La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce dernier trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi  ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 23 Décembre 2016, la CDP publie le présent avis trimestriel qui décrit   la situation actuelle de la protection des données personnelles au Sénégal.

I. COMPTE RENDU DES ACTIVITES DECLARATIVES

Au cours de ce quatrième trimestre, la CDP a accueilli 53 structures venues s’imprégner de la législation sur les données à caractère personnel.

La Commission a traité 60 dossiers dont 42 déclarations et 18 demandes d’autorisation.

A l’issue des 04 sessions plénières tenues à la CDP, 21 récépissés de déclaration et 16 autorisations ont été émis.

La Commission a, en outre, envoyé des demandes d’explication, reçu des demandes d’avis et émis des appels à déclaration :

  • Demandes d’explication : 04
  • Nombre d’appels à déclaration : 13
  • Demandes d’avis : 05
  • Refus d’autorisation de traitement : 02
  • Plaintes reçues : 06
  1. A.      Observations /constats                                     

L’examen des dossiers soumis à la CDP, a permis de constater les manquements dont les plus récurrents sont les suivants :

Manquements constatés sur les formulaires :

Manquements

Structures

Recommandations

Absence d’engagement de confidentialité entre le responsable d’un système de pointage biométrique et son prestataire technique (installation et maintenance du système). –          Compagnie Sucrière Sénégalaise (CSS) ;

 

–          Autorisation préalable de la CDP pour tout système biométrique de contrôle d’accès ou de pointage des heures de travail ;

–          Signer un engagement de confidentialité avec les prestataires techniques (installation et maintenance système accès et pointage).

Absence d’engagement de confidentialité entre le responsable d’un système de pointage biométrique et son prestataire technique (installation et maintenance du système). –          La PIAZZA EK –          Déclaration préalable de tout système de vidéosurveillance à la CDP ;

–          Signature obligatoire d’un engagement de confidentialité avec les prestataires techniques (installation et maintenance système accès et pointage).

Collecte excessive de données pour une enquête de satisfaction –          M. M. FALL

–          M. A. NDIAYE

Collecte des données strictement nécessaires à l’objectif d’une enquête ou d’un sondage
Absence d’engagement de confidentialité signé par un agent de sécurité préposé à la tenue d’un registre de contrôle des entrées et des sorties –          Pharmacie GUIGON Signature d’un engagement de confidentialité avec les agents de sécurité préposés à la tenue d’un registre de contrôle des accès et des sorties d’un bâtiment.

 

  1. B.     Demandes d’avis reçus par la CDP

Structures ou Particuliers

Objet

Réponse de la CDP

M. Mouhamadou L. NDIAYE Procédure de déclaration d’un système de surveillance au niveau de son domicile. Procédure déclarative.

Formulaire de système de vidéosurveillance à télécharger sur le site internet de la CDP (www.cdp.sn).

M. Serge FAYE Obligations de conformité à la loi 2008-12 pour la création d’un organisme de santé contribuant à l’amélioration de l’accès aux services et aux soins des populations et le renforcement des compétences autour du bien-être des personnes.

Possibilité de procéder aux formalités déclaratives sans la création de la société.

Exigence d’un représentant local clairement identifié si le Responsable du Traitement est établi à l’étranger.

Autorisations délivrées uniquement à des entités juridiques légalement constituées.
Trois traitements identifiés pour le projet : les sites web, le E-learning et l’E-santé (formulaires téléchargeables sur http://cdp.sn/liste-des-formulaires).
1. Sites web : déclarer la collecte de données à des fins d’envoi de lettres d’information (télécharger le formulaire de déclaration de collecte de données sur site internet ;

2. E-learning : Remplir le formulaire de demande d’autorisation (si Plateforme hébergée à l’étranger) au cas contraire, remplir le formulaire de déclaration normale ;

3. E-santé : Remplir formulaire de demande d’autorisation (données sensibles).

 

Possibilité d’assistance pour le remplissage des formulaires.

M. Wagane Samba FAYE Informations relatives aux missions de la CDP. Rendez-vous avec M. FAYE pour informations sur les missions et le cadre juridique de la CDP.
M. Djibril T. BARRO Formalités préalables pour la création d’un site web destiné à l’actualité people. Remplir le formulaire de déclaration de collecte de données personnelles sur site internet  (http://cdp.sn/liste-des-formulaires).
M. FALL Communication de données   à des consulats Conformément à l’article 4.5 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel « (…) les autorités publiques légalement habilitées, dans le cadre d’une mission particulière où de l’exercice d’un droit de communication, peuvent demander au responsable de traitement de leur communiquer des données à caractère personnel ».

En vertu de cette disposition, seules les autorités publiques sont en principe habilitées à recevoir communication des données personnelles des clients d’une banque. C’est à l’image de la Cellule nationale de traitement des informations financières (CENTIF), dans le cadre des déclarations de soupçons pour la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Par conséquent, toute communication de données personnelles aux consulats par les banques, quels que soient les motifs (lutte contre le trafic de faux relevés de comptes bancaires par les demandeurs de visa), doit être expressément prévue par une disposition légale.

Ainsi, toute personne physique qui constate que ses données personnelles ont été communiquées par la banque à un consulat sans son consentement, et en l’absence d’une disposition légale qui prévoit cette communication, peut saisir la CDP d’une plainte ou d’un signalement conformément à l’article 16-2-b de la loi de 2008-12 susmentionnée.

 

 

  1. C.    Les structures appelées à la déclaration de leurs fichiers et bases de données :

Responsables de traitement/ Sous-traitants

Traitements

Ministère de l’Intérieur et de la Sécurité publique Carte d’identité biométrique CEDEAO
Ministère de l’Industrie et des Mines pour son registre de contrôle des entrées et des sorties Registre des entrées et des sorties
Grands Moulins de Dakar Registre d’accès à la salle des serveurs
Philips Morris Sénégal –          Registre des entrées et des sorties

–          Système d’accès par badge

MVH Sénégal Fichiers et bases de données personnelles
Compagnie Sucrière Sénégalaise (CSS) Système d’accès par badge
World Trade Consulting Système d’accès par badge
Phoenix Fichiers et bases de données personnelles
SNEF Sénégal Fichiers et bases de données personnelles
Société de Conserverie Alimentaire (SCA) S.A –          Registre des entrées et des sorties

–          Système d’accès par badge

Eiffage Sénégal       Registre des entrées et des sorties
TOTAL                                                                                   

STRUCTURES :                                  11

                                                                                                                                 TRAITEMENTS : 13

 

  1. D.    Décisions rendues par la Session Plénière :
  1. 1.      Autorisations accordées :

Finalités des traitements

Nombre

Structures

Recrutement en ligne et transfert des données collectées vers la Suisse

01

Philip Morris Manufacturing Sénégal (PMMSN) S.AR.L
Gestion des demandes et des incidents lors des opérations bancaires et transfert des données collectées vers la France

01

Société Générale de Banques au Sénégal (SGBS)
Mise en place d’un service de recherche, de localisation et d’orientation, par SMS et sur site internet, de pièces d’identité perdues

01

Consortium International Jeunesse Prévoyance Développement Progrès (CIJPDP)

 

Analyse et étude sur la mobilité urbaine dans les régions de Dakar et de Thiès, à partir des données clients extraites et anonymisées et transfert des données collectées vers la France

                         01

SONATEL S.A
Gestion des utilisateurs de la plateforme de Crowfunding WAALAM et transfert des données collectées vers la France

01

World Trade Consulting
Contrôle et sécurisation par biométrie de l’accès aux locaux de travail

01

Compagnie Sucrière Sénégalaise (CSS)
Etude quantitative sur la consommation de Tabac et transfert des données vers le Nigéria et Chypre

01

Cabinet CIBLAGE
Gestion des Ressources Humaines, paiement des salaires et transfert des données collectées vers les Etats-Unis

01

GlaxoSmithKline (GSK)
Gestion de la base de données des clients et transfert des données collectées vers les Etats-Unis

01

GlaxoSmithKline (GSK)
Gestion des clients et marchands avec une plateforme de monnaie électronique et transfert des données collectées vers l’Autriche

01

Zuulu Financial Services
Gestion des clients de banque en ligne

01

Société Générale de Banques au Sénégal (SGBS)
Gestion de la base de données des clients

01

Société Générale de Banques au Sénégal (SGBS)
Traitement d’ordonnances en ligne, don de médicament en ligne « Jokko Santé »

01

Sensys Solutions S.A.R.L
Géolocalisation de véhicules et transfert de données collectées vers les Pays-Bas

01

SENAC S.A
Contrôle par biométrie du temps de travail effectué par les salariés

01

Maxi Food
Emailing à partir d’un site internet à l’occasion  de la nouvelle édition du Marathon Eiffage

01

Eiffage Sénégal
TOTAL

16

 

  

  1. 2.      Récépissés délivrés :

Finalités

Nombre

Structures

Numérisation et traitements de documents appartenant à des clients

 

01

@CCORS

Registre entrée-sortie

03

1-      Commission de protection des données personnelles CDP

2-      PHARMACIE GUIGON

3-      Grands Moulins de Dakar (GMD)

Registre de prospection commerciale

 

01

MICROCRED SENEGAL
Vidéosurveillance dans les Entreprises pour assurer la sécurité des biens et des personnes

09

1-      LONASE

2-      GMD

3-      MICROCRED SERVICES SASU

4-      MICROCRED SENEGAL

5-      LA PIAZZA EK

6-      SPHU HOTEL PULLMAN DAKAR TERANGA

7-      EIFFAGE SENEGAL

8-      LOC SET SURL

9-      SIMPA

Vidéosurveillance à domicile

 

03

1-      MAMADOU LAMINE NDIAYE

2-      ELI JOSEPH BADJI

3-      ASTOU FERRERE SALL

Fichier du personnel du Ministère

01

MINISTERE DE L’INDUSTRIE ET DES MINES
Gestion des ventes, facturation des clients

 

01

PHARMACIE GUIGON
Ordonnancier

01

PHARMACIE GUIGON

 

Base de données étudiants

01

COMPUTECH INSTITUTE

 

TOTAL

21

 

 

  1. 3.      Refus d’autorisation de traitement/ Rejet de déclaration de traitement :

 

Nombre Intitulé du traitement Responsables du traitement Finalités du traitement Motifs de refus ou de rejet
02 Enquête de satisfaction à l’aéroport Léopold Sédar SENGHOR (LSS) –          Monsieur M. FALL, étudiant et stagiaire à l’Agence Nationale de l’Aviation Civile et de la Météorologique (ANACIM)

 

–          Monsieur A. NDIAYE, étudiant et stagiaire à l’Agence Nationale de l’Aviation Civile et de la Météorologique (ANACIM)

Mémoire de fins d’études ;

Mesurer la satisfaction des passagers à l’aéroport Léopold Sédar SENGHOR (LSS) de Dakar et détecter les problèmes liés à l’aéroport

 

–          Insuffisance des mesures prises pour assurer la sécurité et la conservation des données collectées ;

–          Collecte excessive de données personnelles ;

–          L’Agence Nationale de l’Aviation Civile et de la Météorologie (ANACIM) doit être le responsable de cette enquête.

 

 

  1. 4.      Délibération de portée générale :

–          Délibération n° 2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation des systèmes de vidéosurveillance dans les lieux de travail

Les entreprises publiques et privées qui comptent installer des systèmes de vidéosurveillance dans les lieux de travail doivent se conformer à la délibération susmentionnée, qui indique les emplacements interdits et autorisés pour l’installation de caméras de vidéosurveillance. La délibération rappelle également les droits des personnes concernées, notamment les salariés (droit à l’information préalable et droit d’accès aux images).

Avec cette délibération, il est interdit d’installer des caméras de surveillance aux endroits suivants :

–          postes de travail, à l’exception des caisses ;

–          « Open space », à des fins de contrôle permanent des employés ;

–          vestiaires ;

–          cabinets d’aisance ;

–          cabines d’essayage dans les boutiques ou magasins ;

–          bureaux ou espaces mis à la disposition des employés à des fins de détente ou de pause ;

–          locaux réservés aux délégués du personnel et les issues à ces locaux.

Toutefois, il est autorisé d’installer des caméras aux endroits suivants :

–          entrées et sorties de bâtiments, à condition qu’elles ne filment pas la voie publique ;

–          entrées et sorties des locaux ou salles multimédia ;

–          voies de circulation ou couloirs ;

–          escaliers ;

–          issues de secours ;

–          entrepôts de marchandises ou de biens ;

–          caisses, à condition que la caméra ne soit pas davantage orientée sur le caissier ;

–          salles d’attente ;

–          parkings.

La délibération est téléchargeable à partir du lien ci-dessous :

–          http://cdp.sn/images/doc/Delibration_n2016-00238_Videosurveillance_lieux_de_travail.pdf

  1. 5.      Annexe portant demande d’autorisation de transfert de données vers un pays-tiers :

Tout responsable de traitement de données personnelles qui compte transférer des donnés vers un pays tiers doit demander l’autorisation de la CDP en remplissant le formulaire dédié. Ce formulaire contient une annexe de demande d’autorisation de transfert de données vers un pays tiers permettant de donner les informations suivantes :

–          l’identité du destinataire des données, son secteur d’activité et sa qualité (succursale, filiale, sous-traitant, hébergeur, etc.) ;

–          le pays de destination ;

–          le nom du fichier à transférer ;

–          la finalité du transfert ;

–          le nombre de personnes concernées par le transfert ;

–          les catégories de données transférées ;

–          la conformité du destinataire à la législation du pays de destination des données ;

–          le fondement juridique du transfert ;

–          le mode de transfert des données ;

–          le consentement des personnes concernées ;

–          les mesures prises pour assurer la sécurité des données lors du transfert.

Le formulaire de demande d’autorisation ainsi que son annexe est téléchargeable à partir de ce lien : http://cdp.sn/liste-des-formulaires. 

       I.            LA SECURITE DES TRAITEMENTS DECLARES, LES PLAINTES ET SIGNALEMENTS, LES MISSIONS DE CONTROLE 

  1. 1.      L’importance d’appliquer une politique formalisée d’administration, d’accès ou d’exploitation des données

Au regard de l’article 71 de la loi n°2008-12 du 25 janvier 2008, la mesure de sécurité désigne toute précaution utile qu’est tenue de prendre le responsable d’un traitement relativement à la nature des données traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès. Dès lors, afin de gérer efficacement les risques liés au stockage ou au traitement des données personnelles, le responsable de traitement doit mettre en place et veiller à l’application d’une politique formalisée sur les conditions et modalités d’accès, d’administration, d’exploitation et de maintenance des systèmes qui traitent ou stockent les données collectées.

Cette politique formelle documentée dans une Charte Informatique, une Politique de Sécurité du Système d’Information (PSSI), ou même dans le règlement intérieur est imposée unilatéralement par l’organisme. En effet, l’objectif est de :

  • fixer les orientations et mesures en matière de sécurité de l’information ;
  • organiser l’utilisation des outils informatiques tout en garantissant le respect de la vie privée des salariés et intervenants  au traitement ;
  • informer et sensibiliser les intervenants au traitement du respect de la vie privée sur les données traitées ;
  • informer les salariés sur les procédés de surveillance mis en place par l’employeur et permettant notamment de dissuader les salariés d’utiliser les outils informatiques à des fins répréhensibles ;
  • disposer d’un outil clair de rappel des droits et obligations des utilisateurs soumis au SI ;
  • réduire au plus bas niveau les risques humains liés à l’utilisation des systèmes notamment la maladresse, l’inconscience et l’ignorance, l’ingénierie sociale[i], etc.
  • responsabiliser les utilisateurs sur le bon usage du système informatique.

L’élaboration d’une politique formalisée d’accès, d’administration ou d’exploitation des systèmes est indispensable pour faire face aux risques humains, techniques et juridiques liés à l’utilisation du SI.

Ainsi, conformément à l’article 16-3 de la loi n°2008-12 du 25 janvier 2008, la CDP peut homologuer les chartes d’utilisation qui lui sont présentées.

  1. Plaintes et Signalements :

La nouvelle réforme du Code pénal par la loi n° 2016-29 du 08 novembre 2016 modifiant la Loi n° 65-60 du 21 juillet 1965 est une avancée significative dans le renforcement du droit à la protection des données personnelles. Des infractions telles que l’usurpation d’identité, les enregistrements clandestins et la publication de photos ou de vidéos sans le consentement préalable de la personne concernée sont désormais réprimées par ladite loi.

A titre illustratif, l’article 431-57 de la loi n°2016-29 punit d’une amende et d’une peine d’emprisonnement « celui qui usurpe l’identité d’un tiers ou une ou plusieurs données permettant de l’identifier, en vue de troubler sa tranquillité ou celle d’autrui ou de porter atteinte à son honneur, à sa considération ou à son patrimoine ».

Par ailleurs, la nouvelle loi a prévu un paragraphe spécifique intitulé « De l’atteinte à la vie privée et à la représentation de la personne ». A cet effet, l’article 363 bis dispose : « Est puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500.000 francs à 5.000.000 de francs celui qui, au moyen d’un procédé quelconque, porte volontairement atteinte à l’intimité de la vie privée d’autrui :

  1. 1.      en captant, enregistrant, transmettant ou diffusant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel :
  2. 2.      en fixant, enregistrant, transmettant ou diffusant, sans le consentement  de celle-ci, l’image d’une personne se trouvant dans un lieu privé

Ainsi les citoyens pourront désormais saisir la CDP ou le juge lorsqu’ils sont victimes de telles infractions.

Au cours de ce trimestre, la CDP a reçu des plaintes et signalements pour des activités illicites sur les réseaux sociaux.

a – Nombre de plaintes reçues :

Nombre

Plaignant

Mis en cause

Motifs

Observations

1

Mme L. F.

B. B

Publication de photo compromettante sur Facebook sans le consentement de la personne concernée

Après plusieurs sommations de la victime, elle saisit la CDP.

L’envoi d’une lettre de demande de suppression en application de l’article 69 de la loi n°2008-12 du 25 janvier 2008 a permis d’enlever la photo indexée

2

Mme F. K. D

Seneweb

Nom et prénom de la plaignante citée dans un article presse.

 

 La CDP a recommandé à la victime de saisir au préalable SENEWEB pour la suppression de l’article.

3

M. B

Page Facebook

spotteddakar.com

 

 

Données personnelles du plaignant associées à des commentaires haineux et méprisants

La CDP a recommandé au plaignant de suivre la procédure suivante : « Aller sur le commentaire indexé sur Facebook, passer le curseur sur l’angle droit du commentaire : une croix apparait, cliquer dessus. Cliquer sur « signaler » et laisser vous guider » afin de signaler les propos haineux et méprisants.

Par ailleurs, la CDP a enjoint au mis en cause de supprimer sans délais, les publications associées aux données personnelles du plaignant et de l’en informer conformément à l’article 69 de la loi n°2008-12.

Les commentaires ont été retirés.

4

Travailleurs de l’Atelier graphique du journal Le Soleil

Société Sénégalaise de Presse et de Publication (SSPP) Le Soleil

Installation de caméras de surveillance dans la salle de l’Atelier graphique (en forme d’open space) occupée par des salariés pendant les heures de travail

En cours de traitement

5

Association de Défense des usagers de l’Eau, de l’Electricité, des Télécommunications et des Services (ADEETélS)

EXPRESSO

Prospection directe :

Non-respect du droit d’opposition

En cours de traitement

6

Mlle F. K.F

X

Atteinte au droit à l’image (utilisation de l’image de la plaignante comme photo de profil sur Facebook)

En cours de traitement

  

b – Liste des manquements signalés à la CDP:

 

Mis en cause

Motifs

Observations

Manufacture des Tabacs de l’Ouest Africain (MTOA)

Installation de trois (3) caméras dans le hall de l’usine filmant les postes de travail et d’une (1) caméra placée dans le couloir des vestiaires et faisant face aux vestiaires

Une mission de contrôle sur place de la CDP auprès de la MTOA a révélé que le système de vidéosurveillance déployé est conforme à la législation sur la protection des données personnelles.

La Commission a toutefois formulé des recommandations à la MTOA.

X

Cyber chantage et tentative d’extorsion de fonds sur Facebook  

La CDP a demandé à l’auteur du signalement d’utiliser le lien suivant : http://www.facebook.com/recover.php afin de rétablir son compte piraté.

Par ailleurs, la Commission a recommandé à la victime de déposer une plainte auprès de la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC) pour « tentative d’extorsion de fonds ».

 

Le Petit Saint-Louisien

Utilisation d’une base de données à caractère personnel non déclarée à la CDP à des fins d’annonces et de publicités commerciales

En cours de traitement

Société de Conserverie en Afrique (SCA Sa)

Installation de nouvelles caméras dont deux placées à l’intérieur des bureaux et susceptibles de porter atteinte à la vie privée des salariés

La CDP a effectué une mission de contrôle sur site le 15 décembre 2016. Le procès-verbal et les observations des contrôleurs doivent être présentés aux commissaires

 

  1. 3.      Les missions de contrôle

Durant ce dernier trimestre 2016, la CDP a effectué deux missions de contrôle sur place auprès des structures ci-après :

Décision

Date de la mission

Structures contrôlées

Traitements concernés

Décision

N° 2016­004C/CDP du 31 octobre 2016 de la Présidente de la CDP

04 novembre 2016

Manufacture des Tabacs de l’Ouest Africain (MTOA)

Vidéosurveillance

Décision

N° 2016­005C/CDP du 02 décembre 2016 de la Présidente de la CDP

 

 

15 décembre 2016

Société de Conserverie en Afrique

(SCA Sa)

Vidéosurveillance

Ces missions de contrôle portaient exclusivement sur des systèmes de vidéosurveillance, suite à des plaintes des salariés reçues par la CDP.

À la suite de ces missions de contrôle sur place à la MTOA, après l’examen du procès-verbal et exploitation des pièces issues du contrôle, la CDP a constaté les manquements ci-après :

ü  La disposition de certaines caméras sur des positions de travail, en violation de la loi sur la protection des données personnelles ;

ü  La non formalisation des procédures permettant l’exercice correct des droits des personnes concernés (information préalable, accès, suppression, rectification, opposition)

ü  L’absence de panneaux de signalisation du système de vidéosurveillance ou manque d’information (comme le numéro du récépissé de la CDP) sur les panneaux ;

ü  L’absence de dialogue avec les salariés sur les projets de mise en place de système de vidéosurveillance ;

À la suite de ces manquements, la CDP recommande vivement aux structures disposant d’un système de vidéosurveillance de respecter les dispositions de la loi et de s’inspirer de la délibération de portée générale sur les systèmes de vidéosurveillance, disponible sur son site web. Elle rappelle également la nécessité de partager les projets d’installation de vidéosurveillance avec les délégués du personnel pour éviter des conflits futurs dans l’entreprise.

Par ailleurs, la Direction des systèmes d’information et du contrôle (DSIC) a effectué une visite d’inspection auprès de la société Albatros afin de l’accompagner dans la mise en conformité de son système de vidéosurveillance. La DSIC a orienté Albatros sur l’emplacement des caméras et a rappelé le respect strict des droits des personnes concernées (mise en place d’affiches indiquant la présence du système, coordonnées de la personne chargée de l’exercice du droit d’accès).

III- COMMUNICATION ET SENSIBLISATION

Au cours de ce dernier trimestre de l’année 2016, la Commission de protection des données personnelles a mené des actions de sensibilisation et de vulgarisation de la loi sur les données personnelles. La CDP a, en effet, dispensé des sessions d’information et de formation et effectué des visites de courtoisie à des acteurs et institutions.

Les 04 et 05 Octobre 2016 , la Commission de protection des Données Personnelles(CDP) a reçu un expert de son homologue française, la Commission Nationale Informatique et Libertés (CNIL),  pour une formation intensive sur l’activité de contrôle. C’est à la suite de cette formation que la CDP a procédé au démarrage effectif de ses missions de contrôle.

Deux agents de la CDP ont été primés avec leur groupe lors du Hackathon sous le thème « l’innovation technologique au service de l’administration fiscale », organisé par le  Ministère de l’Economie, des Finances et du Plan et le Fonds Monétaire International(FMI) au mois de novembre. Les agents de la CDP et leur groupe sont arrivés troisième du concours avec un projet sur le thème : « comment tirer profit de toutes les données disponibles, pour la DGID elle – même ou pour tout autre partenaire ? »      Ils ont insisté sur la protection des données personnelles dans le cadre de la déclaration d’impôt par les procédures en ligne.

Face au constat de l’installation tout azimut de systèmes de vidéosurveillance, la CDP  a publié un communiqué qui définit les conditions  à respecter pour l’utilisation desdits systèmes, surtout dans les lieux de travail.

La CDP a organisé, le 24 novembre 2016, un séminaire de sensibilisation qui s’est déroulée en langue wolof, avec la participation d’organisations patronales, syndicales mais aussi des groupements des différents corps de métiers. Etaient également conviés les étudiants, des commerçants, le patronat sénégalais,  l’association des maires du Sénégal, les associations des consuméristes et  la presse. Une opportunité  qui a été mise à profit pour expliquer les enjeux de la loi au secteur informel.

Dans le cadre des travaux de l’Institut sur la Gouvernance Démocratique, la Présidente de la CDP, Mme Awa Ndiaye, sur invitation du CODESRIA, a participé à un panel sur la cybersécurité et le service public. Elle est revenue sur les missions de la CDP et formulé des recommandations pour permettre au Sénégal d’asseoir une véritable politique de cybersécurité.

La Commission de protection des Données Personnelles a reçu, le 14 décembre 2016, une délégation de la Brigade Spéciale de Lutte contre la Cybercriminalité. Cette importante rencontre a été une occasion de passer en revue l’ensemble des questions relatives à la lutte contre la Cybercriminalité et à la protection des données à caractère personnel dans notre pays.

Suite aux affaires de publications de vidéos, photos obscènes ou autres enregistrements sonores publiés par certains sites d’informations en ligne ou les réseaux sociaux, la CDP a sorti un communiqué appelant les Sénégalais à plus de responsabilité dans l’usage de l’Internet, notamment sur les réseaux sociaux. Elle a également rappelé les sanctions auxquelles les utilisateurs s’exposent en cas de diffusion de données personnelles sans le consentement des personnes concernés sur ces dits réseaux et sites web. Des agents de la CDP ont été invités sur des plateaux de télévision et talk-show pour éclairer sur les missions et mandats de la CDP.

La Commission a organisé pour son personnel une session de formation sur les fondements juridiques et techniques de la loi sur la protection des données à caractère personnel. Une formation qui a permis d’ouvrir de nouvelles perspectives mais qui a également donné lieu à des réflexions sur les moyens d’adapter la LPDP aux nouvelles dispositions introduites dans le Code pénal.

IV – COOPERATION ET PARTENARIAT

1-      Au plan national

  • CDP- Comité Sénégalais des Droits de l’Homme(CSDH)

En prélude à la signature de la Convention de partenariat entre la Commission de protection des données personnelles (CDP) et le Comité sénégalais des droits de l’homme (CSDH), une séance de formation et d’échanges sur la protection des données personnelles a été faite ce vendredi 09 décembre aux agents du CSDH.

La formation, présidée par le Coordonnateur du Comité, M. Abdoulaye MAR, avait pour but de sensibiliser sur les enjeux de la protection des données, d’informer mais aussi de vulgariser la loi 2008-12 du 25 janvier 2008. Les présentations portaient essentiellement sur le cadre juridique, la gestion des plaintes et les missions de contrôle de la CDP. L’équipe de la CDP a été conduite par le Secrétaire permanent, M. Paul MENDY.

La signature de la Convention de partenariat est prévue très prochainement dans les locaux de la CDP, afin de fixer un cadre général de collaboration et de coopération entre les deux institutions.

  • CDP – Centre de Formation Judiciaire(CFJ)

La Commission de protection des données personnelles (CDP) a effectué une visite de courtoisie au Centre de formation judiciaire (CFJ) afin de voir dans quelle mesure des formations pourraient être faites aux élèves magistrats, dans le but de les sensibiliser sur la loi portant protection des données à caractère personnel (le cadre juridique), et les enjeux y liés.

M. Mamadou DIAKHATE, Directeur du CFJ, a souligné que l’information et la sensibilisation des élèves magistrats sont cruciales, dans la mesure où ils interviennent pour tous textes de lois. Aussi, cette formation leur permettra de les préparer à l’application effective de la loi sur la protection des données personnelles, qui est au cœur de nombreux problèmes de société.

Par ailleurs, dans le cadre de la formation continue proposée par le CFJ aux professionnels judiciaires, des séminaires d’une (01) ou de deux (02) journées pourraient être organisées pour les magistrats, les avocats, les greffiers.

Mme Awa NDIAYE, a confirmé que la sensibilisation était primordiale pour ceux qui sont chargés d’appliquer les lois.

  • CDP – GROUPE ATOS

Sur invitation du groupe Atos Sénégal, la CDP s’est rendue le mardi 29 novembre 2016, dans les locaux du Groupe pour échanger sur leur approche en matière de protection des données personnelles. En effet, pour garantir la confiance de ses clients, Atos a mis en place une importante politique de protection des données personnelles.

Cette politique a été présentée par Monsieur Lionel De SOUZA, Chef du département de la protection des données personnelles au sein du Groupe. Lors de sa présentation, M. De SOUZA est revenu sur les défis auxquels Atos fait face pour garantir la protection des données personnelles. Ces défis sont notamment l’évolution constante de la législation sur les données personnelles, la prise en compte de la protection des données personnelles dans le cadre de l’offre de solutions innovantes. Toutefois, le groupe Atos est conscient que la conformité aux normes de protection des données personnelles est un avantage concurrentiel.

Après la présentation de M. De SOUZA, Mme Awa NDIAYE s’est réjouie de la politique de protection des données personnelles mise en place au sein du groupe Atos. Toutefois, elle a rappelé aux autorités d’Atos Sénégal leurs obligations déclaratives afin de se mettre en conformité avec la législation sénégalaise sur la protection des données personnelles. Dans cette lancée, Mme Awa NDIAYE a invité Atos Sénégal à se rapprocher de ses services pour recenser et déclarer les traitements mis en œuvre.  Les dirigeants d’Atos Sénégal se sont engagés à déclarer leurs traitements de données personnelles dans les meilleurs délais, et à sensibiliser leurs clients implantés au Sénégal.

  • CDP – Comité Interministériel de Lutte contre la Drogue (CILD)

Les membres du Comité interministériel de lutte contre la drogue (CILD) se sont réunis le mardi 14 décembre 2016 au Ministère de l’Intérieur, pour voir dans quelle mesure les activités proposées dans le plan stratégique peuvent être mises en œuvre.

A cet effet, deux groupes ont été constitués et portent respectivement sur le renforcement du cadre juridique (révision des textes législatifs et réglementaires) et le financement et la mise en cohérence des activités.

La CDP est inscrite dans le premier groupe et contribuera à renforcer le cadre juridique de lutte contre la drogue.

Pour rappel, lors du Conseil des Ministres du 13 juillet 2016, le Président de la République avait demandé, entre autres, l’adoption « avant fin septembre 2016, du plan d’action de lutte contre la drogue, qui est un axe prioritaire de notre stratégie de sécurité intérieure ».

Ledit plan a été remis au Gouvernement et adopté.

2-      Au plan international :

Au plan international, le Sénégal est, depuis le 01 décembre 2016, Partie de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention STE n°108) et de son Protocole Additionnel concernant les Autorités de contrôle et les flux transfrontières de données (STE n°181).

Dès lors, le Sénégal devient ainsi le 50ème Etat Partie de la Convention, après l’Île Maurice.

Pour rappel, l’intérêt de la ratification de ladite Convention est multiple pour le Sénégal qui :

  • sera une destination privilégiée pour les entreprises étrangères, et partant, les sociétés nationales peuvent prétendre au marché extérieur de commerce de services ;
  • aura un cadre juridique renforcé et un espace commun naturel de libre échange et de facilitation des flux transfrontières de données avec l’Europe ;
  • jouira, de la coopération et de l’assistance à la mise en conformité de la législation nationale avec les standards internationaux.

La Commission de Protection des Données Personnelles du Sénégal (CDP)
www.cdp.sn

Laisser un commentaire