COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 01-2020 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce premier trimestre de l’année 2020, et conformément à son programme annuel d’activités, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

   I- COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce premier trimestre 2020, la CDP a accueilli 06 structures et 03 particuliers venus s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 50 dossiers dont 30 déclarations, 20 demandes d’autorisation et auditionné 02 structures.

A l’issue des deux (02) sessions plénières tenues à la CDP, vingt-sept (27) récépissés de déclaration et dix-sept (17) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen de deux (02) dossiers.

La Commission a, en outre, émis des appels à déclaration, reçu des plaintes, signalements et demandes d’avis et a interdit la mise en œuvre de certains traitements:

- Nombre d’appels à déclaration : 11

- Plaintes et signalements reçus: 14

- Demande d’avis : 12

- Refus d’autorisation : 03

  1. - Demandes d’avis reçus par la CDP  

QUESTIONS

REPONSES

MONTAGU WEST

Un cabinet de recrutement opérant exclusivement sur le marché français demande si la loi sénégalaise est applicable à son activité ?

Le recrutement opéré exclusivement sur le marché français n’entre pas dans le champ d’application de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. Cette dernière vise à protéger les citoyens et les résidents au Sénégal.

Toutefois, tout traitement de données personnelles relatif à la gestion de son personnel doit être déclaré, conformément aux articles 18 et 20 de la loi n°2008-12 précitée.

B. BADIANE

Quelles sont les modalités d’accès et de consultation des données personnelles d’une personne décédée ?

L’article 54 du décret 2008-721 du 30 juin 2008, portant application de la loi n°2008-12 du 25 janvier 2008, sur la protection des données à caractère personnel dispose que « la consultation des données d’une personne décédée est accordée lorsque le requérant justifie d’un intérêt à la consultation et qu’aucun intérêt prépondérant de proches de la personne décédée ou de tiers ne s’y oppose. Un intérêt est établi en cas de proche parenté ou de mariage avec la personne décédée ». 

A.K. SAGNA

Existe-t-il une politique spécifique de contrôle des réseaux sociaux au Sénégal à l'image du RGPD ?

En fournissant les moyens permettant de traiter les données des membres du réseau et en déterminant la manière dont ces données peuvent être utilisées à de fins publicitaires ou commerciales, y compris la publicité fournie par des tiers, les réseaux sociaux assument la qualité de responsable du traitement des données. Dès lors, ils sont soumis aux dispositions de l’article 2-4) de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

Partant de ce principe, les réseaux sociaux ont l’obligation de respecter toutes les exigences de la loi n°2008-12 précitée et de garantir la sécurité des données.

B. S. MBAYE

Dans le cadre de mon mémoire de fin d'études, je voulais savoir le nombre de contrôle que la Commission de protection des données personnelle a eu à effectuer durant l'année 2019 ?

Durant l’année 2019, la CDP a effectué trois (03) missions de contrôle auprès des responsables de traitement suivants : TERROU-BI, SENTEL GSM FREE et ECOBANK. 

Les informations relatives à ces missions sont disponibles dans les avis trimestriels de l’année 2019.

L. BOYE

Processus de déclaration d’un système de vidéosurveillance.

La procédure est purement déclarative. Pour ce faire, il suffit de renseigner :

  • le formulaire de déclaration d'un système de vidéosurveillance disponible sur le site de la CDP  (www.cdp.sn à la rubrique document - liste des formulaires) pour les entreprises et administrations ;

 Par ailleurs, la déclaration doit être accompagnée d’un :

  • plan général d'installation des caméras et,
  • engagement de confidentialité signé avec le prestataire qui a installé les caméras.

Après dépôt, la CDP dispose d'un délai d'un (01) mois, renouvelable une fois pour délivrer un récépissé de déclaration.

M. CISSE

D. DIALLO

M. NGAIDE

Régie Immobilière Mugnier & Cie

 

A. BA

Transfert des données personnelles des employés vers la maison mère basée à Londres

Les articles 16-6 et 49 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel prévoient une demande d’autorisation préalable, auprès de la CDP, avant tout transfert de données personnelles des employés à la maison mère.

Pour ce faire, la CDP vous invite à télécharger et remplir le formulaire de demande d’autorisation disponible sur son site (http://www.cdp.sn/liste-des-formulaires).

M. GUEYE

La CDP dispose-t-elle de modèle de Conditions Générales de Ventes ?

En l’état, la CDP ne dispose pas de modèle de Conditions Générales de Vente (CGV) à réadapter.

Toutefois, en vertu des dispositions des articles 10 de la loi n°2008-08 du 25 janvier 2008 sur les transactions électroniques et 8 du Décret n° 2008-718 du 30 juin 2008 relatif au commerce électronique pris pour l’application de la loi n° 2008-08 précitée, la CDP a proposé au requérant des clauses pour l’élaboration de CGV. Ces clauses peuvent porter sur les modalités de la commande, de la validation, de la livraison et de la rétractation.

Toutefois, la CDP a rappelé au fournisseur électronique de biens et de service l’obligation de déclarer son site de e-commerce.

M. THIAM

Quel est le texte qui régit les obligations légales applicables à un site internet ?

 

Pour les obligations légales, tout dépend de la nature du site internet. 

S'il s'agit d'un site de e-commerce, il faut vous référer à la loi n°2008-08 du 25 janvier 2008 relative aux transactions électroniques et au décret n°2008-718 du 30 juin 2008 relatif au commerce électronique. 

Par ailleurs, si le site internet permet de collecter des données personnelles, à travers un formulaire ou par la création d'un compte d'utilisateur, vous avez l'obligation de déclarer ladite collecte, en renseignant le formulaire de déclaration de collecte de données sur site internet (http://www.cdp.sn/liste-des-formulaires). Cette obligation est prévue par la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnelles. 

 

   2- Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

Responsables de traitement/ Sous-traitants

Traitements

  1. INTERAKTIVE

Fichiers contenant des données personnelles

  1. PCO PARTNERS

Fichiers contenant des données personnelles

  1. TANASOYA.COM

Fichiers contenant des données personnelles

  1. AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)

Système de contrôle d’accès par badge et du registre d’entrées et sorties

  1. BANQUE ISLAMIQUE DU SENEGAL (BIS)

Système de contrôle d’accès par badge et du registre des entrées et sorties

  1. GLOBALE SECURITE

Fichiers contenant des données personnelles

  1. IDEAL TRANSIT TRANSPORT

Registre d’entrées et sorties

  1. INTELCIA SENEGAL

Système de contrôle d’accès par badge

  1. MEDITERRANEAN SHIPPING COMPANY (MSC)

Système de contrôle d’accès par badge

  1. PRESTIGE DECO SAU

Système de contrôle d’accès par badge et du registre des entrées et sorties

  1. UNIVERSAL TECHNOLOGIE

Fichiers contenant des données personnelles

 

 

   3-  Décisions rendues par la Session Plénière :

 

   3.1- Autorisations accordées :

Finalités des traitements

Nombre

Structures

Système de pointage par biométrie

04

SENEGAL AUCHAN STORE (SENAS)

LA COURONNE

PRESTIGE DECO SAU

office national de lutte contre la fraude et la corruption (OFNAC)

Traitement et déclaration FATCA 

02

CREDIT DU SENEGAL

BANQUE ISLAMIQUE DU SENEGAL (BIS)

Gestion du site web www.upay.africa

01

 

AFRICA TRANSACTION PROCESSING AND SERVICE – SA (ATPS)

Collecte de données personnelles pour identifier les utilisateurs du site internet http://sagnse.sn

01

SY, FRERES ET SŒURS (SYFRES)

Collecte d’informations  pour identifier les utilisateurs du site internet http://yalimaper.com

01

SY, FRERES ET SŒURS (SYFRES)

Collecte de données personnelles pour identifier les utilisateurs du site internet http://sen-electro.com   

01

SY, FRERES ET SŒURS (SYFRES)

Outil d’aide a la détection automatisée du blanchiment d’argent (SIRON AML) 

01

 

SOCIETE GENERALE DE BANQUES AU SENEGAL (SGBS)

Operations de transfert d’argent, marketing direct et communications promotionnelles et informatives envoyées par email et/ou SMS ou réseaux sociaux

01

MONEYGRAM PAYMENT SYSTEMS INC. (MONEYGRAM)

Service « AMSAMA APP »

01

SONATEL S.A

 

Gestion des tombolas et tirages au sort

01

AFRICA TRANSACTION PROCESSING AND SERVICE – SA (ATPS)

Analyse de données pour déterminer la prévalence du raccordement au réseau électrique et les raisons qui expliquent le raccordement

01

Millenium Challenge Account (MCA)

Plateforme de donation qui permet de stocker des informations personnelles des donateurs mais aussi interface avec des systèmes

01

HAUTE AUTORITE DU WAQF

Gestion des Ressources Humaines

01

INTELCIA SENEGAL

 

 

   3.1-  Récépissés délivrés : 

 

Finalités

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

13

  • AUCHAN RETAIL SENEGAL (SENAS)- AUCHAN YOFF LAYENNE
  • AUCHAN RETAIL SENEGAL (SENAS)- AUCHAN ZAC MBAO
  • AUCHAN RETAIL SENEGAL (SENAS)- AUCHAN KEUR MASSAR
  • AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)
  • PETIT TRAIN DE BANLIEUE SA
  • INDUSTRIE DES BOISSONS DU SENEGAL (IBS)
  • MEDITERANEAN SHIPPING COMPANY
  • PHARMACIE SERIGNE MOUHAMED FADILOU MBACKE
  • INTOUCH SA
  • RESTAURANT MAWOULI
  • PRESTGE DECO SAU
  • SENEVISA SA
  • IDEAL TRANSIT TRANSPORT (ITT)

 

Vidéosurveillance chez des particuliers

 

 

 

05

  • M.MAMOUDOU NIANE
  • M. JEAN JAQUES NTAB
  • IDRISSA KHASSOUM WONE
  • MADAME AMINATA YADE GUEYE
  • M. IBRAHIMA NDIAYE

 

Base de données clients

 

03

  • SAYTU SA
  • BANQUE ISLAMIQUE DU SENEGAL (BIS)
  • INTELCIA SENEGAL

Gestion des ressources humaines

01

  • SAYTU SA

 

Traitement physique et stockage des documents d’archives (Externalisation)

01

  • SND CASALA (Groupe AGS)

Système de contrôle des d’accès par badge

01

  • SOCIETE SENEGALAISE AGRO-INDUSTRIELLE (SOSAGRIN)

Contrôle d’accès des visiteurs

01

  • INTELCIA SENEGAL

 

Base de données fournisseurs

01

  • AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)

Projet AgMIP (Agricultural Model Intercomparison and Improvement Project) portant sur l’impact des changements climatiques sur l’agriculture et les stratégies d’adaptation

01

  • INITIATIVE PROSPECTIVE AGRICOLE ET RURALE (IPAR)

 

 

   3.3-  Refus d’autorisation de traitement/ Rejet de déclaration de traitement :

 

Nombre

Intitulé du traitement

Responsables du traitement

Finalités du traitement

Motifs de refus ou de rejet

01

Plateforme web – vitrine du cabinet saytu - www.saytu.co

SAYTU SA

  • Servir de vitrine numérique au cabinet, de présenter aux clients les services proposés par le cabinet,
  • mettre à la disposition du grand public des informations utiles sur le cabinet (numéro de téléphone, adresse, etc.) 
  • contacter le cabinet en cas de besoin.

Défaut de précision de la durée de conservation des données des utilisateurs du site internet.

02

Etude quantitative sur les menaces et secteurs de vulnérabilité a l’extrémisme violent au Sénégal pour les personnes âgées de 15 ans et plus dans les milieux urbains et ruraux de Dakar, Kolda, Kaolack, Tambacounda, Sedhiou, Ziguinchor, Matam, Kedougou

Centre de Recherche Ouest Africain (WARC)

Cette étude quantitative devrait permettre d’éclairer les décisions politiques et programmatiques en matière de paix et de sécurité. Les résultats de la recherche et les recommandations serviront de base à des politiques et programmes futurs de prévention de l’extrémisme violent au Sénégal ;

Finalité peu explicite.

03

Système de vidéosurveillance

Monsieur A. N.

  • Sécurité des personnes,
  • Sécurité des biens

Caméras installées dans les parties communes de l’immeuble.

 

 

 

 

 

 

 

 

-

 

II - PLAINTES ET SIGNALEMENTS

1- PLAINTES

 

PLAIGNANT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

1

M. A. B

Hackeur X

Victime d'un virus informatique (ransomware) : Les fichiers de son ordinateur sont cryptés.

Victime d’un virus informatique qui a crypté tous les fichiers de son ordinateur, M. A.B saisi la CDP d’une plainte contre X.

La CDP, après analyse du cas, a considéré que les motifs invoqués dans sa plainte n’entrent pas dans le domaine de ses compétences telles que définies par l’article 16 de la loi n°2008-12 du 25 janvier 2008.

Par conséquent, la CDP a recommandé au plaignant de se rapprocher des structures spécialisées en matière de prévention et de répression des infractions cybercriminelles (DSC de la police ou PNLC de la gendarmerie) pour un traitement diligent de son cas.

2

Délégués du personnel de l’Agence Japonaise de la Coopération Internationale (JICA)

Japonaise de la Coopération Internationale (JICA)

Caméras installées sur des positions de travail dans un environnement « open space »

Les délégués du personnel de JICA ont transmis une plainte à la CDP relative à l’installation des caméras de surveillance sur espaces de travail dans un environnement « open space ».

Suite à l'intervention de la CDP, la JICA s’est conformée à la loi en enlevant les caméras visées.

3

Mlle. M. A. D

Hackeur X

Usurpation d’identité sur Instagram

Mademoiselle D a déposé une plainte contre X en raison de l’usurpation de son identité sur Instagram.

Après étude de sa plainte, la CDP a constaté que la plaignante a en réalité oublié son mot de passe. Par conséquent, la CDP a accompagné la plaignante à rétablir son compte.

4

M. M G. MB

Banque Atlantique Sénégal (BAS)

Communication à la presse des données financières d'un client de la Banque Atlantique du Sénégal (BAS)

La CDP a reçu une plainte de Me MB. (Conseil de Monsieur D.) mettant en cause la Banque Atlantique du Sénégal (BAS) pour communication des informations financières de son client par voie de presse.

En réponse à la demande d’explication de la CDP, la BAS soutient qu’en application de l'article 822 du Code de Procédure Civile, des informations relatives au recouvrement de la dette due par le client ont été notifié au Maire de la Ville où réside le client en raison d’un changement d'adresse de ce dernier non notifié à la banque.

Par conséquent, la CDP, au regard des arguments du responsable du traitement, a conclu :

  • en l’absence, en l’état du dossier, d’un manquement relatif à la sécurité imputable à la banque ;
  • au rappel à la BAS de son obligation de respecter scrupuleusement l’article 71 de la loi n°2008-12 et la délibération n°2014–014/CDP du 3 avril 2014 portant sur les mesures de sécurité applicable aux traitements des données à caractère personnel.

5

Mme F. C. D

X

Arnaque à l’emploi

La dame D. a transmis à la CDP une plainte mettant en cause un site internet aux motifs d’une tentative d’arnaque à l’emploi et de vol de données personnelles.

Conformément aux articles 379 et 431-19 de la loi n°2016-29 du 08 novembre 2016, modifiant le Code pénal, la CDP a transmis la plainte à la DSC pour vérifier la légalité des activités des responsables de ce site.

6

M. A. S.

 

Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique

Demande de suppression de données personnelles sur la plateforme 100.000 logements

M. A. S.  s’était inscrit sur la plateforme du programme 100.000 logements mis en œuvre par le Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique. Puis, il notifia, par écrit, au Ministère de son souhait de se désinscrire car n’étant plus intéressé par le programme. La demande étant resté sans suite, il saisit la CDP d’une plainte pour suppression de ses données personnelles.

Une lettre de demande de suppression a été transmise au Ministère en cause conformément à l’article 69 de la loi n°2008-12. 

7

Mlle M. D

 

leral.net, viepeople.net, sentv.info, dakarchaud.com, lateranga.info, equivoxtv.sn,

 

 

Utilisation de la photo de la plaignante dans des articles de presse sans son consentement

La CDP a reçu une plainte de Mademoiselle D mettant en cause des sites d’information en ligne pour avoir collecté et utilisé sa photo à son insu, en guise d’illustration d’articles à propos d’une citoyenne sénégalaise emprisonnée en Arabie Saoudite.

La CDP a requis des sites d’information incriminés :

  • la suppression définitive de la photo de la plaignante conformément aux articles 33, 69 de la loi n°2008-12 du 25 janvier 2008, et 84 de la loi n°2017-27 du 13 juillet 2017 portant code la presse ;
  • l’obligation de respecter les règles liées à la déontologie et l’éthique professionnelle dans le choix des photos illustratives.

A ce jour, deux sites ont répondu favorablement à la demande.

8

Mme A. S.

M. A. Y

Vidéosurveillance installé dans un domicile privé

 

Mme A. S., dans sa plainte transmise à la CDP, précise que sa voisine Mme Y a installé une caméra de vidéosurveillance susceptible de filmer son domicile. 

Suite à l’intervention de la CDP, Mme Y a déclaré que la caméra installée à son domicile respecte les exigences fixées par la norme simplifiée N°2019–003/CDP du 19 Avril 2019 relative au système de vidéosurveillance à domicile. Au regard de la capture envoyée la caméra filme la devanture de son domicile.

Par ailleurs, Mme Y a invité la CDP à vérifier in situ la conformité de son dispositif avec la loi. Le PV de visite a conclu à la régularité du dispositif.

9

Mme. D. D

X

Injures graves sur WhatsApp 

Une personne utilisant WhatsApp sur le numéro de téléphone XXX a envoyé à Mme D. des messages contenant des propos injurieux. Cette dernière a porté plainte à la CDP.

La plainte a été transmise à la DSC conformément à l’article 262-2 de la loi n° 65-60 du 21 juillet 1965 portant Code pénal.

10

Mme A.W

xibar.net

Article de presse portant atteinte à la réputation et à la vie privée

Un article de presse publié sur le site xibar.net relatif au Directeur d’un organe de presse a relaté une altercation ce dernier et la plaignante. Considérant cette publication inappropriée, Mme A. W a porté à la CDP contre le site xibar.net pour atteinte à sa réputation et à sa vie privée.

La CDP a transmis un courrier de demande de suppression au site xibar.net au soutien de l’article 69 de la loi n°2008-12.

Par ailleurs, la CDP a recommandé à la plaignante de saisir le Président du Tribunal de Grande Instance de Dakar, conformément à l’article 90-14 alinéas 2 et 3 de la loi n°2016-30 du 08 novembre 2016, modifiant le Code de Procédure pénale en raison du lieu de résidence du responsable du site xibar.net (Etats-Unis).    

11

M. M. G

M. A. S

Diffusion de contenus privés sur WhatsApp

M. G. a déposé une plainte à la CDP pour diffusion de paroles prononcées à titre privé à des tiers sur WhatsApp.

Après avoir entendu les deux parties, la CDP a relevé l’existence d’une infraction pénale et recommandé au plaignant de porter plainte auprès du Procureur territorialement compétent (Thiès) pour suites à donner à cette affaire.

 

                        2- SIGNALEMENTS

 

MIS EN CAUSE

MOTIFS

OBSERVATIONS

Sen’Eau

Demande d’accès aux données suite à une réclamation

Monsieur S., en appelant la société Sen’Eau pour des réclamations liées à sa facturation, a constaté que ladite société disposait de données personnelles le concernant. N’ayant pas directement fourni ces informations, M. S a saisi la CDP à propos de la régularité de la collecte.

Après vérification, il s’avère que Sen’Eau a hérité de la base de données clients de la SDE. Or, la Session plénière de la CDP avait délivré un récépissé de déclaration n°2016-00238/CDP du 08 janvier 2016 à la Sénégalaise des Eaux (SDE) pour le traitement relatif à la facturation, au recouvrement et au traitement des demandes et des réclamations des clients.

Ainsi, en application des articles 62 et 22 de la loi n°2008-12, la CDP invite l’auteur du signalement à introduire une demande d’accès à ses données personnelles et enjoint Sen’Eau à soumettre des déclarations modificatives.  

M. C. C

Hackeur

La CDP a reçu un signalement de M. C. C relatif au piratage de son compte Facebook par un hackeur résident au Bénin.

Dans le cadre du programme de soutien aux autorités de protection des données personnelles, la CDP a transmis un courriel à Facebook pour le rétablissement du compte piraté.

Dans son courriel de réponse, Facebook précise qu’une enquête est en cours et ne manquera pas de tenir informée la CDP des suites données à la plainte. 

M. L. B

Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique

M. L. B a transmis un signalement à la CDP précisant le véritable problème avec la plateforme 100.000 logements est qu’une fois inscrit, le demandeur voit ses données personnelles accessibles au public.

La CDP a informé l’auteur du signalement que le Ministère de l'Urbanisme du Logement et de l'Hygiène publique a déclaré la plateforme en vue d’une régularisation.

Le dossier est en instruction.

 

 III.  APPLICATION MOBILE CDP

 

Les séances de travail organisées avec l’équipe « Référence IT » ont permis d’apporter des améliorations et d’ajouter plus de fonctionnalités à l’application primée lors de la cérémonie officielle du hackathon (voir capture 2).

Après l’ouverture du compte Google Développeur le 13 mars 2020, trois (03) réunions ont été organisées avec l’équipe Référence IT afin de corriger les problèmes de compatibilité de l’application avec la plateforme Google Play Store. La version corrigée de l’application a été déployée sur Google Play le 19 mars 2020.

Cependant, compte tenu du délai d’examen de l’application par l’équipe Google, l’application CDP sera disponible en téléchargement libre et gratuit dans les jours à venir (voir capture 1).

 

Capture 1 : Compte Google Play Store de la CDP (application mobile en cours d’examen)

 

Capture 2 : Page d’accueil de l’application mobile CDP

 

 

   IV-  COMMUNICATION ET SENSIBILISATION

Pour le premier trimestre de l’année 2020, la Commission de protection des données personnelles a mené des actions de formation, de sensibilisation et de vulgarisation de la loi sur les données personnelles.

Célébration de la Journée mondiale de protection des données personnelles

La Commission de protection des données personnelles (CDP), a célébré comme chaque année et à l’instar de ses homologues d’autres pays, la Journée mondiale de la protection des données à caractère personnel le Mardi 28 Janvier 2020.  A cet effet, la CDP a invité, les étudiants de l’Institut IESMD-Technologies, en partenariat avec Cyber 22, une start-up dynamique spécialisée dans la cybersécurité,  à un panel sur le thème « la protection des données à caractère personnel et le respect de la vie privée sur l’Internet ».

Les panelistes : Bamba BATHILY, Cyber Security Awareness Analyst, Président de Cyber221, Gérard DACOSTA, Président de Darra-it, Thierno BA, Traffic Manager et Stratège Certifié Google et Mohamed Diop, Chef de Division Conformité de la CDP ont échangé avec les participants sur différents aspects liés à l’utilisation responsable des réseaux sociaux, les droits et devoirs des responsables de traitement, la sensibilisation et les bonnes pratiques à inculquer aux Sénégalais.

La presse présente en grand nombre a relayé l’événement. A ce propos, elle a interpellé différents agents de la CDP qui sont revenus sur la signification et l’importance de commémorer cette journée mondiale.  

Rencontre avec le Ministère de l'Économie numérique et des Télécommunications

La CDP avec à sa tête, la Présidente Awa Ndiaye, a effectué une visite de courtoisie au Ministre de l'Économie numérique et des Télécommunications, Mme Ndèye Tické Ndiaye Diop. Une occasion mise à profit par les deux délégations pour échanger sur la  Stratégie numérique 2025, l’actualisation de la loi sur les données personnelles, mais aussi le développement de l'écosystème numérique  au Sénégal.

Élaboration de nouveaux supports de communication

Un booklet présentant la loi 2008-12 portant sur la protection des données personnelles, une plaquette sur les bonnes pratiques et les bons réflexes de traitement et un mini quizz sont les nouveaux supports de communication élaborés par la CDP pour mieux répondre aux préoccupations du public. Ces supports sont désormais disponibles pour les responsables de traitement et le grand public.

Visite de la Banque mondiale à la CDP

La Banque mondiale, dans le cadre de la mission d’évaluation de la stratégie de gouvernance numérique (e-gouvernement) et de l’écosystème nécessaire pour la dématérialisation des services publics, a rencontré les services de la CDP. L’occasion pour les deux parties d’échanger sur la confiance numérique, ainsi que des mécanismes mis en place par la CDP pour prendre en charge les requêtes et les sollicitations des usagers d’Internet. Par ailleurs, la collecte massive de données financières par les administrations (bourses d’étudiants, pensions de retraite, bourses familiales, mutuelles de santé…) a particulièrement retenu l’attention des membres de la délégation de l’institution financière mondiale. La CDP est revenue sur les dispositions de la nouvelle loi qui prend en charge l’essentiel des questions soulevées. La Banque mondiale s’est dite disposée à une collaboration plus directe et dynamique avec la CDP, afin de l’accompagner dans l’accomplissement de ses missions.

Atelier sur l’avant-projet de loi sur la protection des données personnelles

La CDP a pris part, les 27 et 28 février 2020 à Saly, à un atelier organisé par Jonction en collaboration avec Facebook et Cipesa sur l’avant-projet de loi sur la protection des données personnelles. Cette rencontre qui a réuni plusieurs experts, des universitaires, des acteurs étatiques dont le Ministère de l’Économie numérique et des Télécommunications, la société civile et la Commission de protection des données personnelles.  Des présentations suivies d’échanges avec les acteurs ont permis au terme des deux jours de dégager des recommandations au nombre de 10 :

  • Fixer la majorité numérique à 15 ans ;
  • Reconnaitre la prérogative aux Commissaires de désigner le Président de l’APDP sur la base d’une élection à l’interne ;
  • Renforcer le pouvoir, les moyens techniques et financiers de l’APDP pour lui donner les capacités d’action et de protection des données personnelles ;
  • Requérir l’avis obligatoire de l’APDP dans l’attribution des marchés impliquant le traitement ou l’identification des données personnelles ;
  • Énoncer une disposition permettant à l’APDP de disposer de toutes les données à caractère personnel des abonnés des opérateurs ;
  • Permettre à l’APDP d’assurer la collecte ou le recouvrement des sanctions pécuniaires infligées aux contrevenants ;
  • Renforcer l’autonomie financière de l’APDP en lui octroyant 50% des montants recouvrés ;
  • Faire obligation au responsable de traitement soit de supprimer les données collectées, soit de les archiver après atteinte de la finalité ;
  • Introduire les principes : d’authentification, d’identification et d’anonymisation dans l’avant-projet ;
  • Permettre à l’APDP de déclencher l’action publique à l’image des autres administrations comme la Douane, l’Administration fiscale.

 

Rencontre avec le Ministère de l’Education nationale

La CDP a pris part le lundi 02 Mars 2020 a la réunion de cadrage sur le programme de sensibilisation à l’endroit des élèves intitulé ‘’Éducation au numérique’’.  Outre l’implication de nouveaux acteurs dans ce programme, la rencontre a permis d’identifier et de valider les contenus à proposer pour la formation et la sensibilisation, définir la stratégie et la feuille de route de mise en œuvre et fixer d’autres objectifs ainsi que certaines échéances pour le déroulement du programme.

Le FELDE se joint à la CDP pour sensibiliser les jeunes sur la protection des données personnelles

L’Association des Femmes leaders pour le développement (FELDE), dans le cadre de la célébration de la Journée internationale de lutte pour les droits des femmes, a tenu une séance de sensibilisation avec la CDP. Cette session qui s’est tenue dans la région de Thiès a mobilisé les autorités de la ville et des étudiants de l'Institut supérieur d'enseignement professionnel (ISEP) de Thiès. Une occasion pour le Directeur de la Communication et des Relations publiques d’interagir avec ces derniers sur les risques liés aux usages inconsidérés des réseaux sociaux. A sa suite, la Direction des Affaires Juridiques, de la Conformité et du Contentieux représentée par un agent a échangé avec eux sur les définitions des notions de données personnelles, les missions de la Commission définies par la loi et les moyens de saisine et de recours dont disposent les jeunes en cas de violation de leurs données personnelles ou de leur vie privée.  Les étudiants ont souhaité que la CDP renouvelle cet exercice pour d’autres établissements. 

Nomination des nouveaux Commissaires de la Session plénière de la CDP

Les nouveaux Commissaires de la Session plénière de la Commission de protection des données personnelles (CDP) ont tenu leur première session plénière le Jeudi 12 mars 2020 au lendemain de leur nomination. En effet, la Session plénière qui est l’organe délibérant de la CDP a été renouvelée pour un mandat de 4 ans avec la nomination de nouveaux commissaires. Ainsi, suite à la publication du décret n°2020- 470 du 13 Février portant nomination des membres de la Commission de protection des données personnelles (CDP), la Session Plénière se compose désormais comme suit :

• Mme Awa NDIAYE, Présidente de la CDP (Présidence de la République)

• M. Fiacre Bruno Léopold BADIANE (Présidence de la République)

• Mme Khoudia GUEYE (Présidence de la République)

• M. Théodore Cherif MONTEIL (Assemblée Nationale)

• M. Kor SENE (Cour Suprême)

• M. Moustapha BA (Cour Suprême)

• Maître Léon Patrice SARR (Ordre des Avocats)

• M. Ababacar DIOP (Organisations de défense des droits de l’homme)

• M. Cheikh BAKHOUM (Directeur Général de l'ADIE)

• M. Alioune BA (Patronat).

Par ailleurs, un Commissaire du Gouvernement, désigné par le Secrétaire Général du Gouvernement, siège auprès de la Commission pour un mandat de deux ans. Il s’agit de M. Papa Assane TOURE. Le Commissaire Théodore Chérif Monteil est élu Vice- président de la CDP. La session plénière se réunit chaque mois pour l’examen des dossiers inscrits à l’ordre du jour.

Interpellations sur le site et les réseaux sociaux

Fidèle à sa mission de sensibilisation, la CDP à travers ses canaux de communication a répondu aux différentes interpellations et demandes du public comme des médias. Ces demandes du public, outre les plaintes, ont tourné autour de la protection par la CDP des noms de sociétés, de la demande de suppression de l’identité dans une personne inscrite sur une plateforme, de la légalité de diffuser une vidéo de dénonciation pour mauvaise prestation. La CDP a été saisie sur les mentions NO VOTE indiquées sur certaines cartes d’identité nationales et sur les formalités déclaratives qui pèsent sur les responsables de traitement et les sous-traitants. Sur l’ensemble de ces interpellations, la CDP a apporté les réponses idoines et accompagné les demandeurs dans leurs formalités.

Concernant la presse, les agents de la CDP ont été sollicités lors de la Journée mondiale de la protection des données personnelles pour réponses aux questions des journalistes. C’est ainsi que le Directeur des Affaires juridiques, de la conformité et du contentieux a tenu un point de presse après la cérémonie, puis accordé des interviews aux médias, de même que le Chef du Contentieux sur le nombre de plaintes et la Chef du bureau de la coopération. Cette dernière a également répondu à l’invitation d’une émission d’une télévision de la place sur les notions de protection des données personnelles et l’usurpation d’identité.   

La CDP se joint à la lutte contre le Covid-19

Dans le cadre de la mise en œuvre des mesures de prévention édictées par les autorités publiques pour combattre la propagation du Covid-19, la Commission de Protection des Données Personnelles (CDP) a pris un ensemble de mesures via un communiqué informant les responsables de traitement, le grand public, et les partenaires de la suspension temporaire des permanences physiques. A cet effet, la Commission encourage vivement ces derniers à se servir des services en ligne pour procéder à leurs formalités déclaratives. Ceci dans le but de rompre la chaine de transmission du virus ; mais aussi de se conformer aux directives formulées par les autorités sanitaires et étatiques.

 

V.  COOPERATION ET PARTENARIAT

 

1- AU NIVEAU AFRICAIN

Groupe de travail SMART AFRICA sur la protection des données et le respect de la vie privée :

La Commission de protection des Données Personnelles (CDP) préside le Groupe de travail mis en place dans le cadre de l’Alliance Smart Africa. Ce Groupe de travail a pour mission de proposer un cadre harmonisé pour la protection des données et le respect de la vie privée sur la base de la Convention de l’Union Africaine sur la Cybersécurité et la protection des données à caractère personnel (Convention de Malabo), et par l’intégration de d’autres cadres internationaux régionaux.

Par ailleurs, le Groupe de travail s’est fixé comme objectifs de :

  • Créer un document cadre qui servira de lignes directrices pour les états membres souhaitant développer des stratégies nationales de protection des données personnelles et de respect de la vie privée ;
  • Créer un document cadre avec des recommandations qui seront présentées et adoptées au Comité de pilotage et au Conseil d’administration de Smart Africa ;
  • Proposer des recommandations qui soutiendront le mandat de l’Union Africaine, tel que défini par la Convention de Malabo.

 

Pour réaliser ces objectifs, le Groupe de travail s’est constitué en sept (7) sous-groupes thématiques, composés d’Autorités africaines de protection des données personnelles, d’entreprises privées dans secteur des TIC et des Télécommunications, d’ONG et d’organisations internationales.

 

Les sept sous-groupes travaillent sur les sept points suivants :

 

  1. Examiner le processus de ratification et d’adoption de la Convention de Malabo dans les pays africains et suggérer des mécanismes de suivi et de soutien à l’adoption et l’harmonisation des cadres de régulation pour la protection des données ;
  2. Suggérer des principes pour la définition du consentement, les droits des individus et la délimitation des prérogatives de l’Etat et des exceptions au droit à la vie privée ;
  3. Soutenir la mise en œuvre de critères communs pour la définition de mesures de sécurité appropriées pour la confidentialité de la collecte et du traitement de données ;
  4. Suggérer des mesures pour l’harmonisation de l’application des règles et des obligations relatives aux responsables du contrôle et du traitement de données ;
  5. Suggérer des régimes de gouvernance garantissant l’indépendance des autorités de protection des données et l’exercice de leur rôle ;
  6. Définir des principes pour un cadre harmonisé sur la circulation des données et une gouvernance des données au-delà du respect de la vie privée ;
  7. Définir des principes pour établir la confiance dans l’économie numérique africaine.

 

Le travail des sous-groupes se déroule en deux phases : la première consiste à effectuer une cartographie des cadres nationaux, régionaux et internationaux de régulation des données et d’identifier les différences et similitudes entre ces cadres.

La deuxième phase consiste à émettre des recommandations, sur la base de la cartographie effectuée, sous forme de principes. Ces recommandations devraient être présentées au Sommet Transform Africa (TAS), initialement prévu à partir du 20 avril 2020, mais reporté en raison de la Pandémie du Coronavirus.

Par ailleurs, un document cadre devra être élaboré à la fin du processus, et présenté au Comité de Pilotage du Conseil d’Administration de Smart Africa.

Les sous-groupes travaillent actuellement sur la première phase de cartographie des cadres de régulation des données.

 

                   2- AU NIVEAU NATIONAL

Participation à la mission de préparation de la migration des données du DHIS2 (District Health Information Software) Sénégal vers les serveurs de l’ADIE (Norvège) :

 Du 09 au 13 février 2020, la CDP a participé à la mission de préparation de la migration au Sénégal des données du DHIS2, hébergées par l’Université d’Oslo.

Le DHIS est une plateforme open source utilisée dans plus de 60 pays pour le reporting, l’analyse et la diffusion des données de tous les programmes de santé. Actuellement la plateforme en est à sa deuxième version, d’où l’appellation DHIS2.

 

Le DHIS2 a été déployé au Sénégal comme plateforme intégrée de gestion du Service national de l’Information Sanitaire (SBNIS) depuis 2014. Il a été initialement paramétré pour la gestion des données agrégées couvrant le niveau communautaire jusqu’aux hôpitaux nationaux en passant par les centres et postes de santé.

Le DHIS2 a été configuré pour les différents programmes de Santé, entre autres : Programme Elargi de Vaccination (PEV), le Paludisme, la Tuberculose, le VIH SIDA, et la Santé de la mère et de l’enfant.

 

VI- CONCLUSION

Durant le premier trimestre 2020, la CDP s’est orientée vers une politique de modernisation de sa communication institutionnelle et digitale. A cet effet, de nouveaux outils de communication avec les usagers et le grand public seront proposés dans les semaines à venir. Toujours, dans cet ordre d’idées, la CDP a multiplié les contacts avec les partenaires stratégiques en vue de promouvoir une véritable culture de protection des données personnelles.

Au niveau continental, l’Alliance Smart Africa va permettre d’approfondir les initiatives d’harmonisation des législations nationales africaines.

Par ailleurs, l’irruption du Covid-19 et la situation de crise sanitaire mondiale qu’elle a fini de créer va placer la protection des données personnelles au cœur des prochaines discussions. La CDP ne manquera pas de communiquer largement sur les rôles et responsabilités incombant aux différents acteurs engagés dans la résolution de la crise.  

Mardi, avril 21, 2020 - 11:45

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles