COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.
Introduction :
La Commission de protection des Données Personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie son quatrième avis trimestriel de l’année 2022, qui couvre les activités des mois d’octobre, de novembre et de décembre 2022.
Au cours de ce quatrième trimestre de l’année 2022, et conformément à son programme annuel d’activités, la CDP a examiné plusieurs dossiers de demandes d’autorisation et de déclarations de traitements de données à caractère personnel.
La CDP a reçu des plaintes et signalements de citoyens et effectué des missions de contrôles sur sites.
Par ailleurs, la CDP a élaboré et publié sur son site internet (www.cdp.sn) deux documents importants, notamment un Référentiel afférent aux missions de contrôle et une délibération de portée générale relative à la prospection politique.
I- BILAN DES ACTIVITES DE MISE EN CONFORMITE
Au cours de ce quatrième trimestre 2022, la CDP a accueilli dix (10) structures venues s’imprégner de la législation sur les données à caractère personnel.
La Commission a traité quatre-vingt-six (86) dossiers dont soixante-cinq (65) déclarations et vingt-et-un (21) demandes d’autorisation.
A l’issue des deux (02) sessions plénières tenues à la CDP, soixante-quatre (64) récépissés de déclaration et vingt (20) autorisations ont été délivrés.
La Commission a également décidé de lever la mise en demeure prononcée contre la SONATEL, et évoquée lors du précédent avis trimestriel. En effet, la SONATEL a corrigé les manquements objets de la mise en demeure, notamment la mise en place d’un dispositif d’opposition dès le début de l’appel avec le numéro court 221200216 et la déclaration du traitement relatif au service « Hello star ».
Par ailleurs, la CDP a décidé de sursoir, pour compléments de dossiers, à l’examen d’une (01) déclaration de traitement de données personnelles du GIE Gaïndé 2000 et d’une (01) demande d’autorisation de traitement de données personnelles de la société Betclic SASU.
En outre, la CDP a appelé à déclaration dix-sept (17) structures, pour la mise en conformité de leurs traitements de données à caractère personnel.
Les tableaux ci-après détaillent le bilan des activités du quatrième trimestre, relatives à la mise en conformité des traitements avec la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.
1. Décisions rendues par la Session Plénière de la CDP :
La Session plénière des Commissaires de la CDP s’est réunie deux fois, en vue de statuer sur les demandes d’autorisation et les déclarations de traitements de données à caractère personnel.
Au regard des autorisations accordées et des récépissés délivrés, les traitements les plus récurrents portent sur les systèmes de vidéosurveillance en entreprise et dans les domiciles des particuliers, sur la collecte de données sur site internet, et sur les systèmes de contrôles d’accès par biométrie dans les lieux de travail.
1.1 Autorisations accordées :
Finalités des traitements
|
Nombre |
Structures |
Système de vidéosurveillance avec transfert de données vers un pays tiers (Caméras embarquées dans les cabines des véhicules de transport d’hydrocarbures) |
01 |
Total Energies Marketing Sénégal |
Customer Relationship Management (CRM) |
01
|
SETER |
Gestion Electronique de Documents (GED) |
01 |
SETER
|
Collecte de données sur site internet |
04 |
|
Système de géolocalisation
|
02 |
|
Système de contrôle d’accès et de pointage biométrique |
03 |
|
Enregistrement des appels téléphoniques
|
01 |
Medical RH SUARL |
Programme de fidélité |
01 |
Vivo Energy |
ETHICS POINT |
01 |
CITI Sénégal SA
|
Etude de marché sur les nouveaux implants biodégradables contraceptifs (BDI) auprès des prestataires et des utilisateurs potentiels au Sénégal |
01 |
Thinkplace Sénégal SASU |
Logiciel métier spécifique IPM |
01 |
IPM Groupe Grands Domaines du Sénégal SA |
Base de données clients |
01 |
Clientis Group |
Application mobile (Incust) |
01 |
Natangue Entreprise Sociale |
Plateforme Marketing cible |
01 |
MTarget |
1.2 Récépissés délivrés :
Finalités
|
Nombre |
Structures |
Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes |
05
|
|
Vidéosurveillance chez des particuliers
|
08 |
|
Base de données des clients |
02 |
|
Base de données des partenaires |
01 |
Dakar Institute of Technology |
Système de contrôle d’accès et de pointage par badge |
11 |
|
Gestion du personnel |
09 |
|
Registre des entrées et sorties |
11 |
|
Gestion des fournisseurs et prestataires |
02 |
|
Base de données des vidéos d’anomalies du système anti-fatigue et distraction reçues de Total Energies Marketing Sénégal |
10 |
|
Base de données des diplômés |
01 |
|
DIEULSIMA (application de ramassage) |
01 |
SETER |
Hello Star (automate d’appel) |
01 |
SONATEL
|
Base de données des demandeurs d’autorisation pour l’organisation des jeux au Sénégal |
01 |
LONASE |
2. Structures appelées à la déclaration de leurs traitements de données personnelles
La CDP a invité dix-sept (17) structures à déclarer leurs traitements de données à caractère personnel, notamment des sociétés de transport et de commercialisation d’hydrocarbures.
Le tableau ci-après présente les structures concernées par les appels à déclaration :
Responsables de traitement/ Sous-traitants |
Traitements |
|
Images et vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Images vidéos des caméras embarquées dans les véhicules de transport d’hydrocarbures |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
|
Fichiers, bases de données personnelles et systèmes de traitements de données personnelles |
3. Délibération de portée générale :
La Session plénière de la CDP a adopté, lors de sa séance du 22 décembre 2022, la Délibération de portée générale n° 00627/CDP du 22 décembre 2022 relative aux traitements de données personnelles mis en œuvre à des fins de prospection politique.
La délibération a pour objet de fixer les règles à respecter lors des traitements de données à caractère personnel à des fins de prospection politique.
La prospection politique renvoie à toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support, destinée à promouvoir l’image, les activités et programmes politiques, d’un candidat indépendant, d’un parti politique, d’une coalition de partis, de tout organisme, association ou mouvement politique, ou à recueillir le soutien électoral.
Ainsi, la délibération s’adresse aux partis politiques, coalitions de partis, aux candidats individuels, et à tout organisme, association ou mouvement politique. La délibération est disponible sur le site internet de la CDP : www.cdp.sn.
II. BILAN DES PLAINTES ET SIGNALEMENTS TRAITES
Sur le volet du contentieux, la CDP a traité quatre (04) plaintes et trois (03) signalements. Durant ce trimestre, les plaintes et signalements traités ont particulièrement porté sur la collecte illicite de données personnelles et sur l’installation de systèmes de vidéosurveillance non déclarés à la CDP.
Concernant la mise en demeure à l’endroit de la SETER, évoquée lors du dernier avis trimestriel, cette dernière a effectué les formalités préalables pour le système de géolocalisation qui était l’objet de la plainte. Le dossier est en cours d’instruction auprès des services de la CDP.
Les tableaux ci-après reviennent en détail sur les plaintes et signalements traités au cours de ce trimestre, et les suites données :
1. Plaintes traitées :
N° |
PLAIGNANT |
MIS EN CAUSE |
MOTIFS |
OBSERVATIONS |
01 |
G.B |
X |
Menaces de divulgation de données personnelles |
La CDP a reçu une plainte de Monsieur G.B contre X relative aux menaces de divulgation de ses données personnelles. Selon les déclarations du plaignant, « (…) un groupe d’individus de nationalité ivoirienne m’a piégé à travers un appel vidéo. Ils détiennent la vidéo, ils ont aussi piraté mon compte Facebook. Ils ont menacé de la publier en m’envoyant les photos de la liste de mes amis sur Facebook. A travers le transfert Wave, j’ai identifié l’un d’eux répondant au nom de Guy Rodrigue (…)». Au regard de l’article 16 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et de la loi n°2016-29 du 08 novembre 2016 modifiant la loi n°65-60 portant Code pénal, la CDP a transmis la plainte au procureur de la République et à la Division Spéciale de la Cybersécurité (DSC) de la police pour suites à donner.
La CDP suit le dossier auprès desdits services.
|
02 |
O.D |
X |
Collecte illicite et menace de divulgation de données personnelles |
La CDP a reçu une plainte de Madame O.D contre X, pour collecte illicite et menace de divulgation de données personnelles. Selon O.D : « La nuit du 27 au 28 octobre, le téléphone de mon mari a été arraché par deux individus en scooter aux Maristes. L’individu m’a envoyé mes propres photos intimes du téléphone volé du 771158783 au 0041795709970 (WhatsApp) en me menaçant de donner l’email, code iCloud pour nettoyer le téléphone…». En application de l’article 363 bis de la loi n°65-60 du 21 Juillet 1965 modifiant le Code pénal, et des articles 431-19, 431-59 et 431-27 de la loi n°2016-29 modifiant la loi n°65-60 précitée, la CDP a transmis la plainte au procureur de la République ainsi qu’à la Division Spéciale de la Cybersécurité (DSC) pour enquêtes et suites à donner.
La CDP suit le dossier auprès du procureur de la République et de la DSC. |
03 |
S.A |
Média « Actu 221 » |
Collecte et utilisation illicites de données personnelles |
Monsieur S.A a saisi la CDP d’une plainte contre le média « Actu 221 », pour collecte et utilisation illicites de sa photo. Selon les déclarations du plaignant, sa photo aurait été collectée illicitement sur sa page Facebook et publiée sur le site Actu221. En application de l’article 69 de la loi n°2008-12 du 25 Janvier 2008 portant protection des données à caractère personnel, et des articles 17 et 18 de la loi n°2017-27 du 13 Juillet 2017 portant Code de la Presse, la CDP a transmis le dossier au Conseil pour l’Observation des Règles d’Ethique et de Déontologie dans les médias (CORED), pour suites à donner.
La CDP suit le dossier auprès du CORED.
|
04 |
A.S.D
|
A.M.D |
Installation de système de vidéosurveillance sans formalités préalables |
La CDP a reçu une plainte de Monsieur A.S.D contre A.M.D pour installation de vidéo surveillance sans formalités préalables, dans le domicile familial. La CDP a ainsi invité Monsieur A.M.D à venir déclarer le système de vidéosurveillance.
Le dossier suit son cours.
|
2. Signalements traités
N° |
AUTEUR DU SIGNALEMENT |
MIS EN CAUSE |
MOTIFS |
OBSERVATIONS |
01 |
X |
Société MS GLOBAL INVEST |
Installation de système de vidéosurveillance sans formalité déclarative |
La CDP a reçu un signalement relatif à l’installation d’un système de vidéosurveillance au sein des locaux de la société MS Global invest. Il ressort du signalement transmis à la CDP que la société MS Global invest a installé des caméras de surveillance dans ses locaux, sans informer préalablement les salariés. En vertu de la procédure contradictoire, la CDP a requis des explications auprès du directeur général de MS Global invest, sur l’installation d’un dispositif de vidéosurveillance. Après les explications fournies par le directeur général, la CDP a transmis le dossier à la Session plénière, pour décision. Le dossier suit son cours. |
02 |
N.S |
Maison d’hôte « Résidence Cheikh FALL » |
Installation d’un système de vidéosurveillance sans formalité déclarative |
Monsieur N.S s’est rapproché de la CDP pour signaler un système de vidéosurveillance installé par son voisin C.F, propriétaire de la maison d’hôte « Résidence Cheikh FALL ». Selon les déclarations de l’auteur du signalement, « mon voisin, propriétaire de la Résidence Cheikh FALL, a mis en place deux (02) caméras de surveillance dont l’une est orientée vers le devant de la porte de ma maison et l’autre orientée sur l’entrée de mon garage (…) Il n’a pas mis de panneau de signalisation des caméras » En retour, la CDP a invité Monsieur C.F à accomplir les formalités préalables en déclarant le système de vidéosurveillance installé. Le dossier est en cours.
|
03 |
K.S |
X |
Piratage de comptes |
Monsieur K.S a signalé à la CDP être victime d'un piratage de ses comptes Facebook. La CDP a saisi les équipes de Meta pour le signalement et la récupération desdits comptes piratés. Sept (07) des onze (11) pages piratées ont été récupérées par Monsieur K.S. Le dossier est en cours. |
III. BILAN DES MISSIONS DE CONTROLE SUR SITE
L’article 25 de la Loi n°2008-12 portant sur la protection des données à caractère personnel dispose que « les membres de la Commission des Données Personnelles ainsi que les agents de service assermentés ont accès, dans les conditions prévues par l’article 45 et suivants du Code de Procédure pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement des données à caractère personnel… ». L’objet de ces contrôles est de vérifier que les traitements de données à caractère personnel respectent les dispositions de la loi n°2008-12.
Ces missions découlent principalement de plaintes et signalements transmis à la CDP, du programme annuel de contrôle mais aussi des décisions de la Session plénière.
Pour ce dernier trimestre de l’année 2022, et conformément à son pouvoir de vérification sur site, la CDP a diligenté neuf (09) missions de contrôle auprès de structures publiques et privées et une visite d’inspection à la suite d’un signalement.
Le tableau ci-dessous détaille les responsables de traitement contrôlés :
Le tableau ci-dessous détaille les responsables de traitement contrôlés :
Décision |
Date de la mission |
Structures contrôlées/Particulier |
Traitements concernés |
N°2022-038C/CDP du 24 juin 2021 |
20 septembre 2022 |
African Financial Agent (AFA)
|
Traitements simplifiés relatifs à la gestion du personnel, au système de contrôle d’accès et de pointage par badge et à la gestion des fournisseurs et prestataires |
N°2022-039C/CDP du 24 juin 2021 |
18 octobre 2022 |
Way 2 Call
|
Traitements simplifiés relatifs à la gestion du personnel, au registre des entrées et sorties, au système de contrôle d’accès et de pointage par badge et à la gestion des fournisseurs et prestataires |
N°2022-040C/CDP du 24 juin 2021 |
13 octobre 2022 |
Africa Link Technologies SARL |
Traitements simplifiés relatifs à la gestion du personnel, au registre des entrées et sorties, au système de contrôle d’accès et de pointage par badge et à la gestion des fournisseurs et prestataires |
N°2022-0041C du 24 juin 2021 |
20 octobre 2022 |
Agence de Développement et d’encadrement des PME (ADEPME) |
Traitements simplifiés relatifs au registre des entrées et sorties, au système de contrôle d’accès et de pointage par badge et à la gestion des fournisseurs et prestataires |
N°2022-0042C du 24 juin 2021 |
27 octobre 2022 |
La Banque Outarde (LBO) |
Traitements simplifiés relatifs au registre des entrées et sorties et au système de contrôle d’accès et de pointage par badge |
Visite d’inspection à la suite d’un signalement |
02 novembre 2022 |
Leadership Éthique Gouvernance Stratégies pour l’Afrique (LEGS AFRICA) |
Traitement relatif au système de vidéosurveillance |
N°2022-0043C du 24 juin 2021 |
04 novembre 2022 |
Ploutos Center |
Traitements simplifiés relatifs à la gestion du personnel, au registre des entrées et sorties, au système de contrôle d’accès et de pointage par badge |
N°2022-0044C du 24 juin 2021 |
08 novembre 2022 |
Uniparco Sénégal |
Traitements simplifiés relatifs à la gestion du personnel, au registre des entrées et sorties, au système de contrôle d’accès et de pointage par badge |
N°2022-0045C du 17 novembre 2022 |
22 novembre 2022 |
Société d’Exploitation du Train Express Régional du Sénégal (SETER) |
Traitement relatif au système de vidéosurveillance |
N°2022-0046C du 17 novembre 2022 |
26/27 décembre 2022 |
Grands domaines du Sénégal (GDS) |
Traitement relatif au système de pointage biométrique par reconnaissance faciale |
IV. BILAN DES ACTIVITES DE COMMUNICATION ET DE SENSIBILISATION
1. Communication à travers les médias
La CDP a répondu à plusieurs sollicitations de la presse afin de communiquer sur des questions liées à la protection des données personnelles. Ainsi, la CDP a répondu à une étude d’un site d’information en ligne, portant sur les enjeux de la protection des données personnelles, la typologie des plaintes traitées, la fréquence et les suites données à ces dernières.
2. Communication sur les plateformes digitales
Les actions de sensibilisation et d'information sur les plateformes digitales de la CDP se sont poursuivies tout au long de ce quatrième trimestre. Des publications en capsules illustratives des informations contenues dans le troisième rapport trimestriel, et autres documents produits par la CDP, notamment le référentiel de contrôle, ont été faites sur les différents réseaux sociaux.
Pour rappel, cette méthode de communication a été mise en place, afin de permettre aux usagers et partenaires de s’approprier plus facilement de l’essentiel des messages de la CDP. Ces capsules sont également un soutien important pour la vulgarisation de la loi portant protection des données personnelles au Sénégal.
La Division de la Communication digitale poursuit également son travail d’animation de la rubrique « Focus sur les termes de la législation », lancée mi-mai 2022 et fait des rappels utiles sur quelques dispositions de la loi. L’objectif est d’aider les internautes à comprendre, par définitions et images illustrées, les termes ou concepts contenus dans la loi sur la protection des données à caractère personnel.
Toutefois, il convient de signaler que la régularité des publications sur les pages des réseaux sociaux a connu un ralentissement durant la période de la coupe du monde de football. Ainsi, du 17 septembre au 26 décembre 2022, seuls 4075 utilisateurs se sont intéressés au moins à un contenu sur notre page Facebook. Sur la même période, nous avons enregistré sur ce réseau social 1535 visiteurs réguliers.
Néanmoins, la page Facebook compte actuellement 4 229 abonnés, soit 88 abonnés supplémentaires par rapport au troisième trimestre.
Sur Twitter, nous comptons actuellement 2 617 abonnés, soit 302 abonnés de plus comparés aux statistiques du second trimestre. Nos tweets ont été impressionnés 41 597 fois sur ce réseau social, et 39 926 utilisateurs ont visité notre compte twitter.
Sur LinkedIn, la page continue son développement et compte actuellement 1 638 abonnés, contre 1405 abonnés durant le troisième semestre, soit 233 abonnés de plus et plus de 15 000 impressions.
3. Assistance et sensibilisation des internautes
Les plateformes digitales de la CDP ont été très peu sollicitées par les internautes durant ce dernier trimestre de l’année pour demander une assistance à la CDP ou pour signaler des manquements liés à l’utilisation de leurs données personnelles.
Les quelques demandes d’assistance reçues ont porté sur des menaces de diffusion d’images compromettantes (à caractère sexuel), des publications et commentaires à caractère diffamatoire et injurieux. A ce titre, les internautes ont été invités à saisir de manière formelle la CDP sur son e-mail institutionnel, ou à faire le déplacement au niveau du siège, pour être accompagnés par le service chargé du contentieux.
Les internautes qui se sont déplacés auprès de la CDP ont été sensibilisés sur la loi sur la protection des données personnelles, notamment sur les droits dont ils disposent.
En outre, pour ce qui concerne les signalements reçus des internautes, ils ont pour objet des partages de vidéos à caractère pornographique enfantine et des atteintes au droit à la vie privée et diffusion d’images intimes. Un rappel a été fait concernant les dispositions de la Loi n° 2016-29 du 08 novembre 2016 portant Code pénal qui répriment les atteintes au droit à la vie privée.
Les services de la CDP ont assisté les internautes qui ont voulu déposer une plainte auprès de la Commission.
V. COOPERATION ET PARTENARIAT
La Commission de protection des Données Personnelles (CDP) a pris part à la 13ème Conférence annuelle de l’AFAPDP, le 03 octobre 2022 à Tunis.
La Conférence de cette année était axée autour de trois (03) thématiques : l’identité et la protection des données personnelles, la coopération internationale dans le domaine de la protection des données personnelles, et le soutien national et international dans le domaine de la protection des données personnelles.
Une quinzaine de délégations, représentant les Autorités membres et observateurs de l’AFAPDP, et des organisations internationales, ont échangé sur les enjeux actuels de ces thématiques.
L’AFAPDP a tenu son Assemblée Générale statutaire, le 04 octobre 2022, en présence des Autorités membres des pays suivants : Sénégal, Tunisie, Cap-Vert, France, Suisse, Maroc, Bénin, Niger, Canada, Gabon et Côte d’Ivoire.
L’Organisation Internationale de la Francophonie (OIF), qui dispose d’un statut permanent au sein de l’AFAPDP, a été également représentée.
L’Assemblée Générale a procédé à l’adoption du Rapport financier de 2021, du Rapport moral 2019-2022, et a procédé au renouvellement du Bureau de l’Association, avec les mêmes membres, excepté l’Autorité de protection des données de l’Albanie, qui s’est retirée et qui a été remplacée par le Préposé Fédéral à la Protection des données et de la Transparence de la Suisse.
La reconduction des mêmes membres du Bureau est justifiée par le contexte des deux dernières années, marqué par la Covid-19, qui n’a pas permis au bureau de mener les activités initialement prévues.
La Composition du Bureau de l’AFAPDP est la suivante :
Président : M. Chawki Gaddès, INPDP Tunisie,
Première Vice-Présidente : Mme Marguerite Ouedraogo BONANE, CIL Burkina Faso
Deuxième Vice-Président : Faustino Monteiro Varela, CNDP Cap-Vert
Troisième Vice-Présidente : Mme Catherine Lenman, PFPDT Suisse
Secrétaire Générale : Mme Marie-Laure Denis, CNIL France.
Le 05 octobre 2022 à Tunis, le Conseil de l’Europe, l’Instance nationale de protection des données personnelles (INPDP) et l’Instance nationale d’accès à l’information (INAI) de la Tunisie ont organisé une Conférence sur l’accès à l’information et la protection des données, autour de la thématique « transparence et protection : deux éléments fondamentaux de la démocratie ».
Sur invitation du Conseil de l’Europe et de l’Instance nationale de protection des données (INPDP) de la Tunisie, la Présidente de la CDP a participé aux échanges et travaux sur la conciliation du droit de la protection des données personnelles et celui de l’accès à l’information.
La Présidente de la CDP a partagé l’expérience de la CDP sur les défis, les enjeux et les solutions pour superviser l’accès à l’information et la protection des données personnelles.
A cet effet, elle a souligné l’interdépendance entre l’accès à l’information et la protection des données, et la manière dont la CDP concilie ces deux droits. A ce titre, la Présidente a donné des exemples pratiques sur des dossiers traités par la CDP, sur saisine du secteur public, du secteur privé et de la société civile.
La CDP a pris part du 16 au 18 novembre 2022, à Strasbourg, à la 43ème Réunion de la Plénière du Comité Consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108).
Lors de cette 43ème Réunion, le Comité a élu son nouveau Bureau, avec la réélection pour une deuxième fois de Mme Awa NDIAYE Présidente de la CDP, au poste de Deuxième vice-présidente.
Par ailleurs, le Comité a accepté le statut d’observateur à l’Organisation des Etats d’Amérique (OEA), qui est une organisation intergouvernementale visant à renforcer la coopération et la démocratie en Amérique, et à la Commission Informatique et Libertés (CIL) du Burkina Faso.
En outre, le Comité a adopté les lignes directrices sur l’Identité nationale numérique, qui visent à appliquer les principes de la Convention 108 modernisée à l’élaboration et la mise en œuvre des systèmes nationaux d’identité numérique. Les lignes directrices sont disponibles sur le lien suivant : https://rm.coe.int/t-pd-2021-2rev9-fr-lignes-directrices-identite-numerique-2751-1821-338/1680a95e1f.
La Présidente de la CDP a participé, les 15 et 16 décembre 2022 à Strasbourg, à la 57ème Réunion du Bureau du Comité de la Convention 108 du Conseil de l’Europe.
Cette dernière réunion de l’année 2022 du Bureau nouvellement élu était l’occasion de faire le point sur l’année écoulée et d’échanger sur le programme de travail de 2023, avec la poursuite des travaux sur l’interprétation de l’article 11 de la Convention 108 modernisée, sur la protection des données personnelles à des fins de lutte contre le blanchiment de capitaux et le financement du terrorisme, et sur la mise à jour des clauses contractuelles types pour le transfert des données à caractère personnel.
Le Bureau a échangé largement sur son Programme de travail 2022-2025, et a décidé de poursuivre ses travaux sur la protection des données à caractère personnel dans le contexte des élections.
2. Au niveau africain
La Commission de l’Union Economique Monétaire Ouest-Africaine (UEMOA) a organisé une réunion avec les Autorités de protection des données personnelles de l’espace UEMOA, pour discuter des axes de coopération en matière de protection des données personnelles au sein de la Communauté.
Cette réunion entre dans le cadre du projet de création du Comité des Autorités de Protection des Données Personnelles (CAPDP), qui va regrouper les huit (08) Autorités de protection des pays membres de l’UEMOA. A travers le CAPDP, un cadre de coopération et de concertation sur la protection des données personnelles sera mis en place entre les Autorités de protection des Etats membres de l’UEMOA.
A cet effet, la Commission de l’UEMOA et les Autorités concernées ont échangé sur les axes de leur collaboration future, notamment la mise en place de projets communs sur la protection des données personnelles, le soutien et l’assistance technique aux Etats membres pour l’adoption de lois sur la protection des données personnelles et la mise en place d’Autorités de protection.
La Présidente de la CDP a profité de ces échanges pour souligner le besoin des Autorités de protection de l’UEMOA d’être soutenues et accompagnées par l’Union, afin de consolider et d’harmoniser les politiques de protection des données personnelles au sein de l’espace communautaire.
Les axes de collaboration ont été arrêtés dans le cadre d’un Mémorandum d’Entente (MOU) entre la Commission de l’UEMOA et le CAPDP.
Le MOU a été adopté entre les parties lors de cette réunion et sera signé après la création officielle du Comité des Autorités de Protection des Données Personnelles (CAPDP).
Par ailleurs, l’UEMOA a mis en place un nouveau cadre qui réunit les Régulateurs nationaux du Numérique, sur les thématiques des communications électroniques, de la protection des données, de la cybersécurité, des transactions électroniques.
A ce titre, l’UEMOA a développé un Programme de Développement de l’Economie numérique, qui comprend un axe spécifique, dédié à la protection des données personnelles.
La Commission de protection des Données Personnelles (CDP) a pris part, du 21 au 23 novembre 2022, au Sommet Africain sur la protection des données personnelles, organisé par Africa Digital Right’s Hub (ADRH), en collaboration avec l’Autorité de Régulation de l’Information de l’Afrique du Sud, en charge de la protection des données personnelles.
Cette année, la thématique du Sommet a porté sur « Le développement de la protection des données personnelles pour l’Économie numérique de l’Afrique ».
A ce titre, les participants ont échangé sur les sous-thématiques suivantes :
IV. BILAN DES ACTIVITES DE FORMATION
Durant ce trimestre, la CDP a dispensé une formation sur la protection des données personnelles, au profit des cadres de la Direction de l’Autonomisation des Fichiers (DAF) du Ministère de l’Intérieur.
La formation a porté essentiellement sur trois axes : le cadre juridique de la protection des données personnelles, la conformité des traitements de données personnelles, mis en œuvre par la DAF dans le cadre de la gestion de la Carte nationale d’identité et du Fichier électoral, et les mesures de sécurité des données personnelles.
Par ailleurs, cette formation a été l’occasion, pour les cadres de la DAF, de recueillir les meilleures pratiques à mettre en œuvre pour la sécurisation et la confidentialité des données, lors de la collecte, du traitement et de l’interconnexion avec d’autres fichiers ou bases de données.
A l’issue de la formation, la DAF a prévu d’élaborer, avec l’appui de la CDP, des outils et documents pour disposer d’un meilleur niveau de conformité avec la législation sur la protection des données personnelles.
V. POINT DES REUNIONS SUR DES PROJETS IMPORTANTS
Cet atelier, qui s’est tenu le 17 octobre 2022 en visioconférence, fut l’occasion pour les membres du sous-comité géolocalisation et base de données, dont la CDP est partie prenante, de revenir sur l’état d’avancement des activités, notamment le recensement des données d’adressage (Dakar, Mbour, Saly…), en collaboration avec l’ANAT, en attendant de choisir une plateforme numérique géospatiale pour numériser l’ensemble des données et permettre leur mise à jour automatique dans la base.
Ce fut également l’occasion pour la CDP de rappeler les dispositions prévues par la loi n°2008-12, par rapport à la collecte et au traitement de données personnelles des citoyens.
Dans le cadre de la collaboration entre la BCEAO et la CDP, la Commission a participé à l’atelier régional du bilan d’inclusion financière 2016 – 2021, le 24 octobre 2022, atelier qui s’est tenu en ligne. L’occasion était importante pour chaque Etat membre de revenir sur les activités réalisées, en cours, et à venir, afin de promouvoir l’accès aux services financiers dans la zone UEMOA.
A ce titre, la CDP a proposé à la BCEAO d’inclure dans les activités à venir, l’organisation d’une session de sensibilisation des acteurs de services financiers (banques, assurances, fintechs…) sur la protection des données personnelles de leurs clients, en plus d’un pack de conformité, qui permettra de faciliter aux institutions bancaires, leurs démarches de mise en conformité par rapport à la loi portant sur la protection des données à caractère personnel.
Ateliers sur la mise en œuvre de la Stratégie Régionale d’Inclusion Financière de la BCEAO
En tant qu’acteur dans la mise en œuvre des politiques d’inclusion financière, la CDP a pris part à deux ateliers de la BCEAO :
3. Atelier sur le projet de digitalisation du secteur de la santé
La CDP, fortement impliquée dans le projet de digitalisation du secteur de la santé, porté par le Ministère de la Santé et de l’Action sociale, a pris part du 24 au 28 octobre 2022, à l’atelier sur la validation des circuits et documents médicaux du patient.
L’objectif était de partager les projets de documents médicaux et des circuits du patient avec les membres du comité de santé digitale, afin de recueillir leurs avis.
Durant les travaux, la CDP est revenue sur la fiche d’identification du patient, la fiche d’enquête sociale, et elle a rappelé les principes de base à respecter et l’importance de leur stricte application.
4. Examen du Projet de loi portant sur la protection des données à caractère personnel par l’Assemblée Générale consultative de la Cour Suprême
Le 15 novembre 2022, la CDP a participé à l’Assemblée Générale consultative de la Cour Suprême, pour l’examen du Projet de loi portant sur la protection des données à caractère personnel.
La Cour Suprême a été saisie, pour avis sur le Projet de texte, par le Secrétariat Général du Gouvernement. Ainsi, le Ministère des Communications, des Télécommunications et de l’Economie Numérique, qui porte le Projet de loi était accompagnée de la CDP et d’experts sur la protection des données personnelles, pour répondre aux questions et observations de l’Assemblée Générale consultative de la Cour Suprême.
A la fin de la séance, l’Assemblée Générale consultative a émis des recommandations, en vue d’améliorer le Projet de loi.
Par ailleurs, un rapport général sur le texte, avec les observations et recommandations, sera transmis au Secrétariat Général du Gouvernement.
5. Atelier de concertation sur les projets de texte relatifs à l’adressage national
Dans le cadre de la mise œuvre du projet d’adressage numérique national, un atelier de concertation avec les acteurs a été organisé le 27 novembre 2022 en vue d’établir un état des lieux de l’adressage au Sénégal, d’en faire l’analyse et de dégager des perspectives.
Durant cet atelier, les participants ont eu à relever le rôle crucial de la CDP dans le projet d’adressage numérique national.
A cet effet, la Commission a rappelé l’intérêt qu’elle porte à ce projet. Elle a confirmé que, dans le cadre de l’élaboration du cadre juridique sur l’adressage, la CDP continuera d’accompagner le projet d’adressage pour sa mise en conformité avec la législation portant sur la protection des données à caractère personnel.
6. Atelier de restitution portant sur la cartographie des usages et services du numérique organisé par le PNUD et le Ministère de l’Économie Numérique et des Télécommunications (MENT)
Le 02 décembre 2022 s’est tenu un atelier de restitution sur la cartographie des usages et services du numérique, organisé par le PNUD et le ministère de l’Économie Numérique et des Télécommunications (MENT). En effet, la pandémie de la Covid-19 a accéléré la transformation numérique en Afrique. Le Sénégal n’a pas été en reste puisque le pays représente l’un des principaux écosystèmes d’innovation d’Afrique de l’Ouest francophone avec la Côte-d’Ivoire. Plusieurs initiatives ont donc vu le jour au cours de ces deux dernières années dans différents secteurs, notamment les fintechs, la logistique et le e-commerce, les infrastructures digitales, la digitalisation du secteur de la santé, de la filière agricole, de l’administration…
Fort de ce constat, le ministère de l’Économie Numérique et des Télécommunications, en partenariat avec le PNUD, a initié une étude portant sur l’usage et les services du numérique au Sénégal, dans l’optique de faire une cartographie exhaustive des usages, espaces et initiatives numériques, d’évaluer le niveau de maturité des initiatives numériques menées, d’effectuer une enquête de perception en ligne et d’identifier les points de blocages et défis rencontrés.
A la fin de la restitution, la CDP a relevé quelques axes d’amélioration pour accélérer les résultats attendus de l’étude.
En outre, ce fût l’occasion pour le ministère de l’Économie Numérique et des Télécommunications de présenter la nouvelle plateforme de l’Observatoire National du Numérique (www.onn.gouv.sn).
7. Session de travail du sous-comité informatique du projet État Civil
Dans le cadre de la mise en œuvre du résultat 3 du programme NEKKAL intitulé « Mise en place d’un système national d’information de l’état civil bien articulé avec les différents fichiers d’identification biométrique. », un atelier de partage et de validation a été initié par la Direction de l’État Civil avec les différents membres du sous-comité, les 08, 20 et 21 décembre 2022. En effet, l’interconnexion des centres d’état civil au registre national constitue l’une des principales activités du programme.
A ce titre, la CDP a été conviée par la Direction à une session de travail, pour valider les résultats de l’étude de l’interconnexion des centres d’état civil à l’intranet de l’état du Sénégal, le document technique du Registre National d’État Civil ainsi que le schéma d’interconnexion des centres d’état civil.
8. Atelier de restitution des résultats de l’enquête sur les risques liés à l’utilisation des services financiers numériques (SFN) organisé par l’OQSF et le CGAP
L’Observatoire de la Qualité des Services Financiers (OQSF) et le Groupe consultatif d'assistance aux pauvres (CGAP) ont réalisé au Sénégal, une enquête sur les risques liés à l’utilisation des services financiers numériques (SFN), en octobre 2022, dans le cadre de l’initiative régionale pour la protection des consommateurs de services financiers numériques (SFN) de l’Union Économique et Monétaire Ouest Africaine (UEMOA).
Cette enquête, conduite par l’Innovations for Poverty Action (IPA), avait pour but de soutenir le développement d’un écosystème responsable des services financiers numériques qui profite à la fois aux consommateurs et aux prestataires de services (fintech…).
Afin de restituer les résultats de l’enquête, la CDP a été conviée à un atelier de partage, le 07 décembre 2022, pour échanger sur les résultats de l’enquête et discuter des actions prioritaires à mettre en place pour minimiser les risques auxquels font face les consommateurs.
A ce titre, la CDP a pu identifier les risques auxquels font face les citoyens sénégalais, notamment en termes de violation des données personnelles. La Commission prévoit donc, à travers sa collaboration avec l’OQSF, de renforcer la sensibilisation des acteurs sur leurs démarches de mise en conformité avec la loi n°2008-12, mais aussi d’informer les consommateurs de leurs droits quant à l’utilisation de leurs données personnelles, dans le cadre de l’accès aux services financiers numériques.
Conclusion :
Le quatrième trimestre de l’année 2022 est marqué par une hausse du nombre de déclarations et de demandes d’autorisation de traitement reçues par la CDP. Cette situation s’explique par le nombre d’appels à déclarations qui a également augmenté durant ce trimestre, mais aussi par le nombre de structures reçues par la CDP, pour leur mise en conformité.
Sur le volet du contentieux, le nombre de plaintes et de signalements a baissé par rapport au troisième trimestre de l’année 2022, mais le contentieux en entreprise est toujours existant, en matière de traitement de données personnelles.
Par ailleurs, les missions de contrôle sur sites ont continué durant ce trimestre, pour faire suite à certaines plaintes et signalements, mais également pour suivre le planning annuel de contrôle.
Sur ce point, le fait marquant de ce trimestre est la publication du Référentiel de contrôle de la CDP, qui est un guide important pour les responsables de traitement, qui leur permet de se préparer aux missions de contrôle de la Commission.
Sur le plan de la coopération internationale et africaine, la réélection de la Présidente de la CDP au poste de Deuxième Vice-présidente du Bureau du Comité Consultatif de la Convention 108 du Conseil de l’Europe, et la mise en place du cadre de collaboration entre l’Union Economique Monétaire Ouest-africaine (UEMOA) et les Autorités de protection des données personnelles de l’espace UEMOA, ont marqué le dernier trimestre de l’année 2022.
Par ailleurs, dans le cadre du renforcement de la coopération sous-régionale, les Autorités de protection de la zone UEMOA vont mettre en place, en début d’année 2023, un Comité des Autorités de Protection des Données Personnelles (CAPDP).