Le 10ème avis trimestriel (Avril-Mai-Juin 2016) de la Commission de protection des Données Personnelles du Sénégal (CDP).


Le 10ème avis trimestriel (Avril-Mai-Juin 2016) de la Commission de protection des Données Personnelles du Sénégal (CDP).

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est  chargée de vérifier la légalité de la collecte et du traitement des données personnelles  des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles  soient sécurisées. 

Dans cette perspective, au cours de ce deuxième trimestre de l’année 2016, et conformément à son programme d’activités annuel, la CDP a lancé plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, reçu des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal.

Sur le plan de la coopération, des avancées majeures ont été engrangées, notamment dans le domaine de l’adoption et de la ratification de conventions importantes pour notre pays.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 19 Aout 2016, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal. 

  1. Compte rendu des activités déclaratives 

Au cours de ce deuxième trimestre, la CDP a reçu 19 structures qui sont venues s’imprégner de la législation sur les données personnelles et connaitre leurs obligations déclaratives. 

La Commission a traité 36 dossiers dont 28 déclarations et 08 demandes d’autorisation. 

A l’issue des  05 sessions plénières tenues à la CDP, 33 récépissés de déclaration et 23 autorisations ont été émis.

La Commission a, en effet, envoyé des demandes d’explication, à recevoir des demandes d’avis et à émettre des appels à déclaration : 

  • Demandes d’explication : 04
  • Nombre d’appels à déclaration : 125 
  • Demandes d’avis : 07

 

  1. Observations /constats   

A l’examen des dossiers reçus à la CDP, il a été constaté des manquements dans le traitement des données personnelles de la part de plusieurs structures. 

Du point de vue juridique, l’examen des dossiers a mis en exergue les  manquements suivants :

  1. Manquements constatés sur les formulaires :

 

  1. Nombre de plaintes reçues :

 

  1. Liste des manquements signalés à la CDP :

 

Les signalements au niveau de la CDP s’articulent autour de deux (2) points :

  • Collecte de la CNI dans le cadre d’un transfert d’argent sur le réseau Wizall pour les services d’Orange Money, sans informer préalablement les personnes concernées sur la finalité de ladite collecte.

 

  • Publication d’une vidéo sur internet sans le consentement de la personne concernée

 

Suite à ces signalements, des demandes d’explication ont été envoyées aux sociétés et organe concernés 

 

  1. Demande d’avis reçus par la CDP :

 

 

 

  1. Décisions rendues par la Session Plénière :

 

  1. Autorisations accordées :
  2.  

 

  1. Récépissés délivrés 
  2.  

 

  1. Volet sensibilisation 

La Commission de protection des Données Personnelles(CDP) a, au cours de ce deuxième trimestre, mené des actions de communication dans le but de promouvoir et de faire mieux connaitre la législation sur les données personnelles. 

 

La CDP a également pris part à la cérémonie marquant la célébration de la Journée internationale des Femmes dans les TIC (JIFTIC), le Jeudi 28 avril 2016, ainsi qu’à  la première Matinée du Numérique, organisée par OPTIC (Organisation des Professionnels des Technologies de l'Information et de la Communication) sur le thème : "Partenariats Public-Privé : quelles opportunités de la nouvelle Loi pour les entreprises du Numérique ? ". En partenariat avec le REJOTIC (Réseau des journalistes Spécialisés en TIC), cette Matinée du Numérique fut une tribune importante de sensibilisation sur la Loi relative à la protection des données personnelles.

 

La Commission a également participé à la première édition du forum organisée par l'Association des Editeurs et Professionnels de la Presse en ligne (APPEL) sur le  thème : Internet local : Souveraineté et / ou Patrimoine numérique. 

La CDP a bénéficié de l’appui institutionnel de l’Autorité de Régulation des Télécommunications et des Postes(ARTP), avec l’octroi d’un chèque d’un montant de 25 millions de francs CFA. Une cérémonie de remise du chèque a été organisée à cet effet, au cours de laquelle l’ARTP et le CDP ont réaffirmé leur partenariat, dans le cadre des missions qui leurs sont confiées.

 

  1. La sécurité des traitements déclarés et les missions de controle

L’article 71 de la loi 2008-12 du 25 janvier 2008 dispose que « le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Ces notions impératives de confidentialité, de traçabilité, d’authenticité, d’intégrité et de disponibilité permettent de se prémunir efficacement contre les risques liés aux traitements de données à caractère personnel.

Ainsi, dans ses missions d’accompagnement aux responsables de traitement pour les formalités déclaratives, la CDP, pour ce deuxième avis trimestriel, a noté les manquements techniques ci-après :

  • la méconnaissance par certains responsables de traitement ayant recours à un hébergeur, du lieu exact de stockage des données traitées ;
  • l’inexistence pour certains traitements, de clause de confidentialité ou contrat d’hébergement entre structures intervenantes ;
  • le  manque de maitrise des garanties de sécurité appliquées par le destinataire des données transférées à l’étranger ; 
  • l’inexistence d’une charte informatique ou d’une politique formalisée d’administration, d’accès ou d’exploitation des données ;
  • l’absence de confidentialité des flux de données lors des opérations de sauvegarde ou de communication (données non chiffrées et passerelles de communication  non sécurisées) ;
  • la vulnérabilité aux attaques de certaines plateformes déclarées ;
  • l’inexistence des mesures d’information et de sensibilisation sur la politique de sécurité mise en place à l’intention des acteurs intervenants dans le cadre de traitement relatif aux registres des entrées- et sorties.

 

  1. Recommandations aux Responsables de traitement

Au regard des constats à l’examen des dossiers instruits, la CDP formule au profit  de toutes les parties prenantes, les responsables de traitement du secteur public, du  secteur privé, des organismes de la société civile et autres acteurs, les recommandations suivantes : 

  • recourir  à un professionnel, ou un prestataire pour le remplissage des points techniques des formulaires de demande d’autorisation et de déclaration normale ; 
  • indiquer, de manière claire et exhaustive, dans les conditions générales de souscription, les pays où se situent les centres de données du prestataire Cloud computing ;
  • chiffrer par des procédés fiables (SSH, SSL, Ipsec, etc.) tous les flux d’administration, de communication et d’exploitation qui garantissant la confidentialité et l’intégrité des données. 
  • protéger  les plateformes contre les attaques classiques (en déni de service, en IP options, en injection de code, aux attaques par dictionnaire, etc.) ;
  • sensibiliser et informer tous les acteurs intervenants dans le traitement sur les mesures de sécurité mise en place.

 

  1. Préparation des missions de contrôle

 

La loi n° 2008-12, donne à la CDP un pouvoir de contrôle sur site pour tout traitement de données à caractère personnel.     

Les missions de contrôle ont pour objectif de s’assurer que  les déclarations ou demandes d’autorisation faites par les responsables de traitement devant la CDP, et pour lesquelles ils ont reçu des récépissés ou des autorisations, sont conformes à la législation. Les contrôles peuvent également s’effectuer à la suite de signalements ou de plaintes.

 

Dans la perspective de ces missions prochaines, une délégation de la CDP a séjourné du lundi 23 au mardi 24 mai 2016 en France pour s’inspirer de l’expérience de la Commission nationale de l'informatique et des libertés(CNIL) France en termes de contrôle.

 

Des Commissaires seront choisis en séance plénière pour diriger les missions de contrôle. Le comité de sanction, composé de trois (3) autres Commissaires désignés sera également mis sur pied. 

 

  1. Contribution de la CDP aux initiatives et actions en matière de cybersécurité

 

La CDP a participé à la séance de restitution de la mission au Sénégal des experts du Conseil de l’Europe pour le projet  « Action Globale sur la Cybercriminalité – GLACY ». Ce projet important se propose de former les acteurs (Magistrats, Police, Gendarmerie) sur les méthodes d’enquêtes et d’investigations en matière de Cyber crimes, et de mettre en place un réseau d’entre-aide et de coopération entre les Etats. 

 

  1. Coopération et partenariat

 

  1. Au plan africain :

 

La Commission de Protection des Données Personnelles (CDP) a reçu la Commission Nationale de l’Informatique et des Libertés (CNIL) du Bénin les 18 et 20 avril 2016, pour une visite de travail. Ce fut l’occasion pour l’Autorité béninoise de profiter de l’expérience de son homologue sénégalaise en matière de protection des données et de la vie privée.

 

La CDP a également répondu à l’invitation de l’Autorité de Régulation des Télécommunications/TIC de la Cote d’Ivoire (ARTCI) dans le cadre du séminaire sur la Protection des données à caractère personnel portant sur le thème « aspects pratiques de la mise en œuvre pour l’Administration publique, le caractère privé et le grand public », tenu au mois de mai 2016.

 

  1. Au niveau international : 

 

Dans le cadre du démarrage de ses missions de contrôle, une délégation de la CDP s’est rendue en France, dans les locaux de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour s’inspirer de leur expérience.

 

Dans le cadre de la modernisation de la Convention 108, la CDP a pris part à la réunion du comité ad hoc sur la protection des données personnelles (CADHATA), les 15 et 16 juin 2016 à Strasbourg. Cette réunion a été suivie, le 17 juin, de la Conférence internationale « Convention 108 : d’une réalité européenne vers un traité universel », au cours de laquelle la Présidente de la Commission  a fait une intervention sur la Processus d’adhésion du Sénégal à ladite Convention.

 

Lors du Conseil des Ministres du 08 juin 2016, les Autorités ont adopté,  un projet de loi autorisant le Président de la République à ratifier la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108) et son protocole additionnel concernant les autorités de contrôle, et les flux transfrontières de données (STE n°181).  

Suite à cette décision importante, ledit projet de loi a été soumis au vote à l’Assemblée Nationale et a été largement adopté par notre Assemblée Parlementaire le vendredi 24 juin 2016. Le Sénégal espère ainsi bénéficier de l’assistance et de la coopération du Conseil de l’Europe sous forme notamment, d’expertise législative, et d’assistance à la mise en conformité de sa législation nationale avec les standards internationaux, en matière de protection des données à caractère personnel.

Le Conseil des Ministres a également autorisé le Président de la République à ratifier la Convention de l’Union Africaine (UA) sur la Cybersécurité et la protection des données à caractère personnel.

  1. Au niveau National : 

Dans le cadre de ses activités de coopération au niveau national, la CDP a émis des recommandations, lors du lancement du projet de mise en relation entre la base de données des abonnés identifiés et le fichier de la Direction de l’Automatisation des Fichiers (DAF) sur les cartes nationales d’identité.

 

 

 

 

.

Mercredi 24 Août 2016




Dans la même rubrique :