COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 02-2020 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce deuxième trimestre de l’année 2020, et conformément à son programme annuel d’activités, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

 

  •  COMPTE RENDU DES ACTIVITES DECLARATIVES

 

Au cours de ce deuxième trimestre 2020, la CDP a accueilli 05 structures venus s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 49 dossiers dont 36 déclarations et 13 demandes d’autorisation.

A l’issue de la session plénière tenue à la CDP, dix-huit (18) récépissés de déclaration, neuf (09) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen de vingt (20) dossiers.

La Commission a, en outre, émis des appels à déclaration, reçu des plaintes, signalements et demandes d’avis et a interdit la mise en œuvre de certains traitements :

- Nombre d’appels à déclaration : 22

- Plaintes et signalements reçus : 12

- Demande d’avis : 15

- Refus d’autorisation : 02

 

  1. - Demandes d’avis reçus par la CDP  

 

 

QUESTIONS

REPONSES

D. SAMB

Des délégués du personnel souhaitent savoir :

  • s’ils peuvent saisir directement la CDP pour vérifier la conformité des traitements de leur employeur ?
  • si le récépissé délivré par la CDP peut être maintenu alors que les caméras filment des zones non conformes ?

La qualité de représentant du personnel habilite les délégués à agir au nom et pour le compte des salariés dans la limite de leurs mandats. A ce titre :

  • Ils peuvent vérifier la régularité des traitements de données à caractère personnel entrepris par l’employeur ;
  • Ils peuvent constater et contester les irrégularités affectant le dispositif de vidéosurveillance mis en place.

I. NGOM

Je souhaiterais savoir s'il y a une loi sur la géolocalisation des véhicules surtout pour les entreprises ?

En l’état actuel de la législation, il n’existe pas de disposition spécifique sur la géolocalisation.

Toutefois, la loi n°2008-12 du 25 janvier 2008 encadre la collecte et le traitement des données personnelles liés à la géolocalisation des véhicules utilisés au sein des organismes publics ou privés (entreprises).

Lorsque l’entreprise met en place un système GPS de géolocalisation, elle est tenue de procéder à la déclaration de ce système auprès de la CDP.

En l’absence de déclaration, toute personne y ayant intérêt peut saisir la CDP aux fins de signalement ou de plainte.  

 

I. MBOW

Notre association à but non lucratif est victime d’une utilisation frauduleuse de certaines de nos images de nos activités par une autre association. Que pouvons-nous faire ?  

L’image d’une personne physique est une donnée à caractère personnel protégée par la loi n°2008-12 du 25 janvier 2008 et de l’article 363-bis de la loi n°2016-29 du 08 novembre 2016, modifiant le Code pénal.

Relativement aux associations qui sont des personnes morales, en cas d’abus ou d’utilisation frauduleuse de leur image, elles peuvent saisir le tribunal du ressort de leur siège.

A. DIOUF

Je veux des informations concernant le formulaire de déclaration de collecte de données personnelles sur un site internet. J'ai déjà créé mon site et je veux un certificat de confidentialité.

Le formulaire est accessible en téléchargement libre à partir du lien :  https://www.cdp.sn/liste-des-formulaires.

Le document délivré par la CDP est un récépissé de déclaration et non un certificat de confidentialité.  

T. DIALLO

Je travaille sur un projet qui utilise un lecteur récupérant l'UID de la Carte d’Identité Nationale de chaque utilisateur.

  • Quelles sont les restrictions sur la collecte de données dans ce cas de figure ?

 

Le numéro de la CNI est un identifiant unique considéré comme une donnée sensible par la loi 2008-12 du 25 janvier 2008. A cet effet, vous devez  obligatoirement déclarer le traitement à la CDP avant sa mise en œuvre. Le formulaire dédié est accessible à : https://www.cdp.sn/liste-des-formulaires.

Suivant la finalité poursuivie par le traitement, vous pourriez être amené à solliciter un agrément auprès du Ministère de l’Intérieur.

M. DIARRA

Existent-t-ils des décisions rendues par les juridictions en matière de protection des données personnelles ?

Il existe beaucoup de décisions rendues par les Cours et Tribunaux sénégalais en matière de protection de données personnelles.

Ces décisions concernent aussi bien le contentieux pénal que civil (ex. Affaire du Navire Lobella, CA Dakar, 17 avril 2009).

La CDP a conseillé au demandeur de se rapprocher des services du Greffe des juridictions pour davantage d’informations.

E. TURPIN

Je voudrais savoir si une société qui n'est pas encore immatriculée peut faire une demande d'autorisation en tant que responsable de Traitement de données ?

La loi 2008-12 vise comme responsable du traitement, celui qui :

  • fixe la finalité du traitement ;
  • détermine les moyens de traitement des données.

Ainsi, le statut de l’entité est inopérant dans la qualification et les mandataires de la société en création peuvent valablement agir en conséquence.

  1. POUYE

Notre structure envisage de créer une plateforme numérique offrant des formations pratiques en ligne.

  • Quelles sont les autorisations nécessaires ?
  • Quelle est la procédure de mise en conformité ?

Il faut réaliser une cartographie de tous les traitements à mettre en œuvre au préalable.

Les formulaires de déclaration et de demande d’autorisation sont disponibles sur le site de la CDP à partir du lien suivant :   https://www.cdp.sn/liste-des-formulaires

En cas de besoin, vous pouvez demander une assistance au remplissage à la CDP. 

M. DIAO

  • Quelle est la procédure de déclaration de la collecte de données sur un site internet ?
  • L’homologation d’une politique de protection des données personnelles sur un site internet est-elle possible ?

 

  • La déclaration se fait avec le formulaire de déclaration de collecte de données sur un site internet disponible ici : https://www.cdp.sn/liste-des-formulaires
  • La politique de protection doit être jointe, pour homologation, au formulaire de déclaration de collecte de données sur un site internet.

M. CORREA

Comment déclarer un système de vidéosurveillance et un système d’accès biométrique ?

Si le système de vidéosurveillance est installé à domicile et pour un usage non professionnel, il faut remplir le formulaire de déclaration simplifié.

Si le système de vidéosurveillance est à usage professionnel, il faudra remplir le formulaire de déclaration de système de vidéosurveillance.
Les formulaires sont disponibles sur www.cdp.sn

Concernant les accès biométriques, il faudra renseigner le formulaire de demande d'autorisation. S'il s'agit d'un système d'accès avec empreintes digitales, vous pouvez collecter jusqu'à deux (2) doigts maximum.

M.B

Les tests systématiques de dépistage à la Covid-19 que compte effectuer mon employeur sont-ils licites ?

L’employeur peut mettre en place au sein de l'entreprise des mesures préventives, notamment la prise de température et exiger le port du masque.

 L'employeur ne pourrait pas imposer des tests systématiques et en faire une condition de reprise. Par contre, il peut inviter les personnes qui présenteraient des symptômes à les signaler, et faire en sorte que les services sanitaires soient contactés.

Par ailleurs, votre entreprise doit procéder à la déclaration du traitement des données de ses salariés.

Mme TACKY

Quelles sont les mesures à prendre pour envoyer par mail les bulletins de paies à des salariés ?

Les bulletins de salaires peuvent être envoyés par mail à vos salariés en privilégiant un canal sécurisé de transmission. Ainsi, vous devez vous assurer que la messagerie utilisée est configurée avec un protocole de sécurité, qui permet de crypter les messages et d’éviter les risques d'interception. 

M. T

Un employé souhaite savoir à propos des systèmes de géolocalisation de véhicules :

  1. Le traçage des informations telles que la vitesse du véhicule et la délimitation de la zone de déplacement du salarié dans le cadre de son travail est-il licite ?

 

  1. L’employé a-t-il la possibilité d’accéder à ses données personnelles en tout temps et tout lieu, par exemple via des identifiants de connexion fournis par l’employeur ?

 

  1. Si l’accès à l’outil lui est possible, l’employé a-t-il le droit de désactiver l’outil de géolocalisation hors de son temps de travail pour une utilisation de son véhicule de fonction (Ex : Fin de journée, Weekends, Congés) ?

 

1.  Oui.  L'employeur peut installer un outil pour géolocaliser ses flottes de véhicule (véhicules de fonction et véhicules de service). 

Toutefois, avant de mettre en œuvre la géolocalisation, l'employeur doit respecter principalement deux exigences :

-  il doit informer, et de façon formelle, (par note de service ou note d'information) tous les salariés concernés par cette mesure ;

- déclarer le système de géolocalisation à la CDP avant sa mise en œuvre.

 

2. Oui. L'employé peut accéder à ses données personnelles à tout moment lorsqu'il a la possibilité d'avoir des identifiants de connexion et son espace personnel. Si cette possibilité ne lui est pas offerte, il peut introduire une demande auprès de son employeur. 

 

3. Concernant, l'activation et la désactivation du système de géolocalisation, la CDP dispose d'une jurisprudence en la matière. S'il s'agit d'un véhicule de fonction, et que ce statut du véhicule a été clairement et formellement notifié au salarié (contrat, note de service, etc.) le dispositif doit être désactivé, en dehors des heures de travail. Le système peut être réactivé lorsque le salarié doit intervenir ou se déplacer en urgence dans le cadre de son travail. 

Concernant les véhicules affectés au service, le dispositif de géolocalisation peut être activé en permanence. 

Mme NDIAYE

  • Je voudrais savoir ce qui est prévu dans le cadre de la législation sénégalaise pour un laboratoire qui réalise des analyses biologiques/génétiques.
  • Les données acquises par le laboratoire comment doivent-elles être protégées, traitées ou utilisées à des fins scientifiques ?
  • Quelles sont les dispositions spécifiques à prendre lors de la mise en place d'une telle structure privée ?
  • Le traitement de données à caractère personnel relatives à des données génétiques à des fins scientifiques requiert l'autorisation de la CDP, en vertu de l'article 20-1 de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. La demande d'autorisation s'effectue à travers le formulaire de demande d'autorisation pour la recherche dans le domaine médical : https://www.cdp.sn/liste-des-formulaires 

 

  • Préalablement à la demande d'autorisation adressée à la CDP, vous devez disposer de l'avis éthique du Comité national d'Éthique pour la Recherche en Santé du Ministère de la Santé et de l'Action sociale.

 

  • Pour l'installation de votre structure, veuillez vous rapprocher du Ministère de la Santé et de l’Action sociale.

Mme DIOUM

  • Quelle est la procédure de déclaration d’un site internet qui met en relation les patients sénégalais et les médecins sénégalais, pour faciliter les consultations ?
  • Le site va collecter quelques informations personnelles des patients (nom, prénom, date naissance, adresse).
  • Pour procéder à la déclaration de ce traitement, vous allez renseigner le formulaire de déclaration de collecte de données sur un site internet, disponible à travers le lien suivant : https://www.cdp.sn/liste-des-formulaires

 

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants

Traitements

  1. BERMOUS VIDEO SECURITY TECHNOLOGY (BVST)

Fichiers contenant des données personnelles

  1. GESPARK

Fichiers contenant des données personnelles

  1. PARC EOLIEN TAIBA NDIAYE

Système de contrôle d’accès biométrique

  1. MACOUMBA SALL

Fichiers contenant des données personnelles

  1. TERROU-BI

Système de contrôle d’accès

  1. WIZALL SERVICES

Système de contrôle d’accès par badge

  1. HAUTE TECHNOLOGIE VISION SARL

Fichiers contenant des données personnelles

  1. AFRIC AZOTE SA

Registre des entrées et sorties 

  1. SENEGAL INTELLIGENCES SERVICES (SIS))

Fichiers contenant des données personnelles

  1. AGEROUTE SENEGAL

Système de vidéosurveillance et système de contrôle d’accès par biométrie 

  1. AMELLE.COM

Fichiers contenant des données personnelles

  1. ERITEL

Fichiers contenant des données personnelles

  1. MAS

Fichiers contenant des données personnelles

  1. AGENCE NATIONALE DE LA COUVERTURE MALADIE UNIVERSELLE (ANCMU)

Registre des entrées et sorties

  1. LGE

Fichiers contenant des données personnelles

  1. CBAO ATTIJARI WAFA BANK

Registre des entrées et sorties

  1. SYNDIC KALIA

Registre des entrées et sorties

  1. MASTER INFORMATIQUE

Fichiers contenant des données personnelles

  1. KALPAY INC SUARL 

Site internet www.kalpayinc.com et  applications Web ou mobile Kalpay

  1. ANDERSON ET SMITH

Fichiers contenant des données personnelles

  1. SESA TECHNOLOGIES

Système de vidéosurveillance 

  1. SPE

Fichiers contenant des données personnelles

 

 

  1. - Décisions rendues par la Session Plénière :

 

  1. - Autorisations accordées :  

Finalités des traitements

 

Nombre

Structures

Gestion des Ressources Humaines

01

PARC EOLIEN TAIBA NDIAYE

Plateforme de demande pour l’acheminement de véhicule au contrôle technique pour les particuliers et les entreprises

01

TARGET TECHNOLOGIE

Traitement des données dans le cadre du site de rencontre www.senegal-love.com   

01

 

SENEGAL TERROU GANE

Échange d’informations Intra-groupe (entre les directions de la conformité de la Société Générale Sénégal et la Société Générale Siège à Paris) dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme, ainsi que le respect des sanctions et embargos et autres dispositifs réglementaires

01

SOCIETE GENERALE DE BANQUES AU SENEGAL (SGBS)

Production, personnalisation, expédition, livraison de cartes bancaires et prestations associées

01

SOCIETE GENERALE DE BANQUES AU SENEGAL (SGBS)

Traitement SIRON KYC

01

CBAO GROUPE ATTIJARIWAFA BANK

 

Plateforme de paiement de masse SESAPAY (bourses étudiants, aides sociales, etc.) www.sesapay.sn

01

 

SESA TECHNOLOGIES

Base de données clients

01

KALPAY INC SUARL

 

Ministère de la Santé et de l’Action sociale

01

APPLICATION DAANCOVID19

 

  1.  -  Récépissés délivrés : 

 

Finalités

 

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

08

  • SITCOM
  • SOCIETÉ DE TRANSPORT ET DE COMMERCE (STC)   
  • HOTEL LE FOUTA (ZONE A)
  • HOTEL LE FOUTA (USINE NIARRY TALLY)
  • SOCIETE COMMERCIALE NENE COUMBA GAYE
  • SOCIETE DIOP ET FRERES
  • CAISSE DES DEPOTS ET DE CONSIGNATIONS
  • AFRIC AZOTE SA

Vidéosurveillance chez des particuliers

 

04

  • MAMADOU DIOP (MARISTES)
  • MAMADOU DIOP (IMMEUBLE ILOG)
  • PAPA OUMAR DIALLO
  • MADAME NDEYE MERRY BA

Base de données clients

01

  • GLOBAL NETWORK SERVICES

 

Gestion des Ressources Humaines

02

  • GLOBAL NETWORK SERVICES
  • ABDXMEDIA

Gestion des fournisseurs et prestataires

01

  • ABDXMEDIA

Système de gestion des accès des visiteurs (registre des entrées et sorties)

01

  • MINISTERE DE L’ECONOMIE NUMERIQUE ET DES TELECOMMUNICATIONS

o      Collecte de données suite à une demande d’information sur l’onglet contact du site www.wizallmoney.com

01

  • WIZALL SERVICES

 

 

  1. Refus d’autorisation de traitement/ Rejet de déclaration de traitement :  

 

Nombre

Intitulé du traitement

Responsables du traitement

Finalités du traitement

Motifs de refus ou de rejet

01

Système de vidéosurveillance-Caméra embarquée  

M. DIAW (Particulier)

  • Sécurité des biens,
  • Sécurité des personnes
  • Protection incendies/accidents.

La caméra filme la voie publique.

02

Système de vidéosurveillance

Centre de Formation des Métiers Portuaires et à la Logistique (CFMPL)

  • Sécurité des biens,
  • Sécurité des personnes,
  • Protection des abords des bâtiments
  • Prévention des risques naturels ou technologiques.
  • Les caméras installées dans les salles des formateurs sont susceptibles de filmer les enseignants sur leurs positions de travail de manière permanente ;
  • Le sous-traitant n’est pas conforme à la loi 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel.

 

 

 

  • PLAINTES ET SIGNALEMENTS 

 

2.1- PLAINTES

 

PLAIGNANT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

1

M. D. D.

F. D

Usurpation d’identité

Monsieur D. a transmis à la CDP une plainte, pour le compte de sa sœur dont l’identité a été usurpée sur Facebook.

L’auteur de l’infraction a créé un faux compte associé à la photo de profil de la victime. 

Avec l’appui de la CDP, le faux compte a été supprimé 48 h après le signalement.

2

Me P.D. S.

Organes de presse en ligne (Sanslimites.com, viepeople.net dakarchaud.com dakarxibar.com 

limamettitv.com    samarew.com       buzzclicinfo          dakar92.com        dakarplus.com    metrodakar.com)

 

Demande de suppression d‘images illustrant un article de presse

Le Cabinet Maître C. A. N, représentant légal de la Dame D. D a transmis à la CDP une plainte relative à une demande de suppression de photos de sa cliente, utilisées pour illustrer des articles de presse.  

La plaignante précise que « contre toute attente, à la place de sa sœur R., citée régulièrement par les sites d’informations en ligne, c’est l’image en photographie de la requérante qui est affichée en illustration alors qu’elle n’est aucunement liée à cette affaire de drogue dure ».

En application des articles 1, 4-5, 33, 35, 58 et 69 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, et de l’article 84 de la loi n°2017-27 du 13 juillet 2017 portant code la presse, la CDP :

  • a enjoint aux sites d’information en ligne, la suppression intégrale des photos de la plaignante ; 
  • a attiré l’attention sur la nécessité de privilégier le respect de la vie privée des citoyens dans le choix des photos d’illustration.  

Après réception des courriers, le processus de suppression est en cours pour certains organes de presse. D’autres publications ont choisi de remplacer la photo visée par une autre photo plus appropriée.

3

M. D. L

Banque Of Africa (BOA)

Prospection directe non sollicitée

La CDP a reçu une plainte de Monsieur L. mettant en cause la Banque Of Africa (BOA) pour prospection directe non sollicitée via SMS.

Le SMS est libellé en ces termes « Vous êtes fonctionnaire ? Obtenez jusqu’à … Contactez vite votre agence ou appelez au XXXXXXX ».

Le plaignant précise qu’il n’est pas client de la BOA.

En application des articles 47, 59, 68 et 69 de la loi n°2008-12, la CDP a demandé à la BOA des explications sur cette prospection directe non-sollicité et la suppression des données personnelles du plaignant de la base de données de la banque.

En réponse à la demande d’explication, la BOA assure qu’elle a pris immédiatement toutes les mesures nécessaires et a contacté le client pour corriger cette erreur et se conformer à la loi n°2008-12.

4

M. S. M. M. F

Contre X

Piratage du compte Gmail d’une entreprise privée

La CDP a reçu une plainte de Monsieur F. (Directeur général de la S.A.R.L F) relative au piratage du compte Gmail de sa société.

La CDP n’étant pas compétente pour les activités délictuelles concernant les personnes morales, le dossier a été transmis à la Division Spéciale de la Cybersécurité (DSC), conformément à l’article 431-08 et suivants de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal.

Par ailleurs, la CDP a recommandé à l’entreprise d’effectuer périodiquement une analyse des risques de son système d’information et de renforcer sa politique de sécurité (article 71 de la loi n°2008-12 du 25 janvier 2008).

5

Mme. N. S. S

M.A.S

Intrusion frauduleuse dans un dispositif de communication électronique et atteinte au secret de correspondance

Mme S. a déposé une plainte contre son ex-mari aux motifs d’intrusion frauduleuse dans son téléphone portable et d’atteinte au secret de correspondance.

Il ressort des faits invoqués dans la plainte que le mis en cause, un expert en informatique, a utilisé son savoir-faire pour accéder aux contacts, messages et appels de la plaignante en synchronisant le téléphone de cette dernière avec l’ordinateur portable de son bureau.

En application des dispositions de l’article 16-2-c de la loi n°2008-12 du 25 janvier 2008 et des articles 431-08, 431-19 et 363 bis de la loi n°2016-29 du 08 novembre 2016 modifiant le Code Pénal, la CDP a transmis le dossier au Procureur de la République pour suites à donner.

 

 

                2.2- SIGNALEMENTS

 

MIS EN CAUSE

MOTIFS

OBSERVATIONS

Président du Conseil d’Orientation de l’Agence des Aéroports du Sénégal

Enregistrements illicites

Un membre du Conseil d’Orientation de l’Agence des Aéroports du Sénégal a transmis un signalement à la CDP mettant en cause son Président pour des faits d’enregistrement de paroles prononcées lors des réunions dudit Conseil, sans information, ni consentement préalables des participants.

En réponse à la demande d’explication de la CDP, le mis en cause précise que « pour les mêmes faits, j’ai été convoqué et entendu par la Section de Recherche de la Gendarmerie suite à une plainte auprès du Procureur de la République. Je m’inscris en faux contre de telles allégations et je n’ai jamais enregistré qui que ce soit lors de sessions de ce Conseil ».

L’affaire est pendante devant la CDP, sans préjudice du volet judiciaire de l’affaire.  

SAMA CASIER JUDICIAIRE

Collecte de casier judiciaire et de documents d’identité

Plusieurs internautes ont signalé à la CDP qu’un site en ligne, dénommé « SAMA CASIER JUDICIAIRE », collecte de manière « frauduleuse » les données personnelles des sénégalais en « accord » avec le Ministère de la justice.

La CDP a saisi les autorités concernées pour faire le point sur les informations relayées par le site en cause. 

Le Ministère de la Justice a publié un communiqué excluant toute collaboration officielle de sa part avec les initiateurs du projet.

Le responsable du traitement a déposé une demande d’autorisation au niveau de la CDP, afin de se conformer à la réglementation en vigueur.

Hackeurs

Arnaques sur Internet

  1. M. M. a signalé à la CDP être victime d’une arnaque dans le cadre d’une procédure d’étude en France. Le présumé auteur des faits lui réclame des sommes d’argent sous peine de publier un montage vidéo compromettant.
  2. Monsieur W. précise, dans le courriel de signalement transmis à la CDP, qu’il est victime d’un cyber-harcèlement. Une personne se faisant passer pour une fille détenant des informations très compromettantes (photos et vidéos) menace de les publier à défaut d’un versement de sommes d’argent.
  3. M. ND. D., victime de cyber-chantage a saisi la CDP d’une plainte. Il indique qu’un individu se trouvant au Bénin menace de publier ses données personnelles sur Internet.
  4. M. A., victime d'une tentative d'extorsion de fonds sur internet a déposé une plainte auprès de la CDP. Il précise avoir reçu un mail, avec un de ses identifiants, dans lequel l’expéditeur lui réclame 1300 euros sous peine de publier une vidéo compromettante.
  5. La CDP a reçu un signalement de Monsieur S. M. D. qui précise qu’un hackeur a piraté le compte Facebook d’un de ses amis, et a ajouté des vidéos pornographiques sur son compte. Pour plus de célérité, la CDP a recommandé à la victime de signaler les vidéos indésirables à Facebook en cliquant sur le lien :  https://web.facebook.com/hacked.

En application des articles 431-19, 379 et 363 bis de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a recommandé aux différentes victimes de porter plainte à la Division Spéciale de la Cybersécurité (DSC) de la Police aux fins de recherche des auteurs de ces infractions.

 

 

 

  • VEILLE, INNOVATION ET TECHNOLOGIE

 

Dans le cadre de ses missions de conseil, de contrôle, d’innovation et de technologie, la DTIC a travaillé sur les sujets suivants :

 

Dématérialisation des procédures :

La CDP a entrepris de dématérialiser ses procédures de traitement des dossiers et d’archivage. A cet effet, un cahier des charges a été élaboré afin de sélectionner la meilleure solution possible.

Cette initiative vise à augmenter l’efficacité dans l’action par un gain de temps dans le dépôt, la réception, l’instruction et le suivi des demandes, plaintes et autres requêtes. Elle cherche, également, à rapprocher la CDP de tous ses usagers en offrant une plateforme enrichie des fonctionnalités adaptées aux besoins de tous.

En fonction des paramètres liés au coût d’acquisition de la solution, le déploiement de la plateforme se fera progressivement.

  

Application mobile CDP

L’application mobile a été déployée par la DTIC et validée par google play depuis le 31 mars 2020 (https://play.google.com/store/apps/details?id=com.cdp.cdp_senegal).

La CDP encourage le grand public à se familiariser avec la nouvelle interface de communication.   

 

Mise en place d’une plateforme de télétravail / Outil Collaboratif

Afin d’assurer la continuité de son action dans un contexte de Covid19, la CDP a choisi de mettre en place une plateforme collaborative. Ainsi, le recours au télétravail a pu s’appuyer sur l’utilisation de la solution Microsoft Teams grâce à l’entremise de l’ADIE.

Le 28 mai 2020, la CDP a tenu sa première session plénière entièrement en ligne.

Aujourd’hui, la plateforme permet de faciliter l’exécution des missions de la CDP, dans le respect des mesures sanitaires préventives préconisées par le Ministère de la Santé et de l’Action sociale.  

 

Référentiel sécurité et contrôle pour les responsables de traitement

Le référentiel de sécurité et de contrôle a été conçu pour servir de guide de bonnes pratiques aux responsables de traitement dans le cadre de la collecte et du traitement des données. En effet, le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, en prenant les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux données personnelles de l’entreprise.

Une première version sera disponible très prochainement.

 

Processus de veille technologique

La DTIC a travaillé sur un processus de veille technologique « Covid19 » afin de se tenir informé des innovations dans ce domaine.

https://www.cdp.sn/covid19

Ce processus sera élargi à la veille cybersécurité et à la veille technologique sur la protection des données à caractère personnel, à partir du 01/07/2020.

 

  • COMMUNICATION ET SENSIBILISATION

 

Malgré le contexte de la pandémie de la Covid-19, la Commission de protection des données personnelles a, pour ce deuxième trimestre de l’année 2020, mené des actions de formation, de sensibilisation et de vulgarisation de la loi sur les données personnelles.

Participation au Webinaire Covid-19 et Éthique

La CDP a participé, le 12 juin, au webinaire national co-organisé par le Ministère de l’Enseignement supérieur de la Recherche et de l’Innovation, le Ministère de la Santé et de l’Action sociale et le Bureau régional de l’Unesco à Dakar sur le thème : « Penser la pandémie Covid19 en tenant compte des principes éthiques et bioéthiques : Analyse situationnelle, rétrospective et prospective de la réponse du Sénégal ».

Au cours de ce webinaire, les questions d’éthique et de bioéthique ont été longuement discutées, notamment dans le cadre de la recherche médicale, dans ce contexte de Covid-19.

La CDP a présenté les principes de protection des données personnelles qui doivent être appliqués en matière de suivi de prise en charge des patients Covid, mais également dans le cadre des recherches cliniques. Certains de ces principes sont identifiés parmi ceux prévus par l’éthique et la bioéthique, notamment la confidentialité des données et le secret médical, et le consentement.  La CDP a, par ailleurs, insisté sur le contrat de confiance entre le système de santé et les patients.

Réunion en ligne pour le Programme national de sensibilisation « Éducation au numérique »

Mis en standby, à cause de la pandémie Covid-19, le projet « Éducation au numérique », initié par la CDP en collaboration avec le ministère de l’Éducation nationale et d’autres partenaires comme Facebook, Internet Society (Isoc) et BS Corp, a été relancé au mois de mai.

 Un webinaire a, ainsi, réuni tous les acteurs du projet pour étudier les voies et moyens de relancer et d’adapter la stratégie au contexte de la pandémie. Le Directeur de la Communication de la CDP, les services du Ministère de l’Éducation nationale et les acteurs partenaires ont échangé sur les étapes de la mise en œuvre du programme de sensibilisation à l’endroit des élèves. 

Une nouvelle approche a été adoptée pour permettre aux élèves et professeurs de bénéficier des contenus proposés par le projet. Une dernière réunion de validation des contenus est prévue avant fin Juin, afin que le projet soit mis en œuvre sur les plateformes digitales du Ministère de l’Éducation nationale (Canal Éducation sur la RTS, la plateforme du ministère) et sur un site dédié qui sera conçu par Bs Corp. Une répartition des tâches et responsabilités entre les acteurs a été aussi proposée. La CDP va recommander un certain nombre d’outils susceptibles de mesurer l’impact et les objectifs assignés au programme.

Interpellations dans les médias

La question de la protection des données personnelles a été l’objet de plusieurs débats dans certains médias. C’est ainsi que des internautes ont interpellé la CDP sur la récupération et l’exposition en direct des informations personnelles, notamment des données personnelles (nom, prénom, numéro de téléphone) des téléspectateurs par un organe audiovisuel de la place.

Une autre télévision a consacré, dans le cadre de la rubrique d’une émission, un débat sur le rôle et l’importance de la protection des données personnelles et la place du Sénégal en Afrique, dans ce cadre.

Interpellations sur le site et les réseaux sociaux

Fidèle à sa mission de sensibilisation, la CDP, à travers ses canaux de communication, a répondu aux différentes interpellations et demandes du public comme des médias. Ces demandes du public, outre les plaintes, ont porté principalement sur le traitement des données personnelles en cette période de pandémie de la Covid-19.

Les services de la CDP ont reçu ainsi des demandes sur le consentement dans le cadre de traitement de données personnelles, et sur l’installation d’un système de vidéosurveillance dont les images sont hébergées à l’extérieur du pays.

La CDP a été également saisie par les internautes sur la diffusion d’un scandale à caractère sexuel impliquant des mineurs, notamment la diffusion du lien de la vidéo sur certaines pages de réseaux sociaux. La question de l’accès par l’employeur aux données personnelles de ses salariés a également été posée. La Commission a, par ailleurs, reçu un signalement sur la diffusion des données personnelles des candidats libres à l’examen du Baccalauréat. Un particulier a aussi saisi la CDP sur l’absence de fonctionnement de la fonction ‘’Stop’’ pour un service proposé par un opérateur de télécommunications. Dans la même période, certaines entreprises se sont également rapprochées de la CDP pour connaitre les formalités à remplir, dans le cadre de la mise en place d’une plateforme proposant des formations pratiques en ligne. La Commission a vivement encouragé ces dernières à utiliser ses services en ligne pour procéder à leurs formalités déclaratives.

Sur l’ensemble de ces interpellations, la CDP a tenu à apporter des réponses adéquates et précises.      

La CDP face aux traitements des données personnelles en période de pandémie Covid-19

La CDP a été interpellée, à plusieurs reprises, sur la mise en place de traitements de données personnelles, que ce soit par les autorités sanitaires ou par les entrepreneurs numériques, porteurs d’applications. A cet effet, la Commission a rendu public un communiqué, afin de réaffirmer son ancrage au respect des données personnelles dans le cadre des différents traitements, même dans le contexte inédit de la pandémie Covid 19.

 Elle a défini un certain nombre de lignes de conduite pour les entités souhaitant mettre en place des dispositifs ou applications portant sur le traçage numérique des individus, les données sanitaires des individus, la géolocalisation, la durée de vie des données collectées ainsi que leur devenir, une fois l’objectif du traitement atteint, et l’accès par des tiers aux données collectées. C’est ainsi que la Commission a rappelé les bases légales dérogatoires, les principes fondamentaux et la dimension éthique qui doivent sous-tendre ces dits traitements.

Veille et alerte en ligne sur l’aspect digital de la pandémie Covid-19 au Sénégal

La Direction de la Communication et des Relations publiques de la CDP a effectué une veille en ligne sur les aspects qui touchent à la protection des données dans la gestion de la pandémie. Ainsi, elle a signalé, et partagé avec la Direction des Affaires juridiques, de la Conformité et du Contentieux de la Commission, plusieurs applications et initiatives qui collectaient des données personnelles.

 A titre illustratif,  le traçage des cas communautaires par le Ministère de la Santé et de l’Action sociale, la publication d’articles de presse en ligne sur des victimes du coronavirus,  l’application ‘’samacasierjudiciaire’’,  l’application  add-on lancée par Google et Apple sur le traçage, l’application StopCovid de la France, le dispositif de collecte des données des passagers par le Ministère des Transports terrestres, la nouvelle application de la gendarmerie, « GenNote », signalée par la société civile et le formulaire de collecte des données de la Mairie du Plateau de Dakar qui demande des informations tel que le bureau de vote aux bénéficiaires de l’aide alimentaire, initiée par le Chef de l’État dans le cadre du Plan de contingence contre la pandémie.

Mise en ligne de ressources documentaires sur la Covid-19 sur le site de la CDP

Pour permettre aux citoyens, universitaires, et professionnels de la santé de disposer d’informations factuelles et actualisées sur les questions de traçage numérique et de protection des données sensibles dans le contexte de la pandémie, la CDP a regroupé sur son site internet(www.cdp.sn) des articles, communiqués et compte-rendu sur ce qui se fait au Sénégal et ailleurs dans le monde, en matière de protection des données personnelles.

 

  • COOPERATION ET PARTENARIAT

 

5.1- AU NIVEAU AFRICAIN

Participation aux travaux de la Commission de l’Union Africaine sur les données personnelles et la localisation des données.

La CDP participe au programme PRIDA (Initiative des politiques réglementaires et de la régulation pour une Afrique numérique) de la Commission de l’Union Africaine sur l’harmonisation des législations en matière de données personnelles.

Avec la Covid19, la CUA a mis un accent particulier sur les données sensibles et la localisation des données.

La CDP assure la coordination du groupe de travail avec les institutions internationales, au nom du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP). A cet effet, la stratégie d’intervention consiste à établir un diagnostic de la situation actuelle, avant de proposer des recommandations à la Conférence des Chefs d’État, en vue d’actualiser la Convention de Malabo de 2014.  

 

                5.2- AU NIVEAU NATIONAL

Formation au Centre des Opérations d’Urgence Sanitaire (COUS)

Le 27 mars 2020, la CDP a formé le personnel du COUS et les acteurs impliqués dans la surveillance épidémiologique sur la protection des données personnelles et les meilleurs pratiques à mettre en œuvre, pour la sécurité et la confidentialité des données. Cette action a permis de mettre en relief l’importance des données sensibles et les mesures de protection strictes associées à leur traitement.

 

Participation aux travaux du Comité de pilotage de l’Initiative « DaanCovid »

La CDP est membre du Comité de pilotage de l’initiative « DaanCovid », qui est une Alliance entre le Ministère de la Santé et de l’Action sociale, le Ministère des Télécommunications et de l’Economie numérique, l’Organisation des Professionnels des Technologies de l’Information et de la Communication (OPTIC), et les entreprises de services numériques. Cette initiative a pour objectif de coordonner une riposte digitale contre la Covid-19, à travers des solutions numériques au service de la communauté.

Dans le cadre de ce Comité, la CDP donne des avis et conseils sur le respect de la loi portant sur la protection des données à caractère personnel, des libertés individuelles et des droits fondamentaux, notamment le droit à la vie privée. 

 

CONCLUSION

Le second trimestre de l’année 2020 a été fortement marqué par la pandémie de la Covid-19. A cet effet, la CDP a pris certaines mesures visant à réaménager son fonctionnement et à garantir la continuité de ses services. Parmi ces mesures, le télétravail occupe une place très importante.

Au titre des formalités préalables, l’actualité de la Covid-19 a pesé sur les demandes d’avis et les activités de sensibilisation. Toutefois, les demandes d’autorisation et les déclarations normales sont restées constantes en termes de volume.

Par ailleurs, les activités malveillantes n’ont pas connu de recul et les dossiers réorientés vers le Parquet ou la Police restent conséquents.

Dans les mois à venir, la CDP devra faire face à plus de sollicitations liées à la gestion de la pandémie de la Covid-19, notamment à l’usage des technologies de l’information et de la communication dans les stratégies d’éradication de la maladie.     

Lundi, juillet 6, 2020 - 10:00

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles