Conformément à l’article 43 de son Règlement intérieur et après en avoir délibéré en sa séance plénière du 09 octobre 2015, la CDP rend public le présent avis trimestriel.

1 - Compte rendu des activités :

Au cours de ce troisième trimestre 2015, la CDP a constaté une nette augmentation
des déclarations auprès de ses services.
En ce sens, la Commission a traité 53 déclarations portant sur des systèmes de
vidéosurveillance, de badges, des bases de données du personnel, des clients, des
patients, des registres d’entrée et de sortie. En outre, elle a enregistré 39 demandes
d’autorisation portant sur la biométrie, le traitement des données de santé, la collecte
et le transfert de données vers des pays tiers ainsi que l’interconnexion de fichiers.
A l’issue des six sessions plénières, les Commissaires ont délivré 50 récépissés de
déclaration et 33 autorisations. Deux refus d’autorisation de traitement de données
personnelles ont également été prononcés.
Par ailleurs, la Commission a enregistré des signalements et des plaintes pour des
motifs divers, notamment :

• la violation du secret des communications privées dans les lieux de travail ;
• la publication de photo sans le consentement de la personne concernée par un site en ligne ;
• une campagne de collecte de données personnelles à des fins de modernisation de service clientèle préexistant ;
• la prospection directe sans le respect des exigences légales en la matière.

Ces atteintes à la vie privée ont entrainé des demandes d’explication aboutissant le plus souvent à des mises en conformité à la législation.

En termes de sanctions, la CDP a prononcé deux avertissements pour pratique
illégale et répétée de la prospection commerciale directe.
Poursuivant sa mission d’information et de sensibilisation, la Commission a participé
à des manifestations scientifiques, notamment :

• le Forum national sur la gouvernance de l’Internet au Sénégal sur le thème de la souveraineté numérique ;

• le Forum régional de développement pour l’Afrique de l’Union Internationale des Télécommunications (UIT) ;

• les mercredis de la Police, une tribune pour débattre avec les Forces de l’ordre et de sécurité de la problématique de la cybersécurité ;

• la table ronde de la CODESRIA sur « Cybersécurité, souveraineté et gouvernance démocratique en Afrique » ;

• - le colloque sur la Cybersécurité et la Cyberdéfense organisé par la Direction des Transmissions de l’Armée.

Enfin, la CDP a reçu une délégation de l’Association nationale des professionnels de
la presse en ligne au Sénégal (ANPELS) et une délégation de l’Association
sénégalaise des utilisateurs des technologies de l’information et de la communication
(ASUTIC).

2 - Observations :

A l’examen des dossiers reçus, la CDP souligne quelques manquements dans le
traitement des données personnelles. Il s’agit notamment :

de la pratique illégale et répétée de la prospection commerciale directe par
certaines entreprises ;

de la collecte de données portant sur des documents administratifs (casier
judiciaire, extrait de naissance, pièce d’identité…) par des personnes privées
non habilitées en vue de proposer des services exclusivement réservés aux
autorités administratives et judiciaires compétentes ;

• de la conservation pour une durée illimitée des données personnelles ;

• du piratage de comptes et de l’usurpation d’identité sur les réseaux sociaux ;

• de l’absence de signature d’engagement de confidentialité avec les soustraitants ayant accès aux données personnelles ;

• de la collecte disproportionnée de données personnelles des mineurs pour un traitement à des fins d’enquête ;

• de la collecte de données portant sur l’ethnie et la race des salariés ;

• du transfert de données vers des pays tiers sans le consentement des personnes concernées ;

• de l’absence de politique formalisée d’accès aux données personnelles.

3 - Recommandations :

A la lumière des dossiers traités, la CDP formule à l’intention des responsables de
traitement des secteurs public et privé, des organismes ainsi que de tous les autres
acteurs, les recommandations suivantes :

• Recueillir le consentement libre et éclairé des personnes qui font l’objet de prospection directe ;

• Réserver la collecte et le traitement des documents administratifs aux seules autorités compétentes ;

• Définir une durée de conservation des données traitées ;

• Faire signer un engagement de confidentialité aux sous-traitants intervenant dans le traitement des données personnelles ;

• Recueillir le consentement préalable des personnes concernées avant tout transfert de données vers un pays tiers ;

• Choisir un mot de passe fort pour sécuriser ses données personnelles ;

• Se rapprocher de la CDP pour une meilleure connaissance de la législation sénégalaise avant tout traitement portant sur des données personnelles.

(Source : CDP, 9 octobre 2015)