La Commission de protection des données personnelles (CDP) instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles et de s’assurer que toutes les précautions de sécurité sont prises.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 27 Mars 2015, la CDP rend public le présent avis trimestriel.

1 - Compte rendu des activités

Au cours de ce premier trimestre de l’année 2015, la CDP a enregistré les données statistiques suivantes :

– 98 appels à déclaration ;
– 47 structures reçues à la Commission ;
– 89 dossiers reçus et traités dont 66 pour des déclarations de traitement et 23 pour des demandes d’autorisation de traitement ;
– 06 sessions plénières des Commissaires ;
– 09 plaintes traitées ;
– 18 décisions d’autorisation délivrées ;
– 40 récépissés de traitement
– 04 interdictions de traitement.

A la suite de signalements portés à sa connaissance, la CDP a adressé des lettres de demande d’explication à sept (07) structures. Ces derniers portaient entre autres sur une collecte d’empreintes digitales dans un établissement de microfinance, la réception des appels reçus par le canal d’un numéro court et la publication d’un article sur un site web.

La CDP a également reçu et traité des plaintes portant sur la publication d’enregistrements clandestins sur les réseaux sociaux, la violation du droit à l’image à la suite d’une diffusion de vidéo sur le net, l’envoi de messages de prospection, l’installation de vidéosurveillance sans aucune information préalable, l’utilisation de bases de données personnelles non déclarée, et enfin, l’ineffectivité de la fonction STOP chez un opérateur de télécommunications rendant ainsi difficile l’exercice du droit d’opposition.

Au chapitre des activités de sensibilisation, la CDP a rendu visite à plusieurs acteurs de la protection des données personnelles. C’est ainsi qu’elle a été reçue aux ministères de l’Economie, des Finances et du Plan, du Tourisme et des Transports aériens, de l’Education nationale, au Conseil National du Patronat (CNP), au CTIC, à l’ARMP, à Gaindé 2000, etc. Elle a également pris part à des manifestations qui lui ont servi de tribune pour échanger avec les professionnels du secteur des TIC.

La Journée mondiale de la protection des données personnelles a été célébrée par la CDP par l’organisation d’une table ronde afin de sensibiliser les étudiants de grandes écoles de Dakar.

2 - Observations/constats

Les dossiers traités au cours du premier trimestre de l’année 2015 font état de la persistance des manquements aux droits des personnes à l’égard du traitement de leurs données personnelles. Lesdits manquements portent sur l’inexistence ou l’inadéquation des modalités d’exercice du droit de rectification et de suppression et du droit d’opposition en particulier dans le cadre de la prospection commerciale.

En outre, l’absence d’affiche ou de panneau signalant la présence d’un système de vidéosurveillance atteste que les déclarants ne respectent pas toujours le droit à l’information préalable des personnes filmées.

Par ailleurs, il a été noté :

– une collecte disproportionnée de données personnelles à des fins de marketing ;
– une durée de conservation illimitée des données traitées ;
– l’absence d’engagements de confidentialité entre certains responsables de traitement et leurs sous-traitants.

Le premier trimestre de l’année 2015 a été aussi marqué par une nouvelle forme de traitement de données personnelles consistant en la collecte de documents d’identité perdus par des particuliers. La CDP a reçu deux dossiers relatifs à la création de structures et/ou de sites Internet dédiés à cette activité.

La Commission a salué ces initiatives, certes louables mais qui peuvent porter atteinte aux exigences de la législation sur la protection des données personnelles. Ainsi, deux interdictions de traitement ont été prononcées aux motifs suivants :

– la détention par une personne privée de plusieurs documents d’identité ne lui appartenant pas présente des risques à l’encontre des personnes titulaires desdits documents ;
– la collecte de pièces d’identité est une prérogative exclusivement réservée aux institutions de sécurité.

3- Recommandations

Au regard des manquements précités, les recommandations suivantes sont formulées à l’attention des responsables de traitement de données à caractère personnel :

– mettre à la disposition des personnes concernées tous les moyens nécessaires à l’exercice de leurs droits, notamment celui relatif à l’opposition à la réception de messages commerciaux et à l’indication de la présence de systèmes de vidéosurveillance ;
– définir une durée limitée de conservation des données traitées ;
– signer des engagements de confidentialité avec les sous-traitants ;
– effectuer des collectes proportionnées aux finalités du traitement ;
– saisir la CDP préalablement à la mise en œuvre de tout traitement de données personnelles ;
– éviter de détenir par devers soi les pièces d’identité d’autrui ramassées et les déposer, le cas échéant, au commissariat de police le plus proche.

(Source : CDP, 1er avril 2015)