COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N°03-2020 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce troisième trimestre de l’année 2020, et conformément à son programme annuel d’activités, la CDP a adressé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et échangé avec des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.

Ainsi, après consultation des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

  •  COMPTE RENDU DES ACTIVITES DECLARATIVES

 

Au cours de ce troisième trimestre 2020, la CDP a accueilli 11 structures venus s’imprégner de la législation sur les données à caractère personnel. 

 La Commission a traité 66 dossiers dont 54 déclarations et 12 demandes d’autorisation.

A l’issue des deux (02) sessions plénière tenues à la CDP, cinq quatre (54) récépissés de déclaration et douze (12) autorisations ont été délivrés.

La Commission a, en outre, émis des appels à déclaration, reçu des plaintes, signalements et demandes d’avis :

- Nombre d’appels à déclaration : 05

- Plaintes et signalements reçus : 24

- Demande d’avis : 09

 

  1. - Demandes d’avis reçus par la CDP  

 

 

QUESTIONS

REPONSES

Ministère des Infrastructures des Transports terrestres et du Désenclavement

(MITTD)

 

Le MITTD a demandé l’avis de la CDP sur le projet de décret portant règlement de police et d’exploitation des autoroutes à péage.

L’avis demandé par le Ministère porte essentiellement sur la conformité, avec la loi 2008-12 portant sur la protection des données à caractère personnel, de l’installation sur les autoroutes à péage d’un dispositif de vidéosurveillance, ou de tout système de prise automatique d’images et de mouvements, notamment à des fins de sécurité.

La CDP a donné un avis favorable considérant que la finalité d’un tel dispositif est légitime.

Toutefois, elle a rappelé au Ministère que les exploitants des autoroutes devront se conformer aux formalités déclaratives des systèmes de vidéosurveillance auprès de la CDP.

M. GAYE

Un ancien salarié demande à disposer d’une copie de ses courriels professionnels archivés.

L'article 62 de la loi 2008-12 du 25 janvier 2008 permet à toute personne concernée de demander à accéder à ses données personnelles traitées et d’en obtenir une copie. 

A ce titre, un salarié peut demander une copie de son dossier personnel. 

Toutefois, les courriels professionnels doivent être essentiellement ou partiellement constitués de données personnelles pour faire l’objet d’une demande d’accès au titre de l’article 62 précité.

M. THIAM

  1. Y 'a-t-il un document que l'employeur doit faire signer à l'employé pour la protection de ses données personnelles ?
  2. Quelle est la procédure à respecter par l'employeur avant de mettre en place un système de pointage biométrique ?
  3. L'employeur a-t-il la possibilité d'installer un système de pointage biométrique sans le consentement individuel de chaque employé ?
  1. Concernant la protection des données personnelles des employés, l'employeur peut intégrer dans les contrats de travail des clauses relatives au traitement des données personnelles. 
  2. Avant la mise en place d'un système de pointage biométrique, l'employeur doit respecter les deux procédures suivantes :

- Effectuer une demande d'autorisation auprès de la CDP, en remplissant le formulaire de demande d'autorisation disponible sur le site internet de la CDP (www.cdp.sn) ;

- Informer préalablement les salariés, et de façon formelle (note de service, règlement intérieur, note d'information.) de la mise en place du système de pointage. 

Par ailleurs pour le pointage, l'employeur n'est autorisé qu'à collecter l'empreinte de deux doigts au maximum. 
3. L'employeur a uniquement une obligation d'information préalable et formelle vis-à-vis des employés. La CDP autorise la mise en place de ce système. Toutefois, parmi les bonnes pratiques, il est recommandé de bien sensibiliser le personnel.

M. BA

Quelle est la procédure de déclaration de la collecte de données personnelles sur site internet ?

Renseigner le formulaire de déclaration de collecte de données sur site internet téléchargeable sur www.cdp.sn

A. GAYE

Le système de géolocalisation des véhicules d’une entreprise devrait-il faire l’objet d’une déclaration au niveau de la Commission de Protection des Données Personnelles ?

Le système de géolocalisation installé dans les véhicules d’une entreprise est un traitement de données à caractère personnel qui doit faire l’objet d’une déclaration auprès de la CDP, en vue de bénéficier d’un récépissé selon les dispositions de l’article 18 de la loi 2008-12 du 25 janvier 2008.

Toutefois, lorsque le lieu de stockage des données se trouve à l’étranger, à la place d’une déclaration normale, une demande d’autorisation s’impose, conformément à l’article 16-6 de la loi n°2008-12 susmentionnée.

A. JOUGA

Quelle est la valeur juridique d’un élément audio dénigrant à tort un établissement que j’administre, et dont l’auteur est un des élèves inscrits ?

L’élément audio diffamatoire peut-il servir de motif de sanction ?

 

Conformément à l’article 677-40 du Code de procédure pénale, les données numériques (image, vocal ou audio, SMS, courriers électroniques…) peuvent prouver la commission d’infractions et servir de mode preuve « sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ».

Toutefois, la CDP vous recommande de :

  • sensibiliser les acteurs (administration, personnel et élèves) sur les dangers liées aux TIC en milieu scolaire ;
  • prendre une décision proportionnée à la faute commise ;
  • déclarer tous les traitements de données à caractère personnel mis en œuvre au sein de l’établissement (fichiers du personnel enseignant, des élevés ou étudiants, la vidéosurveillance s’il y a lieu…), conformément aux articles 18 et suivants de la loi n°2008-12 du 25 janvier 2008.

Ano 1550

Est-il permis à mon époux d’installer un dispositif de vidéosurveillance dans le domicile conjugal sans mon consentement ?   

L’installation d’un système de vidéosurveillance chez un particulier est soumise à une déclaration préalable auprès de la CDP en vue de l’obtention d’un récépissé.

Elle peut se faire sous une forme simplifiée selon la norme simplifiée n°2019-003/CDP du 19 avril 2019.

La mise en place de caméras à domicile  ne doit pas porter atteinte à l’intimité et à la vie privée des occupants. Certains lieux comme les toilettes, le salon, les cuisines sont exclus en principe.

Le recueil du consentement de chacun des époux est souhaitable, et la CDP encourage fortement les conjoints à échanger sur l’opportunité et la mise en œuvre du dispositif. 

M. AHMADEKABIR

Est-ce que les données ont une durée de validité ?

Nous nous dirigeons vers un monde où chaque détail de l’être humain sera crucial. Et ces données peuvent être demain une source de sécurité et revenu pour un état ?   

Les données personnelles ne doivent être conservées que pour poursuivre des finalités bien déterminées, conformément aux articles 35 et 72 de la loi n°2008-12. A l’expiration de ces finalités, les données doivent être détruites ou archivées. 

M. BOCOUM

J’aimerais savoir si les formalités déclaratives seront maintenues dans la nouvelle loi à venir ?

Les formalités préalables seront maintenues pour les traitements de données à caractère personnel à risque, notamment les transferts des données vers l’étranger, le traitement des données sensibles et les interconnexions de fichiers.

 

 

  1. - Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants

Traitements

  1. NUMHERIT SA

Système de contrôle d’accès par badge

  1. BANQUE ATHLANTIQUE

Registre des entrées et sorties 

  1. GLOBIRIS TECHNOLOGY

Fichiers contenant des données personnelles

  1. WAFACASH WEST AFRICA

Registre des entrées et sorties 

  1. NORWEGIAN REFUGIEE COUNCIL

Système de contrôle d’accès par badge

 

 

  1. - Décisions rendues par la Session Plénière :

 

  1. - Autorisations accordées :  

Finalités des traitements

 

Nombre

Structures

Base de données des clients

01

SN SOFTWARE

Système de pointage biométrique

04

MEDITERRANEAN SHIPPING COMPANY

NUMHERIT SA

WAFACASH WEST AFRICA

NORWEGIAN REFUGIEE COUNCIL

Transfert de données vers VIVALIS SALAF 

01

 

BANQUE ATLANTIQUE SENEGAL

Plateforme 1 CLIC www.unclic.sn

01

PSF BUSINESS SERVICES SUARL

 

Traitement FATCA

01

WAFA ASSURANCE VIE SA

 

POCLAB

01

SECRETARIAT EXECUTIF DU CONSEIL NATIONAL DE LUTTE CONTRE

LE SIDA (CNLS)

Système de géolocalisation

01

 

ROYAL INFORMATION TECHNOLOGIES 

Programme de Remédiation Industrialisée du KYC

01

SOCIETE GENERALE DE BANQUES AU SENEGAL (SGBS)

Application NextGen, Mantas pour la surveillance des transactions des correspondants bancaires transfrontaliers

01

CITIBANK SENEGAL SA

 

  1. -  Récépissés délivrés : 

 

Finalités

 

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

11

  • TERROU-BI
  • CENTRE DE SANTE ANNETTE MBAYE DERNEVILLE       
  • DAKAR TERMINAL
  • GRIMALDI SENEGAL
  • AGENCE NATIONALE DE LA COUVERTURE MALADIE UNIVERSELLE (ANACMU)
  • SEN’EAU Eau du Sénégal SA
  • WIZALL SERVICES
  • WIZALL SENEGAL
  • WAFACASH WEST AFRICA
  • ALIMENTATION GENERALE SECK ET FRERES SOPE SERIGNE BABACAR SY
  • ROYAL INFORMATION TECHNOLOGIES

Vidéosurveillance chez des particuliers

 

02

  • CHEIKH LATYR DIACK
  • ABDOULAYE NDIAYE

Base de données clients

07

  • PYRAMIDE TECHNOLOGIE
  • SEN GEO SYSTEMS
  • WAW SAS
  • AFRICA BUSINESS SOLUTIONS
  • SEN’EAU Eau du Sénégal SA
  • FALL MULTI TECHNOLOGIES (FMT)
  • HAUTES TECHNOLOGIES VISION SARL

Gestion des Ressources Humaines

08

  • NUMHERIT SA
  • AFRICA BUSINESS SOLUTIONS
  • SN SOFTWARE
  • SEN GEO SYSTEMS
  • PYRAMIDE TECHNOLOGIES SUARL
  • SEN’EAU Eau du Sénégal SA
  • FALL MULTI TECHNOLOGIES (FMT)
  • HAUTES TECHNOLOGIES VISION SARL

Gestion des fournisseurs et prestataires

03

  • SN SOFTWARE
  • HAUTES TECHNOLOGIES VISION SARL
  • COMTEL INGENIERIE

Registre des entrées et sorties

14

  • PRESTIGE DECO SAU
  • IDEAL TRANSIT TRANSPORT
  • SENEGALAISE MATERIAUX DE CONSTRUCTION
  • GENERALE DISTRIBUTION CARREAUX ET SANITAIRE
  • SENEGALAISE INDUSTRIE COMMERCE (SENICO) SA
  • COMPAGNIE COMMERCIALE DIA ET FRERES
  • SERIGNE ABDOU DIA (Lot N°15 Zone 6 Almadies)
  • SERIGNE ABDOU DIA (Lot N°8136 NGA Corniche des Almadies)
  • WAW SAS
  • AFRICA BUSINESS SOLUTIONS
  • SAMSUNG ELECTRONICS WEST AFRICA LTD
  • CBAO GROUPE ATTIJARI WAFA BANK
  • SPH PULLMAN DAKAR TERANGA
  • AFRIC AZOTE

Enquête sur les effets de la Covid-19 sur les entreprises industrielles (ECI), 2020

01

  • AGENCE NATIONALE DE STATISTIQUE ET DE LA DEMOGRAPHIE (ANSD)

Enquête sur les intentions d’investissement post COVID-19 sur les entreprises formelles (EII), 2020

01

  • AGENCE NATIONALE DE STATISTIQUE ET DE LA DEMOGRAPHIE (ANSD)

Enquête téléphonique à haute fréquence COVID19 2020 (ETHF Covid19)

01

  • AGENCE NATIONALE DE STATISTIQUE ET DE LA DEMOGRAPHIE (ANSD)

Système de contrôle d’accès et de pointage par badge

04

  • BANQUE DE DAKAR SA
  • SAMSUNG ELECTRONICS WEST AFRICA LTD
  • MEDICAL RH
  • COMTEL INGENIERIE

Traitement de données à caractère personnel des clients de la monnaie électronique émise par BDK de marque KASH KASH

01

  • BANQUE DE DAKAR SA

 

Géolocalisation des équipes techniques de la SEN’EAU

01

  • SEN’EAU Eau du Sénégal SA

 

 

 

  • PLAINTES ET SIGNALEMENTS 

 

21- PLAINTES

 

La Commission de protection des Données Personnelles (CDP), conformément à ses missions d’information, de veille et de sauvegarde des droits et libertés fondamentaux attire l’attention des utilisateurs sur les risques liés à l’usage des réseaux sociaux et autres plateformes de communication. A cet effet, la CDP a reçu et traité un nombre important de plaintes et de signalements (24 cas) durant ce trimestre. Les plaintes sont relatives aux collectes frauduleuses de données personnelles, aux publications ou menaces de publication de photos ou de vidéos intimes de citoyens, à des fins de cyberchantage et d’extorsion de fonds.

Ces procédés ne sont pas toujours directement liés aux traitements de données à caractère personnel mis en œuvre par des organismes publics ou privés. Il s’agit plutôt de pratiques relevant de la cybercriminalité (escroquerie, tentative d’extorsion de fonds, piratage de compte…), dont les auteurs ne sont pas souvent localisés sur le territoire national.

Le mode opératoire est quasiment identique : la victime se rend sur un site de rencontre, où il entre en relation avec un cyber-escroc, qui se fait passer pour une femme ou un jeune homme.

Après un échange et des questions sur la vie privée de la victime, le cybercriminel l’invite à approfondir la relation par une conversation vidéo plus intime. Plus tard, un mail ou un message sur le réseau social va apprendre à la victime que la conversation vidéo a été enregistrée.    

Le cyber-escroc menace, ensuite, de diffuser la vidéo compromettante sur le compte Facebook, WhatsApp, twitter d’un proche ou sur un site de partage de vidéos, si la victime ne lui remet pas une somme plus ou moins importante, dans un délai très court.

Ainsi, face à de telles situations, la CDP informe le Parquet ou les Forces de défense et de sécurité, conformément aux articles 16-2-c et 75 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. 

En cas d’urgence, et pour éviter les lenteurs procédurales, la CDP communique directement au plaignant ou l’auteur du signalement la procédure à suivre auprès de la Division Spéciale de la Cybersécurité (DSC) de la Police et de la Plateforme Nationale de lutte contre la Cybercriminalité (PNLC) de la Gendarmerie.

Par ailleurs, la CDP invite les utilisateurs de ces plateformes à plus de prudence et de responsabilité et recommande aux victimes de : 

  • PORTER PLAINTE DIRECTEMENT AUPRES DU PARQUET OU DES FORCES DE DEFENSE ET DE SECURITE :
  •  DSC de la Police sise à l’Avenue Malick Sy x Corniche Ouest en face de la mosquée de la famille Omarienne ;
  •  PNLC de la Gendarmerie sise à la Caserne Samba Déry Diallo de Colobane ;
  • NE PAS VERSER D'ARGENT QUELLE QUE SOIT LA SOMME DEMANDEE ;
  • EFFECTUER DES CAPTURES D'ECRAN JUSTIFIANT LA SITUATION LITIGIEUSE (MESSAGES REÇUS, CONTENUS A EFFACER ...).

 

LIENS UTILES DEDIES AUX VICTIMES POUR LES SIGNALEMENTS SUR LES PLATEFORMES

PLATEFORMES

FORMULAIRES ET DEMARCHES

FACEBOOK

https://web.facebook.com/help/contact/567360146613371?_rdc=1&_rdr   

INSTAGRAM

https://help.instagram.com/contact/1681792605481224?helpref=faq_content

TWITTER

https://help.twitter.com/forms/abusiveuser

YOU TUBE

https://support.google.com/youtube/answer/142797

WHATSAPP

> Allez sur Paramètres > À propos et aide > Contactez-nous > tapez le motif dans le formulaire qui s’affiche et joignez des captures d’écran > suivant, puis cliquez sur « cela ne répond pas à ma question » et enfin « envoi du rapport par messagerie ».

SNAPCHAT

Ouvrir l’application > Ouvrir le snap à signaler > Rester appuyer sur le snap à signaler > Appuyer sur le drapeau en bas à gauche > Sélectionner « Elle ne devrait pas être sur Snapchat » ; > Sélectionner « Nudité ou contenu sexuel » ; > Appuyer sur « Envoyer »

 

         PLAIGNANT

  MIS EN CAUSE

MOTIFS

OBSERVATIONS

1

M. Y. S.

 Sociétés de transfert d’argent

Collecte de la Carte Nationale d’Identité dans le cadre de transfert de monnaie électronique

Dans sa plainte transmise à la CDP, Monsieur Y précise qu’il a effectué plusieurs retraits au niveau de sociétés de transfert d'argent. Lors de ces retraits, il a constaté qu’une copie de sa Carte Nationale d'Identité (CNI) est toujours demandée et conservée au niveau de ces sociétés.  Ainsi, il se demande si la finalité de la collecte est légitime ? 

La CDP a rappelé au plaignant que les sociétés de transfert d’argent en tant que responsables de traitement sont assujetties aux obligations découlant de la lutte contre le blanchiment de capitaux et le financement du terrorisme, notamment l’Instruction N°01/2007/RB du 02 juillet 2007 de la Banque Centrale des États de l’Afrique de l’Ouest (BCEAO) et la Loi n°2018/03 du 23 Février 2018. C’est à ce titre qu’elles doivent répondre aux obligations légales imposées par les Autorités de contrôle, notamment la BCEAO et la CENTIF.

Ainsi, la CDP considère que collecte de la CNI est légitime au regard de la finalité poursuivie.

2

M. M. D

SONATEL

Collecte obligatoire du numéro de téléphone des clients au niveau des agences

La CDP a reçu une plainte de Monsieur M. D. mettant en cause la SONATEL pour collecte obligatoire du numéro de téléphone des clients, au niveau des agences, lors du paiement des factures.

En réponse à la demande d’explication de la CDP, la SONATEL précise que : « La remise du numéro de téléphone est parfaitement optionnelle. Les informations sont recueillies pour :

  • renseigner par SMS à la personne concernée sa position dans la file d’attente, son ordre de passage ;
  • mesurer par un sondage à postériori la satisfaction sur la qualité de la prise en charge au niveau du point de vente...

Les personnes concernées sont informées par voie d’affichage en agence du traitement de leurs données personnelles et des moyens mis en place pour leur permettre d’exercer leurs droits.

En l’état, la CDP estime que la SONATEL a pris des mesures appropriées pour rendre purement optionnelle la collecte du numéro de téléphone des clients.

Toutefois, la CDP se réserve le droit d’effectuer, à tout moment, un contrôle a posteriori pour vérifier l’applicabilité des mesures prévues par le responsable du traitement.

3

M A. M. N et autres

Commune de Dakar Plateau

Plateforme de recensement des besoins en aide aux populations de Dakar Plateau

Des résidents de la Commune de Dakar-Plateau ont déposé une plainte à la CDP pour non-accomplissement des formalités préalables à la mise en œuvre de la plateforme de recensement des besoins en aide aux populations de Dakar Plateau et pour collecte de données sensibles.

La CDP a informé les plaignants que la Commune de Dakar Plateau a déposé le formulaire de demande d’autorisation pour se conformer aux articles 4-8, 16-6 et 41-9 de la loi n°2008-12 janvier 2008 portant protection des données à caractère personnel.

En l’état, le dossier est encore en instruction avant d’être présenté à la Session plénière pour décision. 

Ainsi, les motifs invoqués dans la plainte seront pris en compte lors de l’étude de ce dossier par la Session plénière.

4

       M.M. S.

SONATEL

OTH Sénégal

Prospection directe non sollicitée via le jeu GAMELAND

La CDP a reçu une plainte de Monsieur M.S mettant en cause la SONATEL, pour un service payant auquel il n’a pas souscrit dans le cadre d’une opération de prospection directe du jeu GAMELAND.

En réponse à la demande d’explication de la CDP, la SONATEL précise qu’un contrat de prestation de services le lie à la société OTH Sénégal qui exploite le jeu GAMELAND, et qui permet à ladite société d’utiliser le SMS-C, de la plateforme USSD et le service de facturation opérateur en vue de proposer des offres à ses propres clients, éditeurs de services.  

Ainsi, en vertu des articles 4-15) et 16) de la loi n°2008-12, la CDP retient que la société OTH SENEGAL est le responsable du traitement et la SONATEL intervient en qualité de sous-traitant. Ainsi, en cette qualité, la SONATEL nous informe que le désabonnement du plaignant est devenu effectif.

Par ailleurs, sur le fondement de la Délibération n°2014-20/CDP du 30 mai 2014 portant sur les conditions de la prospection directe, la CDP a enjoint la société OTH SENEGAL de :

  • procéder à la déclaration de ce traitement et de tout autre traitement qu’elle met en œuvre ;
  • mentionner clairement dans les Conditions du jeu, les dispositions qui garantissent, l’information, le consentement et les modalités de désabonnement des joueurs.

5

    M. A. S.

Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique

Demande de suppression de données personnelles sur la plateforme 100.000 logements

Monsieur A. S. s’est inscrit sur la plateforme du programme 100.000 logements mis en œuvre par le Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique. Il notifia ensuite par écrit, sans suite, au Ministère, son souhait de se désinscrire, car n’étant plus intéressé par le programme.

Il a saisi la CDP pour l’application de l’article 62 du décret n°2008-721 du 30 juin 2008 portant application de la loi n°2008-12de .

Suite à une demande de suppression de la CDP, suivi d’une relance, le Ministère de l’Urbanisme, du Logement et de l’Hygiène Publique a supprimé les données du plaignant de la plateforme. 

La CDP a pris acte de la suppression et clôture la plainte. 

6

        M.D.S

 SODIMEL INT S.A

Exercice du droit de suppression d’adresse email nominative

Monsieur S. D. a adressé une demande de suppression de son adresse électronique nominative à son ex-employeur la SODIMEL INT S.A, avec ampliation à la CDP, conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008.

En retour, la SODIMEL INT S.A a notifié au plaignant et à la CDP la suppression définitive de l’adresse électronique et a annexé au courrier, le relevé de la procédure de suppression à titre de justificatif.

Ainsi, la CDP a pris acte de la suppression tout en rappelant à la SODIMEL INT ses obligations déclaratives, conformément aux articles 18 et suivants de la loi n°2008-12 susmentionnée.   

7

   Mme N. M. ND

SONATEL

Ouverture d’un compte Orange Money sans recueillir le consentement préalable

La dame ND. a déposé à la CDP une plainte contre Orange Finances Mobiles Sénégal (OFMS) pour ouverture illégale d’un compte Orange Money.

La CDP a adressé une demande d’explication à OFMS. Cette dernière a formulé des éléments de réponses qui ont été transmis à la Session plénière des Commissaires de la CDP, pour suites à donner. 

8

M.M.D

Contre X

Vidéo montage sur YouTube

Monsieur M. D, chauffeur d’une Chaine de télévision, a saisi la CDP d’une plainte contre X, relative à une vidéo montage le concernant sur YouTube. La vidéo lui prête des propos diffamatoires à l’endroit de son supérieur hiérarchique. 

La CDP a rappelé au plaignant que le montage réalisé avec les paroles ou l’image d’une personne sans son consentement par le biais d’un moyen de diffusion publique (YouTube) constitue une infraction prévue et réprimée par le Code pénal.

Ainsi, sur le fondement des articles 363 bis alinéa 4 et 431-59 de la loi n°2016-29 du 08 novembre 2016 modifiant le code pénal, la CDP a transmis la plainte à la DSC de la Police pour la recherche de l’auteur de cette infraction.

9

Mme. F. S. L

Contre X

Collecte illicite et menace de publication de données personnelles

La dame F. S. L, résidente à l’étranger, précise dans sa plainte transmise à la CDP, qu’une personne mal intentionnée lui a envoyé un message sur WhatsApp sous forme de menace de publication de ses photos et vidéos intimes sans son consentement.

Elle ignore l’origine de la collecte des données personnelles et l’identité de la personne mise en cause.

En application des articles 431-19 et 363 bis de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier à la DSC de la police pour suites à donner.

10

M. A. B.

 

M. A. ND.

 

 Prises de photos et de vidéos en milieu professionnel  

Un employé d’un établissement hôtelier précise, dans sa plainte transmise à la CDP, qu’il a été victime d’agissements répétés de son Chef de service qui capturait son image malgré son opposition. Le Chef de service prétend agir sous les ordres du Directeur de la Restauration.

En application des articles 4-6, 33, 35 et 68 de la loi n°2008-12 du 25 janvier 2008, la CDP a requis une demande d’explication au mis en cause, en rappelant que le récépissé de déclaration délivré pour le traitement relatif au système de vidéosurveillance installé dans les locaux de l’établissement hôtelier doit respecter strictement la finalité déclarée.

A ce jour, la CDP est dans l’attente des explications du mis en cause.  

         11

Mme B. B

Contre X

Système de vidéosurveillance irrégulièrement installé

La dame B. B a déposé une plainte à la CDP contre X, relative à un système de vidéosurveillance installé par l’un de ses voisins. La plaignante précise que ce dernier a installé dans son immeuble trois (03) caméras, dont deux (02), placées à l’extérieur du premier étage, prennent toutes les images de la rue et violent l’intimité des résidents de la cité.

En application de l’article 19 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel et de la norme simplifiée n°2019–003/CDP du 19 avril 2019, la CDP a requis auprès du propriétaire des explications. 

A ce jour, la CDP, constatant le non-respect de la formalité déclarative, a transmis une lettre de relance au propriétaire, l’invitant à se conformer à la loi. A défaut, la CDP diligentera toutes les suites prévues par la loi.

12

M. H. J. G.

 Page Facebook XXX

Utilisation de données personnelles à des fins calomnieuses

Monsieur M. H. J. G a déposé une plainte à la CDP mettant en cause l’Administrateur de la page Facebook « XXX » pour utilisation de ses données personnelles (photos) à des fins calomnieuses, notamment le traitant de violeur qui vient d’être gracié.       

En application des articles 16-2c, 75, 34 et 42 de la loi n°2008-12 précitée et de l’article 362 de la loi n° 65-60 du 21 juillet 1965 portant Code pénal, la CDP a transmis le dossier au Procureur de la République.

13

M. S. G.

Contre X

Usurpation d’identité

Monsieur S.G. précise dans la plainte transmise à la CDP, « qu’une personne mal intentionnée a pris la peine d’offrir à des honnêtes citoyens la vente de véhicules en affichant ma photo sur son profil WhatsApp ». 

En application des articles 431-19 et 431-57 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis le dossier à la DSC de la police aux fins d’enquêtes et de poursuites.

14

M. G. B

Contre X

Demande de suppression de vidéos d’une scène de maltraitance diffusée et partagée sur WhatsApp

Monsieur G.B. a déposé une plainte contre X pour collecte et diffusion sur WhatsApp de vidéos d’une scène de maltraitance subie par son ami. Les vidéos ont été partagées même à l’étranger.  

La CDP a recommandé au plaignant de remplir un formulaire dédié aux signalements, en vue de demander le retrait des vidéos litigieuses.

Le signalement de la vidéo à WhatsApp est le principal moyen actuel pour demander le retrait d’un élément illicite. Toutefois, en raison du contrôle que garde les destinataires de la vidéo sur les éléments téléchargés, il est difficile de s’assurer de la suppression définitive de la vidéo.

 

 

 

 

 

 

  1. SIGNALEMENTS

 

MIS EN CAUSE

MOTIFS

OBSERVATIONS

Office du Baccalauréat

Communication des résultats du Baccalauréat par SMS

La CDP a reçu plusieurs signalements d’internautes dénonçant le dispositif mis en place par l’Office du Baccalauréat relatif aux résultats du BAC 2020. Le formulaire utilisé par le responsable du traitement présente de graves failles de sécurité pour les données personnelles des citoyens sénégalais inscrits en raison des risques associés à l’usage de la solution Googleforms. La CDP a saisi l’Office du BAC aux fins d’explications sur l’inobservation de la procédure déclarative et plus particulièrement sur la faiblesse des mesures prises pour garantir la sécurité des données. 

Suite à la réponse à l’Office du Baccalauréat, en application de la circulaire N°0004 PM/CAB/INFO du 12 février 2015 sur l’obligation de déclaration de tous les traitements mis en œuvre par les organismes publics, la CDP a invité le Ministère de l’enseignement supérieur à engager l’ensemble de ses services et des organismes sous sa tutelle à :

  • Accomplir les formalités déclaratives prévues par la loi n°2008-12 ;
  • Élaborer des politiques de conformité propices à un environnement numérique de confiance ;
  • Sensibiliser les structures d’enseignement supérieur et de recherche sur l’importance de la sécurité des données ;
  • Prendre toutes les mesures utiles pour assurer la sécurité et la confidentialité des données ;
  • Mettre en œuvre un programme d’éducation au numérique au profit des composantes du milieu universitaire. 

DakarStock

Ouverture d’un compte sans consentement lors d’une commande sur la plateforme DakarStock

L’auteur du signalement informe la CDP  qu’il a fait une commande sur la plateforme DakarStock pour l’achat d’une cartouche d'encre. Suite à l’annulation de la commande pour défaut de livraison du produit à la date convenue, il a reçu un courriel lui indiquant que son compte DakarStock a été créé, et un mot de passe fourni pour accéder au compte.

La CDP a rappelé au responsable du traitement que toute plateforme de fourniture de biens ou d’offre de services électroniques doit être déclarée en vue de l’obtention d’un récépissé ou d’une autorisation. Aussi, doivent figurer sur la plateforme, au profit des cyberacheteurs, des Conditions Générales de Vente (CGV) qui comportent des clauses sur la protection des données à caractère personnel.      

Ainsi, en application des articles 18, 33, 58, 68 et 69 de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, de l’article 8-4 du décret n° 2008-718 du 30 juin 2008 relatif au commerce électronique pris dans le cadre de l’application de la loi n° 2008 -08 du 25 janvier 2008 sur les transactions électroniques, la CDP a transmis un courrier au responsable du traitement aux fins d’explication sur :

  • L’ouverture de compte sans consentement, 
  • L’absence des CGV et de déclaration de la plateforme DakarStock. 

Studioxam

Collecte illicite de numéro de téléphone et envoi de messages de prospection directe destinés aux élevés

La CDP a reçu un signalement relatif à la collecte illicite de numéro de téléphone et à l’envoi de messages de prospection directe, destinés aux élevés en classe de Terminal, via l’application STUDIOXAM, sans recueillir leur consentement préalable.

La CDP a rappelé à l’auteur du signalement que l’opération de prospection directe n’est légale que si le responsable du traitement des données personnelles déclare son fichier ou sa base de données, et respecte les droits fondamentaux conférés aux personnes concernées. Ainsi, en application des articles 18, 47 et 68 de la loi n°2008-12 du 25 janvier 2008 et de la délibération n°2014-20/CDP du 30 avril 2014 portant sur les conditions de la prospection directe, la CDP a demandé des explications au responsable du traitement sur cette prospection non sollicitée et l’a invité à surseoir au déploiement de cette activité, jusqu’à l’obtention d’un récépissé ou d’une autorisation.  

Les mis en cause

Diffusion d’une vidéo de l’agression d’une dame à Sacré-Cœur 

La CDP a reçu des signalements relatifs à la diffusion, sur les sites d’information en ligne et les réseaux sociaux, d’une vidéo de l’agression d’une dame à Sacré-Cœur.

La CDP, dès qu’elle a été formellement saisie par Amnesty International Sénégal, a diligenté une procédure auprès du Parquet de Dakar, pour une suite judiciaire à cette l’affaire. A la suite de la saisine du Parquet, la CDP a aussi envoyé un signalement et une demande de suppression de la vidéo aux plateformes concernées (Google, Dailymotion, Facebook).

Par ailleurs, la CDP a attiré l’attention de la presse en ligne sur ses obligations légales, réglementaires et déontologiques, et rappelé   aussi aux citoyens usagers des réseaux sociaux que le partage et la divulgation d’images attentatoires à la vie privée et à la dignité de la personne humaine sont réprimés par le Code pénal.

 

 

  • VEILLE, INNOVATION ET TECHNOLOGIE

Dans le cadre de ses missions de conseil, de contrôle, d’innovation et de technologie, la DTIC a travaillé sur les sujets suivants :

 

Projet de sensibilisation « sécurité en ligne »

En partenariat avec Facebook, Open Society Sénégal, BS Corp et la Commission de protection des Données Personnelles, et au profit des enseignants et des élèves du Ministère de l’Éducation Nationale, cette opération d'envergure nationale, vise à promouvoir la cyber-sécurité parmi les jeunes citoyens, et à changer leur perception face aux cyber-menaces, en s'appuyant sur l'éducation, la sensibilisation et l’adoption de bonnes pratiques.

 

L’idée du projet est de former des formateurs qui, à leur tour, pourront sensibiliser et former les jeunes élèves sur la sécurité en ligne et la protection des données personnelles.

Dans ce cadre, la CDP, forte de son expertise, a travaillé sur l’élaboration des contenus concernant les mesures de sécurité en ligne liées à la protection des données personnelles qui seront intégrés dans le programme de formation / sensibilisation.

 

Procédure de veille technologique

 

De nos jours, la technologie est devenue partie intégrante de notre quotidien. L’évolution technologique permet de collecter et de traiter des données à caractère personnel de manière plus élaborée et dans des quantités toujours plus grandes. Bien que les technologies avancées telles que l’intelligence artificielle, les objets connectés, la E-santé, le Big data, accroissent les risques pour la protection de la vie privée et des données, elles peuvent aussi intégrer des solutions technologiques offrant davantage de transparence et de contrôle aux personnes dont les données sont traitées.

 

Afin de se tenir informé des innovations technologiques et de suivre l’impact de ces évolutions en matière de protection des données personnelles, la CDP a mis en place, depuis le 01 juillet 2020, une procédure de veille technologique, que nous partagerons avec les utilisateurs, chaque semaine, sur le site www.cdp.sn.

 

Application mobile CDP

 

Suite à la mise en ligne de son application mobile, la CDP a démarré une phase pilote en invitant son personnel à télécharger l’application, dans le but de recueillir son avis. Cette étape permettra d’améliorer la plateforme avant qu’elle ne soit mise à la disposition du grand public, en téléchargement libre et gratuit.

 

 

 

  • COMMUNICATION ET SENSIBILISATION

Pour le troisième trimestre de l’année 2020, la Commission de protection des données personnelles (CDP), malgré le contexte de la pandémie de la Covid-19, a mené des actions de formation, de sensibilisation et de vulgarisation de la loi sur les données personnelles.

  1. Rencontre CDP-SYNPICS

Face à la recrudescence des cas de violation des données personnelles et de certaines dérives notées dans le traitement des données personnelles de Sénégalais dans la presse, la CDP a initié, sur proposition du Secrétaire général du SYNPICS, une rencontre avec le Syndicat des Professionnels de l’Information et de la Communication au Sénégal (SYNPICS).

Cette rencontre a permis d’échanger sur les actions et outils à mettre en place afin de réduire ces dérives. Une délégation, composée essentiellement du bureau du syndicat, a échangé avec les autorités de la CDP, et les deux parties ont convenu de travailler ensemble afin de renforcer les capacités des journalistes quant à la protection des données personnelles dans le cadre de leurs productions journalistiques. Les deux parties ont également convenu de la nécessité d’instaurer un dialogue continu et établi un projet de plan d’actions.      

  1. Forum du Numérique

La CDP a pris part aux réunions pour l’organisation du Forum du Numérique, un évènement co-organisé par la Présidence de la République et le Ministère de l’Économie Numérique et des Télécommunications. Prévu au mois de novembre 2020, le Forum du Numérique qui a pour thème « Le digital au service de la gestion de la pandémie et de la relance de l’économie » se veut un cadre d’échanges privilégié entre les acteurs évoluant dans l’écosystème numérique et les pouvoirs publics.

 En marge du Forum, il est également prévu la remise du Grand Prix du Chef de l’État pour l’innovation dans le numérique (‘GAINDE’ du DIGITAL) qui a pour vocation de soutenir le développement de projets et d’entreprises innovants dans le secteur en forte croissance de l’économie numérique.

  1. La CDP dans les médias

 Toujours dans le cadre de ses actions de sensibilisation, les agents de la CDP ont répondu aux sollicitations des médias dans le but de sensibiliser les populations aux multiples enjeux de la protection des données personnelles.

C’est en ce sens, que le Chef de la Division de la Conformité a été l’invité d’une émission matinale (Kenkeliba) sur la chaine nationale (RTS). Occasion saisie pour revisiter les principes fondamentaux de la protection des données personnelles, mais également l’usage fait dans les réseaux sociaux, ainsi que les dérives notées.

Ce dernier a été aussi invité sur ITV pour un éclairage dans la rubrique juridique de la matinale de ladite chaine. Il est revenu sur les notions de protection des données personnelles et a expliqué les principaux traitements qui en sont faits, mais aussi les dérives et méfaits qui ont été recensés lors des instructions des dossiers de responsables de traitements.

Le scandale de la diffusion sur les réseaux sociaux de la vidéo d’une dame victime d’attouchements a été l’occasion pour la CDP de s’exprimer sur les risques encourus par les présumés auteurs, et de mener des actions de sensibilisation, pour une meilleure culture de la protection des données personnelles au Sénégal. A cet effet, le Directeur des Affaires juridiques du Contentieux et de la Conformité a été l’invité de l’émission Soir d’info sur la TFM pour se prononcer, non seulement sur ladite affaire, mais aussi sur les activités de la CDP.

Dans le même ordre d’idées, la Directrice de la Coopération a aussi participé à l’émission ‘’Jakaarlo’’ de la TFM, qui a permis de discuter sur les missions de la CDP, les contraintes liées à l’exécution de ces missions, et de sensibiliser les populations sur les risques inhérents à l’utilisation des réseaux sociaux.

  1. Communique de presse de la CDP sur l’affaire dite de la vidéo de l’agression d’une dame à Sacré-Cœur

 

Suite à la diffusion d’une vidéo montrant une jeune femme dans une posture indélicate, la CDP a sorti un communiqué pour déplorer cet état de fait. La Commission a rappelé à l’ordre les personnes qui ont partagé et diffusé ladite vidéo.  Elle a ainsi rappelé que le partage et la divulgation d’images, attentatoires à la vie privée et à la dignité de la personne humaine, sont réprimés par le Code pénal.

 

  1. Interpellation de la CDP sur le site et les réseaux sociaux

La Commission de protection des données personnelles a reçu, sur son site et les pages de ses réseaux sociaux, des interpellations émises par des organismes et des particuliers.

En effet, le traçage des patients de la Covid-19 via des systèmes informatisés, l’accès aux données personnelles des salariés par les employeurs, l’installation de système de vidéosurveillance dans un cadre intime, la prospection commerciale via SMS, sont autant de questions portées à l’attention de la CDP. A cet effet, des réponses précises et détaillées ont été apportées, conformément à la loi.

Des signalements sur des formulaires de collecte et d’éventuelles failles de sécurité ayant été portés à sa connaissance, la CDP a appelé les responsables de traitement à prendre en compte les obligations de sécurité lors des traitements des données personnelles.

Face aux différentes plaintes reçues, la Commission a accompagné les concernés, afin de les rétablir dans leurs droits, ou les a mis en rapport avec la Division spéciale de la cybersécurité pour une investigation plus approfondie.

  1. Diffusion de sketches et de rapports hebdomadaires de veille technologique et sécuritaire sur les plateformes de la CDP

Dans le cadre de la sensibilisation, la CDP a initié la diffusion via ses réseaux sociaux d’une série de sketches réalisée par ses soins et portant sur diverses thématiques de la protection des données personnelles : données de santé, vidéosurveillance, prospection directe, droits des personnes.  

Depuis le mois d’Août 2020, une publication hebdomadaire, destinée à la sensibilisation et à l’information du grand public, est également posté sur le site et les pages internet de la Commission.

  1. Campagne d’éducation au numérique

En élaboration depuis quelques mois, le programme ambitieux d’éducation au numérique sera officiellement lancé en fin octobre. Initié par la CDP, ce programme d’éducation au numérique est piloté en collaboration avec le Ministère de l’Éducation nationale, Facebook, le cabinet BsCorp et Internet Society (Isoc). Ce programme est destiné, à terme, à tous les élèves du Sénégal, sous l’égide du Ministère de l’Éducation nationale.

 

 

 

V - COOPERATION ET PARTENARIAT

 

  • Ateliers et réunions de comités 

 

  1. Atelier de consultation sur la mise en place d’un Comité d’Éthique Institutionnel (CEI) dans un centre de recherche

L’Institut de Recherche en Santé de Surveillance Épidémiologique et de Formation (IRESSEF) a organisé, le 12 août 2020, un atelier de consultation sur la mise en place, au sein de l’Institut, d’un Comité d’Éthique Institutionnel (CEI). L’objectif des CEI est, entre autres, d’évaluer les protocoles de recherche d’une Institution et d’accompagner les personnes qui se prêtent à la recherche sur des êtres humains.

L’IRESSEF a organisé cet atelier, afin de recueillir les avis des régulateurs de la recherche et des autres Institutions de recherche sur la mise en place d’un CEI, ses pouvoirs, son statut et ses relations avec le Comité national d’Éthique pour la Recherche en Santé (CNERS).

La Commission a été invitée dans la consultation, en vue de présenter son rôle de régulateur de la recherche en santé, notamment pour les projets de recherche impliquant des traitements de données à caractère personnel. Aussi, il s’agissait de voir comment la CDP pouvait accompagner les CEI, dans le contrôle du respect de la législation sur la protection des données personnelles.

Par ailleurs, dans le cadre de la consultation, les parties prenantes ont fortement recommandé la création d’un cadre de coopération entre les Instances de régulation de la recherche et les CEI. 

  1. Atelier de préparation de l'élaboration du Dossier Patient Partagé et du document de projet du Programme de Digitalisation du Système de Santé (PDSS)

La CDP a participé, du 18 au 21 août 2020, à l’atelier d’élaboration du document de Programme de la Digitalisation du Système de Santé (PDSS), organisé par le Ministère de la Santé et de l’Action sociale et le Ministère de l’Économie, du Plan et de la Coopération. Dans le cadre de ce programme, l’atelier avait pour objectif d’élaborer la formulation des projets identifiés dans le cadre du PDSS.

Parmi ces projets, il faut noter celui de la mise en place du Dossier Patient Partagé (DPP), qui requiert un encadrement des traitements des données personnelles de santé, notamment dans le cadre de la dématérialisation du dossier patient. La CDP est sollicitée dans la définition de la feuille de route de la mise en place du Dossier Patient partagé, plus particulièrement pour la mise en place d’un cadre juridique, qui prend en compte la protection des données personnelles des patients, ainsi que pour l’analyse des risques de ce projet.

 

CONCLUSION

 Le troisième trimestre de l’année 2020 a été marqué par la multiplication du volet contentieux lié au traitement des données à caractère personnel. Les phénomènes de divulgation et les comportements cybercriminels tendent à augmenter, malgré les campagnes de sensibilisation menées par les acteurs du numérique. A ce titre, la CDP va entreprendre une vaste campagne d’éducation au numérique avec des partenaires stratégiques, afin d’instaurer une vraie culture du respect de la vie privée et des données personnelles.

Relativement à la conformité, la COVID 19 a ralenti le rythme des dépôts de dossiers,  et a permis à la CDP de participer à de nombreuses activités scientifiques au plan national et international. 

Lundi, octobre 19, 2020 - 10:00

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles