COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 02-2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce deuxième trimestre de l’année 2019, et conformément à son programme d’activités annuel, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

 Ainsi, après approbation des Commissaires, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

 

I. COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce deuxième trimestre 2019, la CDP a accueilli 20 structures venues s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 65 dossiers dont 45 déclarations et 20 demandes d’autorisation.

A l’issue des trois (03) sessions plénières tenues à la CDP, 45 récépissés de déclaration, 18 autorisations et 02 refus d’autorisations ont été émis.

La Commission a, en outre, reçu des demandes d’avis et émis des appels à déclaration :

- Nombre d’appels à déclaration : 23

- Demande d’avis : 04

- Plaintes et signalements reçus : 05

 

  1. - Demandes d’avis reçus par la CDP  

QUESTIONS

REPONSES

  •  

A.F, un particulier, souhaiterait savoir si la Fondation Institut Pasteur respecte la législation dans le traitement des données de santé

La Fondation Institut Pasteur de Dakar a soumis à la CDP, depuis 2015, deux demandes d’autorisation de traitement de données de santé, notamment :

  • Les registres de consultation, les fiches individuelles de renseignement et les carnets de vaccination :
  • Le progiciel « CODATEC SYSLAM ».

 

Sur le fondement de l’article 20-1 de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données personnelles, la CDP a autorisé, par Délibérations n°2015-00115/CDP et n°2015-00116/CDP du 10 juillet 2015, la Fondation Institut Pasteur à poursuivre ces traitements.

Par conséquent, l’Institut Pasteur respecte bien la législation sur la protection des données personnelles. Enfin, la CDP invite le demandeur, suivant les dispositions de l’article 62 de la loi n°2008-12, à se rapprocher du responsable de traitement, afin d’obtenir les informations utiles concernant ses données personnelles. 

  •  

« Je vous écris pour recueillir quelques informations concernant la protection des données. Je suis un jeune entrepreneur voulant lancer une application mobile et un site web prochainement. Cela inclut bien évidemment une collecte de données personnelles. J’aimerais connaître les modalités pour mener à bien ce projet »

Aux termes des articles 18 et 20 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données personnelles, « les traitements de données à caractère personnel font l’objet d’une déclaration auprès de la Commission » qui autorise « les transferts transfrontaliers de données à caractère personnel ». 

Actions à entreprendre par le demandeur :

  • Télécharger sur le site de la CDP le formulaire de déclaration de collecte de données personnelles sur site internet.
  • Remplir la demande d'autorisation comportant l'annexe sur le transfert s'il s'agit d'une base données hébergée à l'étranger.
  • Formulaires disponibles dans la rubrique "documents"

    M. S

« J’ai des caméras à installer chez moi, quelle est la procédure ? »

  • Télécharger sur le site de la CDP le formulaire de déclaration de système de vidéosurveillance.
  • Joindre le plan d’installation des caméras lors du dépôt.

 

Un cabinet d’étude aimerait mener une enquête sur les conditions de vie des étudiants. Ils collecteraient éventuellement des données de santé de ces derniers.

Le demandeur devra :

  • Remplir une demande d’autorisation en raison de la collecte de données sensibles que représentent les données de santé.
  • Veiller à ce que le traitement de ces dernières soit supervisé par un professionnel de santé

 

2.  Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

Responsables de traitement/ Sous-traitants

Traitements

  1. AMB Services SUARL

Fichiers contenant des données personnelles

  1. Africa Transaction Processing and Service SA (ATPS)

Système de contrôle d’accès par badge et système de vidéosurveillance

  1. Collège Bilingue

Registre des entrées et sorties

  1. Digital Network Consulting

Fichiers contenant des données personnelles

  1.  

Registre des entrées et sorties

  1. EL TORO SARL

Registre des entrées et sorties

  1. Groupe Elite International

Fichiers contenant des données personnelles

  1. Hydrogen Business and Operation (HBO)

Fichiers contenant des données personnelles

  1. Sénégalaise de Protection Electronique (SPE)

Fichiers contenant des données personnelles

  1. Société GATES

Fichiers contenant des données personnelles

  1. Société Sénégalaise Agro-industrielle (SOSAGRIN)

Système de contrôle d’accès par badge et système vidéosurveillance.

  1. CBAO- Groupe ATTIJARI WAFA BANK

Système de contrôle d’accès par badge

  1. CREDIT DU SENEGAL

Système de contrôle d’accès par badge

  1. Crédit Kash SA

Système de contrôle d’accès par badge

  1. Société Nouvelle Déménagements CASALA

Registre des entrées et sorties et système de contrôle d’accès par badge

  1.  

Fichiers contenant des données personnelles

  1. BP Sénégal

Système de contrôle d’accès par badge

  1. BY SECURITE PLUS

Fichiers contenant des données personnelles

  1.  

Fichiers contenant des données personnelles

  1. Ibrahima FAYE

Fichiers contenant des données personnelles

  1. Industrie des Boissons du Sénégal

Système de contrôle d’accès par badge et système de vidéosurveillance

  1. Laborex Sénégal

Système de contrôle d’accès par badge

  1.  

Fichiers contenant des données personnelles

 

3.  Décisions rendues par la Session Plénière :

3.1 - Autorisations accordées :

Finalités des traitements

Nombre

Structures

WELCOME SMS

01

SONATEL SA

 

DATACENTER SONATEL

01

SONATEL SA

 

YOUSCRIBE

01

 

SONATEL SA

TRAITEMENT FATCA

 

02

CBAO GROUPE ATTIJARI WAFA BANK

CREDIT DU SENEGAL

Emission de cartes monétiques et biométriques pour les pensionnés de l’IPRES

01

INSTITUTION DE PREVOYANCE RETRAITE DU SENEGAL (IPRES)

Demande d’information et Lettre d’information pour le site internet www.e-repetiteur.com

01

FOCATI SOLUTIONS SAS

Site internet www.senvitale.com

01

 

SEN VITALE

Plateforme Web Sen Vitale, Applications mobiles Sen Vitale

01

SEN VITALE

Prise et traitement d’image sous vidéos de diverses catégories de personnes

01

PHILIP MORRIS MANUFACTURING SENEGAL (PMMSN)

Gestion de la base de données clients et Transfert de données vers un pays tiers

01

AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)

Traitement des données personnelles des salariés

04

AFRICAN PAYMENT GATEWAY

SOSAGRIN

INDUSTRIE DES BOISSONS DU SENEGAL (IBS)

DAKARNAVE SA

Système de pointage par biométrie

01

INTERNATIONAL SECURITY STANDARDS AFRIQUE SA

Système d’Information de Gestion Intégré de la CMU

01

AGENCE COUVERTURE MALADIE UNIVERSELLE

Base de données Cority

01

BP SENEGAL INVESTMENTS LIMITED

 

 

3.2    -  Récépissés délivrés :

 

Finalités

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

28

  • LES PÉDAGOGUESXELTU- PARCELLES UNITÉ 22
  • LES PEDAGOGUES ELITES SCHOOL THIES
  • LES PEDAGOGUES HLM GRAND YOFF
  • LES PEDAGOGUES OUSMANE FALL MBAO 
  • LES PEDAGOGUES CMTM PARCELLES ASSAINIES UNITE 22 
  • LES PEDAGOGUES PRESTIGE SIPRES SUD FOIRE 
  • LES PEDAGOGUES SERIGNE MOUNTAKHA BACHIR MBACKE
  • LE COLLEGE BILINGUE
  • PHARMACIE COOPE
  •  
  • RESORT COMPANY INVEST (CAFE DE ROME)
  • LE PETIT PRINCE
  • EL TORO SARL
  •  
  • DECATHLON SENEGAL
  • PROJET TER- GROUPEMENT M1 EIFFAGE/CSE/YAPI MERKEZI
  • SOCIETE NOUVELLE DES SALINS DU SINE SALOUM (SNSSS)
  • S.P.H.U HOTEL PULLMAN DAKAR TERANGA
  •  
  • FONDATION FRIEDRICH-EBERT-STIFTUNG SENEGAL
  • CAMUSAT SENEGAL
  • DAKARNAVE SA
  • LABOREX SENEGAL
  • JADE E-SERVICES SENEGAL SUARL (JUMIA Liberté 6)
  • JADE E-SERVICES SENEGAL SUARL (JUMIA Castors)
  • JADE E-SERVICES SENEGAL SUARL (JUMIA Mermoz)
  • IN AFRICA
  • INTERNATIONAL SECURITY STANDARDS AFRIQUE SA

 

Vidéosurveillance chez des particuliers

 

 

 

09

 

  • A. P. SECK
  • M. L. NDIAYE 
  • M. L. SAMBA
  • M. MBAYE
  • RESIDENCE ATLANTIC
  • B. THIONGANE (Malika Keur Massar U 03)
  • B. THIONGANE (Malika Keur Massar U 10)
  • N. E. S. SARR
  • A. SAKHO

Informations sur le site internet de l’établissement www.lecollegebilingue-dakar.net

01

  • LE COLLEGE BILINGUE

 

Gestion des Distributeurs 

 

01

  • AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)

Système de contrôle d’accès par badge

02

  • OFNAC
  • DAKARNAVE SA

Gestion Administrative du personnel 

01

  • AFRICA TRANSACTION PROCESSING AND SERVICE SA (ATPS)

Traitement des données à caractère personnel de la clientèle

02

  • ETS ABDOU KARIM SARR
  • CREDIT KASH SA

Registre des entrées et sorties

01

  • DAKARNAVE SA

 

3.3-  Refus d’autorisation de traitement/ Rejet de déclaration de traitement :

 

Nombre

Intitulé du traitement

Responsables du traitement

Finalités du traitement

Motifs de refus ou de rejet

01

Registre des employés et tenue régulière des dossiers administratifs contenant les données personnelles des employés

Société Sénégalaise Agro-industrielle (SOSAGRIN)

  • Tenue régulière des dossiers administratifs contenant les données personnelles des employés
  •  
  • Gestion des congés
  • Les visites médicales annuelles (tous les employés) et semestrielle (seuls les employés en contact avec le produit fabriqué).

 

Accès aux données personnelles relatives à la santé des salariés par un personnel non habilité

02

Etude marketing sur site web www.loutakhadiog.sn

Philip Morris Manufacturing Sénégal (PMMSN)

La plateforme permettra de tester suivant les statistiques de navigation comment les contenus d’un magazine en ligne sont perçus par les personnes interrogées.

Finalité équivoque.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.  Plaintes et signalements reçus par la CDP :

4.1 - Plaintes

Plaignant

Mis en cause

Motifs

Observations

1

M. O. D

Fédération des Crédit Mutuel du Sénégal (CMS)

Collecte de données biométriques lors du retrait d’un certain montant par les clients du CMS

M.O.D, client à la Fédération des Crédit Mutuel du Sénégal (CMS) constate qu’à chaque opération de retrait d’un montant supérieur ou égal à un million, l’institution lui exige d’apposer son index gauche sur le bordereau de retrait. C’est ainsi qu’il a saisi la CDP d’une plainte pour connaitre la règlementation en la matière.

Le CMS avait soumis une demande d’autorisation à la CDP le 21 janvier 2015.

Sur le fondement de l’article 20 de la loi 2008-12 du 25 janvier 2008, la CDP a autorisé par Délibération n°2015-0081/CDP du 27 mars 2015 le CMS à poursuivre le traitement relatif à la collecte d’empreintes digitales des sociétaires pour les retraits d’argent d’un montant supérieur à cinq cent mille (500 000) francs CFA.

Ledit traitement est mis en œuvre, selon le déclarant, pour faire face aux multiples contestations de retraits d’argent sur des montants importants et pour sécuriser les dépôts des clients.

Le client a donc été informé que le traitement ainsi mis en œuvre est autorisé.

2

M. L. NG

M. J.M.M.R

Demande de suppression de commentaires diffamatoires portant atteinte à l’honneur et à la réputation du plaignant sur Overblog, Blogspot et Google

M.NG, un opérateur économique a eu un litige avec un ressortissant européen (M.J.M.M.R). Ce dernier a été condamné par le Tribunal régional hors classe de Dakar à une peine de six (06) mois d’emprisonnement et une amende d’un montant de 35.000.000 F CFA. A son retour dans son pays, voulant se venger, le sieur J. a utilisé les plateformes Overblog, Blogspot pour émettre des commentaires diffamatoires portant atteinte à l’honneur et la réputation du sieur NG.

Par ailleurs, le nom du plaignant étant référencé sur le moteur de recherche de Google, il s’est rapproché de la CDP pour une demande de suppression de ces commentaires.

La CDP a accompagné le plaignant dans la suppression des commentaires sur ces plateformes avant de l’aider à soumettre une requête à Google pour le déréférencement de ces contenus devenus obsolètes à travers le formulaire disponible ci-après : https://support.google.com/websearch/answer/6349986?hl=fr

En conséquence, Google a rendu inaccessible ces contenus et le nom du plaignant a été déréférencé.

3

Me N

Contre X

Collecte et diffusion d’images désobligeantes sur WhatsApp

Maître N, représentant légal du sieur E, a transmis une plainte contre X à la CDP relative à la collecte et la diffusion d’images désobligeantes sur WhatsApp sans le consentement de son client, par le détenteur du numéro XXXX.

La Commission, en application de l’article 16-2-c de la loi n°2008-12 et des articles 363 bis 2 et 431-19 de la loi n°2016-29 du 08 novembre 2016, modifiant le Code pénal, a transmis le dossier au Procureur de la République, pour suites à donner.

4

 

M. C.A.M.S

Hackeur

Tentative de piratage de compte et d’extorsion de fonds

M. S a transmis à la CDP une plainte relative à une tentative de piratage de son compte et d’extorsion de fonds. Le hackeur, dans le courriel envoyé au plaignant, prétend contrôler sa machine à distance, connaitre la disposition de son mot de passe et menace de publier une vidéo obscène le concernant.

Le requérant refuse de céder au chantage, précisant qu’il a changé depuis longtemps le mot de passe que semble détenir le hackeur.

En raison des menaces qui pèsent sur le plaignant, la CDP a transmis la plainte à la Division Spéciale de la Cybersécurité.

Par ailleurs, la Commission a recommandé au plaignant de l’informer si la vidéo, objet de menaces, était mise en ligne, afin de l’accompagner pour sa suppression, conformément à l’article 69 de la loi n°2008-12.

5

M. A.T

Hackeur

Chantage à la webcam et tentative d’extorsion de fonds

M. T a rencontré sur Facebook un individu utilisant le nom de profil L. Ce dernier en usant de manœuvres frauduleuses, a pris possession d’une vidéo compromettante de la victime, via une conversation sur WhatsApp. Suite au refus du plaignant de verser le montant demandé, la vidéo a été publiée par le hackeur sur WhatsApp.

La CDP a facilité le contact entre le plaignant et WhatsApp, qui a diligenté la suppression de la vidéo.

WhatsApp a également recommandé à la victime de bloquer la personne auteur de l’envoi de la vidéo. Cette formalité permettra d’identifier l’auteur de l’infraction comme un usager en conflit avec les règles d’usage du service de messagerie. Par ailleurs, WhatsApp a invité le plaignant à saisir les autorités de police.

 

4.2 - Signalements

Mis en cause

Motifs

Observations

Utilisateur du numéro de téléphone XXX

Tentative d’escroquerie et d’extorsion de fonds

La CDP a reçu un signalement relatif à une tentative d’escroquerie et d’extorsion de fonds.

La personne suspectée émet des appels téléphoniques avec les numéros XXX, et réclame le versement de sommes d’argent sur le compte des numéros XXX.

Conformément aux dispositions des articles 372 et 379 de la loi n°2016-29 du 08 novembre 2016, modifiant le Code pénal, le signalement a été transmis à la Division Spéciale de la Cybersécurité (DSC). 

Hackeur

Usurpation d’identité

Une actrice de la série « maitresse d’un homme marié », victime d’usurpation d’identité sur Instagram, s’est rapprochée de la CDP.

La Commission lui a expliqué la procédure à suivre pour signaler le compte usurpateur, qui a été finalement désactivé.

Par ailleurs, la Commission a recommandé à la victime de porter plainte auprès de la Division Spéciale de la Cybersécurité. 

 

 

5.  Politique de conformité de la CDP :

 

MISE EN PLACE D’UNE PROCEDURE DE DECLARATION SIMPLIFIEE.

 

La Commission de protection des Données Personnelles (CDP) a adopté, en sa Session Plénière du 19 avril 2019, les normes simplifiées, destinées à alléger les procédures de déclaration des traitements de données à caractère personnel. 

Ces normes simplifiées concernent les traitements suivants :

  1. Gestion du personnel dans les entreprises publiques et privées ;
  2. Registres de contrôle des entrées et des sorties ;
  3. Systèmes de vidéosurveillance à domicile pour les particuliers ;
  4. Systèmes de contrôle d’accès par badges magnétiques ;
  5. Gestion des fournisseurs et prestataires.

Pour bénéficier de la procédure allégée de déclaration, le responsable de traitement doit s’engager à respecter au préalable les conditions posées par la norme simplifiée concernée.

Cet engagement se manifeste par le remplissage et le dépôt du « formulaire de déclaration simplifiée » auprès de la CDP.

Ainsi, un rapport de confiance est établi entre la CDP et le responsable de traitement. Toutefois, la Commission se réserve le droit de contrôler sur site, et à tout moment, le traitement ayant fait l’objet d’une déclaration simplifiée.

 

Etapes de la déclaration simplifiée :

Vérifier si le traitement à mettre en œuvre fait partie de ceux listés ci-dessus 

Si le traitement en fait partie, télécharger à partir du site internet de la CDP la norme simplifiée concernée (exemple : norme simplifiée gestion du personnel)

Lire attentivement la norme simplifiée (NS) concernée et prendre note des conditions fixées 

Sassurer que votre traitement est bien conforme à la norme concernée, c’est-à-dire qu’il respecte les conditions posées

Appeler, au besoin, le service de la conformité de la CDP (33 859 70 35) pour des informations complémentaires sur la procédure

Télécharger le formulaire de déclaration simplifiée

Cocher la case qui correspond à votre traitement

Cocher la case sur la déclaration sur l’honneur

Signer le formulaire et apposer le cachet de l’organisme, si c’est une personne morale qui déclare

Déposer le formulaire de déclaration simplifiée auprès de la CDP 

 

  1. de développement de l’application mobile CDP

A l’issue de la cérémonie de clôture du Hackathon CDP pour le développement d’une application mobile, les membres de l’équipe « Référence IT », vainqueur de la première édition de ce concours, ont bénéficié chacun d’un stage rémunéré de deux (02) mois. Durant cette période, Référence IT a accompagné la CDP pour le perfectionnement et la mise en œuvre technique de l’application mobile.

Les agents de la CDP ont aussi été formés afin de faciliter l’administration et la maintenance de la plateforme mobile.

Au courant du prochain trimestre, l’application sera disponible sur Google Play Store en version d’évaluation avant le lancement de la version officielle.

 

II.  COMMUNICATION         

Les activités de communication et de sensibilisation ont, au cours de ce deuxième trimestre, tourné autour de rencontres d’échanges avec les responsables de traitement et autour de la nouvelle politique de conformité de la CDP.

 

  1. sur les formalités déclaratives

1.1-  Diffusion du Communiqué sur la délivrance des récépissés et autorisations de traitement

A la suite de la Session Plénière tenue le 15 mars 2019, l’organe délibérant a instruit les services de la CDP de porter à la connaissance des responsables de traitement les nouvelles dispositions relatives à l’obligation, pour les sous-traitants, de se mettre en conformité avec la législation sur les données à caractère personnel. La CDP a, via un communiqué paru dans la presse, porté cette mesure à la connaissance des responsables de traitement et des sous-traitants. L’information a été également relayée sur les supports de la CDP notamment son site internet et les réseaux sociaux. 

1.2-  Diffusion de la Note d’information sur les normes simplifiées pour l’allègement des procédures déclaratives

Dans un souci d’alléger les procédures de déclaration des traitements des données, la CDP a réfléchi à la conception et la publication de normes simplifiées. Au total, ce sont 5 types de traitements, portant sur la gestion du personnel dans les entreprises publiques et privées, les registres de contrôle des entrées et des sorties, les systèmes de vidéosurveillance à domicile pour les particuliers, les systèmes de contrôle d’accès par badges magnétiques et la gestion des fournisseurs et prestataires, qui sont mis en place.

2.  Communication relative à l’écosystème du numérique 

2.1- Lancement de la Stratégie d’exportation des services IT et de l’externalisation des processus métiers (IT/BPO)

La CDP a été associée à la stratégie d’exportation des services IT et de l’externalisation des processus métiers (IT/BPO). En effet, la CDP, coptée dans le comité de pilotage, a apporté son expertise lors des consultations public-privé entamées depuis mai 2018 afin d’arriver à une stratégie opérationnelle, arrimée à la SN 2025 dont l’objectif est de faire du Sénégal un des leaders africains dans le commerce des services numériques. Le lancement officiel de la stratégie à l’export des technologies de l’information et l’externalisation des processus métiers (IT/BPO) s’est tenu lors du Salon International des Professionnels de l’Économie Numérique (SIPEN 2019).

2.2- Journée d’information et d’échanges avec l’Université Virtuelle du Sénégal (UVS)

Dans le cadre d’une série de rencontres avec les acteurs du secteur de l’éducation, du secteur numérique et de leurs partenaires, l’Université Virtuelle du Sénégal (UVS) a convié, le Jeudi 09 mai 2019, la CDP à une journée d’information et d’échanges. Une journée mise à profit pour discuter droits et obligations des responsables de traitement, notamment en ce qui concerne la vidéosurveillance, les mesures sécuritaires à initier en cas d’attaques informatiques mais aussi les différentes chartes de sécurité régissant leurs interactions avec les étudiants, les partenaires et les prestataires.

 

2.3- Participation à la 12e édition du cycle de conférence les « Mardis du Numérique »

La Commission a pris part, le 28 Mai 2019, à la 12e édition du cycle de conférence les « Mardis du Numérique » qui portait sur le thème : « Les urgences et priorités du numérique sénégalais ». Une occasion mise à profit pour discuter des actions à mettre en place pour permettre au Sénégal d’entrer de plein pied dans le numérique. Outre la mise en place d’une « Stratégie Numérique 2025 », il est opportun de disposer d’une offre de formation qui corresponde aux besoins « futuristes », de redéfinir le partenariat public/privé, de mettre en place un Ministère de tutelle fort,  avec un budget conséquent et une architecture institutionnelle cohérente. 

2.4- Séance d’information sur les procédures du BIC (Bureau d’Information sur le Crédit (BIC)

La Commission a pris part, le mercredi 12 juin 2019, à une réunion à la Direction de la Monnaie et du Crédit. Une rencontre qui portait sur les procédures de collecte, de traitement et de diffusion des données sur le crédit.

Les échanges ont porté sur les obligations du BIC vis-à-vis de la CDP, le dispositif de collecte des informations auprès des grands facturiers, la périodicité de la transmission des informations, les données concernées, les avantages procurés aux grands facturiers par le système de partage des informations sur le crédit, les tarifs des services du BIC, la dérogation du consentement des clients pour les grands facturiers de certains pays.

2.5- Atelier national de renforcement des capacités de la société civile sur la stratégie nationale de cyber sécurité organisé par JONCTION

La CDP pris part, Jeudi 13 juin 2019, à l’atelier organisé par l’ONG Jonction, qui, en partenariat avec Global Partner Digital avait produit en mars 2019 une étude sur la cybersécurité et la cybercriminalité au Sénégal et une analyse critique de la stratégie nationale de cybersécurité du Sénégal. La rencontre avait pour but de faciliter l'engagement de la société civile dans les processus décisionnels nationaux clés, en matière de cybersécurité et de cybercriminalité. Durant cette rencontre, la CDP a décliné ses missions et son rôle dans la stratégie de cybersécurité et dans la lutte contre la cybercriminalité. Les participants ont proposé la mise en place d’une plateforme de la société civile afin d’organiser et de porter le plaidoyer et un certain nombre d’actions ont été identifiés.

 

III.    COOPERATION/PARTENARIAT/FORMATION

Durant ces trois mois, la Commission de protection des données personnelles (CDP) a également fait valoir son expérience auprès de ses homologues africains, à travers des visites d’imprégnation. Des partenaires majeurs du numériques ont aussi rendu visite à la CDP et tenu des séances de travail avec les équipes de la Commission

  1. avec les Autorités de contrôle

1.1.  Visite de travail de l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP) du Burkina du Faso

En visite d’imprégnation, l’ARCEP du Burkina Faso a rencontré plusieurs acteurs du secteur numérique sénégalais dont la CDP, le lundi 8 Avril 2019. Les échanges ont porté sur les questions liées à la protection des données personnelles, sur l’arsenal juridique mis en place par le Sénégal, sur des questions liées à la régulation des données dans le secteur des télécommunications, sur l’externalisation des données, le mobile banking et la coopération entre autorités de régulation des données. L’organisme burkinabé s’est dit satisfait des échanges et a souhaité renforcer sa collaboration avec la Commission. 

1.2.  Visite d’imprégnation de L'APDP du Bénin à la CDP

Une délégation constituée de responsables de l’APDP du Bénin a effectué, du 15 au 19 Avril 2019, une visite d’imprégnation à la Commission de protection des données personnelles. L’objectif principal de cette visite de travail était de permettre aux membres de cette délégation de se familiariser avec les procédures de traitement des données personnelles mises en place par la CDP et de s’enquérir des dernières innovations en matière de traitement des données personnelles, notamment avec l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPDP).

 

2.  technique avec les responsables de traitement

 

2.1- Microsoft Sénégal présente sa politique de protection

Le mardi 23 avril 2019, la CDP a reçu dans ses locaux, une délégation de Microsoft Sénégal, venue présenter sa politique de protection des données. Une politique axée autour des principes du « Trusted Cloud » : Sécurité, Vie privée et contrôle, Conformité et Transparence. Face aux nouveaux risques inhérents à la transformation numérique, notamment la cybercriminalité, l’atteinte à la vie privée, Microsoft a conçu une solution axée sur le Cloud de confiance : le Global Good.

A son tour, la CDP a présenté ses règles de conformité afin qu’il soit en phase avec la législation sénégalaise.

2.2- Facebook présente à la CDP ses nouvelles politiques de protection des données personnelles

Une délégation du réseau social Facebook, composée d’experts et d’avocats spécialistes en protection des données personnelles, a rencontré les autorités de la CDP pour les entretenir des nouvelles politiques de Facebook sur la protection des données personnelles. C’était lors d’une rencontre le 20 juin dernier. Une occasion mise à profit pour discuter d’un partenariat avec la Commission mais également pour échanger sur  la législation sénégalaise, et la sensibilisation de la cible jeune au moyen d’outils plus adaptés.

 

3.    Coopération internationale

3.1- AFAPDP 

La CDP, en partenariat avec l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) et l’Organisation Internationale de la Francophonie (OIF) organise, les 16 et 17 septembre 2019 à Dakar, la 13ème Assemblée Générale et la 12ème Conférence annuelle de l’AFAPDP. Cette rencontre annuelle regroupe des experts de très haut niveau dans le domaine de la protection des données personnelles et de la vie privée venant d’Afrique, d’Europe et d’Amérique.

A cette occasion, la CDP a mis en place des comités chargés de coordonner les volets scientifiques et organisationnels.

 

RAPPEL

Traitement des données biométriques : principes et encadrement

Suivant l’évolution de la technologie, l’utilisation des systèmes biométriques  constitue une solution optimale pour lutter, d’une part, contre la fraude et la falsification et, d’autre part, assurer la sécurité des personnes (contrôle d’accès, contrôle de l’identité, contrôle du temps de présence en entreprise, etc.).

Ces nouvelles techniques de mesure, basées sur les caractéristiques physiques ou biologiques des personnes (empreintes digitales, iris de l’œil, rétine, forme du visage, contour de la main, voix, démarche, etc.) ont deux usages principaux : l’identification et l’authentification des personnes.

L’utilisation des empreintes digitales qui permet de vérifier l’authenticité d’un passeport et l’identité de son titulaire, en est un exemple probant dont le but unique est de limiter les risques de falsification.

Cependant, comme toute manipulation de données permettant d’identifier directement ou indirectement une personne physique, les technologies biométriques présentent des risques d’atteintes à la vie privée, par la surveillance généralisée.

La donnée biométrique est systématiquement d’une sensibilité plus élevée à l’échelle des autres catégories de données personnelles. Elle constitue une identité indélébile de la personne.

En effet, on note une généralisation de cette technologie biométrique dans l’usage courant des smartphones et objets connectés, au niveau des entreprises et à travers les traitements opérés par l’État, notamment par la mise en place de la carte d’identité biométrique CEDEAO.

Pour cela, ces traitements doivent présenter des garanties suffisantes au regard de la protection de la vie privée, de la confidentialité des données personnelles collectées et de la fiabilité du dispositif de traitement employé.

Pour assurer une protection efficace des personnes dont les données sont collectées, le responsable de traitement doit :

accomplir les formalités préalables de demande d’autorisation auprès de la CDP ;

limiter la collecte à deux (2) empreintes digitales au maximum (deux doigts) dans le cadre des traitements qui ne relèvent pas de la sécurité publique ;

  • respecter le droit à l’information préalable des personnes concernées ;
  • fixer les modalités d’exercice du droit d’accès ;
  • respecter scrupuleuse la finalité poursuivie par ce traitement  qui doit être déterminée, explicite et légitime;
  • assurer la proportionnalité de la collecte des données biométriques : ;
  • prendre toutes les précautions utiles pour protéger contre les risques de vol d’identité, de divulgation, de piratage des bases de données et des réseaux informatiques.

 

IV- CONCLUSION

Au cours du deuxième trimestre de l’année 2019, la CDP a initié des perspectives nouvelles dans les volets relatifs à la conformité, la régulation et la coopération avec les géants du numérique.

La gestion de la conformité s’est inscrite dans une nouvelle dynamique, avec l’adoption et la publication de Normes simplifiées. Cette démarche vise véritablement à assouplir les formalités déclaratives pour les traitements usuels, sans risques majeurs sur les données personnelles.  

Au plan de la coopération, les visites de travail de l’ARCEP du Burkina Faso et de l’APDP du Bénin ont permis de raffermir les liens très forts existants entre les Autorités de contrôle des données personnelles. Ces visites ont été l’occasion d’échanger les bonnes pratiques entre les acteurs de la régulation.

Concernant la régulation des données personnelles gérées par les géants du numérique, la CDP a reçu les équipes de Microsoft et de Facebook, relativement à leurs politiques de confidentialité. Ceci marque un tournant dans la gouvernance mondiale des données personnelles, notamment dans l’harmonisation des politiques au niveau des GAFAM.

 

Mercredi, septembre 4, 2019 - 13:00

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles