ENVOYER À UN AMI

Votre nom * Email de ton ami * Commentaire

Avis trimestriel n°03-2015 de la Commission de protection des données personnelles (CDP)

Conformément à l’article 43 de son Règlement intérieur et après en avoir délibéré en sa séance plénière du 09 octobre 2015, la CDP rend public le présent avis trimestriel.

1 - Compte rendu des activités :

Au cours de ce troisième trimestre 2015, la CDP a constaté une nette augmentation des déclarations auprès de ses services. En ce sens, la Commission a traité 53 déclarations portant sur des systèmes de vidéosurveillance, de badges, des bases de données du personnel, des clients, des patients, des registres d’entrée et de sortie. En outre, elle a enregistré 39 demandes d’autorisation portant sur la biométrie, le traitement des données de santé, la collecte et le transfert de données vers des pays tiers ainsi que l’interconnexion de fichiers. A l’issue des six sessions plénières, les Commissaires ont délivré 50 récépissés de déclaration et 33 autorisations. Deux refus d’autorisation de traitement de données personnelles ont également été prononcés. Par ailleurs, la Commission a enregistré des signalements et des plaintes pour des motifs divers, notamment :

• la violation du secret des communications privées dans les lieux de travail ;
• la publication de photo sans le consentement de la personne concernée par un site en ligne ;
• une campagne de collecte de données personnelles à des fins de modernisation de service clientèle préexistant ;
• la prospection directe sans le respect des exigences légales en la matière.

Ces atteintes à la vie privée ont entrainé des demandes d’explication aboutissant le plus souvent à des mises en conformité à la législation.

En termes de sanctions, la CDP a prononcé deux avertissements pour pratique illégale et répétée de la prospection commerciale directe. Poursuivant sa mission d’information et de sensibilisation, la Commission a participé à des manifestations scientifiques, notamment :

• le Forum national sur la gouvernance de l’Internet au Sénégal sur le thème de la souveraineté numérique ;

• le Forum régional de développement pour l’Afrique de l’Union Internationale des Télécommunications (UIT) ;

• les mercredis de la Police, une tribune pour débattre avec les Forces de l’ordre et de sécurité de la problématique de la cybersécurité ;

• la table ronde de la CODESRIA sur « Cybersécurité, souveraineté et gouvernance démocratique en Afrique » ;

• - le colloque sur la Cybersécurité et la Cyberdéfense organisé par la Direction des Transmissions de l’Armée.

Enfin, la CDP a reçu une délégation de l’Association nationale des professionnels de la presse en ligne au Sénégal (ANPELS) et une délégation de l’Association sénégalaise des utilisateurs des technologies de l’information et de la communication (ASUTIC).

2 - Observations :

A l’examen des dossiers reçus, la CDP souligne quelques manquements dans le traitement des données personnelles. Il s’agit notamment :

de la pratique illégale et répétée de la prospection commerciale directe par certaines entreprises ;

de la collecte de données portant sur des documents administratifs (casier judiciaire, extrait de naissance, pièce d’identité…) par des personnes privées non habilitées en vue de proposer des services exclusivement réservés aux autorités administratives et judiciaires compétentes ;

• de la conservation pour une durée illimitée des données personnelles ;

• du piratage de comptes et de l’usurpation d’identité sur les réseaux sociaux ;

• de l’absence de signature d’engagement de confidentialité avec les soustraitants ayant accès aux données personnelles ;

• de la collecte disproportionnée de données personnelles des mineurs pour un traitement à des fins d’enquête ;

• de la collecte de données portant sur l’ethnie et la race des salariés ;

• du transfert de données vers des pays tiers sans le consentement des personnes concernées ;

• de l’absence de politique formalisée d’accès aux données personnelles.

3 - Recommandations :

A la lumière des dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes ainsi que de tous les autres acteurs, les recommandations suivantes :

• Recueillir le consentement libre et éclairé des personnes qui font l’objet de prospection directe ;

• Réserver la collecte et le traitement des documents administratifs aux seules autorités compétentes ;

• Définir une durée de conservation des données traitées ;

• Faire signer un engagement de confidentialité aux sous-traitants intervenant dans le traitement des données personnelles ;

• Recueillir le consentement préalable des personnes concernées avant tout transfert de données vers un pays tiers ;

• Choisir un mot de passe fort pour sécuriser ses données personnelles ;

• Se rapprocher de la CDP pour une meilleure connaissance de la législation sénégalaise avant tout traitement portant sur des données personnelles.

(Source : CDP, 9 octobre 2015)