La Commission de protection des données personnelles (CDP) informe de la mise en demeure de deux entreprises sénégalaises, la CBAO et Expresso Télécoms Sénégal. L’organe leur oppose des manquements dans le respect de la législation en vigueur.

Suite à sa plénière du 20 octobre passé, la commission de protection des données personnelles du Sénégal (CDP) a décidé de mettre en demeure Expresso Télécoms Sénégal. La CBAO Attijariwafa Bank est presque dans le même cas. L’annonce est faite dans un communiqué reçu hier à EnQuête. La CDP leur reproche à toutes les deux un ‘’manquement aux dispositions de la législation sur la protection des données à caractère personnel’’.

Ainsi, à Expresso, il est constaté, entre autres, une pratique de la prospection directe commerciale non conforme aux exigences de la législation sur les données personnelles. Ce qui n’est pas une première chez cet opérateur de téléphonie. D’ailleurs, la CDP le lui avait reproché, après sa plénière du 3 avril 2015. Un avertissement lui avait été donné dans ce sens. C’est ce qui lui vaut cette mise en demeure, puisqu’il a été demandé au comité de sanction, suite à ce premier avis, de mettre en demeure l’entreprise en sus d’une sanction pécuniaire. ‘’Malgré les rappels répétitifs de la CDP à se conformer aux conditions de la prospection directe, l’opérateur semble n’y attacher aucune considération’’, fulmine l’organe.

Une non-conformité des termes et conditions du site web par rapport à la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel a été constatée. En effet, ‘’ni les finalités des traitements effectués à partir du site, ni les procédures pour l’exercice des droits des personnes ne sont définies dans les termes et conditions’’, informe le communiqué. Et l’opérateur précise dans sa charte ‘’ne pas avoir de droit de stricte confidentialité dans votre communication et ne sera pas tenu responsable de protéger votre communication contre n’importe quelle divulgation’’. Un désengagement de ce dernier que la CDP condamne, car c’est à lui qu’incombe cette charge. A cela s’ajoute le fait qu’il ne définit pas la durée de conservation des données des demandeurs d’emploi.

CBAO et son Windows XP devenue obsolète

La même chose est d’ailleurs reprochée à la CBAO Attijariwafa Bank. Mais si Expresso est blâmé, parce qu’il ne donne pas d’informations précises sur le traitement ni la durée de conservation des dossiers des demandeurs d’emploi, à la CBAO, il est constaté que les données des demandeurs d’emploi sont gardées pendant 3 ans avant d’être archivées, quelle que soit l’issue de l’entretien. Alors que la loi stipule que ces dernières ne doivent l’être au-delà de la ‘’période nécessaire aux finalités pour lesquelles elles ont été traitées ou collectées’’. Il lui est demandé aussi de respecter les obligations de sécurité telles que définies par l’article 71-1. Il a été constaté que des personnes non habilitées, un stagiaire par exemple, peuvent accéder à des informations de clients de la banque. Les salariés ont des comptes windows avec un identifiant et un mot de passe pour accéder aux systèmes d’informations de la banque. Ce qui constitue un manquement à l’obligation de sécurité et de confidentialité.

Un fait aggravé par l’utilisation de 4 ‘’postes’’ qui fonctionnent avec Windows XP, devenue obsolète, depuis 2014. Ce qui rend vulnérable le système et favorisent les cyberattaques. La CDP demande à la banque de finaliser le processus de migration des postes sous windows XP vers un système d’exploitation supporté par l’éditeur. La note précise en outre que si la CBAO Attijariwafa Bank se conforme aux recommandations de la CDP, la procédure enclenchée sera ‘’considérée close’’. Dans le cas contraire, une sanction pécuniaire s’ensuivra.

Bigué Bob

(Source : Enquête, 15 novembre 2017)