COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.
SOMMAIRE
Introduction
I. Bilan des activités de mise en conformité
II. Bilan des plaintes et signalements traités
III. Bilan des missions de contrôle sur sites
IV. Bilan des activités de communication et de sensibilisation
V. Coopération et partenariat
VI. Bilan des activités de formation
VII. Point des réunions sur des importants
Conclusion
.........................................................................................................................................................................
Introduction :
La Commission de protection des Données Personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie son troisième avis trimestriel de l’année 2022, qui couvre les activités des mois de juillet, d’aout et de septembre 2022.
Au cours de ce troisième trimestre de l’année 2022, et conformément à son programme annuel d’activités, la CDP a examiné plusieurs dossiers de demandes d’autorisation et de déclarations de traitements de données à caractère personnel.
La CDP a, également, reçu des plaintes et signalements de citoyens, et a effectué des missions de contrôles sur sites.
I- BILAN DES ACTIVITES DE MISE EN CONFORMITE
Au cours de ce troisième trimestre 2022, la CDP a accueilli cinq (05) structures venues s’informer sur la législation relative aux données à caractère personnel.
La Commission a traité cinquante-sept (57) dossiers dont trente-neuf (39) déclarations et dix-huit (18) demandes d’autorisation.
A l’issue des deux Sessions plénières tenues à la CDP, trente-huit (38) récépissés de déclaration et dix-sept (17) autorisations ont été délivrés. Par ailleurs, a mis en demeure deux (02) responsables de traitement.
En outre, la CDP a appelé à déclaration quatre (04) structures, a auditionné deux (02) responsables de traitement, et a suspendu le traitement de (02) deux dossiers, lors des Sessions plénières.
Dans le cadre de l’assistance et de l’orientation en ligne des responsables de traitement, une structure qui souhaitait s’installer au Sénégal a contacté la CDP pour connaitre ses obligations déclaratives.
Les tableaux ci-après détaillent le bilan des activités de mise en conformité avec la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.
La Session plénière des Commissaires de la CDP s’est réunie deux fois, en vue de statuer sur les demandes d’autorisation et les déclarations de traitements de données à caractère personnel.
Au regard des autorisations accordées et des récépissés délivrés, les traitements les plus récurrents portent sur les systèmes de vidéosurveillance en entreprise et dans les domiciles des particuliers, mais également les systèmes de contrôles d’accès par biométrie dans les lieux de travail.
Par ailleurs, les demandes d’autorisation de traitements de données personnelles à des fins de recherches, d’études marketing et de sondages ont connu une petite hausse durant ce trimestre.
1.1 Autorisations accordées :
Finalités des traitements
|
Nombre |
Structures |
Géolocalisation de la flotte automobile |
02 |
|
Système de contrôle d’accès biométrique |
03
|
|
Plateforme Logidoo www.logidoo.co |
01 |
When & Where Logistics (2W LOGISTICS)
|
Site internet www.legrand.sn |
01 |
Legrand SNC/ Bureau de représentation
|
Collecte de données à travers des enquêtes réalisées avec l’application Surveycto, dans le cadre des études de marche pour le compte des clients |
01 |
Lengo Suarl |
Collecte des données de sondage |
01 |
Société de Développement International (SDI) |
Projet CaSSECS – Carbon Sequestration and greenhouse gas emissoons in (agro) Sylvopastoral Ecosystems in the sahelian CILSS States |
01 |
Institut Sénégalais de Recherches Agricoles (ISRA) |
Gestion de la médecine du travail |
01 |
Grande Côte Opérations (GCO) |
Base de données des nouveaux bacheliers orientés à l’UVS à travers Campusen |
01 |
Université Virtuelle du Sénégal (UVS) |
Base de données des apprenants à l’UVS (étudiants et professionnels) |
01 |
Université Virtuelle du Sénégal (UVS) |
Collecte Avis et satisfaction clients |
01 |
Orca Sénégal |
Bot vocal Wolof |
01 |
SONATEL |
Service Cloud et backup, hébergement web et gestion de nom de domaine |
01 |
Waneeko Group
|
Application mobile |
01 |
Truck4Me |
1.2 Récépissés délivrés :
Finalités
|
Nombre |
Structures |
Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes |
11 |
|
Vidéosurveillance chez des particuliers
|
11 |
|
Base de données des clients |
05 |
|
Système de contrôle d’accès et de pointage par badge |
03 |
|
Registre des entrées et des sorties |
02 |
|
Gestion des fournisseurs et prestataires |
02 |
|
Gestion du personnel |
01 |
|
Traitement des plaintes, signalements et pétitions reçus par la CDP |
01 |
|
E-BOARD |
01 |
|
Site internet www.nicetrok.sn |
01 |
|
2. Structures appelées à la déclaration de leurs traitements de données personnelles
La CDP a invité quatre (04) structures à déclarer leurs traitements de données à caractère personnel, notamment leurs sites internet, leurs fichiers et bases de données personnelles.
La plupart des appels à déclaration font suite à des interpellations de citoyens sur les plateformes digitales de la CDP, pour demander la conformité de ces structures avec la loi 2008-12. Ainsi, la CDP a saisi les structures concernées pour leur demander d’effectuer les formalités déclaratives.
Le tableau ci-après présente les structures concernées par les appels à déclaration :
Responsables de traitement/ Sous-traitants |
Traitements |
|
Site internet www.flyairsenegal.com |
|
Plateforme web www.freedoctor.com |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
3. Assistance et orientation en ligne des responsables de traitement et des usagers :
A travers la messagerie de contact de la CDP (contact.cdp@cdp.sn), les responsables de traitements ou les usagers peuvent poser des questions et demander une assistance aux équipes de la CDP.
Ainsi, pour la mise en conformité avec la loi sur la protection des données personnelles, une structure qui envisage de s’installer au Sénégal a contacté la CDP pour connaitre les procédures déclaratives. Ci-après les questions posées et les réponses apportées, qui peuvent être utiles pour tous les autres responsables de traitement.
Questions |
REPONSES |
« Dans le cadre du futur lancement de nos activités au Sénégal, y compris le traitement des données à caractère personnel des salariés et clients, nous souhaitons connaître les modalités et formalités à accomplir en termes de protection des données personnelles.
|
|
4. Avis donné par la CDP :
Dans le cadre de ses missions de conseils et d’accompagnement, la CDP donne des avis sur la conformité des traitements de données personnelles avec la loi 2008-12 du 25 janvier 2008.
A ce titre, l’Autorité de Régulation des Télécommunications et des Postes (ARTP) a demandé l’avis de la CDP sur un projet d’un opérateur de télécommunication.
Dans ce projet, l’opérateur de télécommunication vise à digitaliser et à simplifier les processus de souscription et d’utilisation de ses offres aux clients.
Ainsi, l’ARTP a demandé à la CDP si le projet est conforme avec la loi sur la protection des données personnelles.
En réponse, la CDP a indiqué que l’opérateur n’a pas encore effectué une demande d’autorisation auprès de la Commission concernant ce projet.
Par ailleurs, la CDP a transmis des recommandations à l’ARTP, pour qu’elle puisse en tenir compte dans le cadre de l’étude de ce projet, notamment sur les parties prenantes à ce projet, sur la sécurité des données des abonnés, et sur la conformité des données d’identification collectées avec le Code des communications électroniques.
II. BILAN DES PLAINTES ET SIGNALEMENTS TRAITES
Sur le volet du contentieux, la CDP a traité neuf (09) plaintes et cinq (05) signalements. Ainsi, une des plaintes a abouti à deux (02) mises en demeure et un (01) avertissement.
Durant ce trimestre, les plaintes et signalements traités ont particulièrement porté sur des systèmes de caméras embarquées dans des véhicules, sur des systèmes de géolocalisation, et sur la vidéosurveillance dans les lieux de travail.
Parmi ces plaintes et signalement, certains ont été transmis par les Collèges des délégués des entreprises mises en cause. Pour donner suite à ces plaintes, la CDP a effectué des missions de contrôle sur les sites. Ces contrôles sont traités dans la partie mission de contrôle du présent avis trimestriel.
Les tableaux ci-après reviennent en détail sur les plaintes et signalements traités et leurs suites :
N° |
PLAIGNANT |
MIS EN CAUSE |
MOTIFS |
OBSERVATIONS |
01 |
L.C |
Société d’Exploitation du Train Express Régional de Dakar (SETER) |
Géolocalisation du véhicule de fonction sans information préalable du salarié |
La CDP a reçu une plainte de L.C, relative à la géolocalisation de son véhicule de fonction sans information préalable. Une demande d'explication a été envoyée à la SETER, sur la mise en œuvre de ce traitement sans le respect des formalités préalables auprès de la CDP, et sur l’absence d’information préalable et formelle à l’endroit de Monsieur L.C pour l’installation d’un système de géolocalisation sur son véhicule de fonction. En réponse à la demande d’explication, le Directeur général de la SETER précise que les véhicules de fonction sont loués auprès d’un prestataire, qui a lui-même installé le dispositif de géolocalisation. Par ailleurs, le Directeur général indique que la SETER ne collecte pas les données de géolocalisation, mais peut demander au loueur de véhicules de lui communiquer les données de localisation concernant un véhicule. Ainsi, le Directeur général considère que la SETER n’exploite pas un système de géolocalisation, ne collecte pas de données de géolocalisation. A cet effet, le Directeur général de la SETER estime que l’obligation de déclarer le système de géolocalisation et l’obligation d’informer préalablement le plaignant n’incombe pas à la SETER. Au regard de ces réponses, la CDP considère que la SETER traite les données de géolocalisation des véhicules qu’elle loue, pour des finalités de contrôle de leurs trajets, mais également pour contrôler la présence du salarié sur les lieux de travail. A ce titre, la SETER est le responsable du traitement du système de géolocalisation et l’entreprise qui loue les véhicules est son sous-traitant. Par conséquent la SETER devait effectuer les formalités préalablement à l’exploitation de ce système de géolocalisation, s’assurer que son sous-traitant est conforme avec la CDP, et informer formellement et préalablement les salariés de l’installation du système de géolocalisation sur leur véhicule de fonction, et des finalités de ce système. Au regard de ces manquements, le dossier a été transmis à la Session plénière de la CDP, qui a décidé de mettre en demeure la SETER de cesser les manquements, dans un délai d’un (01) mois.
|
02 |
M.K |
X |
Harcèlement |
La CDP a reçu une plainte de M.K contre l’utilisateur du nom de profil Snapchat « Gossip.sn», pour harcèlement. En application des articles 16-2c et 75 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, la CDP a transmis la plainte au Procureur de la République ainsi qu’à la Division Spéciale de la Cybersécurité (DSC) pour enquêtes et suites à donner. La CDP suit le dossier auprès du Procureur de la République et de la DSC. |
03 |
M.L |
X |
Usurpation d’identité sur Facebook |
La CDP a reçu une plainte de Monsieur L., Directeur Général Adjoint des Ciments du SAHEL, contre X pour usurpation sur Facebook de l’identité de Monsieur L.L, PDG des Ciments du SAHEL. Selon les déclarations transmises à la CDP, « la photo de Monsieur L…, PDG des Ciments du SAHEL a été frauduleusement postée sur Facebook par un individu se faisant passer pour lui sur la base d’un faux compte… » En application de l’article 75 de la loi 75 de la loi n°2008-12 du 25 janvier 2008 portant protection des données personnelles, et de l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 modifiant le code pénal, la CDP a transmis le dossier au Procureur de la République ainsi qu’à la Division Spéciale de la Cybersécurité (DSC) pour enquêtes et suites à donner. La CDP suit le dossier auprès du Procureur de la République et de la DSC. Par ailleurs, la CDP a transmis la plainte au point focal chez Meta, pour signaler et faire supprimer le faux compte. La CDP suit la demande de suppression du compte auprès des équipes de Meta. |
04 |
S.F.D |
« KOCC » |
Publication de vidéo |
Madame S.F.D a saisi la CDP d’une plainte contre « KOCC », relative à la publication de sa vidéo. Il ressort des informations transmises par la plaignante qu’un dénommé « KOCC », administrateur de la page Seneporno, aurait publié sa vidéo sans son consentement et lui aurait demandé de lui verser une somme d’argent de 300 euros. Ainsi, au regard de l’article 16 et 75 de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et des articles 363 bis, 431-19, 431-59 de la loi n°2016-29 du 08 novembre 2016 modifiant la loi n°65-60 portant Code pénal, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité (DSC) de la police pour suites à donner. La CDP suit le dossier auprès du Procureur de la République et de la DSC. |
05 |
L.N |
D.K |
Collecte illicite de données personnelles et menace de divulgation |
Monsieur L.N a saisi la CDP d’une plainte contre D.K pour collecte illicite de ses données personnelles et menace de divulgation de celles-ci. Selon Monsieur, L.N, Mlle D.K a pris des images et vidéos de lui à son insu, et le menace de les publier » Ainsi, au regard de l’article 16 de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et de la loi n°2016-29 du 08 novembre 2016 modifiant la loi n°65-60 portant Code pénal, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité (DSC) de la police pour suites à donner. La CDP suit le dossier auprès desdits services. |
06 |
J.L.S |
Ria Sénégal |
Divulgation de données personnelles |
La CDP a reçu une plainte de Monsieur J.L.S contre le Directeur Général de Ria, relative à la divulgation de ses données personnelles, dans le cadre d’un système d’enregistrement des appels téléphoniques. Dans sa plainte, M. J.L.S reproche à Ria Sénégal d’avoir enregistrer les appels avec ses collègues, effectués avec son poste téléphonique de travail, sans l’avoir informé au préalable. La CDP a, en vertu de la procédure contradictoire, envoyé une demande d'explication à Ria Sénégal sur la mise en œuvre de ce traitement. En réponse à la demande d’explication, Ria Sénégal précise que le chargé de clientèle bénéficie d’une formation sur les outils et ses tâches propres. C’est à ce titre qu’il est informé, notamment de l’enregistrement des appels passés à travers le système Avaya, un outil qui été utilisé pour le monitoring des appels. Par ailleurs, sur la déclaration du système d’enregistrement des appels, Ria Sénégal indique que les diligences sont en train d’être menées pour transmettre, dans les meilleurs délais, à la CDP les déclarations de tous les traitements de données mis en œuvre. Le traitement du dossier suit son cours. |
07 |
M.N.N |
SONATEL (service Hello Star) |
Réception d’appel non sollicité du numéro court 221200216 |
La CDP a reçu une plainte de Madame M.N.N pour la réception d’un appel téléphonique non sollicité, effectué par automate avec le numéro court 221200216 En vertu de la procédure contradictoire prévue à l’article 31 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la CDP a adressé une demande d’information à la SONATEL pour obtenir des informations sur cet automate d’appel. En réponse à cette demande, la SONATEL précise que le numéro court 221200216 est utilisé dans le cadre du service « Hello star » lancé par l’opérateur, pour faire la promotion des artistes. Sur le recueil du consentement avant de recevoir les appels venant du numéro court, la SONATEL indique que la souscription à ce service s’effectue avec le numéro court 21216, via USSD (#111#29) ou lorsque le client reçoit un message vocal du 221 200216 concernant une célébrité, en suivant les instructions en vue de l’abonnement. Ainsi, sur la souscription par la réception automatique d’un appel du numéro court, la CDP considère que le principe du consentement préalable n’a pas été respecté. Le client devait au préalable consentir à recevoir un tel appel automatique, à des fins de prospection commerciale. Sur l’obligation de déclarer le traitement avant le lancement du service « Hello star » la CDP a constaté qu’elle n’a pas été respectée. Le service a été lancé depuis 2018 et la déclaration a été faite, suite à la réception de la plainte de M.N.N et de la demande d’informations de la CDP. Au regard de ces manquements, la CDP a transmis le dossier à la Session plénière, qui a pris la décision de mettre en demeure la SONATEL de cesser les manquements, dans un délai d’un (01) mois. |
08 |
Syndicat national des Travailleurs du Pétrole et Gaz du Sénégal- FC
|
TOTAL ENERGIES SENEGAL |
Dénonciation de violations de la loi sur les données personnelles dans le cadre de l’installation de caméras dans les véhicules de transport d’hydrocarbures. |
La CDP a reçu du Syndicat National des travailleurs du Pétrole et Gaz du Sénégal, une plainte relative à l’installation de caméras de surveillance dans les cabines des véhicules de transport de carburant de Total Energies. Ainsi, sur décision de la Session plénière des Commissaires de la CDP, le Comité de contrôle a procédé à une vérification sur site, du dispositif de vidéosurveillance installé dans les camions de transport d’hydrocarbures de Total Energies. A la suite de la mission de contrôle, la Session plénière a pris les décisions suivantes :
|
09 |
A.B |
X |
Collecte illicite de données personnelles et menace de divulgation |
La CDP a reçu une plainte de Monsieur A.B contre X pour collecte illicite de ses données personnelles. La personne mise en cause l’a menacé de publier lesdites données. Dans sa plainte, Monsieur A.B décrit ainsi les faits : croyant parler à une personne de genre féminin, il s’est trouvé piégé, lors d'un appel vidéo, avec un dénommé Coralie sur Instagram. Ce dernier a fait des captures et a mis son visage avec des images obscènes. La personne le menace de les publier s’il ne payait pas la somme de 350000fr. Le mise en cause a, en effet, publié une vidéo de 2 mn que certains des amis de M. AB ont reçu. En application des articles 16-2c et 75 de la loi n°2008-12 du 25 Janvier 2008 portant protection des données à caractère personnel, la CDP a transmis la plainte au Procureur de la République ainsi qu’à la Division Spéciale de la Cybersécurité (DSC) de la police pour enquête et suites à donner. La CDP suit le dossier auprès du Parquet et de la DSC. |
2. Signalements traités
N° |
AUTEUR DU SIGNALEMENT |
MIS EN CAUSE |
MOTIFS |
OBSERVATIONS |
01 |
M. A.T |
M. Lat DIOP, homme politique |
Prospection directe à caractère politique non sollicitée |
La CDP a reçu un signalement de M. THIAM, relatif à la réception par son épouse d’un SMS de prospection directe à caractère politique non sollicité. La femme de M. THIAM aurait reçu des messages de propagande pour soutenir M. Lat DIOP. Ainsi, la CDP a envoyé une demande d'explication à M. DIOP sur cette prospection non sollicitée. En réponse à la demande d’explication, M. DIOP indique qu’il a contracté avec un prestataire, dont la banque de données, constituée essentiellement de numéros recueillis au cours des parrainages, a pu comprendre le numéro de téléphone de la femme de la personne auteure du signalement. Au regard de la réponse de M. DIOP, la CDP a relevé les manquements suivants :
Au regard de ces manquements, la Session plénière a prononcé un avertissement à Monsieur Lat DIOP. Par ailleurs, la CDP va publier une délibération de portée générale sur la prospection politique, qui sera largement diffusée, à l’attention des responsables et acteurs politiques. |
02 |
Collège des Délégués de la Brioche Dorée |
La Brioche Dorée |
Installation d’un système de vidéosurveillance non conforme |
La CDP a reçu un signalement du Collège des délégués de la Brioche Dorée, relatif à l’installation de systèmes de vidéosurveillance qui porteraient atteinte à leurs droits et à leur intimité. Une demande d'explication a été envoyée à la Direction Générale de Brioche dorée sur l'installation des systèmes non déclarés. Une mission de contrôle a également été effectuée dans certains sites de la Brioche Dorée. Après le contrôle sur site, la Session plénière a demandé à la Brioche Dorée de mettre en œuvre les mesures suivantes :
La CDP est en attente de la mise en œuvre des mesures préconisées. |
03 |
Collège des délégués GDS |
Les Grands Domaines du Sénégal (GDS) |
Installation d'un système de pointage biométrique, sans information préalable |
La CDP a reçu un signalement du collège des délégués des Grands Domaines du Sénégal (GDS), relatif à l’installation d’un système de pointage biométrique sans information préalable. La CDP a envoyé une demande d’explication aux GDS sur les procédures mises en œuvre pour informer préalablement les salariés des finalités du système de pointage et des moyens d'exercice de leurs droits, et sur le nombre de doigts collectés, par personne. La CDP a par ailleurs demandé aux GDS de sursoir à toute collecte d'empreintes digitales effectuées au sein de ses services, en attendant de disposer de l'autorisation de la Commission. En réponse à la demande d’explication, le Directeur général des GDS indique que le système de pointage n’est pas encore opérationnel. En effet, des tests ont juste été effectués, en vue de choisir le type de pointage biométrique, entre la reconnaissance faciale et les empreintes digitales. Par ailleurs, avant la réception de la plainte du Collège des délégués, la Direction générale des GDS avait transmis une demande d’autorisation à la CDP, pour le système de pointage biométrique. A cet effet, la Session plénière a autorisé le système de pointage biométrique. La CDP a également demandé aux GDS de formaliser l’exercice des droits des personnes. Ainsi, ces décisions ont été notifiées au Collège des délégués du personnel. |
04 |
M.D |
Sites d’information en ligne : www.sanslimitesn.com ; www.dakarbuzz.net ; www.seneweb.com; www.midiactu.com |
Utilisation de photo pour illustrer des articles de presse en ligne |
La CDP a reçu un signalement de Madame M.D, pour collecte et utilisation illicite de sa photo. La photo de l’auteure du signalement a été utilisée pour illustrer des articles, relatifs à une information qui ne la concerne ni de près, ni de loin. En effet, il s’agit de l’affaire de la dame Mbayang DIOP, différente de l’auteur du signalement, condamnée à mort en Arabie Saoudite. La photo de Madame DIOP, auteure du signalement, est utilisée dans plusieurs articles par confusion. Ainsi, en application des dispositions de l’article 69 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, et des articles 17 et 18 de la n°2017-27 du 13 juillet 2017 portant Code de la Presse, la CDP a saisi le CORED, pour suite à donner. Ainsi, la CDP suit le dossier auprès du CORED. |
05 |
M.R |
M.L |
Signalement relatif à l’installation d’un dispositif de vidéosurveillance sans respecter les formalités déclaratives |
La CDP a reçu un signalement de Madame M.R, relatif à l’installation, par son voisin, d’un système de vidéosurveillance qui filmerait son jardin. Madame R. précise que son voisin à fait installer un système de vidéosurveillance, et elle craint que les caméras filment chez elle. Ainsi, la CDP a invité son voisin, Monsieur L., à se mettre en conformité avec la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, en déclarant son système de vidéosurveillance installé. Le traitement du dossier suit son cours. |
3. Mise en demeure
Comme annoncé, ci-dessus, la Session plénière de la CDP a mis en demeure la SONATEL S.A et la SETER.
Ci-après le détail des deux décisions de mise en demeure :
Structure |
Motifs de la mise en demeure |
Observations |
SONATEL S.A |
La Session plénière a prononcé une mise en demeure pour des manquements liés à la prospection commerciale, effectuée par automate d’appel, avec le numéro court 221200216, du service « Hello star ». Pour les manquements il d’agit de :
|
Au regard de tous les manquements constatés, la Session Plénière, en application de l’article 29-1 de la loi n°2008-12 du 25 janvier 2008 a décidé de mettre en demeure la SONATEL S.A de cesser les manquements constatés, dans un délai d’un (01) mois, à compter de la réception de la décision, notamment :
Par ailleurs, la Session plénière a décidé de :
|
Société d’Exploitation du Train Express Régional de Dakar (SETER) |
La Session plénière a mis en demeure la SETER pour les manquements suivants :
|
Au regard de tous les manquements constatés, la Session Plénière, en application de l’article 29-1 de la loi n°2008-12 du 25 janvier 2008 a décidé de mettre en demeure la SETER de cesser les manquements constatés, dans un délai d’un (01) mois, à compter de la réception de la décision, notamment :
Par ailleurs, la Session plénière a décidé de :
|
III- BILAN DES MISSIONS DE CONTROLE SUR SITE
En application de l’article 25 de la loi n° 2008-12 du 25 janvier 2008, la Commission de protection des Données Personnelles (CDP) a effectué des missions de contrôle portant sur des déclarations normales et des déclarations simplifiées.
L’objet de ces missions de contrôles est de vérifier que les traitements de données à caractère personnel respectent les dispositions de la loi n°2008-12.
Pour ce trimestre, la CDP a diligenté des missions de contrôle, suite à la réception de plaintes et de signalements portant particulièrement sur des systèmes de vidéosurveillance installés dans des lieux de travail.
Le tableau ci-dessous détaille les responsables de traitement contrôlés :
Décision |
Date de la mission |
Structures contrôlées/Particulier |
Traitements concernés |
Contrôle à blanc à la suite d’un signalement |
07 juillet 2022 |
Particulier |
Traitement relatif au système de vidéosurveillance |
N°2022-035C/CDP du 18 août 2022 |
01 septembre 2022 |
Brioche Dorée |
Traitement relatif au système de vidéosurveillance |
N°2021-036C/CDP du 02 septembre 2022 |
07 septembre 2022 |
Total Energies |
Traitement relatif au système de vidéosurveillance installé dans les véhicules de transports d’hydrocarbures |
N°2021-037C/CDP du 24 Juin 2021 |
14 septembre 2022 |
Pullman Dakar Teranga |
Traitement simplifié relatif au registre des entrées et sorties |
IV- BILAN DES ACTIVITES DE COMMUNICATION ET DE SENSIBILISATION
La CDP a répondu à plusieurs sollicitations de la presse afin de communiquer sur des questions liées à la protection des données personnelles. Ainsi, la CDP a répondu à une étude d’un site d’information en ligne, portant sur les enjeux de la protection des données personnelles, la typologie des plaintes traitées, la fréquence et les suites données à ces dernières.
2. Communication sur les plateformes digitales
Les actions de sensibilisation et d'information sur les plateformes digitales de la CDP se sont poursuivies tout au long de ce troisième trimestre. Des publications en capsules illustratives des informations contenues dans le second rapport trimestriel, et autres documents produits par la CDP ont été faites sur les différents réseaux sociaux.
Pour rappel, cette méthode de communication a été mise en place, afin de permettre aux usagers et partenaires de s’approprier plus facilement de l’essentiel des messages de la CDP. Ces capsules sont également un soutien important pour la vulgarisation de la loi portant protection des données personnelles au Sénégal.
La Division de la Communication digitale poursuit également son travail d’animation de la nouvelle rubrique dénommée « Focus sur les termes de la législation », lancée mi-mai 2022. L’objectif est d’aider les internautes à comprendre, par définition et image illustrée, les termes ou concepts contenus dans la loi sur la protection des données à caractère personnel.
Ainsi, du 22 juin au 16 septembre 2022, 18 800 comptes ont au moins consulté un contenu sur notre page Facebook, soit un taux de couverture de 313% plus important que la période du 27 mars au 21 juin 2022. Sur la même période, nous avons enregistré sur ce réseau social 1500 visiteurs.
La page Facebook compte actuellement 4141 abonnés, soit 227 abonnés supplémentaires par rapport au second trimestre.
Sur Twitter, nous comptons actuellement 2314 abonnés, soit 165 abonnés de plus. Nos tweets ont été impressionnés 38 600 fois sur ce réseau social, et 12 085 utilisateurs ont visité notre profil.
Sur LinkedIn, la nouvelle page continue son développement et compte 1405 abonnés, contre 1267 abonnés, soit 138 abonnés de plus par rapport au second trimestre.
Par ailleurs, la CDP a lancé au cours de ce troisième trimestre une campagne de sponsoring sur ses pages Facebook et Twitter, afin d’augmenter sa couverture et atteindre un plus grand nombre d’internautes.
Le visuel illustrant les étapes à suivre pour saisir la CDP en cas de violation de données personnelles a atteint 15 346 impressions sur Facebook et 12 876 sur Twitter (avec 1738 engagements).
3. Assistance et sensibilisation des internautes
Les plateformes digitales de la CDP ont été sollicitées par les internautes pour demander une assistance à la CDP, et pour signaler des manquements liés à l’utilisation de leurs données personnelles.
Les demandes d’assistance ont porté sur la procédure à suivre pour faire un signalement et déposer une plainte. A ce titre, les internautes ont été invités à saisir de manière formelle la CDP sur son e-mail institutionnel, ou à faire le déplacement au niveau du siège, pour être accompagnés par le service chargé du contentieux.
Les internautes qui se sont déplacés auprès de la CDP ont été sensibilisés sur la loi sur la protection des données personnelles, notamment sur les droits dont ils disposent.
En outre, pour ce qui concerne les signalements reçus des internautes, ils ont pour objet des menaces de diffusion d’images compromettantes (à caractère sexuel), des publications et commentaires à caractère diffamatoire et injurieux, des partages de vidéos sur WhatsApp sans autorisation.
A cet effet, les services de la CDP ont assisté les internautes qui ont voulu déposer une plainte auprès de la Commission.
V- COOPERATION ET PARTENARIAT
La Présidente de la CDP a pris part les 21 et 22 septembre 2022, à Strasbourg, à la 56ème Réunion du Bureau du Comité Consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108).
Lors de sa réunion, le Bureau a fait l’état des lieux des signatures et ratifications à la Convention 108 modernisée (Convention 108+), et a examiné les projets de recommandations et de lignes directrices relatives à l’identité numérique, aux clauses contractuelles types pour les flux transfrontaliers de données à caractère personnel, et aux échanges interétatiques de données à des fins de lutte contre le blanchiment d’argent et le financement du terrorisme et à des fins fiscales.
Par ailleurs, le bureau a poursuivi ses travaux sur l’interprétation des dispositions de l’article 11 de la Convention 108 modernisée, relatives aux exceptions et restrictions prévues par ladite Convention.
2. Au niveau Africain
Une délégation de l’Agence Nationale de la Sécurité Informatique et de la Certification Électronique du Tchad (ANSICE), conduite par Mme Asadya Mahamat Nour, Directrice générale adjointe, a effectué, les 19 et 20 juillet 2022, une visite de travail à la Commission de protection des données personnelles (CDP).
Cette initiative, qui témoigne de l’excellence des liens d’amitié qui unissent le Sénégal et le Tchad, constitue un premier pas dans une démarche bilatérale, visant à mettre en place un cadre de coopération entre les deux institutions de protection des données personnelles.
L’Agence Nationale de la Sécurité Informatique et de la Certification Électronique du Tchad (ANSICE) a tenu, par cette visite, à prendre connaissance de l’expérience sénégalaise en matière de protection de la vie privée et des données personnelles.
Durant ces deux jours, la délégation tchadienne a participé à des ateliers d'échanges et de partage d'expériences sur l’organisation et le fonctionnement de la CDP, sur le traitement des formalités préalables, sur la gestion des plaintes et des signalements, sur l’organisation et le déroulement des missions de contrôles, et sur les outils et supports de communication de la CDP.
Par ailleurs, la CDP s’est engagée à accompagner l’ANSICE dans sa démarche d’adhésion à l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), et à la Convention 108 du Conseil de l’Europe sur la protection des données à caractère personnel.
En outre, en vue de formaliser leur coopération, les deux Institutions ont travaillé sur un projet de Convention, qui sera signé dans les prochains mois.
Dans le cadre de la mise en œuvre de la convention de partenariat signée entre la CDP Sénégal et la CNDP Maroc, des sous-groupes de travail ont été créés pour animer trois thématiques spécifiques sur la protection des données personnelles. Il s’agit de la protection des données de santé, de la protection de l’enfance et de l’identité numérique.
Les sous-groupes tiennent des réunions hebdomadaires, pour échanger sur les actions et programmes mis en œuvre par les deux Autorités. Par ailleurs, chaque sous-groupe élabore son plan d’actions sur le court, le moyen et le long terme.
Dans le cadre du projet de mise en œuvre du Cadre de politique des données de l’Union Africaine, le RAPDP a invité ses membres à une consultation en ligne, le 18 juillet 2022.
Cette réunion a permis aux Autorités membres d’échanger sur le plan de mise en œuvre du Cadre et sur l'Outil d'évaluation des capacités et des besoins techniques et organisationnels des Etats en matière de planification et de mise en œuvre des politiques sur les données.
VI- BILAN DES ACTIVITES DE FORMATION
Durant ce trimestre, la CDP a dispensé deux formations sur la protection des données personnelles au Staff du Haut-Commissariat des Nations Unies pour les Réfugiés (UNHCR) de l’Afrique de l’Ouest et de l’Afrique centrale et aux équipes de Plan International Sénégal.
Le Bureau Régional de l’Afrique de l’ouest et du centre du Haut-Commissariat des Nations Unies pour les Réfugiés (UNHCR) a sollicité la CDP, pour la formation de ses équipes sur la protection des données personnelles.
La formation a été animée par la CDP, le 26 aout 2022, en visioconférence, et a permis de sensibiliser le staff administratif et les équipes de terrain sur la protection des données personnelles dans le cadre de l’action humanitaire.
Lors de la formation, les échanges ont principalement porté sur les défis rencontrés sur le terrain par les équipes du HCR, dans le cadre de la collecte et du traitement des données personnelles des bénéficiaires de l’aide humanitaire.
A ce titre, la CDP a donné aux équipes du HCR les outils et les meilleures pratiques à entreprendre pour assurer la sécurité et la confidentialité des données des bénéficiaires.
Par ailleurs, l’accent a été mis sur la protection des données des enfants mineurs collectées dans le cadre de l’assistance apportée à cette catégorie vulnérable.
Dans le cadre de la mise en œuvre du plan d’actions de la Convention signée entre la CDP et Plan International Sénégal, une Session de formation sur la protection des données personnelles s’est tenue le 30 septembre 2022, en visioconférence.
La formation a porté sur quatre ateliers : le cadre général de la protection des données personnelles, la conformité juridique des traitements de données personnelles, la conformité technique et la sécurité des données, et la protection des données des enfants.
VII- POINT DES REUNIONS SUR DES PROJETS IMPORTANTS
Du 19 au 21 juillet 2022, s'est tenu à Dakar, l’atelier national de concertation sur le projet de nouveau cadre législatif et réglementaire du secteur des communications électroniques en Afrique de l'Ouest.
L'objectif de cet atelier était de consulter les acteurs nationaux de l’écosystème du numérique sur le projet de règlement sur les communications électroniques.
Le projet de règlement intègre des dispositions relatives à la protection des données personnelles dans le secteur des communications électroniques.
A ce titre, la CDP a tenu à rappeler les dispositions régionales et continentales existantes sur la protection des données personnelles, notamment l’Acte additionnel de la CEDEAO et la Convention de l’Union Africaine sur la Cybersécurité et la protection des données à caractère personnel.
Ainsi, la CDP a relevé que toute règlementation sur la protection des données personnelles dans le secteur des communications électroniques devra être conforme avec les cadres règlementaires déjà existants.
Pour les prochaines étapes, l’UEMOA va recenser les recommandations de tous les pays membres, pour consolider le projet de règlement et le transmettre à nouveau eux Etats parties.
2. Réunion avec l’Alliance SMART AFRICA et le Ministère de l’Economie Numérique et des Télécommunications
L’Alliance Smart Africa a lancé un projet sur l’identité mobile unique, pour faciliter l’identification des abonnés mobiles qui voyagent entre différents pays africains. A ce titre, Smart Africa souhaite mener une phase pilote entre le Sénégal et le Bénin.
Dans le cadre des discussions avec les pays concernés par la phase pilote, Smart Africa et le Ministère de l’Economie numérique et des Télécommunications ont rencontré la CDP, le 25 aout 2022.
Cette rencontre avait pour objectifs de recueillir l’avis de la CDP sur la faisabilité du projet, notamment sur les exigences de conformité avec la loi sur la protection des données à caractère personnel.
Ainsi, un Comité de suivi sera mis en place entre Smart Africa, les différents acteurs du projet au Sénégal et au Bénin. La CDP a demandé à être membre de ce Comité, pour suivre et accompagner le projet.
3. Session de travail avec le Ministre Secrétaire d’Etat, chargé des Sénégalais de l’extérieur (MAESE), et la Direction de l’Automatisation des Fichiers (DAF)
Le Ministère des Affaires Etrangères et des Sénégalais de l’Extérieur a lancé, en collaboration avec la Direction de l’Automatisation des Fichiers (DAF) du Ministère de l’Intérieur, une plateforme de recensement des Sénégalais de la Diaspora (www.recensementdiaspora.sn).
A ce titre, le Ministre Secrétaire d’Etat, chargé des Sénégalais de l’extérieur et la DAF se sont rapprochés de la CDP pour recueillir les conseils de la Commission, en vue de la mise en conformité de cette collecte de masse des données personnelles des sénégalais établis à l’étranger.
Les discussions ont porté sur la méthode de recueil des données, à travers la plateforme mise en ligne, et par le biais des formulaires physiques utilisés par les missions diplomatiques et consulaires, mais également sur les meilleures pratiques, en termes de collecte et d’hébergement sécurisé des données.
A l’issu de ces échanges un groupe de travail entre la CDP, le Cabinet du Secrétariat d’Etat chargé des Sénégalais de l’extérieur et la DAF a été mis en place, afin de finaliser les formalités déclaratives.
La BCEAO a convié la CDP, le 01er septembre 2022, à un atelier de validation du Rapport Provisoire de l’étude portant sur l'état des lieux des besoins des populations mal desservies en produits et services financiers innovants dans l’UEMOA.
A la fin de la présentation du rapport, la CDP a proposé d’accompagner la BCEAO sur la conformité des institutions financières par rapport à la protection de données personnelles, notamment sur l’identification clients.
A ce titre, la CDP a proposé à la BCEAO de travailler sur un pack de conformité, pour faciliter aux institutions bancaires, leurs démarches de mise en conformité par rapport à la loi portant sur la protection des données à caractère personnel.
5. Rencontre avec les représentants du projet OCWAR-C et avec le Ministère de l’Economie Numérique et des Télécommunications
L’une des initiatives du projet OCWAR-C est l'activité CS11P : Renforcer l'institution responsable de la protection des données personnelles dans deux pays. A cette fin, les représentants du projet souhaitent organiser une mission auprès des autorités en charge de la protection des données personnelles (Zone CEDEAO), afin d'obtenir une compréhension approfondie de leurs besoins et de la manière dont le projet OCWAR-C peut leur apporter son appui.
La mission procédera à une évaluation couvrant, entre autres : les locaux de l'autorité, l'organisation ou le système en place pour la conformité de la protection des données, les ressources humaines, le budget dédié, l'autonomie financière, l'équipement informatique, les rapports d'activité, les plans annuels, le retour d'expérience des principales organisations traitant des données personnelles.
Le but étant de choisir, après évaluation, deux autorités de protection qui seront appuyés dans leur mission pour l’année 2023.
Conclusion :
Le troisième trimestre est marqué par une hausse du nombre de plaintes et de signalements, qui portent essentiellement sur des systèmes de vidéosurveillance et de géolocalisation en entreprise. Cette situation montre que les salariés sont davantage sensibilisés sur leurs droits au regard du traitement de leurs données personnelles.
Par ailleurs, les missions de contrôle sur sites ont continué durant ce trimestre, pour faire suite à certaines plaintes et signalements, mais également pour suivre le planning annuel de contrôle.
En outre, sur le plan de la communication, la CDP a engagé un vaste chantier de refonte de ses outils de communication en particulier son site internet, afin de mettre le citoyen au cœur de ses activités.
Cette nouvelle plateforme, plus ergonomique et au design très épuré, facilitera au citoyen la saisine directe des services de la Commission.
La refonte du site internet va permettre de booster son contenu, avec de nouvelles rubriques, et de faciliter l’accès à toutes les informations concernant les activités de la Commission.
En dehors du site internet, les services de la CDP finalisent le développement de la nouvelle version de l’application mobile, qui sera très bientôt disponible.