Share Button

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce troisième trimestre de l’année 2017, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 13 Octobre 2017, la CDP publie le présent avis trimestriel qui décrit  la situation actuelle de la protection des données personnelles au Sénégal.

  • COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce troisième trimestre 2017, la CDP a accueilli six (06) structures venues s’imprégner de la législation sur les données à caractère personnel et six (06) déclarants pour le remplissage des formulaires.

Par ailleurs, la CDP a traité 31 dossiers dont 25 déclarations et 06 demandes d’autorisation.

A l’issue des 02 sessions plénières tenues à la CDP, 23 récépissés de déclaration et 06 autorisations ont été délivrés.

  • Nombre d’appels à déclaration : 12
  • Nombre de demande d’avis : 03
  • Nombre de plaintes reçues : 06
  1. Observations /constats

L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont le plus récurrent est le suivant :

  • Manquement constaté sur les déclarations et demandes d’autorisation :
Manquement Structures Fondement juridique Décision de la CDP Recommandations
 

 

Absence d’information formelle (note d’information) sur l’installation d’un système de vidéosurveillance

Fast Food Le Bristol Article 58 de la loi 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel Autorisation du système de vidéosurveillance sous réserve d’informer par note de service  les employés de l’existence de vidéosurveillance. Informer formellement (note d’information ou de service)  les employés sur l’installation de caméras de surveillance.

Mettre une affiche indiquant la présence de caméras de surveillance, avec le numéro de récépissé délivré par la CDP et le numéro de la personne ou du service à contacter pour l’exercice du droit d’accès aux images.

Boutique DIENG & Frères
Boutique NIANE & Frères

 

  1. – Demandes d’avis reçues par la CDP
Réponse de la CDP
Prospection

 

La démarche à suivre si le numéro de téléphone est utilisé à des fins de propagande sans autorisation préalable.

 

Conformément à la loi n°2008-12 une personne prospectée peut :

  • s’opposer gratuitement à la réception de nouveaux messages de propagande ;
  • demander la désinscription de ses données personnelles de toute liste de diffusion ou de propagande.

 

Si votre demande est infructueuse, vous pouvez saisir la Commission de protection des Données Personnelles (CDP) d’une plainte ou d’un signalement.

Vous pouvez, par ailleurs, nous signaler directement l’auteur des messages de propagande, afin que nous puissions l’inviter à se conformer à la loi sur les données personnelles.

 

 

Enquête en ligne sur l’éducation et le recours aux soins  La démarche à suivre pour la conformité de la plateforme d’enquête et de sondage en ligne avec la loi sur la protection des données personnelles. En application de la loi 2008-12 du 25 janvier 2008, tout traitement contenant des données à caractère personnel doit être obligatoirement déclaré devant la CDP.

Cette déclaration est tout aussi valable pour des sites Internet dédiés à des enquêtes en ligne.

Cependant, dans le cas où aucune collecte de données nominatives (nom, prénom, n° de téléphone, adresse mail, etc.) n’est faite, la déclaration auprès de nos services n’est pas nécessaire.

Par ailleurs, la CDP a émis une délibération de portée générale sur les conditions de prospection directe. Vous pourrez la consulter en cliquant sur ce lien: http://www.cdp.sn/content/d%C3%A9lib%C3%A9ration-n%C2%B02014-20cdp-du-30-mai-2014-portant-sur-les-conditions-de-la-prospection

 

Protection du droit d’auteur La démarche à suivre pour la protection d’une œuvre cinématographique La CDP n’est pas compétente en matière de  protection des droits d’auteurs et droits voisins. La Société sénégalaise du droit d’auteur et des droits voisins (SODAV) est la structure en charge.

 

 

 

13- Les structures appelées à la déclaration de leurs fichiers et bases de données

Responsables de traitement/ Sous-traitants
Fichiers contenant des données personnelles
  1. M. Dominique ZEZE
Fichiers contenant des données personnelles
  1. M. Mbaye DIOP
Fichiers contenant des données personnelles
  1. Cabinet comptable FIDUCIA
Fichiers contenant des données personnelles
  1. Axa Assurances
Fichiers contenant des données personnelles
  1. M. Abdou Karim Kandji
Fichiers contenant des données personnelles
Déclaration de registre des entrées/sorties, de système de vidéosurveillance et de système de pointage biométrique
  1. Fast food « Le Bristol »
Registre des entrées et des sorties
Déclaration système de vidéosurveillance
  1. M. Lamine Gueye NDIAYE
Fichiers contenant des données personnelles
  1. CTS (Compagnie de Technologie Sénégalaise)
Fichiers contenant des données personnelles
  1. Service Informatique S3
Fichiers contenant des données personnelles
TOTAL                                                                                                                   12

 

 

  1. – Décisions rendues par la Session Plénière :               
  2. – Autorisations accordées :
Finalités des traitements Nombre Structures
Géolocalisation 2
  1. GEORIS GROUP
Base de données de la clientèle 3
  1. GEORIS GROUP
  2. SENAC (Concessionnaire d’autoroute)
Plateforme d’investissement participatif (www.diasporik.com) 1 DIASPORIK
TOTAL 6
Finalités des traitements Nombre Structures
Vidéosurveillance dans les Entreprises pour assurer la sécurité des biens et des personnes 15
  1. FAST FOOD LE BRISTOL
  2. DIENG & FRERES
  3. NIANE & FRERES
  4. Comptoir Commercial du Sénégal (CCS)
  5. PULLMAN HOTEL
  6. EASY LINK
  7. ORYX SENEGAL
  8. TEXCOURRIER SA
  9. PHARMACIE Léopold Sédar SENGHOR
  10. SENAC INDUSTRIES(siège)
  11. SENAC INDUSTRIES (Usine de production)
  12. Alimentation Yaram BA
  13. ETS Dahirou FALL
Contrôle d’accès par Tourniquet 1 ATOS Sénégal SA & Bull Sénégal SARL
Vidéosurveillance à domicile

 

4
  1. Mme Penda NIANG
  2. M. Hamath Amar DJIGO
  3. M. Mouhamadou Abdoulaye SECK
  4. M. Ibrahima DIAKHATE
Base de données du personnel 2
  1. ATOS Sénégal SA & Bull Sénégal SARL
  2. GEORIS GROUP
Gestion de données de la clientèle 1
  1. Banque Régionale des Marchés (BRM)
TOTAL 23

 

 

II – LES PLAINTES ET SIGNALEMENTS

21 -Nombre de plaintes reçues :

Nombre Plaignant Mis en cause Motifs Observations
1 Mme S. O. D Seneporno.com Collecte illicite et publication d’une vidéo compromettante Conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008, la vidéo a été supprimée par l’administrateur du site de Seneporno suite à un courrier de la CDP.

 

Par ailleurs, à la suite d’une enquête, le mis en cause qui avait filmé la victime à son insu, a été arrêté par la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC), puis condamné pour usurpation  de fonction et collecte illicite de données personnelles.

2 Mlle A. G Hackeur Usurpation d’identité Pour plus de célérité, la CDP a recommandé à la victime de signaler le compte usurpateur en cliquant sur le lien suivant : https://www.facebook.com/help/174210519303259

 

Par ailleurs, la CDP a invité la plaignante à saisir la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC) conformément l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal.

3 M. Nd. T Hackeur Piratage de compte Microsoft Conformément aux dispositions des articles 70 et 71 de la loi n°2008-12, et suite à une tentative infructueuse du plaignant, la CDP a enjoint Microsoft d’assister le plaignant pour rétablir le compte.

Microsoft a recommandé au plaignant de suivre le lien suivant : https://account.live.com/acsr    ou  https://support.microsoft.com/fr-fr/contactus/.

4 Mlle F. M Salon de coiffure « Elle Emoi » Publication de photo sur Facebook à des fins de publicité marketing sans consentement de la personne concernée La photo a été supprimée conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008.

La CDP a demandé au Salon mis en cause de se conformer à la législation en vigueur en déclarant tous les fichiers, bases et systèmes de  traitement de données personnelles.

5 M. P. D Webmaster Abus de confiance et escroquerie portant sur la création d’un site web La CDP n’est pas compétente à la matière conformément aux dispositions des articles 4-5 et 16 de la loi n°208-12 du 25 janvier 2008.

Par ailleurs, la CDP a enjoint le plaignant à déclarer son site internet (dossier en instruction).

6 M. F.D Inconnu Ecoutes téléphoniques La CDP recommandé de se rapprocher de la Division des investigations criminelles (DIC) conformément aux dispositions de l’article 363-1 bis de la loi n° 2016-29 du 08 novembre 2016 portant réforme du Code pénal.

 

 

22 – Liste des manquements signalés à la CDP :

Mis en cause Motifs Observations
La police Utilisation d’une caméra dans une opération de contrôle d’identité La CDP a envoyé un courrier à la Direction Générale de la Police Nationale pour des précisions sur la base légale qui prévoit  l’utilisation d’un système de vidéosurveillance dans le cadre d’une telle intervention. (dossier en cours).
Le site internet http://sdskofficiel.com/ Demande de suppression d’un témoignage contenant des données personnelles sur le site internet http://sdskofficiel.com/ L’administratrice du site a supprimé le contenu à la suite de la lettre de la CDP.

Par la même occasion, elle a initié une procédure de mise en conformité avec la loi, de son site web.

Hackeur Tentative d’arnaque à l’offre d’emploi à l’ONU La CDP n’est pas compétente en la matière.

Toutefois, en raison des risques liés à la sécurité des données personnelles transmis au cybercriminel se trouvant au Bénin, la CDP par courrier a informé la Brigade Spéciale de lutte contre la Cybercriminalité (BSLC).

 

III –  LES MISSIONS DE CONTROLE       

Durant ce dernier trimestre 2016, la CDP a effectué deux (02)  missions de contrôle sur site auprès des structures ci-après :

Décision Date de la mission Structures contrôlées Traitements concernés
N° 2017­0010C/CDP du 10 aout 2017 Mercredi 16 aout 2017 Expresso Sénégal
  • Site internet
  • Base de données des clients
  • Base de données du personnel et des demandeurs d’emploi
N° 2017­0010C/CDP du 10 aout 2017 Jeudi 17 aout 2017 CBAO GROUPE ATTIJARIWAFA BANK
  • Gestion administration du personnel
  • Gestion de la clientèle

Les  missions de contrôle effectuées auprès de ces structures ont permis de constater des manquements à la législation.

La CDP ne s’est pas encore prononcée sur les suites données à ces missions.

IV –    COMMUNICATION ET SENSIBILISATION

Au cours de ce troisième trimestre de l’année 2017, la Commission de protection des données personnelles a mené des actions de sensibilisation, de promotion et de vulgarisation de la loi sur les données personnelles. A cet effet, elle a participé à plusieurs rencontres où la problématique de la protection des données personnelles a été abordée.

Rencontre à l’ESMT

Dans le cadre du partenariat CDP/Ecole Supérieure Multinationale des Télécommunications (ESMT), la CDP a animé une rencontre, le Mardi 25 juillet 2017 dans les locaux dudit établissement, sur les principes clés de la protection des données personnelles en vigueur au Sénégal. La rencontre a réuni les jeunes entrepreneurs et porteurs de projets issus de l’ESMT, ainsi que le corps professoral. Ces derniers se sont familiarisés aux notions et principes qui régissent le traitement de données personnelles de même qu’aux droits et obligations qui leur incombent en tant que responsables de traitement.

Journée sur l’accès à l’information

La CDP a pris part,  le Jeudi 28 septembre 2017, à la Journée sur l’accès à l’information en co-animant un panel sur le thème ‘’ Les limitations au droit à l’information dans le cyberespace’’. L’objet de ce panel était de concilier les données publiques (Open data)  et Protection des données personnelles au travers les nouvelles technologies. En effet, le respect de la vie privée constitue une exception au droit d’accès à l’information publique. La Commission a  d’abord rappelé les fondamentaux de la loi (principes, obligations du responsable de traitement et droits des personnes concernées) avant de poser les conditions d’ouverture et de réutilisation des données publiques contenant des données personnelles.

Salon Préventica

Dans le cadre du Salon Préventica International, qui s’est tenu du 03 au 04 Octobre 2017, la Commission de protection des données personnelles (CDP) a animé une conférence sur le thème  »Mieux comprendre la protection des données personnelles ».  Une occasion pour la CDP de sensibiliser le public sur l’environnement et l’usage des données personnelles en entreprise. Des acteurs du monde professionnel ont fait part de leurs craintes mais aussi de leurs préoccupations. Ils ont souligné les difficultés à se  conformer à la législation sur la protection des données personnelles, dans un environnement de plus en plus compétitif.

Journée de formation avec les organisations des Droits de l’Homme

La CDP a participé à l’atelier de formation regroupant Amnesty International Sénégal et la Coalition des Défenseurs des Droits de Humains. Outre le cadre juridique de la protection des données personnelles en vigueur au Sénégal qui leur a été présenté, les défenseurs des Droits de l’Homme ont reçu des notions sur la sécurité des réseaux et la protection de leurs données en élaborant une politique de sécurité dans le cadre de leurs activités.

Enregistrements audio et vidéo clandestins

La CDP a été également saisie via ses canaux d’information et de communication classiques notamment le site et les pages des réseaux sociaux sur des questions portant sur la protection des données personnelles. La diffusion de vidéos quelquefois à caractère pornographique a fait l’objet de sorties et d’interventions de la CDP dans les médias (Le Soleil, L’Observateur, Dakaractu.com, SenTV, TFM, RTS, 2STV) pour rappeler aux professionnels de l’information mais aussi au grand public, la législation applicable en la matière et les sanctions encourues en cas de diffusion.

Conformément à l’article 363 bis de la loi n°2016-29 du 08 novembre 2016 portant réforme du Code pénal dispose : « Est puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500.000 francs à 5.000.000 de francs celui qui, au moyen d’un procédé quelconque, porte volontairement atteinte à l’intimité de la vie privée d’autrui :

  1. en captant, enregistrant, transmettant ou diffusant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel :
  2. en fixant, enregistrant, transmettant ou diffusant, sans le consentementde celle-ci, l’image d’une personne se trouvant dans un lieu privé ».

Toutefois, la CDP a plus accentué son discours sur la sensibilisation (éducation au numérique) pour une prise de conscience afin d’éviter de telles pratiques.

Lundi, octobre 23, 2017 – 16:15

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here