CDP : 51 dossiers dont 28 déclarations et 23 demandes d’autorisation, traités
jeudi 23 juin 2016
La Commission de protection des données personnelles (CDP), Autorité administrative indépendante (AAI), instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées. Elle a, au cours de ce trimestre, traité 51 dossiers dont 28 déclarations et 23 demandes d’autorisation, portant sur la vidéosurveillance ; les Base de données clients ; les Bases de données du personnel ; les Jeux sms ; les Sites Internet ; la Biométrie ; le Cloud ; les Plateformes de transfert d’argent et les Enquêtes.
Dans cette perspective, au cours de ce premier trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.
Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 03 Juin 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
1 – Compte rendu des activités
Au cours de ce premier trimestre, la CDP a reçu 26 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives.
La Commission a traité 51 dossiers dont 28 déclarations et 23 demandes d’autorisation portant sur :
- La vidéosurveillance ;
- Les Base de données clients ;
- Les Bases de données du personnel ;
- Les Jeux sms
- Les Sites Internet
- La Biométrie ;
- Le Cloud ;
- Les Plateformes de transfert d’argent ;
- Les Enquêtes
A l’issue des 04 sessions plénières tenues à la CDP, 26 récépissés de déclaration et 16 autorisations ont été émis.
26 récépissés de déclaration délivrés
N° | Structure | Dénomination du traitement | N° Récépissé |
01 | SDE | Facturation, recouvrement et traitement des demandes et réclamations des clients | 2016–00283 |
02 | & | Gestion des ressources humaines | 2016–00284 |
03 | Dakar Terminal | Vidéosurveillance | 2016–00285 |
04 | Monsieur M. H.(un particulier) | Newsletter pour les prospects, consommateurs et partenaires | 2016–00286 |
05 | BGFI BANK | Fichier du personnel | 2016–00287 |
06 | OPTIC | Mise en place d’une base de données à partir du site web pour les besoins du SIPEN | 2016–00288 |
07 | COFINA | Badges du personnel | 2016–00289 |
08 | & | Registre des entrées et des sorties des visiteurs | 2016–00290 |
09 | Cash Point Services | Badges du personnel | 2016–00291 |
10 | SDE | Géolocalisation des équipes techniques de la SDE | 2016–00292 |
11 | OFNAC | Contrôle des entrées et sorties des visiteurs | 2016–00293 |
12 | Institution Islamique Sociale | Site internet informatif qui présente leurs activités | 2016–00294 |
13 | ATAC Supermarché | Caméra de vidéosurveillance | 2016–00295 |
14 | & | Dossier du personnel | 2016–00296 |
15 | DAGE (MESR) | Mise en place d’un système de vidéosurveillance | 2016–00297 |
16 | Groupe Mourchid Communication (GMC) | Registre des entrées et des sorties | 2016–00298 |
17 | & | Gestion du personnel | 2016–00299 |
18 | & | Jeu SMS via le numéro court 26053 | 2016–00300 |
19 | Monsieur O. G.(un particulier) | Vidéosurveillance domicile | 2016–00301 |
20 | TOSTAN International | Registre des entrées et sorties | 2016–00303 |
21 | Autolaque SARL | Système de vidéosurveillance | 2016–00304 |
22 | Institut sénégalais de recherches agricoles (ISRA) | Système d’information de l’ISRA (gestion du personnel, Sage paie, Sage ligne 500) | 2016–00305 |
23 | Institut sénégalais de recherches agricoles (ISRA) | Déclaration du portail web de l’ISRA | 2016–00306 |
24 | Pool TPV | Fichier du personnel | 2016-00307 |
25 | Restaurant Le Palace | Système de vidéosurveillance | 2016-00308 |
26 | Restaurant Le Palace succursale | Système de vidéosurveillance | 2016-00309 |
16 autorisations accordées
N° | Structure | Dénomination du traitement | N° de délibération |
01 | DAKAR TERMINAL | Mise place d’un système de pointage biométrique | 2016–00181/CDP |
02 | INDUSTRY FOR PACKAGING AND CONSTRUCTION (IPC) | Mise place d’un système de pointage biométrique pour les employés et les travailleurs journaliers | 2016–00182/CDP |
03 | UBA | Mise en place du traitement de la base de données des empreintes biométriques des membres du personnel | 2016–00183/CDP |
04 | TOSTAN INTERNATIONAL | Système de pointage biométrique | 2016–00184/CDP |
05 | WUTIKO | Plateforme de recrutement en ligne | 2016–00185/CDP |
06 | OFNAC | Réception, enregistrement, exploitation, contrôle et archivage des déclarations de patrimoine | 2016–00186/CDP |
07 | & | Réception et analyse des plaintes | 2016–00187/CDP |
08 | & | Réception et classement des CV, demandes d’agrément, procédure de recrutement, réception et traitement des dossiers liés à l’assurance maladie | 2016–00188/CDP |
09 | ATAC SUPERMARCHE | Mise en place d’un système de pointage biométrique | 2016–00189/CDP |
10 | Ministère de la Santé et de l’Action Sociale | Demande de renouvellement de l’autorisation accordée par la CDP relative au programme m-diabète | 2016–00190/CDP |
(Demande d’autorisation modificative)
11 | Monsieur M. F.(un particulier) | Dynamique de la sociabilité en milieu rural et action collective | 2016–00191/CDP |
12 | PAYDUNYA SARL | Plateforme de paiement en ligne PAYDUNYA | 2016–00192/CDP |
13 | SOLID | Gestion du profil des clients/abonnés sur le site Musikbi | 2016-00193/CDP |
14 | SOLID | Site internet Musikbi | 2016-00194/CDP |
15 | Orange Finances Mobiles Sénégal | Plateforme de gestion de monnaie électronique | 2016-00195/CDP |
16 | Diamond Bank SA Sénégal | Enrôlement biométrique des clients | 2016-00196/CDP |
Au titre des signalements et des plaintes, la CDP a enregistré trois (03) SMS de prospection sans autorisation et un (01) déploiement de vidéosurveillance sans information préalable. Ces cas d’atteinte à la vie privée ont donné lieu à des demandes d’explication qui ont abouti à des déclarations et régularisations devant la CDP. Par ailleurs, la CDP a prononcé une (01) mise en demeure à la société ABDXMEDIA pour manquements à la législation sur la protection des données personnelles.
1 refus de délivrance de récépissé de déclaration
Structure : ABDXMEDIA
Dénomination du traitement : Site web abdxmedia.com qui présente les formations proposées et organisées, image des participants
Motifs du rejet :
– la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;
– l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;
– l’envoi de courriers électroniques de prospection commerciale en violation des exigences légales en matière de prospection directe.
N° de délibération : 2016-00302/CDP – Session plénière du 19 Février 2016
Autres observations : En application des articles 29.2 et 31.3 de la loi n°2008-12, la CDP met en demeure la société ABDXMEDIA
01 plainte
N° | Date | Plaignant | Mis en cause | Motifs | Observations |
01 | 18 mars 2016 | Madame H. D. | Monsieur O. D. | Publication de photo sur Facebook sans consentement | La photo a été enlevée suite à une demande de suppression adressée au mis en cause |
03 signalements
N° | Date | Mis en cause | Motifs | Observations |
01 | 09 février 2016 | Utilisateur Facebook anonyme | Tentative d’extorsion de fonds sur le réseau social | La CDP n’étant pas compétente en la matière, a transmis le dossier à la Brigade Spéciale de Lutte contre la Cybercriminalité |
02 | 22 janvier 2016 | Novotel | Installation d’un système de vidéosurveillance non déclaré à la CDP | Novotel a procédé à la déclaration du système de vidéosurveillance et un récépissé lui a été délivré. |
03 | 05 février 2016 | Eiffage | Envoi de mail de prospection pour une participation au Marathon Eiffage de l’Autoroute de Dakar | La société Eiffage s’est rapprochée de la CDP pour déclarer son site internet |
2- Volet sensibilisation, Relations extérieures et collaboration avec d’autres organismes
La CDP a, comme à son habitude, mené des actions de communication dans le but de promouvoir et faire mieux connaitre la législation sur les données personnelles.
L’Institut de Recherches pour le Développement (IRD) a reçu le Mardi 12 Janvier 2016 une délégation de la Commission de protection des Données Personnelles (CDP) pour une journée de sensibilisation axée sur le traitement des données personnelles à des fins scientifiques.
La CDP a célébré à l’instar de la communauté internationale la Journée mondiale de la protection des données à caractère personnel le Jeudi 28 Janvier 2016. Une occasion mise à profit pour recevoir dans ses locaux le représentant de Google Afrique Francophone qui a animé un débat sur le thème ‘’les services de Google et la protection des données personnelles’’ avec comme invités les étudiants des principaux instituts supérieurs d’enseignement de Dakar. A cet effet, la CDP a publié une délibération portant sur la vidéosurveillance.
Au lendemain de la passation de service entre le Président sortant, Dr Mouhamadou Lo et Mme Awa Ndiaye, la nouvelle Présidente, cette dernière a entamé une série de visites à des acteurs majeurs dont l’ARTP et l’ADIE. Ceci dans le but de développer des partenariats pour la réussite des missions de la CDP.
La Présidente de la CDP, Mme Awa Ndiaye a également pris part le 10 Mars 2016 à la cérémonie de lancement de l’Autorité de Protection des Données Personnelles du Mali (APDP). Occasion d’entretenir les autorités de protection sœurs des avancées sur la mise en place du Réseau africain des autorités de protection des données personnelles.
La CDP a assisté aux journées de la cybersécurité, les ‘’Security Day’’, les 15 et 16 mars, organisées par Kubuk et l’Ambassade de France et qui ont connu un grand succès. Enfin, la CDP a accueilli des membres de l’Autorité Malienne de Protection des Données Personnelles(APDP) pour une formation axée sur le volet juridique et technique des traitements des données personnelles.
3 – Observations/Constats
A la lumière de l’instruction des dossiers traités, il a été relevé différents manquements à la législation :
- la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;
- l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;
- l’envoi de courriers électroniques de prospection commerciale sans le consentement des personnes concernées ;
- l’utilisation d’une base de données non déclarée à des fins de prospection ;
- la durée inexacte de conservation des données traitées ;
- l’installation d’une caméra dans une cuisine d’un restaurant ;
- le déploiement d’un système de vidéosurveillance non déclaré ;
- la publication de photo dans un réseau social sans le consentement de la personne concernée ;
- L’absence d’un engagement de confidentialité du sous-traitant vis-à-vis du responsable de traitement.
Recommandations
Se basant sur les dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes de la société civile ainsi que de tous les autres acteurs, les recommandations suivantes :
- Ne pas installer de caméras de surveillance sur un poste de travail et dans des lieux privés ;
- Demander le consentement des personnes et les informer préalablement à la collecte de leurs données personnelles sur les réseaux sociaux (Facebook, Twitter, LinkedIn, Viadeo, etc.) sur des pages web à des fins de prospection commerciale ;
- Mettre à la disposition des prospects un canal de désinscription simple et gratuit à toute campagne de prospection ;
- Déclarer préalablement toute base de données destinée à la prospection directe et se conformer à la délibération n°2014-20 du 30 mai 2014 sur les conditions de la prospection directe publiée sur le site Internet de la CDP ;
- Définir une durée limitée de conservation des données traitées ;
- Signer un engagement de confidentialité avec les sous-traitants ;
- Déclarer tout système de vidéosurveillance avant son déploiement.
(Source : CDP, juin 2016)