GESTION DES DONNEES PERSONNELLES : Les révélations de l’avis trimestriel de la Cdp
La Commission de protection des données personnelles (CDP) a sorti hier son 3ème Avis trimestriel de l’année. Celui-ci décrit la situation du traitement des données personnelles au Sénégal entre juillet et septembre. Le document dont l’info a copie renseigne que l’équipe de la présidente Awa Ndiaye a traité 43 dossiers parmi lesquels, des demandes d’avis des ministères de la Justice et de l’Intérieur. Plusieurs signalements et plaintes ont été aussi déposés à la Cdp, contre entre autres, Orange, Air Sénégal, des sites internet, des conjoints et ex-copains…De même, la Cdp a rejeté la demande de Auchan concernant son programme de fidélité.
Le ministre de la Justice a saisi la Cdp, pour avis, dans le cadre du projet de décret n°2001-362 du 04 mai 2001 relatif aux procédures d’exécution et d’aménagement des sanctions pénales. Un projet de décret qui met en place un traitement automatisé de données à caractère personnel, relatif aux personnes placées sous surveillance électronique, dans le cadre d’une mesure d’assignation à résidence avec surveillance électronique ou de placement sous surveillance électronique. Après traitement, la Cdp a donné un avis favorable au ministre de la Justice. Toutefois, une batterie de recommandations visant une meilleure protection des données des personnes concernées, accompagne son avis. Ainsi, le ministère de la Justice est invité à respecter les finalités strictement identifiées et éviter toute modification de finalité́ dépourvue de base légale ou réglementaire; à ajouter à la liste des garanties reconnues aux personnes concernées, la protection des données personnelles ; à mettre en place une procédure d’anonymisation des données avant leur réutilisation à des fins statistiques, pour éviter la réidentification des personnes ; à éviter l’authentification biométrique de façon systématique, pour la vérification à distance de la présence de l’intéressé, lors de l’émission d’une alarme par le bracelet électronique.
Me Malick Sall et ses services doivent aussi veiller au respect strict du principe du consentement. ‘’Le consentement libre, éclairé́ et spécifique de la personne concernée doit donner lieu à un accord écrit pour une meilleure protection’’, précise la Cdp. Qui invite aussi le ministère de la Justice, à modifier l’article 309-35 du projet de décret, pour fixer une durée de conservation explicite ; à limiter l’accès, par les personnels supports aux données strictement nécessaires à la réalisation des finalités contractuelles ou procédurales prévues ; à designer un Délégué́ à la protection des données pour coordonner la politique de gestion et de confidentialité́ des données ; à élaborer une charte de confidentialité́ et d’éthique signée par les prestataires et leurs employés. Me Malick Sall et ses services sont aussi invités à crypter les données relatives aux noms et aux adresses des personnes surveillées ainsi qu’aux infractions qu’elles ont commises, de chiffrer les flux des enregistrements téléphoniques, etc. En définitive, la Cdp a rappelé au ministère de la Justice que le système de placement des personnes sous surveillance électronique doit faire l’objet d’une demande d’autorisation auprès de la Commission.
Le ministre de l’Intérieur doit «permettre aux partis politiques et coalitions de partis de consulter les données pertinentes et nécessaires à l’exercice de leur droit de regard» sur le fichier général des électeurs.
Le ministère de l’Intérieur a également saisi la Cdp pour un avis, sur l’applicabilité́ de la loi 2008-12 relative aux données d’identification inscrites sur le fichier général des électeurs et l’accès au fichier général des électeurs, notamment aux données d’identification. Sur le premier point, la CDP a confirmé́ au ministère de l’Intérieur que ‘’les informations d’identification de l’électeur contenues dans le fichier général sont dans le champ d’application de la loi sur la protection des données à caractère personnel’’. Et sur le second point, concernant l’accès aux données d’identification du fichier général des électeurs, l’équipe d’Awa Ndiaye a demandé aux services d’Antoine Diom ‘’d’organiser l’accès au fichier’’. La Cdp ajoute que cette organisation devra ‘’permettre aux partis politiques et coalitions de partis de consulter les données pertinentes et nécessaires à l’exercice de leur droit de regard (sur le fichier des électeurs)’’.
Orange Finances Mobiles Sénégal et Air Sénégal signées et rappelées à l’ordre.
En plus des demandes d’avis, la Cdp a reçu une vingtaine de plaintes et de signalements. Parmi les plaintes, il y a celles concernant Orange finances mobiles Sénégal (Orange money), Air Sénégal, les pages Facebook et twitter «trouver et perdus».
La plainte contre Orange money porte sur la géolocalisation des clients lors des opérations de transfert de monnaie électronique. ‘’La CDP a reçu plusieurs signalements contre Orange Finances Mobiles Sénégal (OFMS), relatifs aux nouvelles conditions d’utilisation du service «Orange Money»», note le document. Qui ajoute qu’il ressort des informations portées à sa connaissance, que les opérations de dépôt par un distributeur sur un numéro client distant ne sont plus autorisées dans un rayon de plus de vingt (20) km, en milieu rural, et de plus de dix (10) km, en zone urbaine. En application des articles 1er, 35, 22-12, 33, 58 et suivants de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, la CDP a requis de OFMS une explication sur les nouvelles conditions générales d’utilisation du service Orange Money et sur les finalités de la géolocalisation. OFMS a fourni des explications à la demande de la CDP, mais selon Awa Ndiaye et Cie, «le dossier suit son cours».
Pour Air Sénégal, la plainte contre elle porte sur la publication d’une liste de données personnelles sur son site Internet. ‘’La CDP a reçu des signalements relatifs au partage sur le site internet de la compagnie Air Sénégal, d’une liste de données personnelles (nom, prénom et date de naissance) de mille cinq cent soixante-dix-sept (1577) candidats’’, lit-on dans l’avis du Cdp. Qui a rappelé qu’en vertu de l’article 32 du décret n°2008-721 du 30 juin 2008 pris pour application de la loi n°2008-12 du 25 janvier 2008 portant protection des données à caractère personnel, ‘’tout traitement de données à caractère personnel est interdit lorsque le consentement de la personne n’est pas obtenu’’. Ainsi, la commission a mis Air Sénégal devant ses responsabilités. C’est-à-dire, ses ‘’obligations’’ pour la sécurité́ et la confidentialité́ des données personnelles traitées. La compagnie nationale a été invité à procéder à la mise en conformité́ de tous les traitements de données personnelles mis en œuvre.
Le Programme de «fidélité Auchan» de Senas-Auchan Retail Sénégal rejeté
La société Senas-Auchan Rétail Sénégal a saisi la Cdp pour une autorisation de mise en œuvre de son programme fidélité Auchan, à travers lequel, il y a une collecte de données via une carte de fidélité client et analyse des données de consommation clients. Mais la Cdp a refusé de donner l’autorisation d’exploiter le programme. Awa Ndiaye et son équipe reprochent à Auchan, trois principaux manquements. Il s’agit du ‘’consentement (des clients) recueilli de façon non libre, avec des cases pré-cochées sur le formulaire d’adhésion au programme’’, de la ‘’durée exacte de conservation des données non définie dans les conditions générales d’utilisation’’ et la ‘’mise en œuvre du traitement avant autorisation de la CDP’’.
Un mari qui porte plainte contre sa femme qui a déverrouillé son téléphone à son insu et partagé ses vidéos, images et messages.
En outre, la Cdp a traité plusieurs autres plaintes relatives à la diffusion ou menace de diffusion de données à caractère personnel, notamment des photos et messages intimes, dont celle d’un mari contre sa femme qu’il accuse d’avoir déverrouillé son téléphone, transféré ses photos et messages à d’autres personnes. ‘’Monsieur M.M.S, dans sa lettre adressée à la CDP, accuse son épouse Madame A.G.S d’avoir déverrouillé son téléphone à son insu et partagé toutes ses données personnelles, ses vidéos, images et messages. Dans le cadre du traitement de ce dossier, la CDP a initié une médiation entre les époux, en vain. La CDP a, par ailleurs, auditionné Madame A.G.S, qui a indiqué qu’elle n’a pas déverrouillé le téléphone de son mari, mais que c’est ce dernier qui lui a envoyé, par inadvertance, les vidéos, photos et messages. A la suite des échanges avec les époux, Monsieur M.M.S a indiqué à la CDP qu’il retire sa plainte. Le dossier est clôturé au niveau de la CDP’’, relate la Cdp.
Une plainte d’une fille contre son ex-copain qui a diffusé ses photos et vidéos compromettantes
Il y a aussi le cas de Mademoiselle D.S contre S.S, relative à une divulgation illicite de ses données personnelles. ‘’C’est à la suite d’une rupture de leur relation, que le fiancé a divulgué des photos et des vidéos compromettantes de la victime sur les réseaux sociaux. (…). La CDP a transmis le dossier au Procureur de la République et à la Division Spéciale de la Cybersécurité (DSC)’’, note le gendarme des données personnelles.
L’info
