La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours du premier trimestre 2014, et conformément à son programme d’activités annuel, la CDP a lancé des appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal (Cour Suprême, Conseil National de Régulation de l’Audiovisuel (CNRA), etc.).

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 3 avril 2014, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles dans notre pays, donne un échantillon des dossiers examinés ainsi qu’une série de recommandations aux responsables de traitement afin de parvenir progressivement à une meilleure protection des données nominatives des sénégalais.

1. Constatations sur la situation actuelle de protection des données personnelles au Sénégal

Le développement de la société sénégalaise de l’information crée de nouveaux défis en matière de protection des données personnelles des citoyens. Le premier défi est lié aux risques réels de violation de la vie privée des sénégalais dans un environnement numérique où chaque jour des bases de données sont constituées tant dans le secteur public que dans le secteur privé. Le second défi concerne l’utilisation de l’Internet qui permet un fichage et un traçage des internautes.

C’est pourquoi, face aux dangers que représente l’utilisation des technologies et leurs poids sur les libertés individuelles et sur la vie privée, notre pays, ayant très tôt pris conscience des enjeux économiques, juridiques, politiques et sociaux du droit à la protection des données personnelles, s’est doté d’une loi sur la protection des données à caractère personnel et d’une autorité de protection, chargée de faire appliquer ladite loi.

Avant l’avènement de la CDP, les données personnelles des sénégalais étaient collectées, traitées, stockées, utilisées, communiquées à des tiers et parfois vendues avec tous les risques qu’engendrent de telles pratiques. Aujourd’hui, grâce au travail de sensibilisation en cours de la CDP, les responsables de traitement sont mieux avertis des risques liés au traitement des données à caractère personnel, notamment les conséquences juridiques et/ ou judiciaires.

A cet égard, suite à la publication dans les médias des invitations à la déclaration, plusieurs structures privées et départements ministériels se sont manifestées pour procéder à la définition d’un plan d’action de déclaration (PAD) en vue de se conformer aux dispositions législatives et réglementaires en matière de protection des données personnelles.

Il s’agit, notamment des opérateurs de télécommunications (Sonatel, Expresso, Tigo), des sociétés de transfert d’argent (Wari, Money Express, Moneygram), de APIX, de Volo Sénégal, Gainde 2000, du CETUD, de l’Association Professionnelle des Banques et Etablissements Financiers (APBEF), de l’Association des Professionnels et Editeurs de la Presse en Ligne (APPEL), du Centre d’appel SAMRES, de la Fédération Sénégalaise des Sociétés d’Assurances (FSSA), du Cabinet d’avocat Bitèye et Cissé, de Total Sénégal, des Universités de Dakar, Ziguinchor et de Saint-Louis, de l’Hôtel Terrou-Bi, du Ministère de l’Intérieur et du Ministère de l’Enseignement Supérieur et de la Recherche, etc.

L’examen des premiers dossiers par la CDP a permis de constater que les manquements à la législation portent, notamment, sur :

– la finalité des traitements des données collectées qui, le plus souvent, n’est pas déterminée, explicite et légitime ;
– l’absence de consentement des personnes dont les données font l’objet d’un
traitement ;
– la décision de conserver les données collectées pour une durée illimitée ;
– la tendance à faire héberger les données des sénégalais sur des serveurs
localisés à l’extérieur du territoire national en l’absence des garanties
juridiques et techniques idoines ;
– l’inexistence de mesures de sécurité pour empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès ;
– le non-respect des droits des personnes notamment le droit à l’information et
le droit d’opposition.

A ce jour, la CDP, dans le cadre du déroulement de sa feuille de route, a enregistré huit (8) demandes d’avis, seize (16) demandes d’autorisation et quarante et une (41) déclarations normales. Après examen desdits dossiers, treize (13) délibérations ont été rendues au cours des différentes sessions plénières des commissaires qui se tiennent une fois par mois. Ces délibérations portent sur :
– les conditions de communication de données personnelles des abonnés d’un
opérateur à des tiers ;
– la plateforme de traitement automatisé relative à la préinscription, à l’orientation et à la validation du paiement des frais d’inscription des
nouveaux bacheliers ;
– la mise en place d’une plateforme de traitement e-banking et de services
connexes ;
– le système de production de visas biométriques et de contrôle aux frontières ;
– la mise en place d’une plateforme de cartes bancaires ;
– le système de pointage biométrique des salariés d’un hôtel ;
– le système de vidéosurveillance d’une entreprise privée ;
– l’interconnexion de fichiers ;
– les transferts des données des sénégalais vers la France et le Maroc ;
– la mise en place de base de données d’agents prestataires ;
– le système d’assistance et de guide pour des personnes à mobilité réduite d’un centre d’appel.
Par ailleurs, la CDP a été saisie de plaintes portant, respectivement, sur le chantage via le téléphone mobile, l’usurpation d’identité ou de profil sur Facebook, les conditions de dématérialisation des factures de téléphone et d’Internet, la prospection commerciale directe par SMS d’un opérateur de télécommunication sans le consentement des personnes concernées.

2. RECOMMANDATIONS

A la lumière des constats à l’examen des dossiers instruits, la CDP formule au profit de toutes les parties prenantes, les responsables de traitement du secteur public, du secteur privé, des organismes de la société civile et autres acteurs, les recommandations suivantes :

1. respecter strictement la législation sur la protection des données à caractère
personnel lors des traitements automatisés, notamment les formalités
préalables auprès de la CDP avant tout traitement ;

2. s’assurer d’une meilleure connaissance du cadre juridique avant tout
traitement portant sur la santé, la biométrie, la géolocalisation, la vidéosurveillance ou les transferts des données des sénégalais vers un pays
tiers ;

3. éviter la pratique consistant à envoyer des messages (SMS ou email) à
caractère publicitaire ou politique sans le consentement des personnes
concernées ;

4. veiller à la protection de la vie privée des sénégalais dans le traitement de
l’information dans les médias, notamment dans l’utilisation des données
nominatives ;

5. mettre en œuvre des mesures de sécurité proportionnées à la nature des données collectées et traitées.

Dr. Mouhamadou Lo

(Source : CDP, 7 avril 2014)