Protection des données personnelles: la CDP et la problématique des vidéosurveillances

La Commission de protection des données personnelles (CDP) a publié son premier avis trimestriel 2017 (Avis trimestriel n°1-2017), conformément à l’article 43 de son Règlement intérieur, et après en avoir délibéré en sa séance plénière du vendredi 21 avril 2017. Il ressort de cet avis qui décrit la situation actuelle de la protection des données personnelles au Sénégal que la CDP a accueilli 22 structures venues s’imprégner de la législation sur les données à caractère personnel. Elle a traité 102 dossiers dont 83 déclarations et 19 demandes d’autorisation. A l’issue des 5 sessions plénières tenues à la CDP, 75 récépissés de déclaration et 18 autorisations ont été émis. Il y a eu 01 refus d’autorisation de traitement, 52 appels à déclaration et 08 demandes d’avis.

Au cours du premier trimestre 2017, la Commission de protection des données personnelles (CDP) a accueilli 22 structures venues s’imprégner de la législation sur les données à caractère personnel. La Commission a traité 102 dossiers dont 83 déclarations et 19 demandes d’autorisation. A l’issue des 5 sessions plénières tenues à la CDP, 75 récépissés de déclaration et 18 autorisations ont été émis. 01 refus d’autorisation de traitement/ rejet de déclaration de traitement a été enregistré alors que le nombre d’appels à déclaration et le nombre de demandes d’avis s’élève respectivement à 52 et 08. C’est en substance ce que l’on peut retenir de l’Avis trimestriel n°01-2017 de la CDP dont une copie est parvenue à la Rédaction de Sud Quotidien. Cet avis publié conformément à l’article 43 du Règlement intérieur de la CDP, et après en avoir délibéré en sa séance plénière du vendredi 21 avril 2017, décrit la situation actuelle de la protection des données personnelles au Sénégal.

Selon la source, en ce qui concerne les observations /constats, l’examen des dossiers soumis à la CDP, a permis de constater plusieurs manquements dont les plus récurrents sont ceux constatés sur les formulaires de déclaration de système de vidéosurveillance et ayant trait à la non signature d’un engagement de confidentialité avec un sous-traitant. A ce niveau, il est recommandé aux structures incriminées de «faire signer aux sous-traitants un engagement de confidentialité». Et, pour ce qui est du fondement juridique de l’obligation de signature d’un engagement de confidentialité, l’Article 39 alinéa 2 de la loi sur la protection stipule que «tout traitement effectué pour le compte du responsable du traitement doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et que les obligations de sécurité et de confidentialité incombent également à celui-ci».

PLAINTES ET SIGNALEMENTS ET LES MISSIONS DE CONTRÔLE

En tout 03 plaintes ont été reçues portant sur l’installation de caméras qui filment la voie publique et l’entrée de la résidence du plaignant et les menaces de publication de photos compromettantes. Dans ce cas précis, «pour des mesures d’urgences, la CDP a recommandé au plaignant de saisir la Brigade Spéciale de Lutte contre la Cybercriminalité (BSLC), afin d’éviter toute diffusion de ces contenus qui peuvent nuire à sa réputation. La personne mise en cause et son complice ont été appréhendés par la BSLC». La troisième plainte a trait à l’installation de caméras de vidéosurveillance dont deux caméras sont orientées vers le domicile du voisin.

Toujours en ce qui concerne les décisions rendues, la session plénière de la CDP souligne que le seul cas de Refus d’autorisation de traitement/ Rejet de déclaration de traitement est la demande de SBO CONCEPT concernant la dématérialisation des actes de l’état civil. Cette structure a souhaité «avoir un fichier informatique qui permettra à la population sénégalaise d’obtenir dans les meilleurs délais leur état civil sans se déplacer de localité en localité». Cette décision est motivée par «l’existence de risque potentiel pour la sécurité et la confidentialité des registres et actes d’état civil manipulés. La numérisation ou de dématérialisation de registres et d’actes d’état civil sont du ressort du Centre National d’Etat Civil, à travers le Programme d’Appui à la Modernisation de l’Etat Civil (PAMEC)».

LE MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET SENELEC INCRIMINES

Pour ce qui est des visites d’inspection et les missions de contrôle, durant ce premier trimestre 2017, elles ont concernés les vidéosurveillances. A l’issue des constats, des recommandations ont été émises conformé-ment à la délibération n°2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation d’un système de vidéosurveillance dans les lieux de travail. Bref, il est recommandé de «de ne pas filmer la voie publique ; de ne pas installer des caméras sur des positions de travail ; de signaler la présence des systèmes par des panneaux avec le n° du récépissé de la CDP et le n° de téléphone de la personne à contacter pour l’exercice du droit d’accès ; de ne pas prendre de sons».

S’agissant des missions de contrôle sur site, les traitements concernés sont la Gestion des clients (SIC) et des applications connexes de la Senelec, le Système de traitement automatisé Campusen du ministère de l’Enseignement supérieur et de la Recherche - MESR et la vidéosurveillance. Au niveau du ministère de l’Enseignement supérieur, les manquements relevés sont «le non-respect de la formalité de demande d’autorisation modificative suite à l’extension de la finalité initialement déclarée (orientation des étudiants) pour la plateforme Campusen ; la non définition d’une durée exacte de conservation des données personnelles ; le risque d’atteinte à la confidentialité des données personnelles ; l’absence de procédure formalisée pour le respect des droits des personnes concernées ; la faiblesse des mesures de sécurité prises pour les échanges de données entre intervenants au traitement». A la Senelec, les dysfonctionnements concernent «l’absence de dispositions relatives à la protection des données personnelles sur les formulaires d’abonnement ; l’absence de procédure formalisée pour le respect des droits des personnes».

RECOMMANDATIONS

Suite aux manquements constatés, la CDP a enjoint aux responsables de traitement des organismes contrôlés ceci: pour le ministère de l’Enseignement supérieur et de la Recherche, d’«identifier de manière formelle les personnes qui ont accès aux fichiers et aux bases de données contenant des données personnelles de la plateforme Campusen ; mettre en place une procédure formelle d’accès, d’administration et d’exploitation de la plateforme ; utiliser des procédures sécurisées pour les échanges de données entre intervenants au traitement relatif à la plateforme ; sécuriser la connexion à la plateforme avec le protocole HTTPS ; s’assurer de la confidentialité et du respect de la finalité des données communiquées aux partenaires financiers ; fixer une durée exacte de conservation des données collectées ; formaliser le respect des droits des personnes (droit à l’information préalable, droit d’accès, droit de rectification et droit de suppression».

La Senelec quant-à elle est invitée à «mettre à jour les formulaires d’abonnement en y intégrant les aspects liés à la protection des données personnelles ; formaliser le respect des droits des personnes (droit à l’information préalable, droit d’accès, droit de rectification et droit de suppression ; d’avoir plus d’informations et de garantie sur l’utilisation des données personnelles par ses partenaires». Par ailleurs, la CDP recommande aux responsables de traitement, de prévoir dans les contrats qui les lient avec les prestataires, une clause imposant la conformité à la loi sur la protection des données personnelles