CDP : 51 dossiers dont 28 déclarations et 23 demandes d’autorisation, traités

jeudi 23 juin 2016

La Commission de protection des données personnelles (CDP), Autorité administrative indépendante (AAI), instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées. Elle a, au cours de ce trimestre, traité 51 dossiers dont 28 déclarations et 23 demandes d’autorisation, portant sur la vidéosurveillance ; les Base de données clients ; les Bases de données du personnel ; les Jeux sms ; les Sites Internet ; la Biométrie ; le Cloud ; les Plateformes de transfert d’argent et les Enquêtes.

Dans cette perspective, au cours de ce premier trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 03 Juin 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.

1 – Compte rendu des activités

Au cours de ce premier trimestre, la CDP a reçu 26 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives.

La Commission a traité 51 dossiers dont 28 déclarations et 23 demandes d’autorisation portant sur :

La vidéosurveillance ;
Les Base de données clients ;
Les Bases de données du personnel ;
Les Jeux sms
Les Sites Internet
La Biométrie ;
Le Cloud ;
Les Plateformes de transfert d’argent ;
Les Enquêtes

A l’issue des 04 sessions plénières tenues à la CDP, 26 récépissés de déclaration et 16 autorisations ont été émis.

26 récépissés de déclaration délivrés

N°	Structure	Dénomination du traitement	N° Récépissé
01	SDE	Facturation, recouvrement et traitement des demandes et réclamations des clients	2016–00283
02	&	Gestion des ressources humaines	2016–00284
03	Dakar Terminal	Vidéosurveillance	2016–00285
04	Monsieur M. H.(un particulier)	Newsletter pour les prospects, consommateurs et partenaires	2016–00286
05	BGFI BANK	Fichier du personnel	2016–00287
06	OPTIC	Mise en place d’une base de données à partir du site web pour les besoins du SIPEN	2016–00288
07	COFINA	Badges du personnel	2016–00289
08	&	Registre des entrées et des sorties des visiteurs	2016–00290
09	Cash Point Services	Badges du personnel	2016–00291
10	SDE	Géolocalisation des équipes techniques de la SDE	2016–00292
11	OFNAC	Contrôle des entrées et sorties des visiteurs	2016–00293
12	Institution Islamique Sociale	Site internet informatif qui présente leurs activités	2016–00294
13	ATAC Supermarché	Caméra de vidéosurveillance	2016–00295
14	&	Dossier du personnel	2016–00296
15	DAGE (MESR)	Mise en place d’un système de vidéosurveillance	2016–00297
16	Groupe Mourchid Communication (GMC)	Registre des entrées et des sorties	2016–00298
17	&	Gestion du personnel	2016–00299
18	&	Jeu SMS via le numéro court 26053	2016–00300
19	Monsieur O. G.(un particulier)	Vidéosurveillance domicile	2016–00301
20	TOSTAN International	Registre des entrées et sorties	2016–00303
21	Autolaque SARL	Système de vidéosurveillance	2016–00304
22	Institut sénégalais de recherches agricoles (ISRA)	Système d’information de l’ISRA (gestion du personnel, Sage paie, Sage ligne 500)	2016–00305
23	Institut sénégalais de recherches agricoles (ISRA)	Déclaration du portail web de l’ISRA	2016–00306
24	Pool TPV	Fichier du personnel	2016-00307
25	Restaurant Le Palace	Système de vidéosurveillance	2016-00308
26	Restaurant Le Palace succursale	Système de vidéosurveillance	2016-00309

16 autorisations accordées

N°	Structure	Dénomination du traitement	N° de délibération
01	DAKAR TERMINAL	Mise place d’un système de pointage biométrique	2016–00181/CDP
02	INDUSTRY FOR PACKAGING AND CONSTRUCTION (IPC)	Mise place d’un système de pointage biométrique pour les employés et les travailleurs journaliers	2016–00182/CDP
03	UBA	Mise en place du traitement de la base de données des empreintes biométriques des membres du personnel	2016–00183/CDP
04	TOSTAN INTERNATIONAL	Système de pointage biométrique	2016–00184/CDP
05	WUTIKO	Plateforme de recrutement en ligne	2016–00185/CDP
06	OFNAC	Réception, enregistrement, exploitation, contrôle et archivage des déclarations de patrimoine	2016–00186/CDP
07	&	Réception et analyse des plaintes	2016–00187/CDP
08	&	Réception et classement des CV, demandes d’agrément, procédure de recrutement, réception et traitement des dossiers liés à l’assurance maladie	2016–00188/CDP
09	ATAC SUPERMARCHE	Mise en place d’un système de pointage biométrique	2016–00189/CDP
10	Ministère de la Santé et de l’Action Sociale	Demande de renouvellement de l’autorisation accordée par la CDP relative au programme m-diabète	2016–00190/CDP

(Demande d’autorisation modificative)

11	Monsieur M. F.(un particulier)	Dynamique de la sociabilité en milieu rural et action collective	2016–00191/CDP
12	PAYDUNYA SARL	Plateforme de paiement en ligne PAYDUNYA	2016–00192/CDP
13	SOLID	Gestion du profil des clients/abonnés sur le site Musikbi	2016-00193/CDP
14	SOLID	Site internet Musikbi	2016-00194/CDP
15	Orange Finances Mobiles Sénégal	Plateforme de gestion de monnaie électronique	2016-00195/CDP
16	Diamond Bank SA Sénégal	Enrôlement biométrique des clients	2016-00196/CDP

Au titre des signalements et des plaintes, la CDP a enregistré trois (03) SMS de prospection sans autorisation et un (01) déploiement de vidéosurveillance sans information préalable. Ces cas d’atteinte à la vie privée ont donné lieu à des demandes d’explication qui ont abouti à des déclarations et régularisations devant la CDP. Par ailleurs, la CDP a prononcé une (01) mise en demeure à la société ABDXMEDIA pour manquements à la législation sur la protection des données personnelles.

1 refus de délivrance de récépissé de déclaration

Structure : ABDXMEDIA
Dénomination du traitement : Site web abdxmedia.com qui présente les formations proposées et organisées, image des participants
Motifs du rejet :

– la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;
– l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;
– l’envoi de courriers électroniques de prospection commerciale en violation des exigences légales en matière de prospection directe.

N° de délibération : 2016-00302/CDP – Session plénière du 19 Février 2016
Autres observations : En application des articles 29.2 et 31.3 de la loi n°2008-12, la CDP met en demeure la société ABDXMEDIA

01 plainte

N°	Date	Plaignant	Mis en cause	Motifs	Observations
01	18 mars 2016	Madame H. D.	Monsieur O. D.	Publication de photo sur Facebook sans consentement	La photo a été enlevée suite à une demande de suppression adressée au mis en cause

03 signalements

N°	Date	Mis en cause	Motifs	Observations
01	09 février 2016	Utilisateur Facebook anonyme	Tentative d’extorsion de fonds sur le réseau social	La CDP n’étant pas compétente en la matière, a transmis le dossier à la Brigade Spéciale de Lutte contre la Cybercriminalité
02	22 janvier 2016	Novotel	Installation d’un système de vidéosurveillance non déclaré à la CDP	Novotel a procédé à la déclaration du système de vidéosurveillance et un récépissé lui a été délivré.
03	05 février 2016	Eiffage	Envoi de mail de prospection pour une participation au Marathon Eiffage de l’Autoroute de Dakar	La société Eiffage s’est rapprochée de la CDP pour déclarer son site internet

2- Volet sensibilisation, Relations extérieures et collaboration avec d’autres organismes

La CDP a, comme à son habitude, mené des actions de communication dans le but de promouvoir et faire mieux connaitre la législation sur les données personnelles.

L’Institut de Recherches pour le Développement (IRD) a reçu le Mardi 12 Janvier 2016 une délégation de la Commission de protection des Données Personnelles (CDP) pour une journée de sensibilisation axée sur le traitement des données personnelles à des fins scientifiques.

La CDP a célébré à l’instar de la communauté internationale la Journée mondiale de la protection des données à caractère personnel le Jeudi 28 Janvier 2016. Une occasion mise à profit pour recevoir dans ses locaux le représentant de Google Afrique Francophone qui a animé un débat sur le thème ‘’les services de Google et la protection des données personnelles’’ avec comme invités les étudiants des principaux instituts supérieurs d’enseignement de Dakar. A cet effet, la CDP a publié une délibération portant sur la vidéosurveillance.

Au lendemain de la passation de service entre le Président sortant, Dr Mouhamadou Lo et Mme Awa Ndiaye, la nouvelle Présidente, cette dernière a entamé une série de visites à des acteurs majeurs dont l’ARTP et l’ADIE. Ceci dans le but de développer des partenariats pour la réussite des missions de la CDP.

La Présidente de la CDP, Mme Awa Ndiaye a également pris part le 10 Mars 2016 à la cérémonie de lancement de l’Autorité de Protection des Données Personnelles du Mali (APDP). Occasion d’entretenir les autorités de protection sœurs des avancées sur la mise en place du Réseau africain des autorités de protection des données personnelles.

La CDP a assisté aux journées de la cybersécurité, les ‘’Security Day’’, les 15 et 16 mars, organisées par Kubuk et l’Ambassade de France et qui ont connu un grand succès. Enfin, la CDP a accueilli des membres de l’Autorité Malienne de Protection des Données Personnelles(APDP) pour une formation axée sur le volet juridique et technique des traitements des données personnelles.

3 – Observations/Constats

A la lumière de l’instruction des dossiers traités, il a été relevé différents manquements à la législation :

la collecte déloyale des données personnelles à partir de recherches d’adresses sur des pages web et réseaux sociaux ;
l’absence d’information préalable des personnes concernées par la collecte de leurs données personnelles et de la finalité de ladite collecte ;
l’envoi de courriers électroniques de prospection commerciale sans le consentement des personnes concernées ;
l’utilisation d’une base de données non déclarée à des fins de prospection ;
la durée inexacte de conservation des données traitées ;
l’installation d’une caméra dans une cuisine d’un restaurant ;
le déploiement d’un système de vidéosurveillance non déclaré ;
la publication de photo dans un réseau social sans le consentement de la personne concernée ;
L’absence d’un engagement de confidentialité du sous-traitant vis-à-vis du responsable de traitement.

Recommandations

Se basant sur les dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes de la société civile ainsi que de tous les autres acteurs, les recommandations suivantes :

Ne pas installer de caméras de surveillance sur un poste de travail et dans des lieux privés ;
Demander le consentement des personnes et les informer préalablement à la collecte de leurs données personnelles sur les réseaux sociaux (Facebook, Twitter, LinkedIn, Viadeo, etc.) sur des pages web à des fins de prospection commerciale ;
Mettre à la disposition des prospects un canal de désinscription simple et gratuit à toute campagne de prospection ;
Déclarer préalablement toute base de données destinée à la prospection directe et se conformer à la délibération n°2014-20 du 30 mai 2014 sur les conditions de la prospection directe publiée sur le site Internet de la CDP ;
Définir une durée limitée de conservation des données traitées ;
Signer un engagement de confidentialité avec les sous-traitants ;
Déclarer tout système de vidéosurveillance avant son déploiement.

(Source : CDP, juin 2016)