Avis Trimestriel N°04-2014 de la Commission de Protection des Données Personnelles du Sénégal (CDP)
La Commission de protection des données personnelles (CDP), instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours du quatrième trimestre 2014, et conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 30 janvier 2015, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
1 – Compte rendu des activités
Au sortir de ce quatrième trimestre de l’année, les statistiques de la CDP donnent les chiffres ci-après :
- 77 appels à déclarations ;
- 89 structures reçues par la commission ;
- 05 sessions plénières ;
- 25 récépissés délivrés, pour des traitements portant entre autres sur la vidéosurveillance, la prospection commerciale, les fichiers des ressources humaines, la gestion du temps de présence et de pointage du personnel, les sites web, les messageries électroniques, les plateformes SMS, etc. ;
- 10 autorisations de traitements de données de santé, de bracelets d’identification médicale, d’analyse biologique et de systèmes de pointage biométrique ;
- 10 signalements portant sur des SMS non désirés ;
- 06 plaintes enregistrées portant sur : le piratage d’un PC, le refus de supprimer du contenu indésirable sur le réseau Youtube, une escroquerie à la Webcam, un abus du pointage biométrique, la diffusion d’un enregistrement sur le net portant atteinte à l’honorabilité d’une personne et une usurpation de compte Facebook.
Dans le même sillage, la CDP a appelé à la déclaration les détenteurs de systèmes de vidéosurveillance via un communiqué de presse.
La Commission a également pris d’autres décisions notamment l’interdiction à deux (2) opérateurs de télécommunication d’utiliser leurs bases d’abonnés en vue d’envoyer des SMS pour collecter des fonds au profit de l’Union Africaine dans le cadre de la campagne « Stop Ebola » pour manquement à la législation sur les données personnelles (finalité équivoque et absence de consentement des abonnés), défaut de base légale de la collecte, la non-implication du Ministère des affaires étrangères et des sénégalais de l’extérieur et l’inexistence d’un mécanisme indépendant de contrôle des fonds induisant des risques de détournement de deniers publics.
La CDP a également rejeté la déclaration portant sur l’envoi d’un journal numérique à partir d’une base de comptes e-mails, pour manquement à la loi sur les données personnelles relativement aux principes de finalité, de consentement et de sécurité.
2 – Manquements constatés
A la lumière de l’instruction des dossiers ci-dessus, il a été relevé différents manquements à la législation.
Au plan juridique, on dénote toujours l’absence du consentement des personnes objet de traitement, en particulier pour les besoins liés à la prospection commerciale ou sociale. Il s’y ajoute le non-respect des droits des personnes (le droit à l’information préalable, les droits d’accès, d’opposition et de rectification). Par ailleurs, l’instruction des dossiers fait ressortir le caractère disproportionné des données collectées par rapport aux finalités des traitements ainsi que la durée excessive de conservation des données.
Au plan technique, l’installation et la maintenance des plateformes par des prestataires de service externes à l’entreprise, se trouvant parfois à l’étranger, demeure une réelle préoccupation pour la Commission. Ce type traitement peut entrainer une absence de contrôle du système d’information par le responsable de traitement et constitue ainsi un souci supplémentaire pour le contrôle des accès aux données.
De même, des mesures de sécurité renforcée devraient être prises lors du traitement des données sensibles telles que les données biométriques et de santé.
Enfin, il a été constaté l’absence de politique formalisée d’accès aux données ainsi que des mécanismes de sensibilisation du personnel des déclarants sur les mesures de sécurité mises en place.
3 – Recommandations
A la lumière des dossiers traités, la CDP formule à l’intention des responsables de traitement des secteurs public et privé, des organismes de la société civile ainsi que de tous les autres acteurs, les recommandations suivantes :
- Respecter la délibération N° 2014-20/CDP du 30 mai 2014 sur les conditions de la prospection directe au Sénégal en prenant soin de désinscrire gratuitement et immédiatement les personnes qui en font la demande ;
- Signer un contrat de confidentialité en cas d’intervention d’un tiers dans le traitement des données personnelles ;
- Mettre en œuvre les modalités d’information et de sensibilisation des personnes qui traitent les données ;
- Avertir par une affiche les personnes concernées par un système de vidéosurveillance et ne pas filmer les parties privées et le voisinage ;
- S’abstenir de collecter des données afférentes à la conviction religieuse des personnes.
La Commission de Protection des Données Personnelles du Sénégal (CDP)
www.cdp.sn