COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N°01-2024 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des Données Personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce premier trimestre de l’année 2024, et conformément à son programme annuel d’activités, la CDP a examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  1.  COMPTE RENDU DES ACTIVITES DECLARATIVES

 

Au cours de ce premier trimestre 2024, la CDP a accueilli sept (07) structures venues s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité cent-neuf (109) dossiers, dont soixante-onze (71) déclarations, trente-trois (33) demandes d’autorisation et cinq (05) dossiers réinscrits.

A l’issue des deux (02) Sessions plénières tenues à la CDP, soixante-onze (71) récépissés de déclaration et vingt-sept (27) autorisations ont été délivrés. Par ailleurs, la Commission a auditionné quatre (04) responsables de traitement et a décidé de surseoir à la décision de six (06) dossiers. En outre, la Commission a mis en demeure une (01) structure et avertit un (01) responsable de traitement.

La Commission a, en outre, émis des appels à la déclaration, reçu des plaintes, signalements et pétitions :

- Appel à la déclaration : 02

- Plaintes et signalements reçus : 09

- Pétition : 01

 

  1.  Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

Responsables de traitement/ Sous-traitants

Traitements

  1. Direction générale des Impôts et Domaines (DGID)

Déclaration de sa plateforme E-Services

  1. DIOTALI

Déclaration de fichiers contenant des données personnelles

 

  1. Décisions rendues par la Session Plénière :

2.1- Autorisations accordées :

 

Finalités des traitements

Nombre

Structures

Système de géolocalisation

03

AFTECH SOLUTIONS SUARL

POLYKROME SA

SOCIETE DE CULTURES LEGUMIERES

Base de données des clients

04

AFTECH SOLUTIONS SUARL

 

LPS LAWYERS

 

SOCIETE TOURISTIQUE DE LA POINTE DE SARENE

 

CMA CGM SENEGAL

Intégration du Système d’information actuel de la BICIS au système d’information de SUNU dénommée Capital Banker System (CBS)

01

BICIS

Application INCUST

01

incust

Site internet

05

incust

 

COMPAGNIE OUEST AFRICAINE DE CREDIT-BAIL LOCAFRIQUE SA

 

NOLIDO

 

SEN HUB IMMO SAS

 

HAUTE ECOLE DE MANAGEMENT ET D’INFORMATIQUE (HEMI)

E-SIM

01

SONATEL SA

Système de contrôle d’accès et de pointage biométrique

05

VIGILUS SA

 

CMA CGM SENEGAL

 

TMS SUARL

 

UNIVERSELLE INDUSTRIE SENEGAL

 

COMMISSION DES DONNEES PERSONNELLES (CDP)

Collecte et analyse de données émanant d’objets connectés des caméras embarquées

01

IRIS AFRIQUE

Gestion du personnel

01

SOCIETE TOURISTIQUE DE LA POINTE DE SARENE

Archivage des dossiers médicaux du personnel

01

UNIVERSELLE INDUSTRIE SENEGAL

Certification au standard IRMA

01

GRANDE COTE OPERATIONS SA

Base de données des sous-distributeurs  

01

Wave Mobile Money

Base de données des accepteurs

01

 

Wave Mobile Money

Plateforme de jeux

01

Saga Africa Holding Limited (Free)

 

2.2 - Récépissés délivrés 

 

Finalités

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

11

  • TMS SUARL
  • PHARMACIE NOUVELLE BAOBAB
  • SENEGAL AUCHAN STORE SENAS SA (Boutique Auchan de la station Total Soumbédioune, en face marché Soumbédioune)
  • SENEGAL AUCHAN STORE SENAS SA (Auchan Grand Mbao)
  • SENEGAL AUCHAN STORE SENAS SA (Auchan Kaolack)
  • SENEGAL AUCHAN STORE SENAS SA (Auchan MAX Mbour II, carrefour Saly)
  • LPS LAWYERS
  • SABODALA GOLD OPERATIONS (SGO)
  • CMA CGM SENEGAL
  • OLEOSEN SA
  • PREMIER SENEGAL

Vidéosurveillance chez des particuliers

05

  • M. AHMETH BACHIR SOW (02)
  • Mme ROKHAYA NDIAYE
  • M. MAMADOU LOUM
  • M. ABDOULAYE DIARRA

Système de caméras embarquées dans les véhicules (détecteur de fatigue)

01

  • GRANDE COTE OPERATIONS SA

Base de données des clients

10

  • SYFA SECURITY SARL
  • CONSULTANT SERVICES (AICS)
  • ALLO BAYE FAYE
  • KMANETECH SAS
  • KROMTECHNOLOGIES
  • SECURITE SERVICES PLUS
  • SOLUTIONS TECHNOLOGIQUES ET INFORMATIQUES
  • FINANCE GESTION INTERMEDIATION
  • MAK BOZAI SUARL
  • LUMIERE PRESTATIONS SERVICE

Système de contrôle d’accès et de pointage par badge

08

  • GSIE TECHNOLOGY
  • MEDIC’KANE SARL
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • YAATOUT SARL
  • MITRELLI SENEGAL
  • SAMRES SENEGAL SUARL
  • DAKAR MOBILITE SA
  • SEN TERMINAL PETROLIER SA

Registre des entrées et sorties

11

  • NSIA BANQUE BENIN SA, SUCCURSALE SENEGAL
  • GSIE TECHNOLOGY
  • MEDIC’KANE SARL
  • TRANSPAPS SA
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • CMA CGM SENEGAL
  • YAATOUT SARL
  • MANUBI SARL
  • MITRELLI SENEGAL
  • DAKAR MOBILITE SA
  • MAZARS SENEGAL

Gestion du personnel

14

  • NSIA BANQUE BENIN SA, SUCCURSALE SENEGAL
  • GSIE TECHNOLOGY
  • MEDIC’KANE SARL
  • TRANSPAPS SA
  • LPS LAWYERS
  • CMA CGM SENEGAL
  • YAATOUT SARL
  • AFTECH SOLUTIONS SUARL
  • MANUBI SARL
  • MITRELLI SENEGAL
  • SECURITE SERVICES PLUS
  • SOLUTIONS TECHNOLOGIQUES ET INFORMATIQUES
  • DAKAR MOBILITE SA
  • MAZARS SENEGAL

Gestion des fournisseurs et prestataires

11

  • NSIA BANQUE BENIN SA, SUCCURSALE SENEGAL
  • GSIE TECHNOLOGY
  • MEDIC’KANE SARL
  • TRANSPAPS SA
  • AGENCE DE DEVELOPPEMENT ET D’ENCADREMENT DES PME (ADEPME)
  • CMA CGM SENEGAL
  • YAATOUT SARL
  • AFTECH SOLUTIONS SUARL
  • MANUBI SARL
  • SAMRES SENEGAL SUARL
  • DAKAR MOBILITE SA

 

 

2.3 Refus d’autorisation :

Responsable de traitement

Traitement déclaré

  •  

Motifs de rejet

N LINE

Evaluation du projet « Accès à l’électricité » au Sénégal

Étude des facteurs sous-jacents de l'offre et de la demande d'électricité de qualité dans les zones rurales et périurbaines du Sénégal et évaluation de son efficacité à répondre aux contraintes des consommateurs.

La Session Plénière a décidé de rejeter, en l’état, le traitement en raison du caractère non formel du recueil de consentement (verbal) et au transfert des données vers un pays tiers.

SOCIAL IMPACT

Evaluation du projet « Accès à l’électricité » au Sénégal

Étude des facteurs sous-jacents de l'offre et de la demande d'électricité de qualité dans les zones rurales et périurbaines du Sénégal et évaluation de son efficacité à répondre aux contraintes des consommateurs.

La Session Plénière a décidé de rejeter, en l’état, le traitement en raison du caractère non formel du recueil de consentement (verbal) et au transfert des données vers un pays tiers.

 

                          2.4- Avertissement

Responsable de traitement

Motifs d’avertissement

RIDETECH SEN SUARL (YANGO)

Non-conformité à la loi n°2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel notamment le non-respect des règles préalables à la mise en œuvre des traitements de données à caractère personnel.

 

2.5 Mise en demeure

Responsable de traitement

Motifs de mise en demeure

SOLID AFRIQUE

Prospection non sollicitée et non-conformité de la plateforme « Kay voter »

 

  1. Questions reçues du grand public

La CDP a reçu des questions du grand public sur les mesures à mettre en œuvre pour la conformité avec la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel.

QUESTIONS

REPONSES

 Les dispositions à prendre pour l’installation d’un système de vidéosurveillance dans un lieu de travail.

Toute entité souhaitant installer un système de vidéosurveillance dans un lieu de travail, doit, au préalable, procéder à sa déclaration auprès de la CDP.

Ladite déclaration se fait par le remplissage du formulaire de déclaration de système de vidéosurveillance, disponible sur www.cdp.sn.

Par ailleurs, le système de vidéosurveillance doit respecter les dispositions prévues par la Délibération de portée générale de la CDP, relative aux systèmes de vidéosurveillance installés dans les lieux de travail.

 

La délibération est également disponible sur www.cdp.sn.

La durée de validité d’une autorisation d'exploitation d’un système de vidéosurveillance. 

 

L'autorisation d'exploitation d'un système de vidéosurveillance n'a pas de durée limite de validité. Toutefois, si des changements sont opérés (augmentation nombre de caméras, modification champ de vision, etc.), le responsable du système de vidéosurveillance devra adresser à la CDP une déclaration modificative.

La procédure de demande d’autorisation pour une plateforme de santé digitale.   

Pour la mise en conformité d’une plateforme de santé digitale, la procédure à suivre est la demande d’autorisation. La demande est adressée à la CDP, à travers le remplissage du formulaire de demande d’autorisation, disponible sur le site internet.

 

 

 

  1. BILAN DES PLAINTES ET SIGNALEMENTS TRAITES

 

1 – PLAINTES

 

PLAIGNANT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

01

D.N

SOLID

 Réception de SMS non sollicité

La CDP a reçu une plainte de Monsieur D.N contre la société SOLID, relative à la réception de SMS non sollicité, l’invitant à voter pour ou contre le report des élections, à travers le site internet suivant : www.kayvoter.com.

A cet effet, la CDP a, en application de la procédure contradictoire, envoyé à la Direction générale de SOLID une demande d’explication sur l’origine de la collecte du numéro de téléphone du plaignant et sur les raisons de la réception de SMS non sollicité.

Suite à la réponse de la société SOLID, les manquements suivants ont été relevés :

  • prospection non sollicitée ;
  • détournement de la finalité des données collectées ;
  • non-conformité de la plateforme « Kay voter ».

A cet effet, la Session plénière a décidé de mettre en demeure la SOLID pour la cessation des manquements relevés.

En outre, elle invite la société SOLID à procéder à la mise en conformité de la plateforme « Kay voter ».

Le dossier est en cours d’instruction.

Pour

A.S

SONATEL

Violation de données personnelles

A.S, victime d’une escroquerie, a saisi la CDP d’une plainte contre la SONATEL, pour violation de ses données personnelles.

Une demande d’explication a été envoyée à la SONATEL sur la gestion de la sécurité et de la confidentialité des données personnelles des clients, au sein des services de la SONATEL en charge du traitement des factures, et sur les exigences de sécurité fixées aux sous-traitants.

Sur le fondement de l’escroquerie, la CDP a transmis la plainte au Procureur de la République pour enquête et suites à donner, conformément à l’article 16 de la loi sur les données personnelles.

Le dossier est clôturé au sein des services de la CDP.  

03

O.K.F

O.D

Collecte et divulgation de données personnelles

La CDP a reçu une plainte de Madame O.K.D contre le sieur O.D pour collecte et divulgation de ses données personnelles.

En application des articles 16-2c et 75 de la loi sur la protection des données personnelles, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de Cybersécurité (DSC) pour enquêtes et suites à donner.

 

La CDP suit le dossier auprès de ces services.

04

M.L

www.diarle.sn

Diffusion de données personnelles sans consentement

M.L a saisi la CDP d’une plainte contre l’administrateur du site en ligne www.diarle.sn  pour diffusion de ses données personnelles sans son consentement.

En application des articles 33, 68 et 69 de la loi sur la protection des données personnelles, une demande d’explication et de suppression a été envoyée à l’administrateur.

Le dossier est en cours d’instruction.

05

D.N

X

Menace de divulgation de vidéos compromettantes

La CDP a reçu une plainte de Monsieur D.N contre X pour menaces de divulgation de ses données personnelles compromettantes s’il ne versait pas une somme d’argent.

 

La CDP a recommandé au plaignant de rompre tout contact avec la personne mise en cause et d’éviter de verser une quelque somme d’argent.

 

Par ailleurs, en application des articles 16-2c et 75 de la loi sur la protection des données personnelles, la CDP a transmis la plainte au Procureur de la République et à la Division Spéciale de Cybersécurité (DSC) pour enquêtes et suites à donner.

La CDP suit le dossier auprès de ces services.

 

                                                                                                                                                

2 - SIGNALEMENTS

 

AUTEUR DU SIGNALEMENT

MIS EN CAUSE

MOTIFS

OBSERVATIONS

 

 

 

 

01

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

Signalements contre l’École Supérieur Polytechnique (ESP) de Dakar

 

 

 

Violation de la confidentialité des données d’étudiants en test d’entrée à l’ESP

La CDP a reçu plusieurs signalements sur ses plateformes, relatifs à l’accès par des personnes non autorisées aux dossiers de candidats, pour les tests d’entrée à l’ESP.

A cet effet, en application des articles 70 et 71 de la loi sur la protection des données personnelles, la CDP a requis des explications auprès de la Direction de l’ESP sur :

  • les causes de la fuite des dossiers des candidats ;
  • la procédure de réception, de traitement et d’archivage des documents des candidats ;
  • les mesures mises en œuvre pour la sécurité et la confidentialité des données personnelles traitées par l’ESP.

Le dossier est en cours d’instruction.

02

 

 

 

X

 

 

 

Signalement contre HAYO SENEGAL

Installation d’un système de vidéosurveillance dans les bureaux

La CDP a reçu un signalement sur l’installation d’un système de vidéosurveillance dans les bureaux de HAYO SENEGAL sans formalités déclaratives.

En retour, la CDP a adressé une demande d’explication à HAYO Sénégal sur l’installation du dispositif sans le respect des formalités préalables. Elle a, en outre, invité la Direction générale se conformer avec la loi sur la protection des données personnelles.

Le dossier est en cours d’instruction.

03

 

 

D.F

 

 

M.T

Installation d’un système de vidéosurveillance sans formalités préalables

Monsieur D.F a saisi la CDP d’un signalement relatif à l’installation, par Monsieur M.T, d’un système de vidéosurveillance au sein de l’espace commun de l’immeuble, où il a élu domicile. Monsieur M.T a installé le système de vidéosurveillance sans accomplir les formalités nécessaires auprès de la CDP.

En retour, la CDP a invité M.T à déclarer le système de vidéosurveillance, en application de l’article 18 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

Le dossier est en cours d’instruction.

04

 

 

 

 

O.D

 

 

Sites internet des entités suivantes :

-SENUM ;

- PATISEN ;

- SONACOS ;

- Société Cellule Group ;

- SOCOCIM ;

- SEN EAUX ;

- CSS ;

- Société Pro Call

 

 

  Violation de données personnelles

La CDP a reçu plusieurs signalements de Monsieur O.D, relatifs à une possible violation de données personnelles concernant les sites internet de plusieurs organismes.

 

Le dossier est en cours d’instruction.

 

  1. PETITION

AUTEURS

MOTIFS

OBSERVATIONS

01

Collectif des Chauffeurs de Transports DHF SA & TRANSPORTS KHOURY SA

Pétition contre l’installation des caméras embarquées dans les cabines des véhicules des transporteurs DHF SA & Khoury Transports SA

Le collectif des chauffeurs des transporteurs DHF SA & Khoury Transports SA a saisi la CDP d’une pétition, pour s’opposer aux caméras (détecteurs de fatigue) installées dans les cabines des camions.

 

Le dossier est en cours d’instruction.

 

 

 

III- BILAN DES MISSION DE CONTROLE SUR SITES

 

En application de l’article 25 de la loi n° 2008-12 du 25 janvier 2008, et de la décision de la Session plénière du 24 juin 2021, la Commission de protection des Données Personnelles (CDP) a décidé d’effectuer une série de missions de contrôle.

L’objet de ces missions est de vérifier que les traitements de données à caractère personnel mise en place par les responsables de traitement respectent les dispositions de la loi n°2008-12 sur la protection de données à caractère personnel. 

Au cours du premier trimestre 2024, la CDP a effectué trois (03) missions de contrôle sur site. Il s’agit de la mission de contrôle auprès de la société Sabadola Gold Opérations (SGO) (SABADOLA), sise à Kédougou, la pharmacie nouvelle Baobabs et l’hôtel Terrou-Bi. Ci-dessous le tableau des missions de contrôle du premier trimestre 2024 :

 

  1. Tableau des missions de contrôle du premier trimestre

 

Décision

Date de la mission

Structures contrôlées

Traitements concernés

N°2024-0064 du 01 février 2024

05-07 février 2024

ENDEAVOUR MINING

  • Système de vidéosurveillance,
  • Système de contrôle d’accès bar badge
  • Système de vidéosurveillance embarqué 

N°°2024-0065C du 01 février 2024

21 février 2024

PHARMACIE NOUVELLE BAOBABS

  • Système de vidéosurveillance

N°2024-0066C du 01 février 2024

29 février 2024

HOTEL TERROU BI

  • Système de contrôle de pointage par reconnaissance faciale

 

 

  • Société Sabadola Gold Operations (SGO) : La mission de contrôle a permis de vérifier la conformité du système de vidéosurveillance, de contrôle d'accès par badge et de la vidéosurveillance embarquée de la société SGO. Cette mission s'inscrit dans le cadre du programme annuel de la CDP visant à contrôler la conformité des systèmes de surveillance et de sécurité des entreprises et organisations.
  • Pharmacie Nouvelle Baobabs : Suite à l'installation d'un nombre excessif de caméras à l'intérieur de la pharmacie, la session plénière a demandé d’effectuer une mission de contrôle. Cette mission a permis de vérifier la conformité du système de vidéosurveillance de la pharmacie et de s'assurer du respect des règles relatives à la protection des données personnelles.
  • Hôtel Terrou-Bi : La mission de contrôle avait pour objet de vérifier la conformité de l'hôtel Terrou-Bi aux décisions de la CDP. En effet, l'hôtel avait saisi la CDP d'une demande de dérogation relative à son dispositif biométrique de contrôle d'accès et de pointage par reconnaissance faciale. La session plénière de la CDP avait refusé d'accorder la dérogation et avait invité l'hôtel à utiliser un dispositif alternatif, notamment les badges magnétiques. La mission de contrôle a permis de vérifier que l'hôtel Terrou-Bi n'a pas installé de dispositif de reconnaissance faciale, suite aux injonctions de la CDP.

 

Conclusion

Des manquements ont été relevés lors de ces missions de contrôle. Ces manquements feront l'objet d'échanges et de discussions lors de la session plénière de la CDP pour avis et décision.

 

IV- BILAN DES ACTIVITES DE COMMUNICATION ET DE SENSIBILISATION

 

Au cours de ce premier trimestre 2024, la CDP a favorisé les actions de sensibilisation, avec un focus sur la célébration de la Journée mondiale de protection des données personnelles, mais également sur la communication digitale.

 

  1. Communication sur les plateformes digitales

Dans sa mission de sensibilisation, la Direction de la Communication et des Relations publiques a poursuivi, durant premier trimestre de l’année 2024, les publications en capsules illustratives des informations du dernier avis trimestriel 2023, des activités menées par la CDP. Les actualités publiées sur le site internet (www.cdp.sn ) ont été relayées sur les différentes pages des plateformes numériques de la Commission.

Dans le même sillage, notre communauté sur Facebook s'est notamment renforcée, avec une audience de près de 4696 abonnés, affichant ainsi un engagement croissant. Idem sur LinkedIn où nous avons établi des connexions significatives avec près de 2435 professionnels, consolidant ainsi notre présence au sein du réseau professionnel. Sur le réseau social X (ex Twitter), nos publications ont suscité plusieurs réactions et porté le nombre d’abonnés à 2847 abonnés.
 

Les internautes ont utilisé les plateformes en ligne de la CDP pour demander une assistance ou signaler des problèmes liés au traitement de leurs données personnelles. A la fin de ce premier trimestre 2024, la CDP a ainsi reçu 15 signalements portant pour la plupart sur des menaces de diffusion d'images embarrassantes ou de commentaires diffamatoires sur internet. Ces derniers ont également interpellé la Commission sur diverses questions concernant la protection de leurs données de santé, notamment le stockage et la sécurité de leurs informations médicales par des cliniques et des pharmacies sur des ordinateurs. D’autres questions sur la demande de suppression de ces données en cas de besoin, et s'ils ont le droit d'exiger des preuves de cette suppression ont été expliqué par les agents de la CDP dans leurs réponses.

En cas de non-respect de la loi, les internautes ont été encouragés à formellement saisir la Commission de Protection des Données (CDP) en déposant une plainte via le modèle disponible sur le site www.cdp.sn. Pour les situations les plus urgentes, la CPD a préconisé aux internautes de déposer plainte directement auprès de la Police, de la Gendarmerie, ou de la Division de la Cybersécurité.
 

  1. Célébration de la Journée mondiale de protection de données personnelles

Le 28 janvier de chaque année marque la Journée internationale de la protection des données. C’est un événement annuel destiné aux personnes intéressées par la protection des données et de la vie privée. Elle vise à sensibiliser et à promouvoir les meilleures pratiques en matière de confidentialité et de protection des données au niveau national et international.

Le « Privacy day » est l’occasion pour les Autorités de protection des données personnelles de discuter des tendances actuelles, des aspects juridiques et pratiques ainsi que des contextes techniques de la confidentialité et de la protection des données. 

La Commission de protection des données personnelle a organisé le mardi 30 janvier 2024 un Webinaire sur le thème : ‘’ Protection des données personnelles et Fintech : enjeux et défis de conformité’’. 

Cette activité qui s’est déroulée en marge de la célébration de la Journée internationale de la protection des données communément appelé ‘’Privacy day’’, a réuni les acteurs tels que les régulateurs que sont la Banque Centrale des Etats de l'Afrique de l'Ouest (BCEAO), l’Autorité de régulation des télécommunications et des Postes (ARTP), l’Observatoire de la Qualité des Services Financiers (OQSF) et enfin la SEN FINTECH, créée en 2022 avec une trentaine de membres qui interviennent dans plusieurs domaines.

 Les panelistes ont débattu des enjeux numériques surtout dans un secteur aussi névralgique que les finances. La protection des données personnelles reste un enjeu majeur dans le secteur de la Fintech (technologies financières), où l'utilisation de données sensibles est omniprésente. Les entreprises de Fintech traitent souvent des informations financières, des données d'identification personnelle, des historiques de transactions, et d'autres données sensibles. La cartographie du secteur jugé quelque peu ouvert a permis de relever un certain nombre de risques en particulier cybercriminels. Outre cela, les risques potentiels notamment la manipulation des données, l’externalisation qui n’est pas encadré, des interconnexions en plus des risques informatiques, les acteurs notent également l’absence d’harmonisation des textes de régulation au niveau sous régional. D’où un plaidoyer pour une co-régulation alliant souplesse, agilité des autorités en charge de la réglementation.

 

  1. La CDP par les médias

Le dernier avis trimestriel de l’année 2023 de la CPD publié au début du mois de janvier 2024 a fait l’objet d’un traitement médiatique de la part des organes de presse de la place. On dénombre une dizaine d’articles parus.

Au cours de ces premiers mois de l’année 2024, l’actualité de la CDP traité dans les médias a été marqué par la nomination du nouveau Président de la CDP, M. Ousmane Thiongane en remplacement de Mme Awa Ndiaye, au terme de son mandat.

M. Ousmane Thiongane, juriste, Conseiller Spécial à la Présidence de la République du Sénégal en charge du numérique occupe désormais les fonctions de Président de la Commission de protection des données personnelles (CDP). Sa nomination intervient avec le renouvellement de certains Commissaires de la Session plénière qui est l’organe délibérant de la CDP.

 

  1. COOPERATION ET PARTENARIAT

 

  1. Au niveau international

 

Préparation de la 61ème réunion du Bureau consultatif de la convention de 108+

Le Bureau du Comité de la Convention 108 a tenu sa 61ème réunion à Paris du 13 au 15 mars 2024. Au titre de l’ordre du jour, le Bureau consultatif a fait un point sur la situation de la convention 108+ (signatures et ratifications).

Le Bureau a examiné les observations fournies par les membres sur les clauses contractuelles types pour le transfert des données à caractère personnel entre sous-traitant. Il a, également, abordé les aspects liés à la protection des données, y compris biométriques, dans le cadre des élections.

Enfin, le Bureau est revenu également sur l’interprétation de l’article 11 de convention 108+ (exception et restrictions) et sur la protection des données dans le contexte des neurosciences (éthiques et droit nouveaux consacrés).

 

  1. Au niveau africain

 

Séminaire en ligne : « Protéger les femmes en ligne : combattons ensemble les violences numériques »

La CNDP du Maroc et le comité de contributeurs de la plateforme « Koun3labal » dont la CDP fait partie, ont organisé le mercredi 20 mars 2024, un séminaire en ligne sur la protection des femmes contre les violences numériques. Ce séminaire présidé par le Président de l’Autorité du Maroc, M. Omar Seghrouchni, a enregistré la participation des autorités sœurs tels que l’ANSICE du Tchad, la HAPDP du Niger, l’ARTCI de la Côte d’Ivoire, l’APDP du Bénin et la CIL du Burkina Faso. L’occasion de partager des expériences entre les autorités de protection de données personnelles sur la protection des femmes contre les violences numériques notamment :

  • Identification des défis communs et des conséquences psychologiques, émotionnelles et juridiques des violences numériques à l’égard des femmes ;
  • Présentation des lois existantes liées aux violences numériques ainsi que les recours juridiques disponibles ;
  • Partage de ressources disponibles par chaque autorité pour le soutien psychologique, juridique et technique des femmes victimes de violence numérique ;
  • Partage des actions de sensibilisation émises par chaque autorité pour sensibiliser les femmes ;
  • Exploration des solutions, en fournissant des conseils et des bonnes pratiques pour prévenir les violences numériques et se protéger en ligne par chaque autorité.

La CDP a fait part de son expérience, en collaboration avec les acteurs étatiques et la société civile, dans la sensibilisation des femmes contre les violences numériques.

 

 Au plan national

 

Réunions du Comité de suivi des activités du Sommet Mondial pour la Société de l’Information (SMSI) édition 2024

La CDP a pris part aux réunions du comité de suivi des activités du SMSI pour édition 2024.  L’ordre du jour de la première réunion tournait autour des points suivants :

  • Le prix SMSI et l’organisation du concours national
  • La mise à jour sur les informations du sommet
  • Questions Diverses

L’essentiel des discussions ont porté sur la méthodologie d’évaluation d’une part, et d’autre part, il a été question de définir une approche, puis trouver un consensus sur les barèmes de notation provisoire.

La CDP a saisi cette occasion pour fournir un apport scientifique sur des domaines suivants :

  • Orienter le choix sur les critères d’évaluation en rapport avec la protection de vie privée et les données personnelles.
  • Identifier les lignes directrices compatibles avec la promotion de la protection des données personnelles et leur sécurité.

Identifier les ODD compatibles avec les droits fondamentaux en soutien à la protection de la vie privée et des données personnelles.

Dans la même foulée, la CDP a assisté à la troisième réunion du comité de suivi des activités du SMSI pour édition 2024 qui s’est tenu le 28 Janvier 2024. La réunion avait pour ordre du jour la Délibération du jury portant sur le prix SMSI et de l’organisation du concours national. Enfin, une dernière réunion du comité de suivi des activités du SMSI a été réorganisée le 14 mars 2024 en ligne. Plusieurs points étaient retenus à l’ordre du jour dont les suivants :

  • Présentation du rapport du prix SMSI ;
  • Mise à jour du tableau de suivi de la mise en œuvre des lignes d’action du SMSI ;
  • Participation au prix de l’innovation digital et du prix de l’innovation pour le vieillissement en bonne santé ;
  • Identification de panels pour la participation du Sénégal.

Les points de discussions ayant fait l’objet d’analyse mutuelles et concertées sont les suivants :

  • Définir une approche consensuelle sur la façon de rendre audible et compréhensible les actions menées par le Sénégal
  • Chercher des sponsors ou Contributed Partners pour les lauréats du concours national pour le prix SMSI et le concours photos SMSI
  • Intérêt pour le Sénégal dans sa participation au panel de haut niveau.

Plusieurs points ont été soulevés au cours des discussions, notamment la question de cybersécurité qui constitue une des thématiques retenues pour le panel de haut niveau qui se tiendra durant le sommet SMSI 2024. C’est à ce titre que la CPD a rappelé la nécessité de soutenir les stratégies de cybersécurité. Car celle-ci constitue un volet important dans la gouvernance de l’écosystéme numérique y compris dans la politique de protection des données personnelles, levier sur lequel repose désormais plusieurs axes ODD.

 

  1. POINT DES REUNIONS SUR DES PROJETS IMPORTANTS

 

Plateforme d'interopérabilité des Systèmes d'Information de l'Administration

Le mercredi 14 février 2024, un atelier passionnant sur la Plateforme d'Interopérabilité des Systèmes d'Information de l'Administration du Sénégal s'est tenu avec succès dans les locaux de SENUM SA. Le projet " Doolel Admin", mis en place dans le cadre du partenariat Sénégalo-Allemand, vise à développer un prototype de plateforme permettant l'interopérabilité des systèmes d'information de l'Administration sénégalaise. Cette plateforme permettra de faciliter l'échange de données entre les administrations et d'améliorer la collaboration entre les services.

La CDP a joué un rôle actif dans le projet en participant aux travaux du comité de pilotage et en contribuant à la définition des exigences de sécurité de la plateforme.

 

Atelier 5G pour les Forces de Défense et de Sécurité

L'atelier 5G pour les forces de défense et de sécurité (FDS) a été organisé pour explorer les opportunités offertes par la 5G dans le domaine de la défense et de la sécurité. L'atelier a permis d'identifier les cas d'utilisation potentiels de la 5G et d'élaborer une feuille de route pour son déploiement au sein des FDS.

 

Atelier de partage des connaissances pour le renforcement des capacités des services d’enquête et de lutte contre la cybercriminalité dans le domaine des services de mobile money

Les 14 et 15 février 2024 la Division spéciale de la Cybersécurité (DSC) a organisé, en collaboration avec Wave Digital Finance, un atelier de partage avec les Forces de défense et de sécurité, et les sociétés de transfert d’argent sur les actions de lutte contre la cybercriminalité dans le domaine des Fintech.

La CDP a participé à l’atelier pour revenir sur les enjeux de la protection des données personnelles dans les services de mobile money. A ce titre, la CDP est revenue sur la nécessité pour les entreprises de mobile money d’assoir des politiques de protection des données personnelles des clients.  Par ailleurs, les Forces de défense et de sécurité ont été sensibilisées par la CDP sur la gestion des données personnelles des clients, collectées à l’occasion des enquêtes des infractions liées aux services de mobile money.

Atelier du Comité Technique du Secrétariat général du Gouvernement sur le projet de loi relatif à l’introduction des procédés informatiques dans la gestion de l’état civil

La CDP a pris part, du 07 au 09 mars 2024, à l’atelier du Comité technique du Secrétariat général du Gouvernement sur le projet de loi relatif à l’informatisation de l’état civil. Les participants ont échangé sur les dispositions du projet de loi, notamment sur l’encadrement juridique de la dématérialisation des procédures d’enregistrement des faits d’état civil, de demandes et délivrance d’actes d’état civil.  Le Comité technique a validé le projet de loi, qui sera transmis à la CDP pour avis.

 

CONCLUSION

 

Le premier trimestre de l’année 2024 est marqué par l’augmentation du nombre d’auditions de responsables de traitement par la Session plénière de la CDP. Les auditions constituent un levier de contrôle de la conformité des traitements, que la Session plénière utilise pour prendre des décisions éclairées sur certains dossiers assez sensibles, ou projets stratégiques de l’État.

Par ailleurs, la Session plénière a accordé une attention particulière aux transferts de données personnelles en dehors du Sénégal, notamment pour des traitements concernant l’Administration. C’est à ce titre que les entités publiques effectuant des transferts de données vers des pays tiers ont été auditionnées durant ce trimestre, en vue de les amener à héberger au Sénégal, les données personnelles qu’elles traitent.

Sur le volet du contentieux, le premier trimestre a été marqué par des plaintes et signalements portant sur des fuites de données personnelles, ainsi que sur la prospection à caractère politique.  Enfin, sur les missions de contrôle, la CDP a démarré les missions prévues, au titre du planning de 2024.

Vendredi, avril 19, 2024 - 14:15

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles