COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 04-2020 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce dernier trimestre de l’année 2020, et conformément à son programme annuel d’activités, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  • COMPTE RENDU DES ACTIVITES DECLARATIVES

 

Au cours de ce quatrième trimestre 2020, la CDP a accueilli 13 structures et 05 particuliers venus s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 105 dossiers dont 89 déclarations et 16 demandes d’autorisation.

A l’issue des deux (02) sessions plénières tenues à la CDP, quatre-vingt-neuf (89) récépissés de déclaration et quatorze (14) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen de deux (02) dossiers.

La Commission a, en outre, émis des appels à déclaration, reçu des plaintes, signalements et demandes d’avis et prononcé un avertissement :

- Nombre d’appels à déclaration : 11

- Avertissement : 01

- Plaintes et signalements reçus : 08

- Demande d’avis : 08

 

  1. - Demandes d’avis reçues par la CDP  

 

QUESTIONS

REPONSES

M. BOCOUM

Quelles sont les sanctions contre un responsable de traitement qui ne respecte pas le droit à l'information de la personne concernée ?

Les sanctions sont prévues aux articles 29 et suivants de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel.  La CDP peut prononcer des sanctions administratives ou pécuniaires. Les sanctions sont prononcées dans le respect du principe du contradictoire.

Mme NDOYE

Dans quel délai le Comité de sanction doit pouvoir se prononcer après qu’un dossier lui ait été transmis par la Session plénière des Commissaires de la CDP ?

Après sanction, le Procureur en sera-t-il informé vu qu’il y’a infraction (Art 16/2c) ?

Le règlement intérieur de la CDP qui a créé le Comité de sanction, au sein de la Session plénière des Commissaires ne fixe pas un délai de rigueur audit Comité pour se prononcer sur une décision. Le Comité applique le principe du délai raisonnable en fonction de la complexité du dossier.

Par ailleurs, il appartient à ce Comité, lorsqu’il doit se prononcer, de préciser le contenu de sa décision, en l’occurrence la nécessité d’informer le Procureur de la République.  

O.B

Est-il possible de déposer les formulaires en ligne ?

Le dépôt en ligne est prévu par les textes organisant le travail de la CDP. Vous pouvez l'envoyer à l'adresse contactcdp@cdp.sn

A.S

Quelle est la procédure de déclaration des systèmes de vidéosurveillance et des systèmes d’accès par badge ?

Concernant l'installation d'un système de vidéosurveillance il faut remplir le formulaire de "déclaration de système de vidéosurveillance" téléchargeable sur le site de la CDP.

- S’il existe un sous-traitant pour l’installation, ce dernier doit être conforme avec la CDP.

- Si le sous-traitant assure la maintenance du système, un engagement de confidentialité doit être signé et joint au formulaire.

- Le formulaire renseigné doit être déposé avec le plan général d'installation des caméras.

 

Concernant le système d'accès par badge, il faut remplir le formulaire de déclaration simplifiée disponible sur le site de la CDP. Au préalable, il faut s’assurer que le traitement respecte les conditions de la norme simplifiée, relative aux systèmes d’accès par badge.

Si les critères de la norme simplifiée ne sont pas remplis, le formulaire de déclaration normale, disponible sur le site, doit être rempli.

S.DIA

Quels sont les éléments à fournir pour une déclaration de système de vidéosurveillance ?

S’il s’agit d’un système de vidéosurveillance installé à domicile vous trouverez sur le site « les normes simplifiées » dans la rubrique documents. Les normes sont à lire et le formulaire à remplir.

Autrement, vous devrez remplir le formulaire de déclaration de système de vidéosurveillance disponible également sur le site www.cdp.sn

Vous devrez y joindre le plan d’installation des caméras.

A.DIALLO

Un employeur peut-il exiger de connaitre le statut matrimonial dans le cadre d'un acte de candidature ?

Pour le respect du principe de proportionnalité, le statut matrimonial ne doit être demandé, sauf dispositions légales ou réglementaires contraires, que lorsque le candidat est retenu.  Par ailleurs, les données d’un candidat, non retenu doivent être supprimées lorsque les finalités ont été atteintes, à la fin de la campagne de recrutement par exemple.

I.NGAIDE

Quelles sont les dispositions juridiques relatives à l'utilisation des caméras de vidéosurveillance ?

 

La loi 2008-12 du 25 janvier 2008 sur la protection des données personnelles encadre l’installation des systèmes de vidéosurveillance, notamment dans les lieux de travail et domicile. La loi est disponible sur le site internet de la CDP www.cdp.sn

Vous trouverez, également, sur le site internet la délibération de portée générale concernant la vidéosurveillance sur les lieux de travail.

Le formulaire à remplir est également disponible et téléchargeable sur le site dans la rubrique « documents »

A.GUEYE

Quelles sont les déclarations de traitement à faire pour les sociétés spécialisées dans la sécurité électronique ?

 

 

Les déclarations concernent, par exemple, le fichier clients, le fichier du personnel, le registre des entrées et des sorties, le système de vidéosurveillance. En outre, selon la nature du traitement, il faut déposer une demande d’autorisation ou une déclaration.

Vous trouverez les formulaires de déclaration et de demande d’autorisation dans la rubrique « documents » du site de la CDP www.cdp.sn

 

 

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants

Traitements

  1. ARCHIVE AFRICA SARL

Système de contrôle d’accès par badge et registre des entrées et sorties

  1. AXA SENEGAL

Système de contrôle d’accès par badge et système de contrôle d’accès biométrique

  1. ECOBANK SENEGAL

Système de contrôle d’accès par badge

  1. GIE CABINET DE CONSULTANCE EN VIDEOSURVEILLANCE

Registre des entrées et sorties 

  1. LAMP FINANCE SA

Système de contrôle d’accès digital

  1. SOCIETE GENERALE DES BANQUES DU SENEGAL (SGBS)

Système de contrôle d’accès par badge

  1. OPEN SPACE S.A

Système de contrôle d’accès par badge

  1. BON PLAN

Système de contrôle d’accès biométrique

  1. LA BANQUE OUTARDE (LBO)

Système de contrôle d’accès par badge et registre des entrées et sorties

  1.  BANQUE INTERNATIONALE POUR LE COMMERCE ET L’INDUSTRIE DU SENEGAL (BICIS)

Système de contrôle d’accès par badge

  1. FINAO S.A

Pour ses traitements de données personnelles

 

 

  1. - Décisions rendues par la Session Plénière :

 

  1. - Autorisations accordées :  

Finalités des traitements

 

Nombre

Structures

www.assistance.orange.sn

01

SONATEL

www.idees.orange.sn

01

SONATEL

Collecte de données personnelles sur un site internet 

02

 

TECK SARL

COULIBALY CONSULTING

Digitalisation des opérations de microfinance

01

LAMP FINANCE SA

 

Traitement des alertes issues du filtrages des sanctions et embargo des transactions 

01

société générale de banques au Sénégal (SGBS)

 

Traitement archivistique, tri, classement, rangement et stockage d’archives

01

ARCHIVES AFRICA SARL

 

Gestion d’une base de données des clients, distributeurs et prospects

01

 

PATISEN SA

Collecte d’adresses mails et de numéros de téléphone au www.bonplan.sn

01

BON PLAN

Fourniture de service de co-voiturage via le site web www.bokko.sn

01

TAXI BOKKO SARL

Service d’information et de gestion des réclamations

01

BLACK STAR TECHNOLOGIES SÉNÉGAL

 

Enregistrements des appels téléphoniques pour :

  • Un poste dédié au sein du Service Trésorerie pour l’enregistrement des confirmations d’ordre avec les correspondants ;
  • Un poste au niveau du Service Clientèle pour confirmer certaines opérations avec des clients pour lesquels un « phone agreement » accord permettant au client de donner des instructions bancaires par téléphone

01

LA BANQUE OUTARDE SA (LBO)

Système de pointage biométrique

01

BERNABE SENEGAL

 

Base de données clients

01

DANTILA TECHNOLOGIES SARL

 

 

 

  1. -  Récépissés délivrés : 

 

Finalités

 

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

35

  • AUCHAN SENEGAL STORE (SENAS) - MERMOZ
  • AUCHAN SENEGAL STORE (SENAS) – PIKINE ICOTAF         
  • AUCHAN SENEGAL STORE (SENAS) – ROUTE DU MERIDIEN PRESIDENT
  • AUCHAN SENEGAL STORE (SENAS) – ROND POINT VIRAGE
  • AUCHAN SENEGAL STORE (SENAS) – SACRE COEUR 3
  • AUCHAN SENEGAL STORE (SENAS) – YOFF LAYENNE
  • AUCHAN SENEGAL STORE (SENAS) – GIBRALTAR
  • AUCHAN SENEGAL STORE (SENAS) – DIEUPPEUL
  • AUCHAN SENEGAL STORE (SENAS) – SCAT URBAM GRAND YOFF
  • AUCHAN SENEGAL STORE (SENAS) – SCAT URBAM 2 VOIES LIBERTE 6
  • COMTEL INGENIERIE
  • SAMSUNG ELECTRONICS WEST AFRICA LTD
  • SIAT SENEGAL SAS
  • ECOBANK SENEGAL
  • ASSOCIATION ZONES HUMIDES D’AFRIQUE – DAKAR
  • ASSOCIATION ZONES HUMIDES D’AFRIQUE – FATICK
  • PHARMACIE U3
  • PHARMACIE DARABIS
  • PHARMACIE SIGNARA
  • PATISEN SA – MARGARINE
  • PATISEN SA – CFAO
  • PATISEN SA – MAYONNAISE
  • PATISEN SA – SOUMEX
  • PATISEN SA – ROSEGATE
  • PATISEN SA – SOABOIS
  • PATISEN SA – SIROPERIE
  • PATISEN SA – SAII
  • PATISEN SA – COLGATE
  • PATISEN SA – SENIRAN
  • SIRIUS TELECOMS AFRIQUE
  • MINISTERE DES FINANCES ET DU BUDGET
  • ONG FEMMES PLUS
  • SCP MAITRE PATRICIA LAKE DIOP
  • AFRIC AZOTE
  • FELUCA SARL (HAPPY BIRTHDAY)

Vidéosurveillance chez des particuliers

 

09

  • AMADOU DIEDIOU
  • AMAR TOURE TALL
  • VENUS SARR
  • LIBASSE NDIAYE
  • ALIOUNE DEME
  • ADJARATOU OUMOUL KHAIRY SENGHOR
  • DJIBY DIAKHATE
  • YVETTE CISSOKHO
  • ADAMA LY

Réponse au Covid-19 par la protection sociale et le renforcement des systèmes alimentaires locaux : le cas des Niayes au Sénégal

01

  • INIATIVE PROSPECTIVE AGRICOLE ET RURALE (IPAR)

Solution SMS de rappel de rendez-vous des patients PvVIH

01

  • SECRETARIAT EXECUTIF DU CONSEIL NATIONAL DE LUTTE CONTRE LE SIDA

Base de données clients

06

  • GIE CABINET DE CONSULTANCE EN VIDEOSURVEILLANCE
  • ERITEL
  • AFRICA LINK TECHNOLOGIES SARL
  • ACCESS SURVEILLANCE
  • MARIANE COMMERCE SERVICES
  • PROPRE SYSTEME

Gestion du personnel

09

  • UTILITY85 SENEGAL
  • ERITEL
  • TELEDIFFUSION DU SENEGAL (TDS- SA)
  • UNIPARCO SENEGAL
  • MINISTERE DE L’ECONOMIE DU PLAN ET DE LA COOPERATION
  • AFRICA LINK TECHNOLOGIES SARL
  • ACCESS SURVEILLANCE
  • PROPRE SYSTEME
  • AFRICAN FINANCIAL AGENT (AFA)

Gestion des fournisseurs et prestataires

08

  • TELEDIFFUSION DU SENEGAL (TDS- SA)
  • PHILIP MORRIS MANUFACTURING SENEGAL (PMMSN)
  • PAN AFRICA ENTREPRENEUR SERVICES SARL
  • DANTILA TECHNOLOGIES
  • AFRICA LINK TECHNOLOGIES SARL
  • ACCESS SURVEILLANCE
  • PROPRE SYSTEME
  • AFRICAN FINANCIAL AGENT (AFA)

Registre des entrées et sorties

06

  • PHILIP MORRIS MANUFACTURING SENEGAL (PMMSN)
  • PAN AFRICA ENTREPRENEUR SERVICES SARL
  • UNIPARCO SENEGAL
  • AXA SENEGAL
  • AFRICA LINK TECHNOLOGIES SARL
  • BANQUE ATLANTIQUE

Système de contrôle d’accès et de pointage par badge

10

  • UTILITY85 SENEGAL
  • PHILIP MORRIS MANUFACTURING SENEGAL (PMMSN)
  • PAN AFRICA ENTREPRENEUR SERVICES SARL
  • DANTILA TECHNOLOGIES
  • UNIPARCO SENEGAL
  • MINISTERE DE L’ECONOMIE DU PLAN ET DE LA COOPERATION
  • AFRICA LINK TECHNOLOGIES SARL
  • ACCESS SURVEILLANCE
  • AFRICAN FINANCIAL AGENT (AFA)
  • TOTAL SENEGAL

Mise en place d’une plateforme d’alerte éthique

01

  • LA BANQUE OUTARDE

 

Signature électronique des contrats d’abonnement Orange Money

01

  • SONATEL

Connexion wifi gratuite pour les passagers des bus du Sénégal (Dakar Dem Dikk, Aftu, etc.) et envoi de contenus publicitaires aux usagers de cette connexion Wifi gratuite

01

  • OPEN SPACE SA

 

 

 

  • PLAINTES ET SIGNALEMENTS 

 

21- PLAINTES

         PLAIGNANT

  MIS EN CAUSE

MOTIFS

OBSERVATIONS

1

M. K. ND. 

WARI S.A et M. D

Divulgation de données personnelles de ses partenaires sur les réseaux sociaux et WhatsApp

La CDP a reçu une plainte du Président du Réseau National des Prestataires du Transfert d’Argent (RENAPTA) mettant en cause un agent de Wari, pour divulgation de données personnelles de ses partenaires sur les réseaux sociaux et WhatsApp.

Il ressort des explications fournies par la société WARI S.A que Monsieur D. n’est pas un employé mais un prestataire des banques.

A cet effet, la CDP considère qu’en l’absence d’un lien de subordination ou d’une relation contractuelle entre la société WARI S.A et Monsieur D., la responsabilité de ladite société ne saurait être engagée.

La Commission a invité le RENAPTA à lui communiquer les contacts du mis en cause pour situer sa responsabilité.

 2

M. E.M.D

SONATEL S.A

Prospection directe non sollicitée via le service Dalal Tones

La CDP a reçu une plainte de Monsieur E. M. D mettant en cause la SONATEL S.A, pour prospection directe non sollicitée à partir du service Dalal Tones.

En application des articles 33, 47, 68 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, la CDP a requis auprès du responsable du traitement, des explications sur cette prospection non sollicitée.

Suite à la réponse du responsable du traitement, la CDP a demandé à la SONATEL  S.A de :

  • revoir la procédure d’opposition au service Dalal Tones, en mettant en place un seul canal ;
  • notifier  à la Commission les mesures correctives apportées, dans un délai d’un (01) mois.

Par ailleurs, la CDP a demandé au plaignant d’informer ses services, s’il reçoit à nouveau une sollicitation, relative au service Dalal Tones.

3

Mlle. A. T

Thierno Moulé SOW

Diffusion sur une page You Tube d’une vidéo portant atteinte à la vie privée de la plaignante

La CDP a reçu une plainte de Mlle A. T., relative à une vidéo publiée sur la page YouTube du Marabout Guérisseur Thierno Moulé SOW.

En application des articles 58 et 69 de la loi n°2008-12, la CDP rappelle au Marabout qu’avant de faire signer une fiche de consentement au contrat Thérapeutique, les patients doivent être clairement informés sur la finalité de la collecte de leurs données personnelles et sur leurs droits.

Ainsi, la CDP invite le responsable de traitement à prendre des dispositions pour respecter les droits de la patiente. 

Suite à la rencontre avec les représentants de Monsieur SOW, la vidéo a été floutée.

4

Mlle K.C

Mme. T. B

Collecte illicite de données personnelles, usurpation d’identité, et injures sur Internet et les réseaux sociaux

La CDP a reçu une plainte de Mlle C. mettant en cause Mme T. B. résidente en France, aux motifs de collecte illicite de données personnelles, d’usurpation d’identité et d’injures sur Internet et les réseaux sociaux.

Ainsi, la CDP a demandé à la personne mise en cause d’interrompre ces agissements illégaux, par la suppression intégrale de tous les comptes, ouverts au nom de la plaignante, ainsi que de toutes les photos publiées. 

En l’état, le dossier est en instruction.

 

 

 

 

 

 

 

 

 

 

 

  1. SIGNALEMENTS

 

MIS EN CAUSE

MOTIFS

OBSERVATIONS

Contre X

Ouverture d’un faux compte sur Facebook pour la Première Dame de la République du Sénégal

La CDP a reçu un signalement, relatif à l’ouverture sur Facebook d’un faux compte pour la Première Dame de la République du Sénégal.

En raison des risques éventuels que peuvent engendrer de tels agissements, la CDP a transmis la plainte à la Division Spéciale de la Cybersécurité, aux fins de recherche des auteurs. 

Contre X

Piratage,

Usurpation d’identité et arnaques via Facebook

La CDP a reçu un signalement d’une entreprise, relatif au piratage de son compte Facebook et du compte monétaire rattaché.

La CDP a précisé à l’auteur du signalement que la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel protège uniquement les personnes physiques, ce qui limite sa compétence par rapport au signalement fait en tant que personne morale (entreprise).

Toutefois, la CDP a recommandé à l’entreprise de :

  • signaler l'incident à Facebook ;
  • porter plainte auprès de la Division Spéciale de la Cybersécurité (DSC) de la police pour la recherche de l'auteur des actes de piratage, d'usurpation d'identité et de fraude, sur le fondement des articles 431-8, 431-57 et 379 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal. 

Plateforme E-learning

Studioexam

Collecte illicite de données personnelles et envoi de message de prospection directe

Suite à une plainte, la CDP a transmis au responsable de la plateforme E-learning STUDIOEXAM, une demande d’explication, en raison de la collecte illicite de données personnelles, et de l’envoi de message de prospection directe, non conforme aux règles qui encadrent cette activité.

Ainsi, en application des articles 18, 47, 68 et 69 de la loi n°2008-12, la CDP a demandé au responsable du traitement de déclarer sa base de données, objet de cette prospection.

En l’absence de réponse du responsable du traitement, le dossier est en instruction, aux fins de transmission à la Session plénière pour décision.

Dakarstock.com

Ouverture d’un compte sans consentement lors d’une commande sur la plateforme

L’auteur du signalement a informé la CDP qu’il a effectué une commande sur la plateforme DakarStock pour l’achat d’une cartouche d'encre.  Suite à une annulation de la commande pour défaut de livraison du produit à la date échue, il a reçu un courriel lui indiquant que son compte DakarStock a été créé avec un mot de passe fourni pour accéder au compte.

Suite au signalement, la CDP a transmis à la boutique en ligne Dakar stock une demande d’explication, suivi d’une relance.

Ainsi, en l’absence de réponse du responsable du traitement, le dossier est en instruction, aux fins de transmission à la Session plénière pour décision. 

 

 

  1. SANCTION 

Le 23 décembre 2020, la CDP a prononcé un avertissement à l’encontre de la société Orange Finances Mobiles Sénégal (OFMS) pour des manquements à la loi sur la protection des données à caractère personnel. Cet avertissement faisait suite à la réception d’une plainte de Madame M. N. ND, relative à l’ouverture d’un compte Orange Money sur son numéro, sans son consentement et sans être informée préalablement.

 

En application des articles 33, 59 et 68 de la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et de l’article 7 de l’Avis N°004-003-2020 de la Banque Centrale des États de l’Afrique de l’Ouest (BCEAO) relatif aux mesures de promotion des paiements électroniques dans le contexte de la lutte contre la propagation de la COVID-19, OFMS devait :

  • recueillir au préalable le consentement de la plaignante ;
  • informer formellement de la finalité poursuivie pour ce traitement ;
  • mettre en place un dispositif permettant de s’opposer à l’ouverture du compte.

 

Au regard de ces observations, le Comité de sanction de la CDP, en application des dispositions des articles 29 et suivants de la loi n°2008-12 précitée, ainsi que des articles 24 et 59 de son Règlement Intérieur, a décidé :

  • de prendre acte du fait que Orange Finances Mobiles Sénégal a déclaré avoir cessé le traitement non autorisé ;
  • de prononcer une mesure d’avertissement contre Orange Finances Mobiles Sénégal ;
  • d’informer Orange Finances Mobiles Sénégal qu’il a deux (02) mois, à compter de la notification de la décision, pour exercer son recours devant la Chambre administrative de la Cour Suprême ;
  • que la décision d’avertissement sera publiée au Journal Officiel, conformément à l’article 75 du décret n°2008-721 du 30 juin 2008, portant application de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

 

IV- CONFORMITE TECHNIQUE, APPUI ET CONSEILS TECHNOLOGIQUES

Dans le cadre de ses missions de conseil, de contrôle, d’innovation et de technologie, la DTIC a travaillé sur les sujets suivants :

 

 

 

Mise en place du dispositif de visio-conférence de l’ADIE / Outil Collaboratif

 

Si le télétravail est aujourd’hui fortement d’actualité avec la Covid-19, il n’en demeure pas moins qu’il faut des prérequis pour pouvoir le mettre en pratique. Il s’agit essentiellement d’aspects réglementaires, mais surtout technologiques. L’ADIE a, dans ce contexte de lutte contre la Covid-19, renforcé son offre de services pour l’Administration Sénégalaise et les autres structures avec de nouveaux outils performants et faciles d’utilisation pour favoriser le télétravail.  Il s’agit notamment de l’outil de web-conférence (audio et vidéo) qui permet de faire des conférences via Internet à travers l’url  https://conference.sec.gouv.sn.

 

La CDP a donc opté pour cette plateforme de visioconférence sécurisée et administrée par l’ADIE, afin de tenir les sessions plénières mensuelles à distance en cette période particulière de pandémie.

 

Accompagnement à la mise en conformité / Formation : SETER / TOTAL

 

L’accompagnement des organismes dans la mise en œuvre de leurs traitements fait partie intégrante des missions de la CDP. En plus de répondre aux sollicitations du grand public, la CDP n’hésite pas à aller directement vers les responsables de traitement afin de les former sur les outils et méthodologie de mise en conformité. Ainsi, des rencontres d’échanges et de sensibilisation se sont tenues avec SETER et TOTAL SENEGAL.   

 

Tutoriel pour la déclaration des traitements de données personnelles 

 

Thème 2 : Collecte et traitement de données personnelles par un site internet et une application mobile

 

Toujours dans le cadre de ses missions de conseil, d’information et de sensibilisation, la CDP, porté par la Direction de la Communication et des Relations Publiques, va lancer en début 2021 une campagne de communication, sous format vidéo, sur la loi 2008 portant sur le traitement des données à caractère personnel. 

 

Ces tutoriels s’attachent à simplifier la compréhension de la loi 2008 et, ainsi, à faciliter la mise en conformité des entreprises. Ils reprennent sous un langage simple les principales étapes à respecter pour monter en maturité sur la question de la protection des données.

 

Pour le thème 2 : Collecte et traitement de données personnelles par un site internet et une application mobile, la DAJC et la DTIC ont contribué en donnant quelques conseils pratiques pour permettre aux responsables de traitement d’accomplir facilement les formalités préalables au traitement des données personnelles collectées sur leur site web et/ou application mobile. En voici quelques-uns :

 

  1. Si vous disposez d’un site internet, vérifier si le site contient des formulaires qui collectent des données personnelles (formulaire de contact, étude / questionnaire / sondage en ligne, formulaire de commande pour les sites de commerce en ligne, etc.). Si oui, informer vos utilisateurs de la collecte et du traitement de ses données personnelles, du nom et contact du responsable de traitement, des moyens et recours pour accéder, modifier, supprimer ses données (mentions légales) ;

 

  1. Lorsque les données recueillies sont utilisées pour d’autres finalités que celles prévues initialement ou envoyées à des tiers (EX : pour de la publicité), assurez-vous d’obtenir le consentement de l’utilisateur (EX : Case à cocher en bas du formulaire de contact : J’accepte que mes contacts soient utilisés pour recevoir vos actualités / événements / nouveaux produits | J’accepte de recevoir par SMS des messages publicitaires de la part de vos partenaires)

 

  1. Sécuriser au mieux votre site web et/ou application mobile (assurez-vous que les bonnes pratiques de sécurité minimales ont été appliqués afin de garantir la disponibilité, l’intégrité, la confidentialité et la traçabilité de votre site web / application mobile) ;

 

  1. Si vous n’hébergez pas vous-même votre site web ou votre application mobile, vérifiez si l’hébergeur est établi au Sénégal ou à l’étranger pour connaitre le lieu de stockage des données collectées et savoir si les données collectées sont stockées au Sénégal. Vérifiez par la même occasion si l’hébergeur est conforme vis-à-vis d’une réglementation sur la protection des données personnelles (CDP au Sénégal, CNDP au Maroc, CNIL en France…) ;

 

  1. Désigner un point focal, qui se chargera d’effectuer les formalités et assurer le suivi régulier avec les services de la CDP pour recueillir des avis et conseils
  2. Avant de déposer un formulaire, assurez-vous qu’il soit complet pour permettre un traitement rapide de votre déclaration ou demande d’autorisation ;
  3. Pour vérifier si votre déclaration ou demande d’autorisation est complète avant son dépôt, vous pouvez envoyer le formulaire, par mail, aux services de la CDP ;

 

  1. Toute personne concernée par la collecte de ses données personnelles, par un site internet sénégalais ou une application mobile, peut saisir la CDP, à tout moment, pour s’informer sur les droits que lui confère la loi sur les données personnelles, notamment le droit à l’information, le droit d’accès, le droit de rectification et de suppression et le droit d’opposition ;
  2. Pour toute question ou demande d’information, n’hésitez pas à saisir la CDP par mail : contact.cdp@cdp.sn, par téléphone : 33 859 70 30 ou à notre siège à l’adresse suivante : 769, Mermoz Pyrotechnie VDN, en face du siège de la SONATEL
  3. Pour suivre l’intégralité de la campagne, restez connectés sur le site internet et les réseaux sociaux de la CDP.

 

Délibération de portée générale sur l’exploitation des systèmes de géolocalisation

De plus en plus d’entreprises au Sénégal, par exemple les sociétés disposant d’un grand parc automobile / scooters dans le cadre de leurs activités, utilisent des systèmes permettant de géolocaliser les véhicules de leurs employés. Cependant, même si cela reste légal, les responsables de traitement doivent veiller à ce que tout traitement de données personnelles, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques.

La Commission des Données Personnelles a ainsi mis à la disposition des utilisateurs une délibération de portée générale N°2020-00491/CDP afin de réglementer l’usage des systèmes de géolocalisation, entrainant des traitements de données personnelles. Ceci, afin de mieux informer employeurs et employés sur leurs droits et obligations.

 

Un employeur qui souhaite utiliser un dispositif de géolocalisation doit en effet effectuer une déclaration à la CDP, qui est chargée de vérifier que les principes relatifs à la protection de données à caractère personnel sont bien respectés.

 

Projet de sensibilisation « sécurité en ligne »

Lancée par la Commission de protection des Données Personnelles du Sénégal (CDP), en partenariat avec Facebook et BS Corp et en partenariat avec le Ministère de l’Éducation Nationale, ce programme d'envergure nationale, vise à promouvoir la cyber-sécurité parmi les jeunes élèves du Sénégal et à changer leur perception face aux cyber-menaces, par le biais de l'éducation, et de la sensibilisation, et le partage des bonnes pratiques.

 

 Des cas pratiques et des ressources pédagogiques constituent les modules de formation devant inciter les enseignants à parler de protection des données personnelles dans les établissements scolaires.

 

L’idée de ce projet phare est de former des formateurs qui, à leur tour, pourront sensibiliser les jeunes élèves sur la sécurité en ligne et la protection des données personnelles.

 

A cette occasion, la CDP, de par son expertise, a travaillé sur l’élaboration des contenus concernant les mesures de sécurité en ligne liées à la protection des données personnelles qui seront intégrés dans le programme de formation / sensibilisation.

 

La liste des formateurs a été établie ainsi que les écoles qui bénéficieront de la formation. La prochaine étape consistera à former les formateurs qui formeront à leur tour les élèves. L’actualité de ce programme est d’ores et déjà en ligne sur les réseaux sociaux dédiés (Facebook / Instagram): #MaVieEnLigne_sn.

 

Procédure de veille technologique :

De nos jours, la technologie est devenue partie intégrante de notre quotidien. L’évolution technologique permet de collecter et de traiter des données à caractère personnel de manière plus élaborée et dans des quantités toujours plus grandes. Bien que les technologies avancées telles que l’intelligence artificielle, les objets connectés, le E-santé, le Big data accroissent les risques pour la protection de la vie privée et des données personnelles, elles peuvent aussi intégrer des solutions technologiques offrant davantage de transparence et de contrôle aux personnes dont les données sont traitées.

 

Afin de se tenir informé des innovations technologiques et de suivre l’impact de ces évolutions en matière de protection des données personnelles, la CDP a mis en place une procédure de veille technologique depuis le 01 Juillet 2020, que nous partageons avec vous chaque semaine sur le site www.cdp.sn.

 

  • COMMUNICATION ET SENSIBILISATION

 

Pour le dernier trimestre de cette année 2020 marqué par le Covid-19, la CDP s’est investie dans des activités de vulgarisation et de promotion de la protection des données personnelles. Elle a pris part à des événements, des rencontres en ligne ou en présentiel pour plaider le respect des dispositions de la loi.

 

  1. Webinaire du Ministère de l’Économie Numérique et des Télécommunications

La CDP a pris part dans le cadre d’Octobre Cyber, initié par le Ministère de l’Économie Numérique et des Télécommunications, à plusieurs webinaires dont celui portant sur le thème ‘’Cybersécurité des infrastructures et des services essentiels dans un contexte de pandémie’’.

 

Quant au deuxième thème qui portait sur ‘’La protection des enfants en ligne : Enjeux et Défis’’, le Directeur de la Communication et des Relations publiques de la CDP a, à travers une communication, fait un exposé des activités et actions entreprises par la Commission, relatives à ce thème sensible.

 

Il a mis en exergue l’urgence pour les parents de prendre en compte les facteurs de risque que sont la disponibilité des équipements technologiques à la maison, l’absence de paramétrage et les comportements illicites tels que le partage et la divulgation d’informations sans le consentement des personnes concernées. L’occasion a été saisie pour discuter de la campagne Éducation numérique initiée en partenariat avec Facebook et le Ministère de l’Éducation nationale, et destinée aux 4 millions d’élèves sénégalais.

 

  1. Campagne Éducation numérique

Plus de 5 réunions en ligne se sont tenues entre les équipes de Facebook, de la CDP, du Ministère de l’Éducation nationale et du Cabinet BsCorp afin de finaliser les grandes lignes du programme.

 

Outre le fait de stabiliser le contenu du programme, la répartition des tâches entre les structures, la sélection des enseignants à former (formation des formateurs), l’élaboration des supports de communications a mobilisé les différentes équipes, afin de procéder au lancement de #MaVieEnLigne, une plateforme en ligne qui regroupe l’ensemble des outils didactiques destinés aux élèves. A cet effet, le choix d’écoles pilotes, la mise en place d’un comité technique au niveau de la CDP et la date de démarrage effectif du programme par la formation des enseignants (le 29 décembre 2020) ont été fixés.

 

  1. Célébration de la Journée internationale de la fille

 

La CDP, représentée par le Directeur de la Communication et des Relations publiques, a participé, le 13 octobre 2020, à l’atelier organisé par le Ministère de la Femme, de la Famille, du Genre et de la Protection des Enfants sur le thème : « La protection des filles en ligne ». La CDP a abordé les défis auxquels les familles, les éducateurs, les enfants et les acteurs de l’enfance font face dans l’usage d’internet par les mineurs et prodigué des conseils et recommandations pour éviter les dérives y relatifs.

 

  1. Panel du Ministère de l’Économie numérique et des Télécommunications

 

Le Directeur de la Communication et des Relations publiques a fait une communication lors du panel organisé par le Ministère de l’Économie numérique et des Télécommunications sur la protection des mineurs en ligne, le 27 octobre 2020. Son intervention a porté sur l’aspect de la parentalité numérique et les enjeux des usages digitaux des élèves.

                

  1. Webinaire Think Data de la société Baamtu

Le 14 octobre 2020, la CDP, représentée par son Secrétaire Permanent, a animé un des panels sur la thématique : « Data & AI, comment créer de la valeur en respectant la vie privée ». Cet événement a enregistré la participation de prestigieux partenaires, venant du monde entier, répartis dans 17 sessions animées par une trentaine d’experts du domaine.

 

  1. La CDP dans les médias

La West Africa Democracy Radio a consacré un magazine spécial à la protection des données personnelles avec des interviews d’agents de la CDP sur ses missions, ses campagnes de sensibilisation à l’endroit des jeunes, mais aussi son rôle au sein du Réseau Africain des Autorités de Protection des Données Personnelles.

 

A cela, s’ajoute une interview de la Présidente de la CDP, parue dans la revue du Conseil National du Patronat du Sénégal « Entreprendre Plus » du mois d’octobre 2020. La Présidente a insisté, à cette occasion, sur la nécessité de concilier, dans les entreprises, les impératifs de sécurité et ceux de protection de la vie privée des travailleurs.

 

  1. Atelier de l’Association FACT

La CDP a participé au Meeting audiovisuel FACT Dakar (Femmes Africaines en Communication TICS et Télévision) lors de sa deuxième édition qui a relayé le plaidoyer de la résolution 13/25 des Nations Unies, à l’occasion de son vingtième anniversaire.

L’atelier, initié par le magazine Debbosenegal.com, s’est déroulé les 12 et 13 novembre 2020. Cette édition était entièrement dédiée à la promotion de la création de contenus audiovisuels sensibles au genre dans le milieu de la télévision et des nouveaux médias.

 

Le Directeur de la Communication et des Relations publiques y a animé un panel consacré au journalisme citoyen, dans lequel les enjeux et les limites du journalisme citoyen, qui a pris possession des plateformes des GAFA depuis une décennie, ont été largement discutés.    

 

  1. Communiqué conjoint de la CDP, du SYNPICS, du CORED et de l’APPEL

Face à la recrudescence des cas de violation de données personnelles dans les faits relatés dans la presse, la Commission de Protection des Données Personnelles (CDP), le Syndicat des Professionnels de l’information et de la Communication du Sénégal (SYNPICS), le Conseil pour l’Observation des Règles d’Éthique et de Déontologie dans les médias (CORED) et l’Association des Professionnels de la Presse en Ligne (APPEL) ont ensemble réagi via un communiqué pour appeler les professionnels de presse à être plus conscients des enjeux liés aux traitements médiatiques, particulièrement lorsque les mineurs sont concernés.

 

Ils ont, en effet, appelé à davantage de responsabilité et au respect des dispositions légales, réglementaires, professionnelles et déontologiques applicables à la diffusion de l’information portant notamment sur cette tranche d’âge vulnérable.

 

  1. Réunion avec l’ONG Plan International

Sur demande de la Direction de l’ONG Plan International, la CDP a pris part, le 16 novembre 2020, à une réunion avec le staff technique pour faire le point sur un protocole de partenariat, mais aussi pour échanger sur le traitement des données des 24 000 enfants parrainés par des mécènes, au sein de l’Organisme.

 

A la suite d’une discussion ouverte et constructive, et sur proposition de Mme la Présidente de la CDP, il a été retenu de finaliser rapidement le projet de convention entre les deux structures. Ainsi, ce cadre formel permettra à la CDP d’accompagner l’ONG Plan International dans ses différentes activités.

 

  1. Rencontre avec l’ONG espagnole « Fundacion Xaleyi »

Le Directeur local de « Fundacion Xaleyi » a rencontré la Présidente de la CDP, afin de lui soumettre le projet de « Fichage des enfants de la rue au Sénégal ». Après avoir pris connaissance des détails de ce projet qui collecte les données de ces mineurs vulnérables, la Présidente a demandé au Directeur de ladite fondation de requérir l’agrément des services habilités de l’État, avant de revenir vers les services de la CDP, pour une éventuelle collaboration et un accompagnement afin que le projet soit en conformité avec la loi de 2008.

 

  1. Atelier organisé par la Cellule d’Appui à la Protection de l’Enfance (CAPE)

Sur le thème « Partage d’expérience des acteurs pour la protection des enfants en ligne », la CDP a pris part, les 16-17 novembre 2020 à Saly, à l’atelier organisé par la Cellule d’Appui à la Protection de l’Enfance (CAPE). 

 

Cet évènement était, en fait, une des recommandations phare formulée par les jeunes filles elles-mêmes, lors du webinaire sur la sécurité des filles en ligne lors de la célébration de la Journée internationale de la fille du 13 octobre 2020.

 

L’atelier avait pour objectif la vulgarisation du portail de signalement de la CAPE et le recueil des expériences de tous les acteurs de la protection des enfants en ligne, en vue de prendre en compte la dimension « protection des enfants en ligne » au sein des projets et programmes, pour une harmonisation des interventions.

 

Ainsi à l’issue de cette rencontre de renforcement de capacités et de partage, il est recommandé une redéfinition des indicateurs liés à la problématique de la PEL par les membres de la CAPE. Cet exercice permettra de procéder à une réorientation des actions en vue de leurs intégrations dans le nouveau Plan d’Actions Prioritaires du Ministère de la Femme et de la Famille. La CDP a contribué à analyser les défis de la PEL dans le traitement des données personnelles des enfants dans un contexte hyper connecté des mineurs et de collecte massive de leurs données par les GAFA, les écoles, l’État et les ONG qui s’occupent de protection des enfants.

 

  1. Forum du Numérique

La CDP a pris part au Forum du Numérique, un évènement co-organisé par la Présidence de la République et le Ministère de l’Économie Numérique et des Télécommunications. Le Forum du Numérique a eu pour thème « Le digital au service de la gestion de la pandémie et de la relance de l’économie » s’est révélé un cadre d’échanges privilégié entre les acteurs évoluant dans l’écosystème numérique et les pouvoirs publics.

 Le Grand Prix du Chef de l’État pour l’innovation dans le numérique « GAINDE » du DIGITAL, qui a pour vocation de soutenir le développement de projets et d’entreprises innovants dans le secteur en forte croissance de l’économie numérique, a été décerné à la startup Tolbi.  

 La Commission de protection des données personnelles a eu le plaisir de modérer et de participer aux panels tenus lors de la 2ème Edition du Forum numérique sur les thèmes : « Les partenariats public - commun, une nouvelle approche pour l’action collective et repenser l’achat public » et « Comment instaurer un environnement de confiance numérique durable ? ».

Plus de 24 panels avec plus de 50 intervenants ont rythmé ces deux journées (26 et 27 Novembre 2020) avec une exposition dédiée aux innovations technologiques.

  1. Interpellation sur le site et les réseaux sociaux

Les pages des réseaux sociaux ont permis aux internautes, d’interpeller directement la CDP sur différentes problématiques. Ces interpellations ont porté sur la durée de conservation des données de santé, notamment les dossiers médicaux pour les cabinets de professionnels de la santé, la prospection directe par un opérateur de télécommunications, la sécurité des données dans les banques.

Des internautes ont également interpellé la CDP sur l’absence de consentement lors de l’administration d’un formulaire en ligne de recensement des besoins en aide aux populations, et de collecte de données sensibles mis en place par une commune de la ville de Dakar.

La CDP a été également interpellé sur le phénomène qui sévit dans certains établissements scolaires du nom, de « Flash-cas ». Face à ces cas, la CDP recommande aux victimes de faire recours aux outils de signalement mis en place par lesdits réseaux sociaux, afin d’y mettre fin.

 

  1. Série d’ateliers thématiques sur la protection des données personnelles

Le Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) en accord avec le Projet GLACY+ a mené une série de rencontres en ligne pour débattre du droit à la protection des données à l’ère du numérique.

 A ce titre, trois ateliers ont été organisés sur les thèmes :

  • Défis aux droits à la vie privée et à la protection des données : passé, présente et futur
  • Intelligence artificielle et protection de données : certains des défis à relever
  • Donner les outils d’acquisition du leadership aux jeunes générations.               

 

  • COOPERATION ET PARTENARIAT

 

6.1 Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) et Conseil de l’Europe : Série d’ateliers thématiques sur la protection des données personnelles

Le RAPDP en collaboration avec le Conseil de l’Europe a initié une série d’ateliers thématiques sur la protection des données personnelles. Les deux premiers ateliers se sont tenus :

  • le 05 novembre 2020 sur la thématique : « le droit à la protection des données à l’ère du numérique » ;
  • le 08 décembre 2020 sur la thématique : «l’identité numérique ».

 

Au cours de l’Atelier 1 sur « le droit à la protection des données à l’ère du numérique » les discussions ont porté sur les points suivants 

  • Défis aux droits à la vie privée et à la protection des données : passé, présent et futur ;
  • Les défis à relever dans le cadre de l’Intelligence Artificielle et la protection des données ;
  • Les outils d’acquisition du leadership numérique pour les jeunes africains ;
  • L’état de la situation actuelle de la protection des données personnelles dans le monde.

 

Atelier 2 sur « l’identité numérique » : il s’agissait d’un partage d’expériences sur les systèmes d’identification numérique qui existent en Afrique, notamment au Kenya et en Ouganda. Ce retour d’expériences fait ressortir les impacts que les systèmes d’identité numérique ont, dans ces deux pays, sur les droits humains, notamment la discrimination qu’ils créent entre les populations et l’exclusion des groupes vulnérables vivant en zones rurales.

 

Par ailleurs, il a été discuté lors de cet atelier des risques sur la vie privée que présente la numérisation de l’identité juridique, notamment l’interconnexion des données produites entre le système de l’état civil et les autres administrations.

 

 

6.2- Sommet Africain sur la protection des données –Virtuel (DPA Virtual) organisé par Africa Digital Rights Hub 

La CDP a participé au Sommet Africain sur la protection des données, tenu en ligne le 06 novembre, à la Session « Dialogue Progress » destinée aux Autorités de protection des données.

Durant cette Session, la Présidente de la CDP a échangé sur les points suivants :

  • Le mandat de la CDP ;
  • Les grandes réalisations de la CDP ;
  • Les activités de sensibilisation destinées aux responsables de traitement ;
  • Les formations et rencontres d’échanges avec les secteurs public et privé (justice, presse, patronat) ;
  • Les dispositifs de protection des droits des personnes ;
  • L’accompagnement de l’innovation technologique ;
  • L’encadrement de l’utilisation de la biométrie.

 

Au sortir de cette Session, les recommandations suivantes ont été faites :

  • L’harmonisation des cadres juridiques africains en matière de protection des données personnelles ;
  • La désignation d’un Rapporteur spécial de l’Union Africaine sur la protection des données personnelles et la protection de la vie privée, à l’instar de l’ONU ;
  • Le renforcement du plaidoyer au niveau des Chefs d’États et de Gouvernements et auprès des Organisations internationales africaines, pour la prise en compte d’une politique volontariste de protection des données, à l’occasion des Résolutions prises au sein des Instances communautaires

 

  1. 40e Réunion Plénière du Conseil de l’Europe en visioconférence (18, 19 et 20 novembre 2020) et 51ème Réunion du Bureau de la Convention 108 du Conseil de l’Europe (16, 17 et 18 décembre 2020) en visioconférence

La CDP a pris part aux dernières réunions de la Plénière et du Bureau de l’année 2020 de la Convention 108 du Conseil du Conseil de l’Europe.

Lors de ces réunions, des États membres, observateurs et experts, ont été étudié des lignes directrices et recommandations sur différents sujets, à savoir :

  • la reconnaissance faciale ;
  • le profilage ;
  • la protection des données personnelles des enfants dans un cadre éducatif ;
  • les identités numériques ;
  • le traitement des données à caractère personnel par et pour les campagnes politiques.

A l’issu de la Plénière, les décisions suivantes ont été prises :

  • Le Bureau du Comité Consultatif de la Convention a été renouvelé avec l’élection de Madame la Présidente de la CDP en qualité de Deuxième Vice-présidente du Bureau ;
  • Les lignes directrices sur la protection des données personnelles dans le cadre du système éducatif sont adoptées et publiées ;
  • Accord du statut d’observateur au Bureau du commissaire à la protection de la vie privée des Bermudes, à Open Net Association, Korea (ONK) et à Access Now.
  •  

6.4 - Dernière réunion du Groupe de Travail PRIDA sur la protection et la localisation des données, organisée par la Commission de l’Union Africaine (CUA) : 24 novembre 2020

La Commission de l’Union Africaine (CUA) a organisé la dernière réunion du Groupe de travail sur la protection et la localisation des données. Ce groupe de travail est mis en place dans le cadre du Programme sur les politiques et la régulation pour une Afrique Digitale (PRIDA).  Lors de cette dernière réunion, il s’agissait de faire l’état du modèle de suivi-évaluation de la protection des données personnelles en Afrique et de ses impacts économiques et socio-économiques.

Ce modèle a fait l’objet de test dans cinq (05) pays : le Maroc, le Ghana, la Zambie, l’Ile Maurice et le Gabon. Les résultats du test d’évaluation au Maroc, au Ghana et en Zambie ont été partagés. Ainsi, le Maroc et le Ghana présentent un plus haut niveau de conformité avec les indicateurs du modèle d’évaluation que la Zambie.

Les indicateurs définis sont, entre autres :

  • Reconnaissance du droit à la vie privée et engagement à établir un cadre juridique pour la protection des données personnelles ;
  • Existence de droits individuels pour les personnes concernées ;
  • Existence de règles contraignantes permettant le flux de données entre organisations ;
  • Fiabilité des flux transfrontaliers des données.
Mardi, janvier 12, 2021 - 15:30

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles