Fichiers contenant des données personnelles |
|
Fichiers contenant des données personnelles |
|
Fichiers contenant des données personnelles |
|
Système de contrôle d’accès par badge |
|
Fichiers contenant des données personnelles |
|
Système de contrôle d’accès par badge |
|
Fichiers contenant des données personnelles |
|
Fichiers contenant des données personnelles |
|
Système de contrôle d’accès par badge |
|
Fichiers contenant des données personnelles |
Finalités des traitements |
Nombre |
Structures |
Enquête Nationale de Sécurité Alimentaire, de Nutrition et de Résilience (ENSANR 2018) |
01 |
SECRETARIAT EXECUTIF DU CONSEIL NATIONAL DE SECURITE ALIMENTAIRE (PRIMATURE) |
Gestion du temps de présence des salariés par biométrie |
03 |
COLOMBE CYBER DEFENSE OPERATIONS CENTER (CCDOC) WAFA ASSURANCE VIE SA SOCIETE NATIONALE DES EAUX DU SENEGAL (SONES) |
Plateforme Digital Medical Initiative (DMI) |
01
|
DIRECTION DES ETABLISSEMENTS DE SANTE/MINISTERE DE LA SANTE ET DE L’ACTION SOCIALE |
Plateforme d’e-commerce (www.jaloshops.com)
|
01 |
JALO SAS |
Système de géolocalisation
|
01 |
BIA SENEGAL |
Base de données des enfants victimes d’abus au Sénégal
|
01 |
SAVE THE CHILDREN INTERNATIONAL |
Service free wifi d’Orange |
01 |
SONATEL SA |
Finalités |
Nombre |
Structures |
Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes |
08 |
|
Vidéosurveillance chez des particuliers
|
03 |
|
Cam-plus |
01 |
|
Dossier du personnel |
01 |
|
Système de contrôle d’accès par badge |
02 |
|
Nombre |
Intitulé du traitement |
Responsables du traitement |
Finalités du traitement |
Motifs de refus ou de rejet |
01 |
Collecte, enregistrement, sauvegarde, transfert et utilisation des données personnelles des employés de PMMSN |
Philip Morris Manufacturing Sénégal (PMMSN) |
Dans le cadre d’un contrat de prestation de service signé entre la société Philip Morris Manufacturing Sénégal SARL et G4S (une société sud-africaine), cette dernière est chargée d’assurer la sécurité des employés de Philip Morris Manufacturing Sénégal SARL lors de leurs déplacements dans les différents pays d’Afrique et de la sous-région. A cet effet, PMMSN sera amenée à transmettre à G4S, les données personnelles des employées de PMMSN et de leurs parents proches. |
Absence d’un professionnel de santé dans le processus de traitement des données de santé des employés de PMMSN. La supervision du traitement des données de santé par un professionnel de la santé est un impératif dans l’appréciation de la licéité des traitements. La CDP a recommandé à Philip Morris Manufacturing de revoir la collecte des données avec, notamment l’intervention d’un professionnel de la santé Après la prise en compte de cette recommandation, une autre demande d’autorisation pourra être présentée à la CDP pour réexamen.
|
02 |
Everbridge-Notification de masse |
Mitshibushi Corporation- Bureau de Liaison de Dakar |
La notification de masse par Everbridge permet aux Organisations d’envoyer des messages à des individus et des groupes, sur la base des listes, de leur localisation ou d’alertes, via plusieurs canaux de communication. Cette plateforme permettra à Mitsubishi Corporation Dakar d’informer ses collaborateurs avant, pendant et après tout évènement ou incident qui risque d’avoir un impact sur leurs opérations courantes. |
Non existence d’un engagement de confidentialité ; Absence d’informations sur les destinataires des données à l’étranger.
|
14- PLAINTES ET SIGNALEMENTS :
N° |
Plaignant |
Mis en cause |
Motifs |
Observations |
1 |
M. I.D. |
Fricacoin |
Diffusion des données personnelles du plaignant sur le site de FRICACOIN sans son consentement. |
M.I.D. a porté plainte auprès de la CDP, suite à la diffusion, sans son consentement et sans aucun engagement de sa part en tant que panéliste, sur le site de « Fricacoin », de ses données personnelles (nom, titre et photo). La CDP a adressé un courrier au responsable de traitement qui a procédé à la suppression intégrale des données personnelles du plaignant, conformément à l’article 62 du Décret n°2008-721 du 30 juin 2008, portant application de la loi n°2008-12 du 25 janvier 2008. |
2 |
M.M. |
Contre X |
Enregistrements vocaux à l’insu du plaignant |
En application des dispositions de l’article 363 bis de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a recommandé au plaignant de porter plainte directement auprès du Procureur de la République ou de la Division Spéciale de la Cybersécurité (DSC). |
3 |
Mme A. S.
|
Producteur de l’émission « Pour le meilleur et pour le pire » diffusée sur la 2STV |
Diffusion de la vidéo de l’interpellation de la plaignante |
Dans la plainte transmise à la CDP, l’auteur déclare qu’elle a été arrêtée sur la corniche par un agent de la police pour une infraction au Code de la route. A sa grande surprise, la séquence de son interpellation a été diffusée sur la chaine 2STV dans le cadre de l’émission « Pour le meilleur et pour le pire », sans son consentement. Lors de la diffusion, sa voix n’a pas été masquée, son numéro de plaque d’immatriculation apparaissait de temps en temps et son nom a été prononcé, de même que le contenu de ses échanges avec le policier. La CDP considère que la création et la diffusion de supports de communication par les entreprises de presse, même à des fins citoyennes, ne dispense pas le responsable de traitement d’observer « les règles déontologiques » propres à la profession, comme prévu à l’article 45 de la loi n°2008-12. Par conséquent la CDP requiert du Producteur de l’émission, la suppression de la vidéo sur la plateforme Youtube et autres sites concernés, et lui recommande de prendre toute précaution utile pour éviter les atteintes à la vie privée des personnes filmées. |
4 |
Mme A.N |
Hackeur |
Notification d’atteinte à son système d’information |
La plaignante précise dans la lettre transmise à la CDP qu’elle a subi une attaque qui menace de porter préjudice à sa vie personnelle et professionnelle. Le hacker est passé par son adresse électronique professionnelle pour demander une rançon à déposer en crypto-monnaie, mais elle n’a pas cédé. La notification de failles de sécurité par un responsable de traitement n’étant pas prévu dans la législation actuelle en vigueur, la CDP, en application des dispositions des articles 431-8 et suivants de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, a transmis la plainte à la Division Spéciale de Cybersécurité.
|
5 |
M. A. MB. |
Hackeur |
|
M. A. MB précise dans sa plainte qu’un inconnu mal intentionné a piraté son compte Messenger en envoyant des messages injurieux à ses amis, en son nom. A partir de son compte, il a utilisé d’anciens messages sensibles, à des fins de cyberchantage. Dans le cadre de l’instruction de la plainte, la Commission a demandé au plaignant de lui transmettre les captures d'écrans des messages d'injures et le lien du profil de la personne mise en cause. La CDP a pris contact avec le plaignant, afin de finaliser l’étude du dossier, mais à ce jour les informations probatoires n’ont pas été reçues. |
6 |
Mlle. N. R. K. |
Sunugal24.net |
Article de presse de Sunugal24.net reprenant le tweet de la plaignante avec sa photo en guise d’illustration. |
Mlle N. R.K avait fait un Tweet sur la plateforme Tweeters en ses termes « Je répète, Infidélité khorom la ci couple. Eh les gars trompez–nous ». Le tweet a été utilisé dans le cadre d’un article publié sur le site en ligne Sunugal24 avec la photo de la plaignante comme illustration. Lors du dépôt de la plainte, la CDP, pour éviter les lenteurs procédurales, a appelé directement le Directeur de publication de Sunugal24, qui a supprimé l’article et la photo. |
7 |
Mme A.S. |
M. S. S |
Publications de photos compromettantes sur WhatsApp et les réseaux sociaux |
Mme C.S., résidente en France, a porté plainte auprès de la CDP pour divulgation sur WhatsApp et les réseaux sociaux par son ex petit ami des photos compromettantes la concernant, suite à la rupture de leur relation. Son frère a porté plainte à la gendarmerie de Mbour, preuves à l’appui. En application de l’article 431-27 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code, la CDP a recommandé à la victime de poursuivre la procédure déjà initiée auprès de la gendarmerie de Mbour, ou à défaut, d’en informer directement le Procureur territorialement compétent pour la recherche et la poursuite de la personne mise en cause. Par ailleurs, la CDP a recommandé à la plaignante de lui transmettre l’adresse URL (les liens) des sites où sont publiées les photos, afin de diligenter leur suppression, conformément à l’article 69 de la loi n°2008-12. |
8 |
Mme B. K.S |
Xibar.net |
Chronique judicaire |
Mme B a transmis à la CDP une plainte relative à une demande de suppression d’un article de presse portant atteinte à sa vie privée, publié sur le site xibar.net depuis 2007. Ledit article relate un chronique judicaire (attentat à la pudeur) entre la plaignante et un étudiant. Le juge avait condamné ce dernier pour une peine d’un mois avec sursis. La CDP considère que les faits visés dans la plainte ne sont plus pertinents au regard de la finalité et a transmis une lettre de demande de suppression de l’article à l’administrateur du site se trouvant à Long Island City, NY, aux Etats Unis. Malgré une relance, il n’y a pas eu de réponse à ce jour. La plaignante en a été informée et recommandation lui est faite de porter plainte auprès du Tribunal de grande instance de Dakar, conformément à l’article 90-14 de la Loi n°2016-30 du 08 novembre 2016, modifiant le Code de procédure pénale. |
9 |
Mme. NG.F. |
Le site Seneporno |
Photos et vidéos montages compromettantes |
La CDP a reçu la plainte de Mme NG. F qui précise qu’elle a reçu sur WhatsApp via le numéro XXX XXX, un message d’un dénommé Kocc Barma qui prétend détenir des photos et vidéos montages nues la concernant. En raison de l’atteinte à la vie privée de la plaignante, la CDP a transmis la plainte à la Division Spéciale de la Cybersécurité pour traitement, conformément aux dispositions de l’article 363 bis alinéa 3 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal. |
10 |
M.J.W. |
Vidéo compromettante |
M. J.W a porté plainte auprès de la CDP pour divulgation d’une vidéo le concernant, sur le site Seneporno, sans son consentement. Il a contacté sans succès l’administrateur de ce site pour supprimer la vidéo. En application de l’article 363 bis alinéa 2 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis la plainte à la Division Spéciale de la Cybersécurité. |
|
11 |
M.B.C.D |
Inconnue |
Prospection directe |
M. B.D. a transmis à la CDP une plainte relative à la prospection directe. Il précise qu’il reçoit des SMS non désirés d’un ensemble de service auxquelles il n’a pas souscrit. La CDP lui a transmis une demande de complément d’informations portant sur l'identité des organismes qui lui envoient des SMS non désirés et les démarches accomplies auprès d’eux pour exercer ses droits (consentement et opposition). A ce jour, le plaignant ne s’est pas manifesté, malgré le courriel de relance envoyé par la CDP. |
12 |
Mme. A. ND. |
Mme R. D. |
Vidéos et vocaux diffamatoires partagés sur WhatsApp, Facebook et Youtube. |
Dans la plainte transmise à la CDP, Mme A. D précise que l’une de ses amies avec qui elle partageait le même appartement, a partagé sur WhatsApp, Facebook et Youtube des vidéos et enregistrements vocaux contenant des propos diffamatoires portant atteinte à son honneur, sa dignité et son image. La CDP avait convoqué les deux parties pour une séance de sensibilisation et d’information. Entre temps, les parents de la personne mise en cause ont entrepris une médiation auprès de la victime et la plainte a été retirée et classée sans suite. |
Mis en cause |
Motifs |
Observations |
Inconnu |
L’auteur du signalement précise qu’elle avait été victime de cybercriminalité en 2010 et aimerait collaborer avec la CDP car elle a les traces de la personne sur Internet. |
Après étude de son signalement, la CDP a constaté que les faits visés dans ladite dénonciation ne sont pas explicites. Par conséquent, la CDP lui demande de lui fournir plus de détails sur cette affaire (circonstances de l'affaire, captures d'écrans, liens et profil de la personne sur Internet ...), afin d’en faciliter l’exploitation. Un courriel de relance a également été envoyé à l’auteur du signalement, lui recommandant de porter plainte à la police, mais sans suite. |
M. T. M. S |
Publication sur Youtube de vidéos thérapeutiques (exorcisme) portant atteinte à l’honneur et à la dignité des patients. |
M. O.ND a signalé à la CDP la diffusion fréquente sur la page Youtube du marabout guérisseur T. M. S, de vidéos immorales relatives à des scènes de thérapie d’exorcisme. Il pense que c’est indécent de filmer les patients sans leur consentement et plus grave encore de les poster sur les réseaux sociaux. Ceci porte atteinte à leur dignité. La CDP a invité le marabout guérisseur à une rencontre d’information et de sensibilisation sur les exigences en matière de protection des données personnelles et de la vie privée. A cette occasion, la CDP a rappelé à l’auteur des publications litigieuses les dangers liés à l’exploitation de l’image d’autrui sans son consentement. En outre, elle a mis l’accent sur la nécessité de formaliser le recueil du consentement des personnes concernées, notamment lorsque celles-ci sont dans l’incapacité de l’exprimer directement. La CDP a demandé au guérisseur de se mettre en conformité avec la loi. A l’issue de cette rencontre, le guérisseur nous a transmis son règlement intérieur et le modèle de contrat signé par les patients pour notre information. Il a initié auprès de la CDP, une procédure de déclaration de son système de vidéosurveillance et de son site web associée à la page Youtube. |
b2c-b2c-marketing |
Vente de base de données |
Le site b2c-b2c-marketing collecte les emails et autres données, et possède aujourd'hui la plus grande base de données à travers le monde (plus de 30 millions d’entreprises et 300 millions de particuliers), créant une flambée de spam. La vente de base de données n’étant pas interdite dans certains pays, la CDP est dans l’optique de voir dans quelle mesure elle pourrait collaborer avec les autorités de protection des pays concernés, par rapport à cette problématique, ou en informer Interpol. |
Homologation de la Politique de protection des données de ATOS Sénégal :
En application de l’article 16-3 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la Commission de protection des Données Personnelles (CDP) procède à l’homologation des politiques, chartes et codes de conduite relatifs aux données personnelles.
A cet effet, la société ATOS Sénégal a transmis sa politique de protection des données personnelles pour homologation. Ladite politique est basée sur les règles contraignantes d’entreprise (BCR) du groupe ATOS.
Pour l’homologation, la CDP a transmis un rapport contenant des amendements et des insertions à prendre en compte dans leur politique de protection des données personnelles, afin que celle-ci réponde au mieux aux dispositions de la loi 2008-12.
Les amendements ont porté essentiellement sur les principes de protection des données et sur les modalités d’exercice des droits des personnes concernées.
La CDP dispose, aux termes de l’article 25 et suivants de la loi n° 2008-12 du 25 janvier 2008, d’un pouvoir de contrôle sur tout traitement de données à caractère personnel. Les missions de contrôle permettent à la CDP de vérifier, sur le terrain, l’application des dispositions de la loi précitée. Elles ont également comme objectif de s’assurer que les déclarations ou demandes d’autorisation formulées par les responsables de traitement à la CDP, et pour lesquelles ils ont reçu des récépissés ou des autorisations, sont conformes aux bonnes pratiques prévues par la loi sénégalaise sur la protection des données personnelles.
A cet effet la DTIC a élaboré un programme annuel des missions de contrôle sur site. Ce document couvre tous les secteurs d’activités : Administration, universités, banques, institutions de microfinance, sociétés de transfert d’argent, assurances, opérateurs télécoms, entreprises des TIC, ainsi que le secteur de la santé.
Les missions de contrôle de la CDP sont souvent déclenchées suite à :
Hormis ces cas, la Direction des Technologies de l’Innovation et du Contrôle (DTIC) propose, chaque année, pour validation de la Session plénière, un calendrier des missions à effectuer.
Les contrôles porteront sur tout traitement de données à caractère personnel mis en œuvre, notamment la gestion du personnel, la gestion de la clientèle, les dispositifs de vidéosurveillance, les systèmes de contrôle d’accès par badge magnétique ou par biométrie, la gestion d’un parc automobile par la géolocalisation, et toutes autres applications informatiques impliquant les données personnelles.
Afin de faire face aux vérifications sur les traitements de données personnelles qu’ils mettent en œuvre, les organismes se doivent d’être proactifs et ne négliger aucune étape dans la gestion de la procédure d’inspection.
Le contrôle emporte des risques en termes d’image de l’organisme, d’atteinte à sa réputation, et peut même déboucher sur des sanctions financières allant d’un million à cent million de francs.
II - COMMUNICATION ET SENSIBLISATION
La Commission de protection des données personnelles (CDP) a mené des actions de communication, afin de promouvoir et faire mieux connaitre la législation sur les données personnelles.
Pour ce premier trimestre de l’année 2019, au titre des activités de sensibilisation, la Commission a célébré la Journée mondiale de la Protection des données personnelles avec les élèves du Lycée Limamou Laye de Guédiawaye. Ces derniers ont, lors d’une journée ‘’Portes Ouvertes’’, découvert l’institution CDP avec une présentation des directions qui la composent, ainsi qu’une séance d’échanges avec les agents. L’occasion a été saisie pour les entretenir des risques et dangers quant à une mauvaise manipulation de leurs données personnelles sur Internet, via les supports de la campagne ‘’Education au numérique’’.
21. Cérémonie de remise des prix du Hackaton pour le développement de l’application de la CDP
La Commission de protection des Données Personnelles (CDP) et ses partenaires tels que, l’Ecole Supérieure Polytechnique (ESP), l’Ecole supérieure multinationale des Télécommunications (ESMT), NIC Sénégal et Internet Society (ISOC) ont procédé, le mardi 08 Janvier 2019, à l’Amphithéâtre Abdoul Aziz Wane de l’ESP, à la Cérémonie officielle de clôture du Hackathon qui portait sur le thème : ‘’Les technologies mobiles pour une meilleure protection des données personnelles’’.
A l’issue de celle-ci, trois (03) équipes ont été primées sur place après délibération des membres du jury.
Le jury était constitué de :
Après délibérations, le jury a établi le classement ci-après :
22. Célébration de la Journée mondiale de la Protection des données personnelles :
La CDP a célébré la Journée mondiale de la Protection des données personnelles avec les élèves du Lycée Seydina Limamou Laye de Guédiawaye le 28 Janvier2019. L’objectif était de permettre aux jeunes élèves d’effectuer une immersion au cœur de la CDP par une visite et une présentation des services de la Commission, et de les sensibiliser sur les usages d’internet et la protection de leurs données personnelles en ligne. Sur un autre plan, l’occasion a été saisie par Madame la Présidente pour sensibiliser le grand public à travers un point de presse tenu à l’issue de la cérémonie.
23. Rencontre de travail avec la Sonatel sur la campagne « éducation au numérique »
Dans le cadre de cette campagne, la CDP a tenu une réunion de travail et d’échanges avec la Sonatel aux fins de nouer un partenariat, dans le cadre de leur programme de sensibilisation destiné aux jeunes, y compris dans les régions. Par ailleurs, la Commission a été invitée, lors de la cérémonie de remise de diplômes de la « Promotion Alioune Ndiaye », première cohorte d’apprenants de Sonatel Academy.
24. Signature de protocoles de partenariat avec les associations « Retraite autrement » et « Fair Education » pour la sensibilisation des populations
Dans le but de sensibiliser le maximum de citoyens à la protection des données personnelles, la CDP a signé, le mercredi 27 mars 2019, deux protocoles de coopération avec l’association « La Retraite Autrement » qui regroupe des femmes et des hommes retraités qui, en tant que parents, ont décidé de s’engager dans la campagne « Education au numérique », initiée par la CDP. L’Association « Fair Education », basée à Kaolack, qui regroupe des enseignants et des journalistes, ciblent quant à elle, le public jeune. Ces deux structures se sont engagées à servir de relais à la Commission, auprès de ces cibles importantes que sont les jeunes et les personnes du troisième âge.
25. Participation au « Café-débat » organisé par Amnesty International
Le chef de la Division Conformité de la CDP a pris part, le samedi 30 mars 2019, au « Café-débat » organisé par les membres d'Amnesty International Sénégal au sein de l'école de formation CESAG. Cette occasion a été saisie pour débattre sur le thème "le droit à la vie privée à l'ère du numérique". Des échanges sur l’actualité internationale, la protection des données personnelles, sur la vie privée et les réseaux sociaux, mais également sur le rôle de la CDP dans la régulation des données personnelles, ont rythmé la session. A la fin de la rencontre, l’AIS a manifesté le souhait d’organiser d’autres rencontres avec la CDP, pour informer et sensibiliser le maximum de personnes.
III - COOPERATION ET PARTENARIAT
31. Atelier de réflexion et de partage sur la gestion des contenus sur les réseaux sociaux
Dans la perspective des élections présidentielles de février 2019, la citoyenneté en ligne avait soulevé une problématique dans la gestion des contenus sur les réseaux sociaux. C’est dans ce cadre que l’Association des Utilisateurs des TIC (ASUTIC) avait convié la CDP, Facebook, ainsi que d’autres organismes, à un atelier de partage, le 22 janvier 2019 sous le thème : « Citoyenneté Numérique : préserver la liberté d’expression en ligne en période électorale : Quels sont les enjeux ? ».
La CDP était ainsi intervenue sur plusieurs volets, notamment la fracture numérique, les ‘’fake news’’ et l’éducation au numérique. Des recommandations avaient, dans ce cadre, été élaborées à destination des responsables des réseaux sociaux et des utilisateurs :
32. Demi-journée d’échanges et de sensibilisation sur la protection des données personnelles
Aujourd’hui l’informatique occupe une place grandissante dans toutes les sphères de notre société et entraîne la production, le traitement et la dissémination d’un nombre croissant de données personnelles. Ainsi une demi-journée de sensibilisation et d’échanges à l’attention des entreprises et des partenaires a été initié par le Conseil National du Patronat sénégalais (CNP), le 28 mars 2019, en collaboration avec la Fondation Konrad Adenauer, sur l’emploi face à la transformation digitale : « sécurisation et confidentialité des données personnelles ».
En effet, les questions de sécurité informatique sont d’autant plus délicates que nous nous servons de systèmes relativement ouverts et hétérogènes. La communication introductive de la CDP sur la sécurisation et la confidentialité des données personnelles en milieu professionnel rappelle que c’est une mission fondamentale, qui nécessite une prise de conscience des enjeux de la transformation digitale, avec l’obligation de migrer vers les solutions du numérique et de faire face aux risques de vols de données, et de cyber-attaque. La Présidente de la CDP a invité les structures publiques et privées à développer une culture de la protection des données personnelles, qui est devenu un élément incontournable du commerce international.
En définitive, la CDP a exhorté les entreprises et leurs partenaires à se conformer à la législation sur la protection des données à caractère personnel par la mise en place de mesures de sécurité de haut niveau, et inviolable.
33. Réunion du groupe de travail « protection des données personnelles et état civil »
Dans le cadre du programme d’appui au renforcement du système d’information de l’état civil et de la consolidation d’un fichier national d’identité biométrique au Sénégal, un groupe de travail sur la protection des données personnelles et l’état civil a été mis en place.
Le groupe de travail, dont la CDP est membre, a pour objectif de réfléchir sur un cadre juridique renforcé de la protection des données personnelles, relatif à l’état civil.
Par ailleurs, sur demande des membres du groupe de travail, un tableau comparatif des textes (loi et décret sur la protection des données personnelles, législation et règlementation sur l'état civil) a été établi. Ce tableau comparatif a permis au groupe de travail de faire des recommandations quant à l’intégration de dispositions (articles) relatives à la protection des données personnelles dans le cadre de la réforme du code de la famille, notamment sur la partie relative à l’état civil.
34. Rencontre avec le Ministère de l’Education nationale sur la plateforme SIMEN
Le 07 mars 2019, la CDP a reçu les responsables de la plateforme SIMEN (Système d’Information et de Management de l’Education nationale) du Ministère de l’éducation nationale. Cette rencontre était l’occasion pour les représentants du Ministère de l’éducation nationale de présenter ladite plateforme à la CDP, et de recueillir leurs observations, afin de garantir le respect de la législation sur les données personnelles.
La plateforme SIMEN permet d’assurer la gestion unifiée de toutes les données gérées par le Ministère, notamment les données personnelles des élèves, des enseignants et du personnel administratif. A ce titre, la CDP a rappelé les bonnes pratiques techniques et organisationnelles à mettre en place pour sécuriser davantage les données personnelles. Par ailleurs, la CDP a assisté le Ministère pour la mise en conformité de la plateforme.
35. Réunion sur le cadre institutionnel de l’Economie numérique
Le Ministère de l’Economie numérique et des télécommunications a organisé une réunion avec les acteurs du secteur pour discuter du cadre institutionnel du numérique. Cette réunion a vu la participation d’une délégation de la Banque Mondiale qui a présenté des modèles de gouvernance institutionnel du secteur du numérique dans certains pays, notamment l’Israël et la France.
L’objectif de cette réunion était d’échanger avec les acteurs sur l’amélioration du cadre institutionnel de gouvernance du secteur du numérique au Sénégal. A ce titre, il a été question de réfléchir sur un cadre d’harmonisation et de mutualisation des projets numériques des différents acteurs institutionnels.
Aussi, la nécessité d’une interopérabilité entre les institutions a été soulignée par les acteurs. Afin de mettre en place ce cadre de gouvernance renforcé de l’économie numérique, il a été décidé d’élaborer des Termes de référence et de créer un Comité technique de mise en œuvre.