COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 02-2021 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce deuxième trimestre de l’année 2021, et conformément à son programme annuel d’activités, la CDP a adressé des lettres d’appel à la déclaration à des responsables de traitement du secteur privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  •  COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce deuxième trimestre 2021, la CDP a accueilli 21 structures venues s’imprégner de la législation sur les données à caractère personnel. La Commission a traité 73 dossiers dont 55 déclarations et 18 demandes d’autorisation.                                                          A l’issue des deux (02) sessions plénières tenues à la CDP, cinquante-deux (52) récépissés de déclaration et treize (13) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen de huit (08) dossiers et a convoqué pour audition deux (02) structures.

La Commission a, en outre, émis des appels à la déclaration, reçu des plaintes, signalements et demandes d’avis :

- Nombre d’appels à déclaration : 08

- Plaintes et signalements reçus : 19

- Demande d’avis : 01

 

  1. - Demandes d’avis reçus par la CDP  

 

OBJET DE LA DEMANDE D’AVIS

AVIS DE LA CDP

Ministère du Développement communautaire, de l’Equité sociale et territoriale

Le Ministère du Développement communautaire, de l’Equité sociale et territoriale a demandé l’avis de la CDP sur le projet de décret relatif au Registre National Unique (RNU).

L’avis demandé par le Ministre porte essentiellement sur la création du RNU, qui est une base de données dynamique, obtenue suivant un processus d’identification et de sélection de ménages pauvres et vulnérables, pour leur permettre d’accéder de façon équitable et transparente à des programmes sociaux.  

La CDP a donné un avis favorable au projet de décret relatif au Registre National Unique (RNU), sous réserve de revoir et d’amender les dispositions citées dans le présent avis, notamment sur :

  • les finalités du traitement ;
  • les catégories de données collectées ;
  • la durée de conservation des données ;
  • l’accès aux données par les structures utilisatrices ;
  • les mesures de sécurité ;
  • les droits des personnes.             

Par ailleurs, la CDP rappelle que le système d’information du RNU (SIG) devra faire l’objet d’une demande d’autorisation, conformément aux dispositions de l’article 20 de la loi 2008-12 du 25 janvier portant sur la protection des données à caractère personnel.  
     

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants

Traitements
  1. CORIS BANK INTERNATIONAL SENEGAL S.A

Système de contrôle d’accès par badge
  1. GLOBO AFRIQUE SARL

Système de contrôle d’accès
  1. KANTAR

Système de contrôle d’accès par badge, système de vidéosurveillance et registre des entrées et sorties
  1. ORABANK

Déclaration de fichiers contenant des données personnelles
  1. SIGNARE CONCIERGERIE PRIVEE

Système de contrôle d’accès par badge et système de contrôle d’accès biométrique
  1. SYNDIC KALIA S/C ZELTEX SENEGAL SA

Registre des entrées et des sorties
  1. GAINDE 2000

Système de contrôle d’accès par badge, système de vidéosurveillance et système de pointage biométrique.
  1. ANSD

Système de vidéosurveillance

 

 

 

  1. - Décisions rendues par la Session Plénière :

 

1.3.1- Autorisations accordées 

 

Finalités des traitements

 

Nombre

Structures

Crone Mobile Money

01

SMART & DIGITAL GROUP SAS

Bot Vocal Wolof

01

SONATEL SA

 

Centre d’appel de service après-vente

01

 

UtilitY85 Sénégal

Géolocalisation de la flotte de véhicule de la société

01

GLOBO AFRIQUE SARL

 

www.ligeey.com

01

LIGEEY SARL

 

Base de données des clients

01

ADN TECH

 

www.etudieausenegal.sn

01

CODELTIC

 

Etudes marketing et sondages d’opinions

01

KANTAR

 

Produits et services monétiques

01

BANQUE DE DAKAR (BDK)

 

Système de pointage biométrique

 

01

ANACMU

ORBUS SANTE

01

 

GAINDE 2000

Plateforme de Gestion des Violences Basées sur le Genre

01

MINISTERE DE LA FEMME, DE LA FAMILLE, DU GENRE ET DE LA PROTECTION DES ENFANTS

Déploiement de la plateforme : Déclaration et analyse des données et informations sur les Violences basées sur le genre (VBGs) et les Mutilations génitales féminines (MGFs) pour le compte du Ministère de la Femme, de la Famille, du Genre et de la protection des enfants

01

GROUPE D’ETUDES ET DE RECHERCHE GENRE ET SOCIETES (GESTES)

 

 

1.3.2 - Récépissés délivrés : 

 

Finalités

 

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

18
  • AUCHAN SENEGAL STORE (SENAS) - OUAKAM
  • AUCHAN SENEGAL STORE (SENAS) – CITE KEUR GORGUI
  • CORIS BANK
  • SOBOA
  • PREVOYANCE ASSURANCE
  • PAYDUNYA
  • DIMATEX CHEZ DJIGO
  • SENEGAL FREE STORE
  • SYNDIC KALIA
  • KEUR SALAM (71 Avenue Lamine GUEYE)
  • KEUR SALAM (Zone industrielle Colobane)
  • KEUR SALAM (Raffanel)
  • KEUR SALAM (Mermoz 1)
  • KEUR SALAM (Mermoz 2)
  • KEUR SALAM (Marché Keur Massar)
  • KEUR SALAM (Marché Guediawaye)
  • KEUR SALAM (104 Avenue Lamine GUEYE)
  • PHARMACIE FASS PAILLOTE

Vidéosurveillance chez des particuliers

 

07
  • M. DJIBRIL NIANG NDIAYE
  • M. AMADOU SADIKH DIOP
  • M. MAME MALICK CISSE
  • Mme AWA NDIAYE CAMARA
  • M. DIANKO MOHAMED CHEIKHOU
  • M. ABABACAR MBAYE
  • M. EL HADJ MALICK SOW

Base de données des clients

05
  • SIGNARE CONCIERGERIE PRIVEE
  • SISTEPS
  • FIELD FORCE CONSULTING (2F CONSULTING)
  • SESAM INFORMATICS
  • NETLOGIK SUARL

Transfert et traitement automatise d’activités de Back-Office de la Société Générale Guinée équatoriale vers la Société générale Sénégal

01
  • SOCIETE GENERALE SENEGAL (SGS)

Registre des entrées et sorties

07
  • CACTUS TECHNOLOGY
  • FIELD FORCE CONSULTING (2F CONSULTING)
  • DELOITTE SENEGAL
  • SESAM INFORMATICS
  • TERANGA SURETE AEROPORTUAIRE
  • VF SERVICES SENEGAL
  • AND TECH

Système de contrôle d’accès et de pointage par badge

03
  • CACTUS TECHNOLOGY
  • DELOITTE SENEGAL 
  • TERANGA SURETE AEROPORTUAIRE

Gestion du personnel

07
  • CACTUS TECHNOLOGY
  • FIELD FORCE CONSULTING (2F CONSULTING)
  • TERANGA SURETE AEROPORTUAIRE
  • NETLOGIK SUARL
  • ADN TECH
  • GIFT SAS
  • SOCIETE INDUSTRIELLE- AGROALIMENTAIRE (SIAGRO)

Gestion des fournisseurs et prestataires

04
  • FIELD FORCE CONSULTING (2F CONSULTING)
  • TERANGA SURETE AEROPORTUAIRE
  • ADN TECH
  • GIFT SAS

 

  • PLAINTES ET SIGNALEMENTS 

 

2.1- PLAINTES

 

 

PLAIGNANT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

01

M. B

PIZZATIME

Prospection commerciale par SMS non sollicité

Monsieur B. a adressé à la CDP une plainte contre Pizza Time, relative à des envois répétitifs de SMS de prospection commerciale non sollicitée.

Suite à la réponse à la demande d’explication, la CDP, en application des articles 47, 68 et 18 de la loi n°2008-12 du 25 janvier 2008 a exigé à Pizza time de :

  • retirer Monsieur B. de sa base de données de prospection ;
  • recueillir au préalable le consentement des clients en vue de les inscrire dans sa base de données de prospection et d’envoi d’offres ;
  • déclarer auprès de la CDP la base de données clients et prospects, et le site internet http://pizzatime-dakar.com/ ;
  • respecter scrupuleusement la Délibération n°2014-20/CDP du 30 mai 2014 portant sur les conditions de la prospection directe.

Ainsi, le plaignant a été retiré de la base de données clients et prospects. 

 

Par ailleurs, la société Pizza Time s’est rapprochée de la CDP pour déclarer ses traitements de données personnelles.

02

Madame ND. D.

AUCHAN SENAS S.A

Utilisation, sans autorisation, de la photo de la plaignante dans les flyers « Sama kalpé »

La CDP a reçu une plainte de Madame D. contre AUCHAN SENAS S.A, relative à l’utilisation, sans son autorisation, de sa photo dans les flyers « Sama kalpé » distribués dans les magasins d’AUCHAN. 

Par lettre portant réponse à la demande d’explication, AUCHAN SENAS S.A précise que « l’image utilisée sur les bulletins d’adhésion à son programme fidélité a été floutée, comme il est d’usage en pareil domaine, de sorte à ce qu’il ne soit pas possible d’identifier clairement la personne ».

Toutefois, sur le fondement des articles 68 et 69 de la loi n°2008-12 et de l’article 62 du décret 2008-721 portant application de la loi précitée, la CDP a demandé à AUCHAN la suppression intégrale de la photo de la plaignante sur les bulletins d’adhésion au programme de fidélité.

03

M.  F.

MAGVISION

Publication de photos de mariage sur les réseaux sociaux

Monsieur F. a adressé une plainte à la CDP contre MAGVISION (photographe) pour publication, sans son autorisation, de ses photos de mariage sur les réseaux sociaux.

Après avoir contacté, sans suite, le photographe pour suppression des photos, le plaignant a saisi la CDP

Suite à un courrier de la CDP, le photographe affirme avoir supprimé les photos dès son premier échange téléphonique avec le plaignant. 

La CDP a informé le plaignant et lui a demandé de vérifier l’effectivité de la suppression des photos sur tous les comptes réseaux sociaux de MAGVISION.

04

M. D.

Tribunal de Commerce Hors Classe de Dakar

Demande de retrait de données à caractère personnel contenues dans une décision de justice

La CDP a reçu une plainte de Monsieur D., relative à une demande de retrait de ses données à caractère personnel, contenues dans une décision, publiée sur le site du Tribunal de Commerce Hors Classe de Dakar.

La CDP rappelle que les bases de données jurisprudentielles constituent des traitements automatisés de données à caractère personnel, lorsqu’elles comportent l’identité de personnes physiques.

Ces traitements doivent être soumis aux dispositions de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel.

Ainsi, en application des articles 42, 71, 68 et 69 de la loi n°2008-12 du 25 janvier 2008, la CDP a adressé une demande d’anonymisation au Président du Tribunal de Commerce Hors classe de Dakar, afin de concilier le principe de publicité des décisions de justice et le respect des droits et libertés des personnes concernées.

La CDP attend le retour du Tribunal de Commerce Hors classe de Dakar.

05
  1.  

Canal+ Plus Afrique

Diffusion du programme audiovisuel intitulé « Piégés » comportant l’image de la plaignante

Madame A.B.  a adressé une plainte à la CDP contre la chaîne de télévision Canal Plus, pour collecte et diffusion, sans son autorisation, de son image et celle de sa fille mineure à l’émission intitulée « Piégés ».

La CDP a envoyé une demande d’explication à Canal+ au Sénégal. En réponse à la demande d’explication de la CDP, Canal+ Sénégal précise qu’elle n’est pas producteur et diffuseur de l’émission précitée.

La société 909 Productions assure la production de l’émission qui est diffusée par Canal+ International.

Après avoir été informé de la plainte par Canal+ Sénégal, la société le 909 Productions précise que toutes les précautions d’usage sont toujours prises pour recueillir le consentement des personnes filmées et flouter les visages des enfants mineurs.

Le producteur précise, également, que ces précautions ont été prises sur la séquence concernant la plaignante, et que la plaignante avait signé l’autorisation de tournage et d’utilisation des attributs de sa personnalité.

Par ailleurs, 909 Productions a indiqué dans sa réponse que la séquence ne fera plus l’objet de diffusion.

La plainte a été clôturée.    

06

PHOENIX Sécurité

Free Sénégal

Exercice du droit d’accès à l’historique des appels téléphoniques

Le Directeur Général de Phoenix Sécurité a adressé une plainte à la CDP, après avoir exercé, sans suite, une demande d’accès à l’historique des appels entrants des numéros XXXX et XXX auprès de l’opérateur Free.

En application de l’article 49 alinéa 5 du décret n°2008-721 du 30 juin 2008, portant application de la loi n°2008-12 du 25 janvier 2008, la CDP a demandé au plaignant de lui fournir les informations complémentaires, sur :

  • les données demandées à l’opérateur ;
  • la finalité du traitement des données demandées.

La société Phoenix Sécurité n’a pas encore fourni les compléments d’informations demandés.

07

Monsieur A.D.

M.D

Utilisation illégale d’une adresse électronique

Monsieur A. D. a porté plainte à la CDP contre Monsieur M. D., pour utilisation illégale de son adresse électronique à des fins d’inscription sur la plateforme de pari foot www.1xbet.com

Suite à la plainte, la CDP a contacté Monsieur M. D pour des éclairages. Ce dernier affirme que l’adresse électronique qu’il utilise depuis bientôt cinq (05) ans est a9@xxx. Cette dernière est différente de celle indiquée par le plaignant.

Ainsi, en application des articles 4-6, 68 et 69 de la loi n°2008-12 du 25 janvier 2008, la CDP a transmis une demande d’information à la plateforme 1xbet, relative à l’identification de l’adresse électronique utilisée par Monsieur M. D.

La CDP attend le retour de la société 1XBET Sénégal.

08

Madame C.Y.F.

Facebook

Demande d’accès aux données personnelles suite à un piratage de compte Facebook

Madame C.Y.F. a été victime de piratage de son compte Facebook. Elle ne parvient plus à accéder à ses données personnelles publiées et échangées sur le réseau social.

Elle a saisi la CDP, afin de pouvoir exercer de son droit d’accès à ses données personnelles.  

Ainsi, la CDP a adressé une demande aux équipes de Facebook.

Ces dernières ont demandé à la plaignante de fournir une nouvelle adresse sécurisée pour récupérer le compte.

Les équipes de Facebook continuent à assister Madame C.Y.F à récupérer son compte.

09

Monsieur M.D.

BERNABE Sénégal

Demande d’accès aux images de vidéosurveillance aux fins de vérification

Monsieur D. a informé la CDP de sa demande d’accès adressée à son employeur Bernabé Sénégal, pour le visionnage des images de vidéosurveillance.

En l’espèce, Monsieur M.D. a reçu une notification de mise à pied de trois (3) jours pour absentéisme, basée sur les enregistrements des caméras de surveillance. C’est ainsi qu’il a sollicité le visionnage des enregistrements le concernant.  

Suite à un échange téléphonique entre un responsable de BERNABE Sénégal et la CDP, Monsieur M.D. a été invité à visionner les enregistrements, en présence des délégués du personnel.

Ainsi, M.D. a informé la CDP qu’il a finalement pu exercer son droit d’accès aux enregistrements de vidéosurveillance le concernant.

10

Monsieur A.S.

Contre X

Menaces de diffusion d’une vidéo intime

Monsieur A.S. a transmis une plainte à la CDP, relative à des menaces de diffusion d’une vidéo intime le concernant.

Dans sa lettre, le plaignant précise que « Je suis victime de menace de publication d’une vidéo intime personnelle par des gens qui se trouvent au Bénin. La personne qui m’a contactée répond au nom de K domicilié à P. Ce dernier me demande de lui envoyer cinq cent dollar d’abord pour ensuite négocier ».

Ainsi, en application des articles 431-19, 363 bis et 372 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité de la Police, pour traitement. 

11

Monsieur A.G.

Contre X

Harcèlement et usurpation d’identité sur Facebook

La CDP a reçu une plainte de Monsieur A. G. contre X, relative à des faits de harcèlement dont est victime son épouse sur Facebook.

Par ailleurs, la CDP a noté dans la plainte que l’auteur des harcèlements a usurpé l’identité d’une amie du plaignant.

Ainsi, en application de l’article 16-2c de la loi n°2008-12 du 25 janvier 2008 et de l’article 431-57 de la loi n°2016-29 du 08 novembre 2016, modifiant le Code pénal, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité de la Police, pour traitement.

12

Mademoiselle A.M.

Contre X

Menaces de diffusion de vidéos intimes

Mademoiselle A. M. a transmis à la CDP une plainte, relative à des menaces de diffusion de vidéos intimes la concernant.

En l’espèce, la victime a rencontré sur Facebook une personne qui promettait le mariage, une fois au Sénégal. Après ces promesses de mariage, le mis en cause a commencé à demander à la plaignante de lui faire des vidéos et des photos intimes.

Finalement, la plaignante s’est rendue compte que le mis en cause a créé un faux profil, pour procéder à un chantage.

Ainsi, en application des articles 431-57, 431-19 et 363 bis de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité de la Police, pour traitement.

13

Madame M.F.D

Contre X

Commentaires à caractère diffamatoire et injurieux proférés contre la plaignante sur Facebook

Madame M.F.D a adressé à la CDP une plainte, relative à des commentaires de caractère diffamatoire et injurieux proférés contre elle sur Facebook.

En application des articles 258 alinéa 1 et 261 alinéa 1 de la loi n° 65-60 du 21 juillet 1965 portant Code pénal, et de l’article 431-59 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a invité la plaignante à porter plainte auprès du Procureur de la République.

 

 

 

 

  1. SIGNALEMENTS

 

MIS EN CAUSE

MOTIFS

OBSERVATIONS

Way2call

(suite de la procédure)

Collecte de la donnée sensible relative à la religion pour le besoin recrutement

Suite à la demande d’explication adressée à la société Way2Call pour la collecte d’une donnée sensible, à savoir la religion, pour les besoins de recrutement et de gestion des ressources humaines, le centre d’appel a procédé à la suppression de la rubrique y afférente sur sa plateforme https://www.way2call.sn/

Par ailleurs, la CDP a rappelé à Way2 call que les exceptions, prévues à l’article 41 de la loi 2008-12 du 25 janvier 2008 pour la collecte d’une donnée relative à la religion, ne concernent pas les traitements mis en œuvre dans le cadre de la gestion administrative du personnel.

A ce titre, la CDP a invité le responsable du traitement, à mettre en place une mesure alternative et protectrice de la vie privée, pour la gestion de ses ressources humaines.

Par ailleurs, la CDP a enjoint Way2call à la déclaration de la plateforme https://www.way2call.sn/ pour se mettre en conformité.

La société Way2Call s’est rapprochée de la CDP pour déclarer ses traitements de données personnelles.

Coalition BBY de Mermoz - Sacre cœur

Notification d'une violation de données personnelles suite à la création d’un dispositif de gestion de la base de données des membres d’une coalition politique

La CDP a reçu un signalement relatif à la non-conformité du traitement de données à caractère personnel dénommé « dispositif de gestion de la base de données des membres de BBY de Mermoz - Sacre cœur »

La CDP a rappelé à la coalition BBY Mermoz- Sacré-Cœur que, nonobstant la dispense de formalités, prévue par la loi n°2008-12 du 25 janvier 2008, pour les traitements de données à des fins de gestion des membres d’une association politique, celle-ci doit toutefois respecter les exigences légales suivantes :

  • respecter strictement la finalité du traitement ;
  • ne collecter que les données personnelles nécessaires pour les membres et adhérents
  • prendre toute précaution utile pour garantir la sécurité et la confidentialité des données personnelles ;
  • recueillir le consentement exprès de tout adhérent avant de l’intégrer dans la base de données ;
  • définir les modalités d’exercice des droits des personnes concernées.

Direction Générale des Douanes

Publication sur le site internet de la Direction générale des Douanes, de listes non anonymisées de candidats au concours d’entrée 2017-2018 à l’Ecole des Douanes

La CDP a reçu un signalement, relatif à la publication sur le site internet de la Direction générale des Douanes, de listes non anonymisées de candidats au concours d’entrée 2017-2018 à l’Ecole des Douanes. Sur ces listes publiées, les données personnelles suivantes des candidats sont accessibles : nom, prénom, date et lieu de naissance, adresse email, numéro de téléphone et numéro d’inscription.

Sur le fondement des articles 35, 70 et 71 de la loi n°2008-12 précitée, la CDP a adressé une demande d’explication au responsable du traitement.

En réponse, le responsable du traitement précise que des mesures ont été prises pour la suppression des données des candidats sur le site de la Direction Générale des Douanes.

Par ailleurs, conformément à l’article 16-3 de la loi n°2008-12 précitée, la CDP a invité la Direction Générale des Douanes à se doter d’une politique de protection des données personnelles qu’elle peut lui soumettre pour homologation.

M.M

Publication de photo d’une maison faisant apparaitre le numéro de téléphone de la personne concernée

Madame D. a signalé à la CDP la publication d’une annonce sur les réseaux sociaux et sur Internet, relative à la vente d’une maison, qui loge l’école dont elle est Directrice.

Suite à cette publication, Madame D. ne cesse de recevoir des appels de sociétés de courtage immobilier. Son numéro de téléphone apparait sur la photo de la maison, publiée sur les sites d’annonce.

La CDP a invité le bailleur à respecter les droits reconnus à la locataire, concernant l’utilisation de son numéro de téléphone.

Ainsi, le bailleur a invité les courtiers à modifier la publication, en supprimant toute information faisant apparaitre l’identité de Madame D. 

La CDP a clôturé le dossier.

Rapport d’audit du fichier électoral

Direction de l’Automatisation des Fichiers (DAF)

La CDP a constaté, dans le rapport publié de la mission d'audit du fichier électoral, des risques d’atteinte à la sécurité des données personnelles des électeurs.

En application des articles 70 et 71 de la loi n°2008-12 du 25 janvier 2008, la CDP a adressé à la Direction de l’Automatisation des Fichiers (DAF), une demande d’information relative aux mesures techniques et organisationnelles, mises en œuvre, en vue de la sécurisation des données personnelles du fichier électoral.

En réponse, la DAF précise que l’équipe de la mission d’audit décrivait la situation de la refonte en 2016 et de la révision exceptionnelle des listes électorales de 2018. Au regard de ces missions, la DAF a mis en place des mesures techniques et organisationnelles appropriées, afin d’écarter dans la mesure du possible toute altération ou perte de données ainsi que tout accès non autorisé à celles-ci.

La CDP a pris acte des réponses fournies par la DAF.

 

 

 

 

 

 

 

  • ACTIVITES DE LA DIRECTION DE LA TECHNOLOGIE DE L’INNOVATION ET DU CONTROLE

 

Dans le cadre de ses missions de conseil, de contrôle, d’innovation et de technologie, la Direction de la Technologie de l’Innovation et du Contrôle a travaillé sur les sujets suivants :

 

3.1 Ateliers et rencontres d’échanges

 

  • Réunion de travail : Projet Ocwarc Sénégal

Dans le cadre de la mise en œuvre du projet dénommé : « Criminalité organisée : Réponse de l’Afrique de l’Ouest à la cyber sécurité et la lutte contre la cybercriminalité » (OCWAR-C), l’équipe de ce projet, dont fait partie la CDP, a convoqué une réunion le mercredi 05 mai 2021 pour valider l’étude 2020 sur l’état des lieux du Sénégal en matière de cybersécurité et de lutte contre la cybercriminalité et discuter du plan d’actions prévu par le Sénégal.

 

  • Webinaire certificats de vaccination et gestion de l'identité par ID4Africa

Due aux changements mondiaux causés par la pandémie COVID, le mouvement ONG ID4Africa a organisé un webinaire d’échange. L’objectif de ce webinaire était d’échanger sur la naissance d'une nouvelle information d'identification mondiale qui est solidement liée à une identité vérifiable.

En effet, au fur et à mesure que la population mondiale se fait vacciner, il est raisonnable de s'attendre à ce que la preuve de cette vaccination devienne une exigence pour entrer dans les pays et apparaisse notamment sur une partie des titres de voyage comme les passeports et les documents de voyage. Cela peut également devenir une exigence pour un plus large éventail d'activités quotidiennes.

Ce certificat de santé publique soulève des problématiques pour la protection des données, notamment la confidentialité et le processus de gestion des identités.

 

L’Organisation International pour les Migrants OIM a partagé des analyses approfondies sur l’impact de la mobilité humaine, entre autres :

  • La surveillance des points d’entrées ;
  • La matrice des restrictions de voyage ;
  • La restriction de la mobilité ;
  • La surveillance des itinéraires.

 

En outre, divers efforts sont actuellement en cours pour développer des systèmes numériques de certification de la santé - à la fois des certificats de vaccination et de test - pour les voyages internationaux. Pourtant, malgré cette course au marché, il est peu probable qu'une seule solution soit mise en œuvre universellement - ou même dans l'ensemble de l'industrie du voyage. Il est donc essentiel que les solutions soient conçues dès le départ pour être interopérables à la fois entre elles et au-delà des frontières institutionnelles et géographiques.

 

Parmi ces solutions, nous pouvons en citer quelques-unes dont :

 

GOOD HEALTH PASS : Il s’agit d’une initiative de la fondation Mastercard (entreprise américaine) qui est décliné comme étant une solution intersectorielle ouverte, inclusive, réunissant des entreprises et des organisations de premier plan des secteurs de la technologie, de la santé et du voyage. Les membres de ce projet créent un modèle pour des systèmes de laissez-passer de santé numériques interopérables et établissent une voie sûre pour restaurer les voyages internationaux et relancer l'économie mondiale. Mastercard invite les décideurs politiques, des représentants des agences gouvernementales, les entreprises des secteurs de la santé, de la technologie et des voyages, et les organisations de la société civile à restaurer les voyages internationaux tout en garantissant la protection de l'équité, de la vie privée et d'autres libertés civiles.

 

VACCEMA : application d’origine égyptienne, développée par Get Group, Vaccema est une solution flexible visant à aider les gouvernements à vérifier l'authenticité des tests et des certificats de vaccination pour atteindre efficacement une vérification transparente et une garantie sur la sécurité des données. Vaccema est basée sur les dernières directives internationales et les meilleures pratiques qui définissent les méthodes technologiques et opérationnelles de gestion du processus de vaccination, la gestion de la chaîne d'approvisionnement des vaccins, la gestion des centres de santé de confiance, la hiérarchisation des citoyens sur la base des recommandations de l'OMS et enfin la délivrance des certificats de vaccination sous diverses formes (physiques / numériques).

 

HEALTHCERT : HealthCerts est un ensemble de normes et de schémas numériques pour la délivrance de certificats issus des résultats de tests numériques COVID-19 conformes aux normes internationales et aux exigences du gouvernement de Singapour. HealthCerts a été développé en collaboration avec la Government Technology Agency et le ministère de la Santé de Singapour.

 

LUMEDIC CONNECT : C’est une plateforme e-sante qui permet aux entreprises de demander des bilans de santé anonymes afin que les patients et les clients puissent poursuivre leurs activités en toute confiance et en toute sécurité.

 

HLTH ID : une application pour les tests COVID-19. HLTH ID est révolutionnaire pour deux raisons. Le premier est dû aux données qu'il est censé collecter. Les utilisateurs scannent leur visage avec l'application sur leur téléphone Android ou iOS, et l'application capture la température de l'utilisateur, la fréquence cardiaque, la variabilité de la fréquence cardiaque, les niveaux de saturation en oxygène dans leur sang et les niveaux de stress. L'application fournit ensuite à la personne une preuve - une sorte de certification - montrant qu'elle peut retourner au travail ou à l'école en toute sécurité. Ils sont en partenariat avec le Kenya, Nigeria, Ghana et la cote d’ivoire.

 

OTENTIK : C’est une solution qui aide les gouvernements, les industries et les gens à vivre un monde basé sur la confiance. OTENTIK a présenté des normes basées sur cinq principes fondamentaux : identité de confiance, légitimité avérée, longévité et résilience, confidentialité dès la conception.

 

  • Réunion du sous-comité « géolocalisation et base de données » du projet d’adressage numérique du Ministère de l’Économie numérique et des Télécommunications

La CDP est membre du Comité de Pilotage (COPIL) du projet d’adressage numérique. Réuni le 18 mars 2021, le COPIL a installé le Comité Technique et a procédé à la validation de la feuille de route du projet.

 

Par ailleurs, pour l’exécution de la feuille de route, cinq (05) sous-comités techniques ont été créés pour coordonner les activités de mise en œuvre en se basant sur une démarche participative et inclusive :

  • Sous-comité « Adressage physique »
  • Sous-comité « Codes postaux »
  • Sous-comité « Géolocalisation, Base de données d’adresses et Plateformes numériques »
  • Sous-comité « Juridique »
  • Sous-comité « Communication »

 

Dans le cadre de ces travaux, la CDP est membre de deux (02) sous-comités techniques : le sous-comité « Géolocalisation, Base de données d’adresses et Plateformes numériques » et le sous-comité « Juridique ». La DTIC a pris part le vendredi 07 Mai à l’atelier du sous-comité « Géolocalisation, Base de données d’adresses et Plateformes numériques » qui a pour rôle d’encadrer l’élaboration de la base de données d’adressage et la réalisation de plateformes numériques. Le sous-comité s’est fixé comme premier objectif l’élaboration d’une feuille route. A l’issue de l’atelier, une feuille de route a été déclinée comme suit :

  • Dresser l’état des lieux de la cartographie nationale ;
  • Faire le point sur les systèmes de codification existants en vue de les interconnecter ;
  • Harmoniser les bases de données d’adresses existantes ;
  • Présenter un plan d’action pour la mise en place de la base de données d’adresses nationales.

 

  • Webinaire sur les enjeux et défis de l’économie numérique en Afrique et dans la sphère francophone

La CDP a pris part au webinaire organisé conjointement par la CNUDCI, l’OHADA et l’OIF le 11 Mai 2021 sur les enjeux et défis de l’économie numérique en Afrique et dans la sphère francophone. Cela a permis de rappeler le cadre réglementaire du commerce et des transactions numériques ainsi que les enjeux juridiques liés aux développements récents de l’économie numérique.

 

 

  • Ateliers numériques sur la stratégie digitale de la coopération Union Européenne – Sénégal

Basés sur les conclusions d’une étude préliminaire sur la stratégie digitale de la coopération UE-Sénégal, ces ateliers numériques ont permis de rassembler plusieurs participants issus de divers secteurs (institutions sénégalaises, secteur privé…) dans le but d’échanger et construire des actions communes autour des grands axes de la stratégie Sénégal Numérique 2016-2025 à savoir :

  • Un cadre juridique et institutionnel propice à la sécurité des investissements et à l’encadrement des activités du numérique ;
  • L’accès ouvert et abordable aux réseaux et services numériques en assurant une couverture nationale en infrastructures adaptées et donc un accès égal aux services de télécommunication sécurisés et à prix compétitifs ;
  • Le capital humain pour lequel la formation professionnelle aux compétences numériques et en innovation constitue une priorité ;
  •  La confiance numérique assurée par un renforcement des interventions en cyber sécurité ;
  • L’administration numérique au service des citoyens et des entreprises afin d’améliorer l’efficacité et la synergie dans les services publics ;
  • La promotion d’une industrie du numérique innovante et créatrice de valeur en soutenant l’entrepreneuriat et le secteur privé local ;
  • Les services numériques et la création d’emploi dans les secteurs agricoles, de l’environnement et du changement climatique et des services où il s’agit de promouvoir les usages innovants du numérique pour la productivité et la compétitivité.

 

Ce fut l’occasion pour la CDP de rappeler l’importance de disposer d’un cadre réglementaire sur la protection des données à caractère personnel qui permet de promouvoir un espace de confiance (confiance numérique) pour les services en ligne dans le cadre de la stratégie Sénégal Numérique 2016-2025.

 

  • Atelier de partage sur l’analyse de la mise en œuvre de la stratégie nationale de Cybersécurité

La CDP a pris part à l’atelier sur l’analyse de la mise en œuvre de la stratégie nationale de cybersécurité du Sénégal (SNC 2022) pour la période de 2018 à 2020.

Pour rappel, la stratégie nationale de cybersecurité est composée de douze projets prioritaires, une vision, un mécanisme de suivi et d’évaluation, vingt-cinq résultats souhaités et quarante-neuf actions à mener.

Les axes cibles de la SNC 2022 sont :

  • le renforcement du cadre juridique et institutionnel ;
  • la protection des infrastructures d’information critiques et des systèmes d’information de l’état ;
  • la promotion de la culture de la cyber sécurité, le renforcement de capacités et les connaissances techniques ;
  • la participation aux efforts régionaux et internationaux.

 

Après une présentation de l’état des lieux et un bref résumé de la SNC 2022, les participants à l’atelier ont travaillé pour la formulation des recommandations pour une meilleure mise en œuvre de la SNC 2022.

 

Voici quelques recommandations formulées à l’issue de cet atelier :

  • Initier une loi spécifique sur la cybersécurité qui facilitera son application ;
  • Définir et adopter la politique nationale de cybersécurité ;
  • Favoriser une coopération entre les parties prenantes ;
  • Mettre en place un plan de communication dynamique ;
  • Organiser la revue du cadre législatif à harmoniser avec les besoins des technologies émergentes ;
  • Sensibiliser toutes les couches de la société en utilisant les langues nationales pour plus d’efficacité ;
  • Faire recours aux médias locaux pour bien mener la campagne de sensibilisation.

 

 

  • Atelier d’échange avec l’association ForHumanity sur les enjeux de l’intelligence artificielle

ForHumanity est une organisation basée aux Etats-Unis qui regroupe divers membres provenant de divers secteurs dans le but de protéger la société de l’impact de l’Intelligence Artificielle dans les domaines de l'éthique, des discriminations (biais), de la vie privée, de la transparence et de la cybersécurité. Pour ce faire, l’association travaille en partenariat avec les autorités de régulation, dont la Grande Bretagne, dans l’optique de :

  • rédiger des règles d'audit pour les systèmes basés sur l’intelligence artificielle (sur les mêmes principes que l’audit financier) ;
  • effectuer une veille actualisée de cas d'utilisation et de connaissances en support aux auditeurs pour évaluer la conformité des systèmes IA ;
  • fournir une formation et une certification des auditeurs systèmes IA ;
  • octroyer des licences à des organisations indépendantes, responsables et certifiées par les autorités de certification appropriées ;
  • mettre à disposition des clauses contractuelles standards pour les auditeurs et les prestataires de services de pré-audit ;
  • mettre à disposition un système de formation décentralisé pour optimiser le nombre de candidats et de personnes certifiées ;
  • proposer un système de formation continue ;
  • mettre à disposition et maintenir un annuaire actualisé des personnes accréditées.

 

Cet échange fut très instructif pour la CDP. En effet, l’intelligence artificielle est une technologie qui évolue très rapidement alors qu’en parallèle les lois portant règlementation sur les données à caractère personnel prennent souvent énormément de temps à être mises à jour. Il est donc primordial pour les Autorités de Régulation de s’intéresser à la question afin d’élaborer, dès à présent, des lignes directrices pour protéger au mieux les données personnelles de nos concitoyens, collectées et traitées par ces nouvelles technologies. Le système d’audit proposé par l’association ForHumanity permettrait, en effet, d’établir des critères pour analyser l’impact d’une solution d’intelligence artificielle sur les droits et libertés et la vie privée des personnes pour éviter, par exemple, qu’il n’y ait des discriminations liées au genre, à l’âge, à la couleur de peau, avant le déploiement de la solution. D’autres échanges sont prévus entre la CDP et l’association ForHumanity afin d’approfondir les discussions et établir, éventuellement, un potentiel partenariat.

 

  • Étude de faisabilité du projet PRODAP

Le 02 Juin 2021, nous avons reçu dans les locaux de la CDP le cabinet E-Sud et le chef de projet de l’Agence de l’Informatique de l’État (ADIE) pour échanger sur le projet PRODAP (Projet de Promotion de la Digitalisation de l’Administration Publique).

Le PRODAP a pour finalité, la promotion des services publics digitaux de qualité pour toute la population sénégalaise et contribue ainsi à la mise en œuvre de la stratégie « Sénégal Numérique 2025 ». Ce projet visant l’amélioration de l’efficacité, de la transparence et de l’accès aux services publics renforcera un réseau informatique national de l’administration qui soit performant et utilisé pour le déploiement des applications informatiques basées sur le web et qui soit disponible au niveau communal. La CDP a, pour sa part, présenté son projet de dématérialisation des procédures administratives dans l’optique de faire partie des bénéficiaires du projet PRODAP.

 

 

 

 

 

3.2 Dématérialisation des procédures de la CDP

 

Au vu du nombre de déclarations que traitent la CDP à date et qui ne cessent d’augmenter, la CDP a repris les démarches liées à la dématérialisation. En effet, au vu des contraintes budgétaires certains prestataires ont décidé de revoir leurs offres ou à développer, pour la première phase de dématérialisation, une version « light » du système.

 

 

3.3 Accompagnement à la mise en conformité 

L’accompagnement des organismes dans la mise en œuvre de leurs traitements fait partie intégrante des missions de la CDP. En plus de répondre aux sollicitations du grand public, la CDP n’hésite pas à aller directement vers les responsables de traitement afin de les former sur les outils et méthodologie de mise en conformité. C’est dans ce cadre que la CDP a accompagné pour les mois de Mai et Juin 2021 les structures suivantes :

  • Firefly Media
  • Kantar
  • Endeavour (maison mère de Sabadola)
  • Eiffage

 

  • COMMUNICATION ET SENSIBILISATION

Pour ce deuxième trimestre de l’année 2021, la CDP s’est orientée vers les activités de vulgarisation et de promotion de la protection des données personnelles. Elle a pris part à des rencontres en ligne (webinaires) ou en présentiel, autant d’occasions de plaider pour le respect des dispositions de la loi.

  1. Campagne de sensibilisation à l’éducation numérique

Après la formation de 20 enseignants sélectionnés sur la base notamment de leurs connaissances d’Internet, de la Cybersécurité/Cybercriminalité, le programme a formulé un certain nombre de recommandations dont la nécessité d’adapter le discours de sensibilisation par rapport au contexte des différentes régions du Sénégal, entre autres l’appui et le soutien des clubs Internet déjà en place dans certains établissements et aussi l’implication pour une sensibilisation des parents à la sécurité en ligne.

Le Ministère de l’Education nationale a décidé de confectionner, avec le concours des partenaires, un livret de sensibilisation qui sera décliné, au-delà du programme, pour l’ensemble des écoles du Sénégal. Ce livret sera basé sur les différentes idées issues du programme #Mavieenligne. Des discussions sont également en cours la mise en place de curricula d’éducation au numérique à insérer dans le programme national d’éducation.

Pour la phase pilote de la campagne de sensibilisation à l’éducation numérique s’est tenue durant le mois d’Avril 2021, Avec le support de la CDP, les formateurs de BS CORP ont effectué plus de 50 sessions de formation dans 4 régions au Sénégal (Dakar, Thiès, Louga et St louis) pour un nombre global de jeunes formés estimé à 3028 élèves.

Concernant la sensibilisation en ligne à travers la page Facebook : Mavieenligne qui a débuté le 15 décembre 2020, les résultats enregistrés font état de 10 334 personnes ayant aimé la page et 3 484 987 visualisations de la page ou du contenu de la page. 

 

  1. Webinaires

Matinée du numérique de l’OPTIC

La Commission de protection des données personnelles (CDP) a pris part, le Mardi 06 Avril 2021, à la "Matinée du numérique" sur le thème "Protection des Données personnelles dans l'économie numérique" organisé par l’Organisation des Professionnels des Technologies de l'Information et de la Communication au Sénégal (OPTIC), en partenariat avec le Réseau des Journalistes Sénégalais spécialistes en TIC (REJOTIC) et NTF4 Sénégal. L’objectif global de cette « Matinée du Numérique » était de sensibiliser tous les acteurs et d'instaurer un cadre de dialogue entre les pouvoirs publics, les parties prenantes du secteur des TIC et l’opinion publique en général sur les grandes questions de l’utilisation des données à caractère personnel dans leurs activités quotidiennes.

 

Lors de sa communication, le Secrétaire Permanent de la CP, le Professeur Mamoudou Niane, a insisté sur la nécessité d’accompagner l’innovation technologique sans pour autant sacrifier la dimension humaine par le rappel notamment aux entreprises des obligations et formalités. Passant en revue les outils juridiques et techniques, mis en place par la Commission, il a plaidé l’instauration d’une confiance avec les utilisateurs en vue de leur développement.

Aux entreprises du secteur numérique, il a égrené un chapelet de recommandations en vue d’asseoir une e-réputation avec des actions concrètes comme cartographier l’ensemble des traitements susceptibles d’être faits par celles-ci, documenter tous les traitements, analyser les risques technologiques, humains et juridiques, sans oublier l’obligation de nommer un DPO pour la déclaration desdits traitements devant la CDP. Il a terminé avec trois autres points tout aussi importants à savoir l’obligation d’informer les utilisateurs, la nécessité de former les acteurs et enfin l’exigence du contrôle.

 

  1. Rencontres

 

Atelier de formation des acteurs des medias sur la protection des enfants en ligne

La CDP a pris part à l’atelier de formation des acteurs des médias sur la protection des enfants en ligne (PEL), les 8 et 9 avril 2021 à Thiès. Cet atelier, sous l’égide du ministère de l’Économie numérique et des télécommunications, a enregistré la participation de plusieurs acteurs engagés dans la protection des enfants en ligne. Il a permis de cerner les difficultés auxquels font face les autorités publiques quant à l’usage d’Internet et des réseaux sociaux, qui, même s’ils offrent un cadre d’échange et d’acquisition du savoir, s’accompagnent de nombreux risques pour les enfants, entre autres, la dépendance, l’exploitation sexuelle, le cyber intimidation.

A l’issue des sessions de formations, les participants ont formulé des recommandations, notamment la mise en place d’un réseau des journalistes en TIC, la tenue de rencontres périodiques entre le COPIL-PEL avec les acteurs des médias mais aussi le renforcement de la sensibilisation sur l’étendue du territoire national de même la diffusion de spots en langues locales relatifs aux abus faits aux enfants sur internet et au phénomène des sextorsions.

 

4.4. Interpellations sur les réseaux sociaux

La CDP a reçu de nombreuses interpellations à travers ses pages de réseaux sociaux. Ces interpellations ont tourné pour l’essentiel autour des procédures de récupération de numéro de téléphone personnel pour un ex-agent d’une banque de la place, la réception de sms non sollicités de la part du Ministère de la Santé sur une campagne contre les méfaits du tabac, de sextorsion, de publication de documents d’identification nationale et de photos sur les réseaux sociaux mais également la procédure de suppression d’une vidéo portant atteinte à l’intimité d’un citoyen. La CDP a également reçu une interpellation portant sur la prospection d’un parti politique, sur la publication des listes des bénéficiaires des financements de la DER.

 

4.5. Interpellations dans les médias

Intervention sur la radio I. Radio dans une émission sur la divulgation des données personnelles, les modalités de suppression de vidéos sur les réseaux sociaux et les peines encourues par les auteurs des vidéos portant atteinte à l’image et à l’intégrité des personnes.

La CDP par le biais du Chef de division du Contentieux a apporté un éclairage à Sud Quotidien sur l’utilisation des données personnelles dans les aspects de la vie de tous les jours, ainsi que les risques et dérives quant à une mauvaise utilisation.

 

  • COOPERATION ET PARTENARIAT

 

       5.1.  Au niveau international

 

  • 41ème Réunion Plénière du Comité Consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des à caractère personnel (Convention 108) (du 28 au 30 juin 2021) :

 Le Comité Consultatif de la Convention 108 s’est réuni du 28 au 30 juin 2021, par visioconférence.  Au cours de la Plénières les Etats Parties à la Convention ont échangé sur les projets de lignes directrices en cours d’élaboration, relatifs notamment à :

  • La protection des données et l’identité numérique ;
  • La protection des personnes à l’égard du traitement des données à caractère personnel par et pour les campagnes politiques. 

 

Par ailleurs, le Comité a étudié et validé le Programme de travail pour la période 2022-2025. Le Programme de travail est axé autour de cinq (05) objectifs, notamment :

  • l’entrée en vigueur de la Convention 108 modernisée (Convention 108+) ;
  • le suivi des activités normatives  du Comité, à savoir les recommandations et lignes directrices ;
  • la protection des données, y compris les données biométriques, dans le cadre des scrutins et des élections ;
  • l’identité numérique dans le contexte des migrations ;
  • la poursuite de la coopération avec d’autres Commissions et Institutions.

Concernant les demandes d’adhésion, celle du Costa Rica a été présenté à la Plénière, en présence de Madame Fiorella Salazar Rojas, Ministre de la Justice et de la Paix du Costa-Rica. La Ministre a informé le Comité que les débats législatifs en cours en Costa Rica pourraient avoir un impact direct sur les lois évaluées par le Conseil de l’Europe. Ainsi, elle a demandé au Comité de différer sa décision en la matière.

Le Comité a demandé aux autorités du Costa Rica de faire rapport régulièrement sur le processus législatif national et sur ses résultats.

 

5.2.  Au niveau africain

  1. Atelier de renforcement des capacités des Autorités africaines de protection des données, organisé par le Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP), l’Alliance Smart Africa et GSMA (17 au 21 mai 2021)

Le RAPDP, l’Alliance Smart Africa et GSMA ont organisé, du 17 au 21 mai 2021, une session de renforcement de capacités pour les Autorités africaines de protection des données personnelles. Cette session est organisée dans le cadre de la coopération entre SMART Africa et le RAPDP.

La formation a été dispensée par la GSMA et a été conçue spécifiquement pour les autorités de protection des données.

Toutes les directions de la CDP ont participé à ces ateliers de renforcement dont le programme est décliné comme suit :

Jour 1 : La confiance dans l'économie numérique / L'évolution de la législation, des pratiques et de l'application en matière de confidentialité des données - quelle est une approche intelligente ?

Jour 2 : Une introduction aux données personnelles dans l'industrie du mobile, les réseaux mobiles, l'analyse des big data, l'IoT, l'IA.

Jour 3 : Que signifient la responsabilité et une approche fondée sur le risque dans la loi et la pratique ?

Jour 4 : Flux de données transfrontaliers, localisation / Alignement des lois et des cadres de protection des données / Coopération internationale et rôle des autorités de contrôle de la protection des données

Jour 5 : Au-delà de la vie privée : stratégies émergentes pour stimuler le partage des données et penser de manière plus holistique à l'utilisation des données

 

  1. Visite de travail à la CDP de l’Autorité de Régulation des Télécommunications et des TIC de la Côte d’Ivoire (ARTCI) (31 mai au 01er juin 2021)

Le Conseil de Régulation de l’ARTCI a effectué, du 31 mai au 01er juin 2021, une visite de travail auprès de la CDP. La délégation était dirigée par le Président du Conseil de Régulation, accompagné des membres du Conseil et des Directeurs, et chefs de services de l’ARTCI.

Au cours de cette visite, les deux Autorités ont partagé leurs expériences en matière de protection des données personnelles. L’ARTCI fait office de régulateur des Télécommunications et d’Autorité de protection des données personnelles.

A ce titre, la CDP a beaucoup appris du modèle de l’ARTCI dans le domaine de la protection des données personnelles. Les échanges ont principalement porté sur :

  • L’organisation et le fonctionnement de la CDP ;
  • La mise en conformité des responsables de traitement ;
  • Le financement de l’ARTCI à travers le système de tarification des formalités préalables ;
  • L’actualisation de la loi sénégalaise sur les données personnelles.

Au terme des deux jours de travaux, la Présidente de la CDP Madame Awa NDIAYE et le Président du Conseil de Régulation Monsieur Diakité Coty Souleïmane ont échangé un protocole d’accord entre les deux Autorités, qui sera signé bientôt. 

 

  1. 2ème Rencontre continentale sur l’Harmonisation des politiques et cadres de régulation des TIC et du numérique, organisée par la Commission de l’Union Africaine (CUA) dans le cadre du Programme PRIDA (16-18 juin 2021)

Cette 2ème Rencontre avait pour objectif de présenter les travaux en cours sur l’Harmonisation des législations, dans la cadre du programme PRIDA.

Ces travaux d’harmonisation portent sur deux volets :

  1. L’ouverture des marchés dans les secteurs du numérique et des Télécommunications ;
  2. La protection et la localisation des données.

Sur le deuxième volet, qui intéresse la protection des données personnelles, les travaux d’harmonisation ont été menés dans cinq (05) pays pilotes pour la première phase, à savoir : le Maroc, le Gabon, la Zambie, le Ghana et l’Ile Maurice.

Pour cette phase, il s’agit d’évaluer les législations sur la protection des données personnelles des pays choisis.

Pour la deuxième phase, la Commission de l’Union Africaine vise le déploiement du modèle d’évaluation dans vingt-cinq (25) pays, dont le Sénégal. 

Les résultats de l’évaluation des cadres juridiques africains seront présentés lors de la Réunion Ministérielle de l’Union Africaine, prévue en octobre 2021.

  1. Assemblée Générale du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) (22 juin 2021)

Le RAPDP a tenu son Assemblée Générale statutaire le 22 juin 2021 en présentiel à Rabat, pour les membres du bureau, et en ligne pour les autres membres.

Les principaux points à l’ordre du jour étaient :

  • l’examen des demandes d’adhésion aux statuts de membres et d’observateur ;
  • l’élection du nouveau Bureau.

Concernant les demandes d’adhésion au statut de membre, le RAPDP a reçu les candidatures des Autorités de protection du Niger, du Kenya, de l’Ile Maurice, de l’Angola et de l’Ouganda. Ces Autorités ont été acceptées en qualité de membre du RAPDP.

Concernant les demandes de statut d’observateur, la candidature de la Gambie a été reçue et acceptée. Le RAPDP s’est engagé à accompagner la Gambie pour l’adoption d’une loi sur la protection des données personnelles.

Concernant l’élection du nouveau Bureau, le vote a été reporté et une Assemblée Générale extraordinaire sera organisée prochainement. 

  1. Signature d’un Protocole d’accord entre la CDP et la Commission nationale de Contrôle de la Protection des Données Personnelles (CNDP) du Maroc (22juin 2021)

La CDP et la CNDP ont signé, le 22 juin 2021 à Rabat, un protocole d’accord pour formaliser la coopération qui lie déjà les deux Autorités.

Dans le cadre de cette coopération, les deux Autorités conviennent de collaborer sur différents axes, notamment :

  • Sur les transferts de données personnelles entre le Sénégal et le Maroc ;
  • Sur la gestion des plaintes ;
  • Sur la gestion des contrôles des traitements de données personnelles.

Par ailleurs, les deux Autorités s’engagent à promouvoir la Confiance numérique en Afrique.

 

52- AU NIVEAU NATIONAL

PARTICIPATION AUX ATELIERS ET SEMINAIRES :

 

  1. Atelier de rédaction des projets de décret et d’arrêté relatifs à l’Entrepôt de Données Inter-Régime de la Couverture Maladie Universelle (EDIR-CMU) (02 au 04 juin 2021).

 

La CDP a pris part, du 02 au 04 juin, à l’Atelier de rédaction des projets de décret et d’arrêté relatifs à l’Entrepôt de Données Inter-Régime de la Couverture Maladie Universelle (EDIR-CMU).

Dans le cadre de l’élaboration et de la validation de ces textes en plénière lors de l’atelier, la CDP a veillé à l’intégration de dispositions sur la protection des données personnelles stockées dans l’Entrepôt de Données. Ces dispositions concernent :

  • les droits des personnes concernées ;
  • le stockage des données au Sénégal ;
  • la durée de conservation ;
  • les mesures de sécurité et de confidentialité.

 

Ainsi, en application de l’article 21 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, les textes seront soumis à la CDP pour avis.

 

  1. Atelier de consolidation de l’actualisation du cadre juridique des Technologies de l’Information et de la Communication (TIC) (07 au 09 juin 2021 à Saly)

Le Ministère de l’Economie Numérique et des Télécommunications a organisé, du 07 au 09 juin 2021, un atelier sur l’actualisation des textes qui encadrent les TIC.

L’atelier avait pour objectif d’inviter les acteurs du secteur des TIC à faire la revue des textes de 2008 sur les TIC, en vue de leur actualisation, mais également de discuter de la mise en place d’un cadre de concertation pour l’harmonisation et l’actualisation des textes.

Pour ce faire, trois (03) groupes ont été constitués pour revoir les textes, notamment :

  • La loi d’orientation sur la société de l’information et la Gouvernance des TIC ;
  • La loi sur la protection des données à caractère personnel et la loi sur les Transactions électroniques ;
  • La loi sur Cybercriminalité et la loi sur la Cryptologie.

A l’issu des travaux de groupes, les principales recommandations sont :

  • Harmoniser les différents textes, pour éviter les contradictions sur certaines dispositions ;
  • Mettre en place un Comité de rédaction et un Comité de relecture des textes ;
  • Confier la rédaction des textes aux acteurs du secteur plutôt que de faire appel à des consultants extérieurs.

Par ailleurs, la recommandation particulière, qui concerne la protection des données personnelles est de faire le plaidoyer pour l’inscription dans la Constitution du droit à la protection des données personnelles.

 

  1. Atelier sur l’échange d’informations préalables des passagers API/PNR organisé par l’Agence Nationale de l’Aviation Civile et de la Météorologie (ANACIM) et l’Aéroport International de Blaise Diagne (AIBD) (10 juin 2021)

La CDP a participé à l’atelier sur l’échange d’informations préalables (API/PNR) des passagers voyageurs, organisé par l’ANACIM et l’AIBD.

Cet atelier avait pour objectif de partager avec les acteurs de l’aviation civile le dispositif international d’échanges de données des passagers, en vue de contrôler les voyageurs au niveau des aéroports.

A ce titre, les textes internationaux qui encadrent la communication et l’échange de données sur les passagers, ainsi que les enjeux sécuritaires ont été présentés.

Pour l’opérationnalisation de ce dispositif de communication et d’échanges des données, les pays doivent mettre en place un guichet unique appelé Unité d’Informations Passagers (UIP), qui permet aux compagnies aériennes de communiquer aux Autorités compétentes (Police, Douanes, Aéroport, Gendarmerie) les données sur les passagers.

A cet effet, les modalités de collecte, de communication et d’échange doivent être prévues par un texte, en conformité avec la loi sur la protection des données personnelles et après Avis de la CDP.

Pour ce faire, l’ANACIM prévoit de créer un Comité, qui réunit les différents acteurs, et avec la participation de la CDP, pour l’élaboration du projet de texte.

 

 

Conclusion :

Ce deuxième trimestre de l’année 2021 a été fortement marqué par la Coopération, tant au niveau national qu’Africain.

Au niveau national, il est noté un rapprochement certain de l’Administration pour la mise en conformité de projets, qui ont un impact sur les données personnelles des citoyens. La CDP est davantage sollicitée par l’Administration pour Avis sur des projets de textes, qui comportent un volet relatif à la protection des données personnelles.

Au niveau africain, la visite d’échanges de l’ARTCI et la signature du Protocole d’accord avec la CNDP du Maroc constituent une grande avancée dans la coopération entre la CDP et ses homologues. C’est dans cette même dynamique que la Haute Autorité Nigérienne de la Protection des Données Personnelles (HAPDP), nouvellement installée, a effectué, au cours du mois de juillet 2021, une visite d’échanges avec la CDP.

Dans le cadre de la mise en conformité avec la loi 2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, il est constaté une hausse sur le nombre d’autorisations et de récépissés délivrés par la CDP.

Sur le plan du contentieux, le nombre de signalements et de plaintes des citoyens a, également, connu une hausse par rapport au trimestre précédent. 

Lundi, juillet 26, 2021 - 11:30

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles