La Commission de protection des données personnelles (CDP), instituée par la loi n° 2008-12 du 25 janvier 2008, vérifie la légalité de la collecte et du traitement des données personnelles et s’assure que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours du troisième trimestre 2014, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du 17 octobre 2014, la CDP rend public le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles dans notre pays.
Ce présent avis porte sur le compte rendu des activités, les manquements constatés, les mesures prises et enfin quelques recommandations.
1 - Compte rendu des activités
Au sortir de ce troisième trimestre de l’année, les statistiques de la CDP font apparaître les chiffres ci-après :
Les 20 autorisations concernent les traitements de données de santé, les systèmes de pointage, de gestion des accès et du temps de présence par biométrie, le transfert des données personnelles vers des pays tiers et la collecte des photographies de rues et de places publiques pour un service de géolocalisation.
Les 46 récépissés délivrés par la CDP portent entre autres sur les systèmes de vidéosurveillance, de gestion magnétique des accès, du suivi des abonnés des opérateurs de télécommunications, des sites web, des newsletters, des bases de données de demandeurs d’emplois, de prospection, de revendeurs, d’enquêteurs, d’administrateurs, de clients et de fournisseurs de services. La CDP a aussi accepté des déclarations de traitement de données du personnel (en activité et à la retraite), ainsi que celles portant sur des plateformes SMS, des universités, des sociétés de transfert d’argent. Enfin, la version électronique du Registre de Commerce et des Crédits Mobiliers (RCCM) a reçu le quitus de la Commission.
2 – Manquements constatés et mesures prises
A la lumière de l’instruction des dossiers cités ci-dessus, différents manquements à la législation sur les données personnelles ont été relevés, notamment l’absence de consentement des personnes sollicitées dans le cadre des activités de prospection directe (commerciale ou sociale), le non-respect des droits des personnes consacrés par la loi (droit à l’information préalable, d’accès, d’opposition et de rectification), le caractère disproportionné des données collectées par rapport aux finalités de certains traitements et la durée excessive de conservation desdites données. Au plan technique, la CDP a constaté que l’installation et la maintenance des plateformes assurées par des prestataires de service externes à l’entreprise ou à l’administration et se trouvant le plus souvent à l’étranger constituent un défi supplémentaire pour le contrôle des aspects techniques des déclarations. Par ailleurs, la Commission a noté des manquements ayant trait au recours à un hébergeur sans vérification du lieu exact de stockage des données et des garanties de sécurité.
La Commission a aussi relevé la banalisation de la collecte et du traitement des données médicales par des non professionnels de santé qui, par conséquent ne sont pas soumis au secret médical.
Enfin, la CDP a constaté la pratique, de plus en plus fréquente, consistant à publier dans la presse la photo d’un ancien employé pour décliner toute responsabilité en cas d’agissement de ce dernier. Or, cette pratique viole la loi sur les données personnelles, notamment le principe du consentement de la personne concernée avant la publication d’une donnée personnelle la concernant.
Face aux manquements constatés, la CDP, lors des six sessions au cours de ce trimestre, a pris plusieurs décisions notamment l’interdiction aux responsables de traitement de collecter :
La Commission a aussi enjoint certains responsables de traitement de ne pas conserver, sous aucun prétexte, des données brutes non floutées et de publier dans la presse la photo d’un ancien employé d’une structure sans le consentement de la personne concernée.
3- Recommandations
La CDP, formule à l’intention des responsables de traitement, les recommandations suivantes :
(Source : CDP, 17 octobre 2014)
Bande passante internationale : 172 Gbps
4 FAI (Orange, Arc Télécom, Waw Télécom et Africa Access)
19 266 179 abonnés Internet
Liaisons louées : 3971
Taux de pénétration des services Internet : 106,84%
3 opérateurs : Sonatel, Expresso et Saga Africa Holdings Limited
382 721 abonnés
336 817 résidentiels (88,01%)
45 904 professionnels (11,99%)
Taux de pénétration : 1,67%
3 opérateurs (Orange, Free et Expresso)
21 889 688 abonnés
Taux de pénétration : 123,34%
3 050 000 utilisateurs
Taux de pénétration : 17,4%
Facebook : 2 600 000
Facebook Messenger : 675 200
Instagram : 931 500
LinkedIn : 930 000
Twitter : 300 000