COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N° 04-2021 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce dernier trimestre de l’année 2021, et conformément à son programme annuel d’activités, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  • COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce quatrième trimestre 2021, la CDP a accueilli quatre (04) structures et un (01) particulier venus s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 144 dossiers dont 117 déclarations et 27 demandes d’autorisation.

A l’issue des trois (03) sessions plénières tenues à la CDP, cent seize (116) récépissés de déclaration et dix-neuf (19) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen de neuf (09) dossiers et a auditionné quatre (04) Responsables de traitement.

La Sessions plénière a également adopté une délibération de portée générale, relative à la durée de conservation des données à caractère personnel. La délibération est disponible sur le site internet de la CDP www.cdp.sn.

La Commission a, en outre, reçu des plaintes, signalements et demandes d’avis :

- Plaintes et signalements reçus : 18

- Demande d’avis : 02

- Appel à la déclaration : 01

 

Par ailleurs, la CDP a prononcé une mise en demeure contre la société Groupe Fauzie Layousse, à la suite d’une plainte du collège des Délégués et d’une mission de contrôle effectuée sur site.

 

La CDP a également transmis une injonction à la société MESA, à la suite d’une plainte du collège des Délégués et d’une mission de contrôle effectuée sur site.  La procédure qui a abouti à la mise en demeure de la société Groupe Fauzie Layousse et à l’injonction de la société MESA est rappelée au point III « Mise en demeure et injonction » du présent avis trimestriel. 

 

En outre, la suspension du programme de fidélité des supermarchés Auchan (Sama Kalpé) de la société Senegal Auchan Store a été levée, à la suite de la conformité du traitement avec la loi sur la protection des données personnelles. En effet, la société Senegal Auchan Store a apporté les corrections exigées par la CDP, notamment :

  • le recueil explicite et libre du consentement, avec la révision du formulaire d’adhésion ;
  • La fixation des durées précises de conservation des données : durée de deux (02) ans pour les données de consommation et conservation des données d’identification jusqu’à la résiliation de l’adhésion par le client ;
  • La limitation des données collectées au nom, prénom, date de naissance, adresse physique, adresse mail et numéro de téléphone.

 

 

 

 

  1. - Demandes d’avis reçus par la CDP  

 

DEMANDEUR

OBJET DE LA DEMANDE D’AVIS

AVIS DE LA CDP

MINISTERE DE L’INTERIEUR

Projet de décret, relatif à la création du Centre de Ciblage et de Profilage de la Police nationale, logé au sein de la Direction de la Police de l’Air et des Frontières   

 

La Commission a relevé, dans son avis, que le projet de décret qui lui est soumis, crée le Centre de Profilage et de Ciblage et précise la création d’un Système API-PNR, au titre des attributions du Centre.

 

A cet effet, la CDP considère que le projet de décret concerne davantage la création du Centre de Profilage et de Ciblage, qu’il ne décrit le « Système API-PNR », objet du traitement des données à caractère personnel des voyageurs.

 

Ainsi, la CDP considère qu’un autre texte doit être pris, pour créer le « Système API-PNR ».

Ce texte portant création du Système API-PNR doit porter sur :

  • Les finalités du traitement des données ;
  • Les modalités de collecte, d’analyse, de communication, de conservation et de destruction des données ;
  • Les catégories de données collectées ;
  • Les catégories de personnes concernées ;
  • Les exceptions prévues à la collecte de données sensibles
  • Les caractéristiques et fonctionnalités du dispositif ;
  • L’identité du partenaire technique et ses missions ;
  • Les autorités habilitées à accéder aux données ;
  • Les modalités d’interconnexion du dispositif avec d’autres systèmes ou bases de données ;
  • Les techniques de ciblage et de profilage utilisées ;
  • Les modalités d’exercice des droits des personnes ;
  • Les mesures prévues pour la sécurité et la confidentialité des données.

 

La CDP donnera son avis sur le projet de texte qui sera ainsi pris, conformément à l’article 21 de la loi 2008-12.

 

MINISTERE DU DEVELOPPEMENT COMMUNAUTAIRE, DE L’EQUITE SOCIALE ET TERRITORIALE

 Projet de décret relatif à l’Entrepôt de données inter-régimes de la couverture maladie (EDIRCMU) 

 

 

 

 

La CDP estime que les objectifs visés par la mise en place de l’EDIRCMU ne sont pas spécifiquement déterminés dans le projet de décret, notamment les finalités de la mise en relation des données gérées par les différents régimes de couverture maladie.

Ainsi, la CDP a demandé au Ministère du Développement Communautaire, de l’Equité sociale et Territoriale d’amender l’article premier, afin de fixer les finalités explicites de l’EDIRCMU.

 

Par ailleurs, sur les catégories de données collectées, la CDP a demandé au Ministère du Développement Communautaire, de l’Equité sociale et Territoriale d’ajouter une disposition sur les catégories de données individuelles et généralistes, collectées auprès des bénéficiaires.

 

Sur le consentement des personnes concernées, le projet de décret ne prévoit pas de dispositions relatives au recueil du consentement des bénéficiaires, avant le partage de leurs données au niveau de l’EDIRCMU.

A cet effet, la Commission a demandé au Ministère du Développement Communautaire, de l’Equité sociale et Territoriale d’ajouter une disposition sur le recueil du consentement des bénéficiaires, avant le partage de leurs données.  

Sur le partage de données, la Commission a invité le Ministère du Développement Communautaire, de l’Equité sociale et Territoriale à mettre en œuvre des protocoles sécurisés de transfert et de communication des données, afin que les organismes de gestion des différents régimes ne reçoivent que les données strictement nécessaires à leurs traitements spécifiques.

 

Sur l’interconnexion des données, la CDP a rappelé que la mise en commun des données des différents régimes de couverture maladie ne doit pas entrainer de discrimination ou de restriction des droits garantis aux bénéficiaires.

Ainsi l’interconnexion doit être pertinente et limitée aux objectifs et finalités de l’EDIRCMU. 

 

 

 

 

 

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

Responsables de traitement/ Sous-traitants

Traitements

  1. GROUPE BAOBAB

Déclaration du traitement relatif au service Pico Crédit

 

 

 

  1. - Décisions rendues par la Session Plénière :

 

  1. - Autorisations accordées :  

Finalités des traitements

 

Nombre

Structures

Remontée au niveau du Groupe BNP Paribas (maison-mère) de l’identité des personnes ayant fait l’objet de déclarations de soupçons et de leurs contenus

01

Banque Internationale pour le Commerce et l’Industrie du Sénégal (BICIS)

Site internet www.espacediobass.com

01

ESPACE UNE FAMILLE UN TOIT (EFT SA)

 

AGRICASH

01

 

LA Banque AGRICOLE

Système de contrôle d’accès par carte NFC et empreinte digitale 

01

SOCIETE DE TELEDIFFUSION DU SENEGAL (TDS)

Système de mesure de temps de parcours et de comptage entrée/sortie de l’Autoroute via des capteurs Bluetooth de l’application Webvia

01

SECAA SA

Programme de fidélité Auchan Sénégal (Sama Kalpé)

01

SENEGAL AUCHAN STORE

 

Outil SIRH (Système d’Information des Ressources Humaines) pour la région Afrique Subsaharienne (AFS)

01

SOCIETE GENERALE SENEGAL

 

Porte-monnaie électronique : « KORI PASS »

01

KORI TECH

 

Collecte de données via l’application PAYDUNYA

01

PAYDUNYA SERVICES INTERNATIONAL SAS

 

Géolocalisation

04

  • FLEETI SARL
  • DAKAR TERMINAL
  • PHILIP MORRIS MANIFACTURING SENEGAL (PMMSN)
  • COGELEC ENERGY SAS

Manifeste électronique de la gare routière de Ziguinchor

01

GIE COLLECTIF DU REGROUPEMENT DES CHAUFFEURS DE LA GARE ROUTIERE DE ZIGUINCHOR

Application INSER 

01

SOCIETE D’EXPLOITATION DU TRAIN EXPRESS REGIONAL (SETER)

CRM (gestion des clients)

01

GIM-UEMOA

Gestion du personnel (SAGE Paie) avec traitement de données médicales

01

GIM-UEMOA

Site internet www.cossuel.sn

01

Comité sénégalais pour la Sécurité des Usagers de l’Electricité (COSSUEL)

Société Générale du Sénégal (SGSN)

01

Teams Lite

 

 

 

  1. -  Récépissés délivrés : 

 

Finalités

 

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

35

  • 3S TECH GROUP
  • KËR YOFF
  • SOCIETE DE TELEDIFFUSION DU SENEGAL (TDS – S.A) (Siège)
  • SOCIETE DE TELEDIFFUSION DU SENEGAL (TDS – S.A) (Annexe)
  • UNIVERSELLE INDUSTRIES SENEGAL (UNISEN)
  • TECHNO SMART
  • ETABLISSEMENT SAID NOUJAIM & FRERES
  • SENEGAL AUCHAN STORE (SENAS) (Auchan -Saint-Louis)
  • OLAM SENEGAL S.A
  • ETIO PLUS SARL
  • CCBM HOLDING (Kaolack, route de Gossas (habitation pour le personnel de CCBM))
  • CCBM HOLDING (Touba Khaira (habitation pour le personnel de CCBM))
  • CCBM HOLDING (Almadies (habitation pour le personnel de CCBM))
  • CCBM HOLDING (Ngor habitation pour le personnel de CCBM))
  • CCBM HOLDING (Rufisque (Usine de montage et bureaux))
  • CCBM HOLDING (CCBM Automobile Darou Salam, Avenue Lamine GUEYE X Rue Marchand)
  • CCBM HOLDING (SAV, VDN en face Foire)
  • CCBM HOLDING (CCBM Centre Commercial Touba Sandaga, 128 Avenue Lamine GUEYE)
  • CCBM HOLDING (CCBM Automobile, Avenue Lamine GUEYE X Rue Marchand)
  • ASSURLAND SENEGAL SAS
  • CFAO SENEGAL (TOYOTA Sénégal)
  • CFAO SENEGAL (YAMAKHA Sénégal)
  • CFAO SENEGAL (PEUGEOT/SUZUKI Sénégal)
  • CFAO SENEGAL (LOXEA Sénégal)
  • ENVOL IMMOBILIER
  • HELIOS TOWERS SENEGAL SAU
  • AL MAKHTOUM MULTI SERVICES
  • MC3 SARL
  • DANGOTE CEMENT
  • GIM-UEMOA (Siège)
  • GIM-UEMOA (Annexe)
  • SENEGALAISE INDUSTRIE COMMERCE (SENICO)
  • AFRICAN HOTEL DEVELOPMENT
  • BRIOCHE DOREE
  • TALENTS CONSULTING SUARL

 

Vidéosurveillance chez des particuliers

 

18

  • M. ALIOUNE THIAM
  • M. MAMADOU DIA
  • MME ROKHAYA MARGOT LY
  • M. AMADOU TIDIANE LY
  • M. MADIAGNE KASSE
  • M. MALICK FAYE
  • MME MELANIE AGBO
  • M. SOULEYMANE WANE
  • MME AWA ALTINE SY
  • BINETE BA (RESIDENCE NDOUDA)
  • M. BAYE ELIMANE GUEYE
  • M. ALFOUSSEYNI GAYE
  • M. SOCÉ NDIAYE
  • M. PASCAL WESCELAS KOUASSI SEGLE
  • M. SAMBA SAKHO
  • MME JOSEPHINE TENDENG
  • M. BOCAR NDIAYE
  • M. BAH FALL THIOUNE

 

Base de données des clients

08

  • EMERGENCE INFORMATIQUE
  • INFOSYS SENEGAL
  • ECKO EVENT
  • SEEV SARL
  • ABDOULAYE DIAGNE
  • NS FOOD (PIZZA TIME)
  • MALICK CAMARA CONSTRUCTION (M2C)
  • AFRICA DSI

 

Système de contrôle d’accès et de pointage par badge

12

  • COMITE SENEGALAIS POUR LA SECURITE DES USAGERS DE L’ELECTRICITE (COSSUEL)
  • HOLDING SOCIETE DES PETROLES DU SENEGAL (PETROSEN HOLDING)
  • SOCIETE DES PETROLES DU SENEGAL D’EXPLOITATION ET DE PRODUCTION (PETROSEN E&P)
  • AUTORITE NATIONALE D’ASSURANCE QUALITE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE ET DE L’INNOVATION (ANAQ - SUP)
  • MALICK CAMARA CONSTRUCTION (M2C)
  • NEUROTECH SA
  • SENEGAL AUCHAN STORE (SENAS)
  • UNIVERSITE VIRTUELLE DU SENEGAL (UVS)
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • WAY2CALL SA
  • CENTRE DE FORMATION PROFESSIONNELLE ET TECHNIQUE (CFPT SENEGAL/JAPON)
  • GIM-UEMOA

 

Registre des entrées et sorties

09

  • SOCIETE DE TELEDIFFUSION DU SENEGAL (TDS SA)
  • HOLDING SOCIETE DES PETROLES DU SENEGAL (PETROSEN HOLDING)
  • SOCIETE DES PETROLES DU SENEGAL D’EXPLOITATION ET DE PRODUCTION (PETROSEN E&P)
  • AUTORITE NATIONALE D’ASSURANCE QUALITE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE ET DE L’INNOVATION (ANAQ - SUP)
  • SONATEL S.A
  • WAY2CALL SA
  • UNIVERSITE VIRTUELLE DU SENEGAL (UVS)
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • GIM-UEMOA

 

Gestion du personnel

12

  • TOUCH SOLUTIONS
  • COMITE SENEGALAIS POUR LA SECURITE DES USAGERS DE L’ELECTRICITE (COSSUEL)
  • HOLDING SOCIETE DES PETROLES DU SENEGAL (PETROSEN HOLDING)
  • SOCIETE DES PETROLES DU SENEGAL D’EXPLOITATION ET DE PRODUCTION (PETROSEN E&P)
  • AFRIPLAQUES SAS
  • WIZALL SERVICES
  • WIZALL SENEGAL
  • VIGASSISTANCE
  • WAY2CALL SA
  • GECAMINES SA
  • NEUROTECH SA
  • UNIVERSITE VIRTUELLE DU SENEGAL (UVS)

 

Gestion des fournisseurs et prestataires

06

  • COMITE SENEGALAIS POUR LA SECURITE DES USAGERS DE L’ELECTRICITE (COSSUEL)
  • BANQUE ATLANTIQUE SENEGAL
  • WAY2CALL SA
  • UNIVERSITE VIRTUELLE DU SENEGAL (UVS)
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • GIM-UEMOA

Parapheur électronique

01

  • SONATEL S.A

Réutilisation des données de la vidéosurveillance

01

  • SOCIETE EIFFAGE DE LA CONCESSION DE L’AUTOROUTE DE L’AVENIR (SECAA)

Programme Ecofridges Sénégal (Accès aux données de consommations et d’abonnement des clients Senelec adhérents au Programme Ecofridges Sénégal)

01

  • AGENCE POUR L’ECONOMIE ET LA MAITRISE DE L’ENERGIE (AEME)

Programme Ecofridges Sénégal (Extraction des factures dans le système d’information clientèle des demandeurs, Extraction des échéances via les recharges Woyofal pour transmission de la situation à la Banque)

01

  • SENELEC

Marketplace (www.fulamarket.sn)

01

  • FULA SARL

E-annuaire des abonnés

01

  • SONATEL SA

Base de données mailing clients

01

  • GIM-UEMOA

Site internet www.gim-uemoa.org

01

  • GIM-UEMOA

Site internet www.way2call.sn

01

  • WAY2CALL SA

Fichier clients centre d’appel

01

  • GIM-UEMOA

Plateforme E-learning GIM Academy

01

  • GIM-UEMOA

Plateforme Lutte contre la fraude

01

  • GIM-UEMOA

Plateforme monétique HPS Powercard

01

  • GIM-UEMOA

Système d’archivage

01

  • GIM-UEMOA

Cahier de bord de déplacement des véhicules

01

  • GIM-UEMOA

Enquête de satisfaction du personnel et des clients

01

  • GIM-UEMOA

 

 

 

 

 

  • PLAINTES ET SIGNALEMENTS 

21- PLAINTES

 

PLAIGNANT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

01

M.D

Chaîne YouTube Reflet Media

Divulgation de vidéo sans  consentement

La CDP a reçu une plainte de Madame M.D contre la Chaîne YouTube Reflet Média, relative à la diffusion d'une vidéo la concernant, sans son consentement.

La CDP considère que la diffusion sur la chaine YouTube Reflet Média de cette vidéo, qui relate une scène de dispute entre la plaignante et la maitresse de son mari, porte atteinte à la vie privée et à la réputation de la plaignante et ne peut être admise comme une information d'intérêt public.

Ainsi, la CDP a rappelé au responsable de la chaîne YouTube Reflet Média l’obligation de respecter scrupuleusement les articles 45 et 46 de la loi n°2008-12 qui encadrent le traitement des données à caractère personnel aux fins exclusivement journalistiques.

Au regard des éléments de réponse apportés par le Responsable de la Chaîne YouTube Reflet Media, et suite à la suppression de la vidéo et aux excuses adressées à la plaignante, la CDP a clôturé le dossier.

02

GLOBO AFRIQUE, GEORIS GROUP et IT MOBILE AFRIQUE

FLEETI

Concurrence déloyale par la méconnaissance des formalités déclaratives

Les sociétés GLOBO AFRIQUE, GEORIS GROUP et IT MOBILE AFRIQUE ont adressé à la CDP une plainte contre la société FLEETI SARL, relative à la commercialisation de solutions de géolocalisation de véhicule, de gestion de flotte, et de gestion de carburant, sans disposer d’une autorisation préalable de la CDP. En effet, les plaignants estiment que cette situation est constitutive d’une concurrence déloyale manifeste, en raison de l’autorisation qui leur a été accordée par la CDP.

Cependant, avant le dépôt de la plainte, la société FLEETI SARL avait soumis à la CDP une demande d’autorisation portant sur la géolocalisation.

En application de l’article 71 du décret 2008-721 portant application de la loi sur la protection des données à caractère personnel, la CDP avait suspendu le traitement de la demande d’autorisation, en attendant la réception de la réponse à la plainte.

A la suite de l’audition du Directeur général de la société FLEETI SARL par les Commissaires de la CDP, le 04 novembre 2021, la Session plénière a décidé de lever la suspension et a demandé à FLEETI SARL de déposer une nouvelle demande d’autorisation dûment renseignée.

Ainsi, la société FLEETI SARL a déposé une nouvelle demande et a bénéficié d’une autorisation. Le dossier est clôturé au sein de la CDP.

03

B.T

M.S

Prospection directe par téléphone

La CDP a reçu une plainte de Monsieur B.T mettant en cause M.S, mandataire du cabinet KANTAR, pour collecte et utilisation illicites de son numéro de téléphone, dans le cadre d’une enquête sur les données et les applications. 

La CDP a précisé au plaignant que la société KANTAR lui avait transmis une demande d’autorisation, relative aux études marketing et sondages d’opinion. A ce titre, par Délibération n°2021–00520/CDP du 24 juin 2021, la CDP a autorisé la société KANTAR à poursuivre ce traitement, sous réserve de respecter la délibération n°2014-020/CDP du 30 mai 2014 portant sur les conditions de la prospection directe.

Par ailleurs, la CDP a adressé une demande d’explication à M.S sur l’origine de la collecte du numéro de téléphone du plaignant, et sur le non-respect de la délibération portant sur les conditions de la prospection directe précitée.

En réponse à la demande d’explication de la CDP, la mise en cause soutient qu’elle est enquêtrice, et prestataire de service, au niveau de KANTAR, la société pour laquelle elle fait ces appels dans le cadre d'une étude dont l'objectif est d'évaluer la satisfaction des clients ayant contacté les services clients de leurs opérateurs de téléphonie mobile. Par ailleurs, elle précise avoir déjà remonté l'information à la société KANTAR, qui fera parvenir les explications à la CDP sur l’origine de la collecte du numéro de téléphone. 

Ainsi, la CDP étant dans l’attente desdites explications, le dossier est en cours d’instruction.

04

M.S

WELL COM of AFRICA

Espionnage

Madame M.S a transmis à la CDP une plainte contre le Directeur Associé de la société WELL COM of AFRICA, pour « espionnage ». En effet, la plaignante précise à la CDP que son employeur lui a reprochée « de débaucher un de ses clients parce qu’il s’est permis de saisir mon poste de travail pendant que j’étais en pause (..) et est entré frauduleusement dans mon compte personnel de messagerie… ».

A cet effet, la CDP, en application des dispositions des articles 1er, 18, 33 34, 35 et 58 de la loi n°2008-12 du 25 janvier 2008, a requis auprès du Directeur Associé de la société WELL COM of AFRICA, une demande d’explication, avec injonction de répondre dans un délai d’une semaine.

Par ailleurs, la CDP a rappelé au mis en cause que le secret des correspondances est un principe fondamental, garanti par la Constitution du Sénégal.

Par lettre du 09 décembre 2021, le Directeur Associé a apporté des éléments de réponse à la demande d’explication.  

L’instruction du dossier est en cours. 

05

A.S

Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique

Demande de suppression des données personnelles sur la plateforme 100.000 logements

La CDP a reçu, à nouveau, une plainte de Monsieur A.S, relative à une demande de suppression de ses données personnelles sur la plateforme 100000 logements.

En dépit de la lettre réponse du Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique, en date du 10 août 2020, portant suppression des données personnelles de A.S de ladite plateforme, le plaignant a reçu, à sa grande surprise, le 1er septembre 2021, un SMS l’invitant à renseigner son login et mot de passe sur la plateforme.  

Ainsi, la CDP a requis à nouveau, de la part du Ministère, la suppression des données personnelles de Monsieur A.S de la plateforme 100000 logements.

Le dossier est en cours.

06

N.K.T

Sites d'information en ligne

Diffusion de photos accompagnées de commentaires et propos injurieux sur les réseaux sociaux

La CDP a reçu une plainte de Madame N.K.T, représentant Madame N.A.D.P, contre des sites d’information en ligne, pour diffusion sur les sites et sur les réseaux sociaux, de photos de la plaignante et de ses enfants, à la suite de l'assassinat de ses enfants par son mari, et du suicide de ce dernier.

En application des articles 45 et 46 de la loi n°2008-12 du 25 janvier 2008, et conformément à l’accord entre les deux Institutions, la CDP a transmis la plainte au CORED, pour traitement.

Par ailleurs, La CDP a saisi la Représentante Régionale de Facebook (META) pour l'Afrique de l'Ouest, en vertu des articles 1er, 35, 68 et 69 de la loi précitée, aux fins de suppression de toutes vidéos associées à la plaignante.

La CDP a clôturé la plainte auprès de ses services. 

07

E.M.T

« Domou kaolack »

Menaces, propos diffamatoires et injurieux sur le réseau social Facebook

La CDP a reçu une plainte de Monsieur EL. T contre l'utilisateur du nom de profil Facebook "domou kaolack", pour menaces, propos diffamatoires et injurieux sur Facebook.

En application des dispositions des articles 431-42, 431-43 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier au Procureur de la République et à la DSC de la Police.

Le dossier est clôturé au niveau de la CDP.

08

Plaintes collectives

"L'indestructible de Moustaphal Maktoum"

Collecte illicite de données personnelles, injures et menaces de divulgation de photos/vidéos compromettantes

La CDP a reçu plusieurs plaintes contre l'utilisateur du nom de profil Facebook "L'indestructible de Moustaphal Maktoum" pour injures, menaces de divulgations de vidéos et photos compromettantes sur internet.

En application des dispositions des articles 431-59, 431-19, 363 bis, 431-42 et 431-43 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier au Procureur de la République et à la DSC de la Police.

Le dossier est clôturé au niveau de la CDP.

09

N.L.N

X

Accès frauduleux et usurpation d’identité de compte Facebook

Madame N.L.N, dans sa plainte adressée à la CDP, précise que ses proches ont vu sur Facebook des commentaires indécents et injurieux de sa part à l’endroit de l’adjoint au Maire de Yoff. Après vérification, elle s’est rendue compte que son compte Facebook avait été piraté, et que l’auteur du piratage se fait passer pour elle sur le réseau social. Elle a essayé d’accéder à son compte, sans succès, du fait de la modification du numéro de téléphone associé au compte et du mot de passe.

En application des articles 16-2c et 75 de la loi n°2008-12 du 25 janvier 2008 portant protection des données personnelles, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de la Cybersécurité (DSC) de la police, pour enquête et suites à donner.

Parallèlement, la CDP a adressé aux équipes de Facebook une demande de récupération dudit compte Facebook, en application des articles 71, 62 de la loi n°2008-12 du 25 janvier 2008 précitée.

Le dossier est clôturé au niveau de la CDP.

10

 

Agence de voyage B Consulting

Communication des données personnelles de son frère à une personne non habilitée

La CDP a reçu une plainte de Monsieur C T, agissant au nom et pour le compte de son frère, contre l’agence de voyage B. C, relative au faux et usage de faux et à la communication des données personnelles de son frère à une personne non habilitée.

Dans sa lettre, le plaignant précise que « le 21 août 2021, mon frère a été contacté via Facebook Messenger par une dame du nom de Mme A.D, lui demandant s’il était bien la personne à qui appartenaient les documents (bulletins de paie, avis d’impôts sur les revenues de 2020, bulletins de salaire, attestation de prise en charge, carte d’identité française) qu’on essaie de lui vendre… ».

En outre, le plaignant a annexé à la plainte, les copies de ces documents et les captures des échanges de mail entre la dame A.D et l’Agence de voyage B C.

En vertu du principe du contradictoire, la CDP a adressé une demande d’explication à l’Agence de voyage B C.

En réponse à la demande d’explication, l’Agence de voyage B C précise que « Notre agence n'a jamais vendu un quelconque document à A.D. Notre agence ne connaît ni de près ni de loin une certaine A.D. En outre, aucun échange d'argent n'a été établi entre l'agence B C Voyages et A.D ni une facture n'a été délivrée… ». 

Ainsi, en application des articles, 431-59, 431-19 et 431-27 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier au Procureur de la République et à la DSC de la police.

11

 

O.S

 

X

Chantage, menaces de divulgation de vidéos et photos intimes

La CDP a traité quatre (04) plaintes contre X pour chantages et menaces de divulgation de vidéos et photos intimes.

A titre illustratif, M.P sur la page Facebook précise à la CDP que « Mon petit frère vient d’être menacé par une personne malintentionnée de publier ses vidéos compromettantes. Nous demandons de l’aide ».

En application des articles 363 bis et 431-19 de la loi n°2016-29 modifiant le Code pénal, et pour plus de célérité dans le traitement desdites plaintes, la CDP a invité les plaignants à saisir directement, la Division Spéciale de la Cybersécurité de la police, en leur recommandant de :

  • rompre tout contact avec la personne mise en cause ;
  • ne pas céder aux chantages et d’éviter de verser une somme d’argent ;
  • faire des captures d’écran de ses échanges sur WhatsApp, des vidéos et photos…à titre d’éléments matériels pouvant servir de preuves

Par ailleurs, la CDP soutient les personnes concernées dans leurs démarches de suppression des vidéos et photos compromettantes sur les réseaux sociaux.

 

M.P

I.D

A.K

 

  1. SIGNALEMENTS

MIS EN CAUSE

MOTIFS

OBSERVATIONS

ORANGE FINANCES MOBILES SENEGAL (OFMS)

Géolocalisation des clients lors des opérations de transfert d’argent (suite de la procédure)

A la suite des explications fournies par Orange Finances Mobiles Sénégal (OFMS), la CDP a convoqué en audition l’opérateur de téléphonie mobile Orange et OFMS, lors de la Session plénière du 30 décembre 2021.

Après audition, le dossier suit son cours.

 

 

MC3

Caméra installée dans un espace interdit et prenant du son

La société MC3 a déposé à la CDP un formulaire de déclaration d’un système de vidéosurveillance.

A la suite de cette déclaration, la CDP a reçu un signalement mettant en cause la disposition de la caméra installée dans les locaux de la société MC3. En effet, l’auteur du signalement précise qu’une caméra a été installée dans une pièce, qui sert à la fois de salle d'attente et de bureau des commerciaux et du responsable logistique. Par ailleurs, ladite camera, rotative, dispose d'un microphone.

Dans la lettre de demande d’explication, la CDP a rappelé à la société MC3 que la loi n°2008-12 du 25 janvier 2008 et la jurisprudence de la Session plénière des Commissaires interdisent qu’une caméra soit installée à l’intérieur d’un bureau, filmant des salariés de manière permanente sur leur position de travail. En sus, la CDP a également rappelé l’interdiction d’enregistrement de son à travers les caméras de vidéosurveillance.

A cet effet, la CDP, en application des articles 35 et 58 de la loi n°2008-12 précitée, a demandé à la société MC3 de lui fournir :

  • le nombre exact de caméras installées ;
  • une description claire de la disposition des ou de la caméra (capture d’image filmée) ;
  • les raisons qui justifient l’enregistrement de son.

En réponse à la demande d’explication, la Direction générale de la société confirme qu’une (01) seule caméra est installée et que le système ne prend pas de son. Ladite réponse est accompagnée d’une capture de la caméra, montrant le champ de vision.

Ainsi, le 25 novembre 2021, la Session Plénière des Commissaires de la CDP a donné un avis favorable à ce traitement, en délivrant un récépissé à la société MC3.

Le dossier est ainsi clôturé auprès de la CDP.

Toutefois, la CDP se réserve le droit d’effectuer, à tout moment, une mission de contrôle sur place.

 

RESTAURANT O’GOODFOOD

Envois répétitifs de SMS de prospection commerciale non sollicitée

La CDP a reçu un signalement de Monsieur E.M.C contre le restaurant O’GOODFOOD, relatif à des envois répétitifs de SMS de prospection commerciale non sollicitée. Le requérant précise en effet qu’il reçoit tous les jours des messages de promotion de la part du restaurant O’GOODFOOD, « n’ayant reçu de ma part l’autorisation de m’envoyer des messages de promotion, j’aimerai ne plus recevoir de message de promo d’eux ».

Ainsi, en vertu des dispositions des articles 47, 68, 69 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, la CDP a requis auprès du gérant du Restaurant O’GOODFOOD, des explications sur l’origine de la collecte du numéro du requérant, sur la prospection commerciale non sollicitée en question, ainsi que sur le non-respect de la formalité de déclaration des données recueillies sur leur site internet.

En réponse à la demande d’explication qui lui a été envoyée par la CDP, la Direction du restaurant O’GOODFOOD a pris l’engagement de supprimer les coordonnées de Monsieur E.M.C de leur répertoire.

Par ailleurs, la CDP a exigé que lui soient notifiés les justificatifs attestant de la suppression du numéro du plaignant de la base de données, et que soit scrupuleusement respectée la Délibération n°2014-20/CDP du 30 mai 2014 portant sur les conditions de la prospection directe, publiée sur le site de la CDP à partir du lien ci-après : https://www.cdp.sn/autres-délibérations

L’instruction du  dossier est en cours.

CNMTV

Diffusion d’une vidéo d’un mineur victime d’abus

La CDP a reçu un signalement de T.N, mettant en cause la Chaine télévisée CNMTV, pour diffusion d’une vidéo de témoignage d’une mineure ayant été victime de viol.

Dès réception du signalement sur sa page Facebook, la CDP a appelé le Responsable de la chaine CNMTV pour lui demander la suppression immédiate de la vidéo, objet du signalement.

Par ailleurs, la CDP considère qu’en vertu de l’article 39 de la loi n°2017-27 du 13 juillet 2017 portant Code de la presse, les agents de programme doivent respecter la vie privée, l’ordre public et les bonnes mœurs, et contribuer à la protection des mineurs. A cet effet, la révélation de l’identité d’un mineur victime d’abus, par la publication de sa photo ou d’une vidéo le concernant, sur un site Internet ou une chaîne de télévision, peut avoir des conséquences néfastes sur la vie future du mineur.

Ainsi, en application de l’article 69 de la loi n°2008-12, la CDP a sommé la chaine CNMTV de supprimer la vidéo, et le dossier a été clôturé.  

PAGES TWITTER ET FACEBOOK « TROUVES OU PERDUS»

Publication sur les réseaux de documents perdus contenant des données personnelles

La CDP a reçu plusieurs signalements, et a constaté sur les pages Facebook et Twitter « Trouvés ou perdus», la collecte et la publication de documents perdus, contenant des données personnelles (cartes d’identité nationale etc.). 

En application des dispositions de l’article 20-4 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, la CDP a requis une demande d’explication à l’administrateur des pages Facebook et Twitter « Trouvés ou perdus ».

La demande d’explication étant restée sans réponse, la CDP a adressé une lettre de relance au site mis en cause. 

L’instruction du dossier est en cours.

 

 

 

III. MISE EN DEMEURE ET INJONCTION :

3.1 Mise en demeure de la société Groupe Fauzie LAYOUSSE

Le Collège des délégués a adressé à la Commission de protection des Données Personnelles (CDP), le 14 janvier 2021, une plainte contre leur employeur, le Groupe Fauzie LAYOUSSE (GFL). Les motifs invoqués, dans la lettre des salariés, portent sur l’installation d’un système de vidéosurveillance et d’un système de pointage biométrique, dans les locaux de l’entreprise. Selon les délégués, « les systèmes ne respecteraient pas les droits des travailleurs, et des caméras de vidéosurveillance sont installées dans des bureaux ».

A la suite de la réponse du GFL à la demande d’explication de la CDP, par décision n°2021-0024C-BIS du 24 juin 2021, la Session Plénière des Commissaires a demandé au Comité de Contrôle de procéder à une mission de vérification du système de vidéosurveillance du GFL, avant de se prononcer sur ce traitement.  

Ainsi, le 25 aout 2021, le Comité de Contrôle a effectué une mission auprès de l’établissement GFL. A cet effet, l’équipe en charge des contrôles a constaté les manquements suivants :

  • nombre disproportionné de caméras installées à l’intérieur des bureaux des salariés du bâtiment administratif annexe ;
  • présence de caméras à l’intérieur d’une salle d’hospitalisation, à l’intérieur des bureaux du médecin et de l’archiviste, et au niveau des réfectoires utilisés pour la pause-déjeuner ;
  • non-respect de la procédure de déclaration préalable pour les traitements relatifs à la vidéosurveillance, à la gestion du personnel et à la géolocalisation, entre autres ;
  • absence d’une durée de conservation des données ;
  • absence de procédures formalisées d’exercice des droits pour les personnes concernées.

Au regard de tous les manquements constatés, la Session Plénière, en application de l’article 29-1 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, et des articles 25, 26 et 59 du Règlement intérieur de la commission décide de :  

  • Mettre en demeure le Groupe Fauzie LAYOUSSE (GFL) de cesser les manquements constatés, dans un délai d’un (01) mois à compter de la réception de la décision de mise en demeure, notamment en mettant en œuvre les actions suivantes :

 

  • Désinstaller et déplacer à l’extérieur l’ensemble des caméras installées dans les bureaux du bâtiment administratif annexe, y compris le bureau de l’archiviste, le bureau du médecin, la salle d’hospitalisation et les réfectoires ;
  • Formaliser les modalités d’exercice des droits des personnes concernées ;
  • Mettre des affiches provisoires en attendant la délivrance du récépissé de déclaration du système de vidéosurveillance ;
  • Signer des engagements de confidentialité avec tous les sous-traitants ;
  • Procéder à la déclaration ou à la demande d’autorisation de tous les traitements mis en œuvre : biométrie, données de santé du personnel, fichier ou base de données des clients ;
  • Respecter strictement les exigences de la délibération n°2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation d’un système de vidéosurveillance dans les lieux de travail ;
  • Respecter strictement les exigences de la délibération de portée générale n°2020-0491 du 29 octobre 2020 relative aux traitements de données personnelles mis en œuvre dans le cadre de l’exploitation de système de géolocalisation de véhicule ;
  • Déposer une nouvelle déclaration du système de vidéosurveillance avec toutes les corrections apportées ;
  • Déposer une nouvelle déclaration concernant le système de géolocalisation avec toutes les corrections apportées.

 

  • Publier la mise en demeure au Journal Officiel ;
  • Saisir le Comité de Sanction, après procédure contradictoire, en cas de mise en demeure infructueuse, conformément à l’article 30-2 de la loi n°2008-12 précitée.

 

Par ailleurs, la Session Plénière a informé le Groupe Fauzie LAYOUSSE de son droit de recours auprès de la chambre administrative de la Cour suprême, dans un délai de deux (02) mois à compter de la réception de la présente décision.

 

 

3.2 Injonction de la CDP à la société MHI EQUIPMENT SERVICES AFRICA (MESA)

A la suite d’une plainte, le 21 janvier 2021, du Syndicat unique des Travailleurs de l’électricité – Sous-section MESA, du Central Electrique de Kounoune, la Commission de protection des Données Personnelles (CDP) a adressé une demande d’explication à la société MHI EQUIPMENT SERVICES AFRICA (MESA), relative à l’installation d’un système de vidéosurveillance, au sein de l’entreprise.  Par lettre du 19 mars 2021, la société MESA a apporté des éléments de réponse à la demande d’explication.

Par Décision n°2021-023C/CDP du 24 juin 2021, la Session Plénière des Commissaires de la CDP a demandé au Comité de Contrôle d’effectuer une mission de vérification du système de vidéosurveillance de la société MESA, avant de se prononcer sur ce traitement.

A cet effet, la mission de contrôle du 06 juillet 2021 a permis de constater les manquements suivants :

  • Nombre d’affiches insuffisant par rapport aux caméras installées ;
  • Surveillance permanente des salariés sur les sites suivants : cantine, salle de contrôle, atelier mécanique, atelier injection ;
  • Installation de caméras qui filment les entrées et sorties des vestiaires ;
  • Absence de séance de sensibilisation/ d’information en faveur des salariés, sur l’installation du nouveau système de vidéosurveillance, et sur les modalités d’exercice de leurs droits ;
  • Traitement des données de santé des salariés et registre de pointage des horaires non déclarés auprès de la CDP.

 

Ainsi, à la suite de ces manquements constatés et au regard de la jurisprudence de la CDP, la Session Plénière des Commissaires de la CDP, réunie le 04 novembre 2021, a demandé à la Direction générale de MESA de mettre en œuvre les actions suivantes, dans un délai de sept (07) jours, à compter de la réception de la décision :

  • déplacer à l’extérieur la caméra installée au niveau de la cantine ou la configurer, de sorte qu’elle ne filme pas pendant les heures de pause des salariés ;
  • positionner à l’entrée la caméra installée à l’intérieur de la salle de contrôle ;
  • repositionner les deux (02) caméras installées au niveau des entrées/ sorties des vestiaires ; 
  • repositionner les caméras de l’atelier injection et de l’atelier mécanique, de sorte qu’elles ne filment pas les salariés de manière permanente ;
  • formaliser, via des procédures internes, les modalités d’exercice des droits des personnes concernes ;
  • augmenter le nombre d’affiches ;
  • procéder à la régularisation de tous les traitements mis en œuvre par la société, en particulier les données de santé des salariés et le registre de pointage des horaires ;
  • déposer une nouvelle déclaration relative au système de vidéosurveillance, avec toutes les corrections apportées. 

 

IV- LES MISSIONS DE CONTROLE SUR SITE

En application de l’article 25 de la loi n° 2008-12 du 25 janvier 2008, et de la décision de la Session Plénière du 24 juin 2021, la Commission de Protection des Données Personnelles (CDP) a décidé d’effectuer une série de missions de contrôle, portant sur les déclarations simplifiées.

 

En effet, la Commission de protection des données personnelles a mis en place des ‘’Normes simplifiées’’, permettant aux responsables de traitement de s’acquitter de leurs démarches de mise en conformité, sans passer par le processus lourd des déclarations « classiques », et ce, dans le but de faciliter les procédures de déclarations légales.

L’objectif de ces missions de contrôle est de vérifier que les traitements de données à caractère personnel, effectués sur la base de déclarations simplifiées, respectent tout autant que les autres types de déclarations, les dispositions de la loi n°2008-12. 

 

Au cours de ce quatrième et dernier trimestre 2021, la CDP a ainsi effectué six (06) missions de contrôle sur site, dont quatre (04) déclarations simplifiées et deux (02) missions classiques, sur décision de la Session Plénière, auprès des structures ci-après :

 

Décision

Date de la mission

Structures contrôlées

Traitements concernés

N°2021-0029C du 24 juin 2021

07 octobre 2021

PHILIP MORRIS MANUFACTURING SENEGAL

 

  • Registre des entrées et sorties
  • Système de contrôle d’accès et de pointage par badge
  • Gestion des fournisseurs et prestataires

N°2021-0030C du 24 juin 2021

07 octobre 2021

PAN AFRICA ENTREPREUNEUR SERVICES SARL (PAES)

  • Registre des entrées et sorties
  • Système de contrôle d’accès et de pointage par badge
  • Gestion des fournisseurs et prestataires

N°2021-0031C du 24 juin 2021

02 Novembre 2021

BANQUE ATLANTIQUE SENEGAL

 

Traitements simplifiés relatifs au registre des entrées et sorties

N°2021-0032C du 24 juin 2021

02 Novembre 2021

SESAM INFORMATICS

 

Traitements simplifiés relatifs au registre des entrées et sorties

N°2021-0033C/CDP du

11 novembre 2021

SPHEREX SA

Système de vidéosurveillance

N°2021-0034C/CDP du

16 novembre 2021

DAKAROISE DES JEUX

Système de vidéosurveillance

 

Les missions de contrôle concernant PHILIP MORRIS MANUFACTURING SENEGAL, PAN AFRICA ENTREPREUNEUR SERVICES SARL, BANQUE ATLANTIQUE SENEGAL et SESAM INFORMATICS font l’objet d’un programme annuel, permettant de vérifier la conformité des déclarations simplifiées.

Les missions de contrôle concernant SPHEREX SA (Sphères Ministérielles Diamniadio) et DAKAROISE DES JEUX ont été mandatées par la Session Plénière du 02 septembre 2021.  Pour rappel, La société SPHEREX SA a transmis à la CDP, le 30 juillet 2021, une déclaration de système de vidéosurveillance, comportant 96 caméras installées au niveau des Sphères ministérielles de Diamniadio, constituées de quatre immeubles R+8 et dotées d’un sous-sol. Par ailleurs, la société SPHEREX SA a été mandatée par l’Agence de Gestion du Patrimoine Bâti de l’Etat (AGPBE) avec qui SPHEREX SA a signé un contrat. A cet effet, AGPBE a mis à la disposition de SPHEREX SA un règlement intérieur, qui impose des règles liées à la gestion de la vidéosurveillance.

Concernant L’établissement DAKAROISE DES JEUX, le 01 avril 2021, une déclaration de système de vidéosurveillance comportant 64 caméras, installées au Casino et dans les salles de jeux, a été déposée à la CDP.

Ainsi, par décision du 02 septembre 2021, la Session Plénière de la CDP a demandé au Comité de Contrôle de procéder à des missions vérification auprès des sociétés précitées. 

Au cours de ces missions, des manquements ont été relevés, qui feront l’objet d’échanges et de discussions lors de la prochaine Session Plénière, pour avis et décision.

 

  • COMMUNICATION ET SENSIBILISATION

Au cours de ce dernier trimestre de l’année 2021, la CDP a mis en œuvre des activités de vulgarisation et de promotion de la protection des données personnelles. Elle a pris part à des rencontres en ligne (webinaires) ou en présentiel. Des occasions saisies pour sensibiliser et vulgariser la loi sur la protection des données à caractère personnel.

5.1-Visites

  1. Visite Délégation Meta Afrique francophone

Une délégation du Bureau Méta Afrique francophone, composée de Mme Balkissa Idé Siddo et de Mme Olivia Tchamba, a été reçue par la Présidente de la CDP. Le groupe Meta, propriétaire des plateformes Facebook, Instagram et WhatsApp, a noué, depuis quelques années, un partenariat fructueux avec l’Institution qui le sollicite régulièrement, dans le cadre du traitement des contentieux et des plaintes, liés aux données personnelles des sénégalais, mis à mal sur les réseaux sociaux.    

Une occasion saisie, pour se féliciter de la coopération entre les deux Institutions, mais aussi pour discuter des outils et des mécanismes de modération des contenus sur Facebook, ainsi que des approches les plus pertinentes pour lutter contre les fake news.

 La Présidente de la Commission n’a pas manqué de revenir sur la campagne « Education au numérique », qui a permis à la CDP de sensibiliser, entre 2017 et 2020, plus de 10.000 élèves dans une dizaine de lycées et collèges.

Le programme « Ma vie en ligne », consacré aux élèves du Sénégal âgés de 13 à 18 ans, et également initié par la CDP, en partenariat avec Facebook, le cabinet BsCorp, et le Ministère de l’Education Nationale dont il faut saluer l’implication forte et l’apport décisif à la réussite du programme, est un aspect majeur de cette coopération réussie.

Les deux structures ont convenu de consolider ce partenariat efficace et efficient, dans des projets futurs d’intérêt commun.

  1. Ministère de l’Economie numérique et des Télécommunications

Une délégation de la CDP, conduite par le Secrétaire Permanent, a été reçue, le Mercredi 15 décembre 2021, par le Secrétaire Général du Ministère de l’Economie numérique et des Télécommunications, pour des échanges et discussions sur l’avant-projet de loi sur la protection des données personnelles. De la première rencontre, les 03 au 05 Mai 2018, au séminaire de validation tenu du 04 au 06 décembre 2019, le Secrétaire Permanent de la CDP a fait la genèse de ce projet de loi novateur, qui permettra de donner une nouvelle dimension à la Commission, et une plus grande pertinence à ses missions. En effet, les deux délégations sont revenues sur l’importance de la mise à niveau de la loi de 2008, qui doit apporter des réponses précises, face aux défis technologiques, mais aussi sociétaux.  La relecture de la loi de 2008 a ainsi permis de renforcer certains droits, d’intégrer de nouveaux droits, d’établir de véritables contre-pouvoirs, et de redonner du pouvoir d’agir aux citoyens, afin qu’ils soient en capacité de conserver la maîtrise de leurs données personnelles.

5.2- Rencontres et ateliers

  1. Webinaire sur la Digitalisation et la Protection des données personnelles

La CDP, par le biais de son Directeur des Affaires juridiques, de la Conformité et du Contentieux (DAJC), a participé, le 23 novembre 2021, au webinaire sur la Digitalisation et la Protection des données personnelles, organisé par la Société Générale Sénégal et GAINDE 2000. Plusieurs PME, qui sont accompagnées par la Société Générale, ont participé à la rencontre. Une occasion d’évoquer le cadre juridique des PME dans un contexte de transformation digitale, mais aussi d’identifier les opportunités apportées par cette révolution, et les défis à relever pour poursuivre la transition numérique au sein des PME sénégalaises, dans le strict respect de la loi sur les données personnelles.

  1. Atelier régional CORED- Meta Afrique francophone sur la régulation de la presse en ligne et des réseaux sociaux

Le Groupe Meta Afrique francophone a organisé, du 18 au 19 novembre 2021, en collaboration avec le Conseil pour l’Observation des Règles d’Ethique et de Déontologie dans les médias (CORED), un atelier régional en ligne sur le thème de la régulation  des médias et des réseaux sociaux. Durant deux jours, des professionnels des médias et des acteurs de la régulation venant du Sénégal, de la Mauritanie, du Mali, de la Guinée Conakry, de la Cote Ivoire, du Bénin, du Niger et du Burkina Faso, ont discuté et échangé sur des expériences et bonnes pratiques en matière d’autorégulation des médias en ligne.

La CDP, tout comme le CNRA en tant qu’acteurs de régulation, a pris part aux débats et réflexions qui ont porté sur l’autorégulation sur les réseaux sociaux, avec des études de cas pratiques et faits réels qui ont impliqué des journalistes. Cette rencontre a abouti à une meilleure compréhension des missions des organes de régulation, mais a également permis d’établir des partenariats entre les organes d’autorégulation et les professionnels des médias.

  1. Atelier sur les sur les enjeux de la transformation numérique de l’administration du Sénégal

La CDP, représentée par sa Directrice de la Technologie, de l’Innovation et du Contrôle, a assisté, du 22 au 25 Novembre 2021, à une formation du cabinet Ernest and Young sur les enjeux de la transformation numérique de l’administration sénégalaise. Cette formation, organisée par le Ministère de l’Économie Numérique et des Télécommunications et le Programme des Nations Unies pour le Développement, a été l’occasion, pour l’ensemble des représentants IT du secteur public, de comprendre l’importance de la digitalisation dans les processus métiers de notre administration. 

 

  1. Assises de la Transformation digitale en Afrique au Maroc 

La Présidente de la CDP, accompagnée du Directeur de la Communication et des Relations Publiques, a participé à la 10ème édition des Assises de la transformation digitale en Afrique (ATDA), tenue à l’Université Mohammed VI Polytechnique (UM6P) de Benguerir, au Maroc, les 25 et 26 novembre 2021. Quelques 400 décideurs s’y sont donné rendez-vous, pour célébrer une décennie de transition numérique. Ce rendez-vous annuel autour de la transition numérique se tenait pour la première fois en Afrique, sur le thème « Déployer une infrastructure résiliente, souveraine et durable pour encourager l’innovation africaine ».

En marge des Assises de la Transformation digitale en Afrique (ATDA), la Présidente de la CDP a participé à plusieurs séances de travail importantes, tenues avec ses collègues du Maroc et du Ghana, respectivement Secrétaire Permanent et Présidente du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP).

  1. Forum sur l’information et la démocratie organisé par le SYNPICS et Réseau Sans Frontières

Le 13 décembre, le Directeur de la communication et des Relations publiques de la CDP a pris part au webinaire organisé par Réseau Sans Frontières, en partenariat avec le Synpics, sur l’information et la démocratie. Une réunion qui entre dans le cadre de la préparation du Forum prévu l’année prochaine.

  1. Education au numérique

Chatbot de la CDP

Le 3 novembre 2021, la Direction de la communication a participé à une réunion avec l’équipe de Meta-Afrique, autour du projet de lancement du chatbot WhatsApp, que la CDP se propose de mettre en place, pour une meilleure prise en charge des interpellations et signalements des citoyens. Les populations pourront ainsi saisir la CDP sur le chatbot, qui sera disponible H24 sur notre application, sur le site et sur Facebook, Instagram et WhatsApp.

Réunion sur le lancement du module pédagogique sur la protection des élèves en ligne

Une réunion en ligne s’est tenue le 16 décembre 2021, en vue des derniers réglages de la cérémonie de lancement du kit pédagogique #MaVieEnLigne#, destiné aux élèves. La CDP, le Ministère de l’Education nationale, le cabinet Bscorp et l’équipe de Méta ont précisé et validé les modalités, comme les tâches de chacun des acteurs, pour la circonstance.

  1. Journée de sensibilisation #MaVieEnLigne à la FIDAK

La CDP a pris une part active à la journée du Ministère de l’Education nationale, consacrée à la sensibilisation des élèves et de leurs parents sur l’utilisation responsable d’internet. La cérémonie était organisée par le SIMEN, bras technique du Ministère et partenaire privilégié de la CDP dans le Projet #MaVieEnLigne#. Ainsi, le Directeur de la Communication, le Community manager, le Chef de la Division du Contentieux et la juriste rattachée à la Division du Contentieux, ont participé au panel de discussion avec les jeunes.

5.3- Interpellations sur les réseaux sociaux   

Les pages de réseaux sociaux de la CDP ont été sollicités par les internautes pour relever différents manquements quant à l’usage de leurs données personnelles.

 Les plateformes digitales de la CDP ont répertorié (05) cinq demandes d’aide, pour des cas de sextorsion (chantages et menaces de diffusion d’images et vidéos intimes). Les victimes ont toutes été invitées à saisir de manière formelle la CDP sur son e-mail institutionnel, ou à faire le déplacement dans notre siège, pour être accompagnées par l’équipe chargée des contentieux. Les équipes de la CDP ont aussi orienté certains internautes, selon l’urgence, vers la Division Spécialiste de la Cybercriminalité (DSC) pour enquête.

Un signalement, concernant des copies d’examens de la Faculté des Lettres et Sciences Humaines de l’Université Cheikh Anta Diop de Dakar (UCAD), nous est également parvenu. Elles ont été trouvées sur la place publique, entre les mains d’un marchand de la rue, alors qu'elles contenaient des données personnelles d’une étudiante (prénom, nom, date, lieu de naissance et numéro de carte d’étudiant). Ce signalement a été envoyé à la Direction des Affaires Juridiques et de la Conformité, pour une exploitation diligente.

Par ailleurs, la CDP a reçu une suggestion d’un internaute sur Twitter, recommandant de mettre en place une plateforme de gestion des plaintes et signalements, qui permettrait une remontée automatique, avec une proposition de liste des infractions les plus courantes. Elle pourrait prévoir une saisine anonyme par les internautes, avec une possibilité d’envoyer les fichiers servant de preuves sur cette plateforme qui serait mise à la disposition des usagers par la CDP. Cette proposition pertinente a été soumise au Secrétaire Permanent, et aux Directions techniques de la Commission, afin d’étudier sa faisabilité, dans les meilleurs délais.

Nos plateformes ont, par ailleurs, reçu deux demandes d’informations. La 1ère question est afférente à l’obligation pour les entreprises d’afficher une bannière de cookies sur leur site internet, l’autre s’intéresse aux « règles à respecter pour ne pas violer la loi sur la protection des données personnelles, lorsqu’on met en place  un formulaire » (candidature ou demande).

Pour la première question, il faut préciser que la CDP exige des sites web qui utilisent les cookies à mettre en place un pop-up, pour informer les internautes et leur donner la possibilité de refuser ou d'accepter. Une délibération de portée générale fixant cette exigence sera publiée sous peu. La CDP invite aussi à saisir l’Institution par courrier officiel, afin de signaler tout site qui refuserait de mettre en place ce pop-up.

Concernant la seconde question, la CDP confirme que si le formulaire est disponible sur un site internet, il faut déclarer la collecte de données en renseignant le document modèle de déclaration de collecte de données sur un site internet. Le formulaire est disponible sur notre site institutionnel www.cdp.sn.

Les actions de sensibilisation et d’informations se sont poursuivies tout au long de ce dernier trimestre, avec la publication de capsules illustratives, sur nos plateformes digitales Twitter, Facebook, LinkedIn, et sur notre site institutionnel. Cette méthode de communication a été mise en place, afin de permettre aux usagers et partenaires de s’approprier de l’essentiel des messages de la CDP. Ces capsules sont également un soutien important pour la vulgarisation de la loi portant protection des données personnelles au Sénégal.

Ainsi, du 1er octobre au 15 décembre 2021, 4283 personnes ont au moins consulté un contenu sur notre page Facebook, qui compte actuellement 3 000 mentions « J’aime ». Sur Twitter, nous comptons actuellement 1788 abonnés. Nos tweets ont été impressionnés 77 493 fois sur la plateforme digitale, et 4627 visiteurs ont été enregistrés sur la page. Sur LinkedIn, la nouvelle page continue son développement et compte 417 abonnés.

 

5.4- Interpellations dans les médias

La CDP a également répondu aux diverses sollicitations des médias, dans le but de mieux faire comprendre la loi, à travers des émissions interactives. Parmi les interventions, il y a lieu de citer celle du Chef de la Division du Contentieux, qui a répondu aux questions portant sur la collecte illicite de données à caractère personnel, et sur la diffusion d’images sans le consentement de la personne concernée, lors d’une émission sur I-radio. Il a aussi informé l’auditoire sur les peines encourues par les auteurs de vidéos portant atteinte à l’image et à l’intégrité des citoyens.

Le Chef de la Division en charge du Contentieux a également participé à une émission télévisée sur la RTS1, portant sur le thème des dérives médiatiques notées sur les réseaux sociaux. Aux côtés d’acteurs de la presse, tels le SYNPICS et l’APPEL, il a dressé une typologie des plaintes reçues par la Commission, en rapport avec les réseaux sociaux, mais également avec les médias en ligne. Il n’a pas manqué de faire état de l’importante et fructueuse collaboration entretenue, au quotidien, avec les Tribunaux et la Division Spéciale de la Cybersécurité de la Police. 

Le Chef de Division du Contentieux de la CDP a, également lors d’un entretien avec une journaliste du quotidien national, Le Soleil, abordé les enjeux de la protection des données personnelles, ainsi que les missions de la Commission. 

 

  • COOPERATION ET PARTENARIAT

 

6-1 - AU NIVEAU NATIONAL

Signature de la Convention : Plan International Sénégal et CDP

Le Docteur Bell'Aube HOUINATO, Directeur Général de Plan International Sénégal et la Présidente de la CDP ont procédé, le mardi 21 décembre 2021, à la signature d'une Convention liant les deux Institutions, en faveur de la sécurité et de l'épanouissement des jeunes filles, au sein de l'environnement numérique.

 

Cette Convention est le fruit d'une collaboration importante, mise en œuvre depuis 2019, par les deux Institutions, afin de soutenir et d'encadrer la responsabilisation et l'autonomisation des jeunes filles, dans le cadre de l'initiative "Girls out Loud" (GOL), créée par Plan International Sénégal.

 

Girls out Loud se veut, en effet, un espace où les jeunes filles échangent, et trouvent, ensemble, des solutions aux problématiques qui affectent leur vie quotidienne, leur santé, leur cursus académique. Ainsi, l'infanticide, l'autonomisation financière, la sécurité de leur vie privée sur Internet, les violences basées sur le genre, entre autres, sont autant de défis qui les interpellent,  et d'actions prioritaires que les deux Parties se sont engagées à mener, en faveur de la sensibilisation de cette cible particulièrement vulnérable.   

62- AU NIVEAU AFRICAIN

  1. Groupe de travail sur la protection des données personnelles de l’Alliance SMART AFRICA
    1. Séries de réunion du sous-groupe thématique 5 sur la Gouvernance des Autorités de protection (du 12 octobre au 17 novembre 2021) :

La CDP a présidé, en relation avec le Secrétariat de SMART Africa, trois réunions du sous-groupe 5 sur les régimes de Gouvernance des Autorités de protection des données personnelles en Afrique.

Ces réunions se sont tenues le 12 octobre (première série), le 26 octobre (deuxième série) et le 17 novembre 2021 (troisième et dernière série). L’objectif de ces trois séries de réunion était, pour les membres du sous-groupe 5 :

  • de discuter des résultats de la cartographie, qui concernent les Autorités de protection des données personnelles ;
  • d’échanger sur le modèle de Gouvernance des Autorités de protection ;
  • d’identifier les avantages et les inconvénients de mettre en place des Autorités indépendantes ou des Autorités rattachées à des Ministères ;
  • d’arrêter des recommandations consensuelles à intégrer dans le document-cadre, destiné aux Etats membres de SMART Africa.

 

 

 

  1. Constats sur les modèles d’Autorités de protection des données (APD)

Les membres du groupe 5 ont relevé des avantages et des inconvénients à la mise en place d’Autorités de protection indépendantes ou rattachées à un Ministère. Pour la majorité, le constat est que le rattachement de l’APD à un Ministère n’est pas le modèle le plus pertinent, au regard de leur mandat.

 

Ainsi, les remarques suivantes ont été faites :

  • Le rattachement à un ministère peut remettre en cause les décisions des APD ;
  • Le rattachement de l’APD à un ministère, ou à un autre organisme (exemple du modèle ivoirien), ne lui permet pas d'être efficace et risque de remettre au second plan les activités de l’Autorité, du fait de la surcharge de travail de la structure de rattachement ;
  • Le rattachement d’une APD à un Ministère peut cependant avoir un avantage relatif à la disponibilité budgétaire.

 

 A l’issue de ce constat, les membres du Groupe de travail ont émis des recommandations, pour un modèle d’Autorités de protection fortes et indépendantes en Afrique. Ils ont notamment :

  • appelé les États à mettre à jour les législations sur la protection des données personnelles, en prenant en compte des autorités indépendantes de protection des données,
  • invité les Etats à finaliser l'élaboration des lois en cours dans certains pays,
  • demandé à revoir le mode de nomination des Commissaires à la protection des données personnelles,
  • invité à mettre en place des associations sous-régionales d'autorités de protection des données, à l’image des associations sous-régionales de régulateurs des télécommunications,
  • appelé à mettre en place un système de notation sur la transparence des Autorités de Protection des Données,
  • demandé à renforcer les capacités, les ressources humaines et financières des Autorités de protection des données,
  • invité à sensibiliser les Gouvernements sur l'importance d'accorder davantage de crédit aux APD, en raison de leurs missions importantes.

 

  1. Recommandations consensuelles du sous-groupe 5

En vue d’enrichir le document-cadre pour l’harmonisation des cadres juridiques africains sur la protection des données personnelles, destiné aux Etats membres de SMART Africa, chaque sous-groupe doit proposer des recommandations consensuelles.                               Sur le volet de la Gouvernance des Autorités africaines de protection des données personnelles, le groupe 5 a proposé les principales recommandations suivantes :

  1. Mettre en place dans chaque pays une Autorité indépendante de protection des données ;
  2. Actualiser les législations sur la protection des données personnelles ;
  3. Finaliser la rédaction des lois en cours dans certains pays ;
  4. Renforcer les capacités, les ressources humaines et financières des Autorités de Protection des Données ;
  5. Revoir le mode de nomination des Commissaires à la protection des données personnelles, afin de garantir l’indépendance des APD ;
  6. Encourager la coopération entre les Etats membres et les APD de SMART Africa en matière de protection des données personnelles.

 

 

  1. Réunion de restitution des livrables du Groupe de travail de Smart Africa sur la protection des données personnelles (15 décembre 2021)

Le 15 décembre 2021, le Groupe de travail de l’Alliance Smart Africa sur la protection des données personnelles s’est réuni en visioconférence, sous la présidence de Madame Awa NDIAYE, Présidente de la CDP.

Cette réunion était le moment de présenter les livrables sur lesquels le Groupe a travaillé depuis plusieurs mois, avec l’appui du Cabinet Sense Strategy, recruté par Smart Africa.

A cet effet, les trois documents suivants ont été présentés :

  • Le rapport sur les défis d’harmonisation des cadres juridiques sur la protection des données en Afrique ;
  • Les lignes directrices sur la protection des données personnelles pour les Etats membres de Smart Africa ;
  • Les recommandations sur les mécanismes d’harmonisation des cadres juridiques africains sur la protection des données.

 

  • Le rapport sur les défis de l'harmonisation revient sur la cartographie des législations existantes et explore les points communs et les divergences, à la fois entre les pays de l’Alliance Smart Africa, et entre les différents cadres juridiques, à travers le Continent.

Il décrit, en outre, la multitude de défis qui influencent l'état actuel des législations sur la protection des données et leur application, y compris les défis fondamentaux, politiques et législatifs, et opérationnels.

  • Le document sur les lignes directrices pour la protection des données personnelles propose des orientations, tirées d’exemples de textes internationaux, pour faire face aux défis d’harmonisation des législations existantes.

Ainsi, sur les principes de protection des données, passant par les règles de traitement et de stockage des données, jusqu’aux flux transfrontières de données, les lignes directrices donnent des solutions, pour harmoniser les législations africaines.

  • Concernant les recommandations sur les mécanismes d’harmonisation, le document compile un ensemble d’orientations à l’attention :
  • des Gouvernements et des responsables politiques ;
  • des Autorités de protection des données ;
  • des responsables de traitement et des sous-traitants ;
  • des personnes concernées (citoyens).

A la suite de cette séance de restitution, il est prévu un atelier de validation des documents, avant la fin du mois de janvier 2022. Ces documents validés seront d’abord présentés aux Ministres en charge des TIC, et ensuite aux Chefs d’États de l’Alliance SMART Africa. 

Conclusion

Le dernier trimestre de l’année 2021 est marqué par une hausse notable du nombre d’autorisations et de récépissés, délivrés par la CDP. La courbe des plaintes et signalements est restée stable, et la divulgation illicite de données personnelles demeure le motif majeur des plaintes traitées.

Comparativement aux trimestres précédents, le nombre de demandes d’avis a connu une légère baisse, durant ce dernier trimestre.

Sur le plan de la coopération, le temps fort est la restitution des livrables du Groupe de travail de l’Alliance SMART Africa sur la protection des données personnelles, que préside la CDP.

Lundi, janvier 3, 2022 - 13:30

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles