COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

AVIS TRIMESTRIEL N°04-2017 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce quatrième trimestre de l’année 2017, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

 Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après validation des commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit  la situation actuelle de la protection des données personnelles au Sénégal.

 

I.    COMPTE RENDU DES ACTIVITES DECLARATIVES             

Au cours de ce quatrième trimestre 2017, la CDP a accueilli 09 structures venues s’imprégner de la législation sur les données à caractère personnel.   

 La Commission a traité 73 dossiers dont 50 déclarations et 23 demandes d’autorisation. La Session plénière a auditionné une (01) structure.

A l’issue des 03 sessions plénières tenues à la CDP, 46 récépissés de déclaration et 20 autorisations ont été délivrés.

La Commission a, en outre, envoyé des demandes d’explication et de suppression, reçu des demandes d’avis et émis des appels à déclaration :

- Nombre d’appels à déclaration et de relances : 30

- Demandes d’avis : 02

- Demandes d’explication : 03

- Demandes de suppression : 02

 

  1. OBSERVATIONS /CONSTATS             

L’examen des dossiers soumis à la CDP a permis de constater les manquements dont les plus récurrents sont les suivants :

  • Manquements constatés sur les formulaires :

 

Manquements

Structures

Fondement juridique

Décision de la CDP

Recommandations

Collecte excessive d’empreintes digitales pour un système de gestion du temps de présence des salariés

Société de Développement et des Fibres Textiles (SODEFITEX)

Article 35 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel : les données collectées doivent être non excessives au regard des finalités pour lesquelles elles sont collectées

La CDP autorise au maximum la collecte d’empreintes de deux (02) doigts.

 Collecter au maximum les empreintes de deux (2) doigts pour les systèmes de contrôle d’accès ou de gestion du temps de présence en entreprise.

absence de politique formalisée d’accès aux données personnelles ;

 

 

absence de mesures de sensibilisation sur la sécurité des données personnelles

 

 

OLEOSEN S.A

Article 71 de la loi 2008-12 : le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

 

La CDP autorise le traitement de données personnelles présenté par la société OLEOSEN, sous réserve que celle-ci notifie à la Commission :

  • la politique formalisée d’accès aux données personnelles ;
  • les mesures de sensibilisation sur la sécurité des données personnelles

mettre en place unepolitiques formalisée d’accès et de sécurisation des données personnelles ;

 

sensibiliser le personnel qui traite les données personnelles sur la sécurité et la confidentialité de celles-ci.

 

 

 

 

 

 

  1. – Demandes d’avis reçus par la CDP         

 

  •  

Réponse de la CDP

Démarche à suivre pour mettre en conformité la collecte, le stockage, le traitement, la diffusion et la sécurisation de données personnelles au sein d’une entreprise.

Les fichiers ou bases de données personnelles doivent faire l'objet d'une déclaration au niveau de la CDP. Toutefois, si les données sont stockées à l'étranger ou si des données de santé sont traitées, par exemple,  la procédure de demande d'autorisation s'applique. La déclaration normale et la demande d'autorisation se font à travers les formulaires téléchargeables sur le site internet de la CDP via le lien suivant: http://cdp.sn/liste-des-formulaires

 

 

  1. Liste de pays assurant un niveau de protection adéquat des données établi par la CDP ;
  2. Niveau de protection des données personnelles de l’Union Européenne et des Etats-Unis ;
  3. Organismes de certification de dispositifs de signature électronique.
  1. La CDP n'a pas établi une liste de pays assurant un niveau de protection suffisant des données personnelles. Toutefois, deux grands critères sont pris en compte pour considérer un pays assurant un niveau de protection adéquat. Ces deux critères sont : - l'existence d'une législation sur la protection des données personnelles; - l'existence d'une Autorité de contrôle opérationnelle ;
  2. Oui l'Union Européenne dispose d'un niveau adéquat de protection des données personnelles. L'UE a mis en place un nouveau cadre juridique très strict en matière de protection des données personnelles, notamment le Règlement Général européen à la Protection des Données (RGPD) qui va entrer en application le 25 mai 2018. Concernant les Etats-Unis ils ne sont pas mondialement reconnus comme un pays disposant d'un niveau adéquat de protection des données personnelles. Toutefois, certaines entreprises américaines qui ont mis en place des Clauses Contractuelles Types conformes à la règlementation européenne, des Règles Contraignantes d'Entreprises (RCE) ou qui ont adhéré au Privacy Shield (accord entre l'UE et les USA pour les transferts de données) sont considérées comme disposant d'un niveau adéquat de protection des données personnelles.
  3. Pour l'organisme de certification de dispositifs de signature électronique, l'Agence de l'Informatique de l'Etat (ADIE) est l'organisme compétent pour la délivrance des agréments aux autorités de certification.

 

 

13- Les structures appelées à la déclaration de leurs fichiers et bases de données

 

 

Responsables de traitement/ Sous-traitants

Traitements

  1. AGK Protection

Fichiers contenant des données personnelles

  1. SITEM

Fichiers contenant des données personnelles

  1. Telogik

Fichiers contenant des données personnelles

  1. THIER et Frères

Fichiers contenant des données personnelles

  1. Planète Informatique

Fichiers contenant des données personnelles

  1. CST

Système de contrôle d’accès par biométrie 

  1. AVS Sénégal

Fichiers contenant des données personnelles

  1. Haute Technologie de Sécurité (HTS)

Fichiers contenant des données personnelles

  1. Amont SARL

Fichiers contenant des données personnelles

  1. Total Sénégal

Système de contrôle d’accès par badge 

  1. Ndack Tech

Fichiers contenant des données personnelles

  1.  SODEFITEX

Registre des entrées et sorties 

  1. IPRES

Registre des entrées des sorties

Biométrie

  1. Global Sarl

Fichiers contenant des données personnelles

  1. Air Liquide

Registre consacré aux salariés 

  1. Vigassistance

Fichiers contenant des données personnelles

  1. Global sécurité

Fichiers contenant des données personnelles

  1. Médina Télécom 

Fichiers contenant des données personnelles

  1. Sécuris

Fichiers contenant des données personnelles

  1. Camtech

Fichiers contenant des données personnelles

  1. Pacifique électronique 

Fichiers contenant des données personnelles

  1. Genesis Africa

Fichiers contenant des données personnelles

  1. Sentrust

Système de contrôle d’accès par badges

Vidéosurveillance

  1. Axess

Fichiers contenant des données personnelles

  1. Natic Technologies

Fichiers contenant des données personnelles

  1. Pullman Hôtel

Registre des entrées et sorties

  1. Secrétariat Exécutif du Conseil National de Sécurité Alimentaire (SECNSA)

Registre des entrées et sorties

  1. S.T.I Trading

Fichiers contenant des données personnelles

  1. Phoenix

Fichiers contenant des données personnelles

  1. Micro Computer Programme

Fichiers contenant des données personnelles

 

 

 

 

 

  1. - DECISIONS RENDUES PAR LA SESSION PLENIERE :               

 

  1. - AUTORISATIONS ACCORDEES :  

 

 

Finalités des traitements

Nombre

Structures

Gestion des clients et transfert des données vers un pays tiers

03

Pièces Auto SENEGAL SARL

DECATHLON Sénégal

YUP Sénégal

 

Externalisation service « connaissance du client » Know Your Customer (KYC) et transfert des données vers un pays tiers

01

Banque Internationale de Commerce et l’Industrie du Sénégal (BICIS)

Géolocalisation

01

Institut de Prévoyance Retraite du Sénégal (IPRES)

Gestion du personnel et traitement des données de santé des salariés

01

Bank Of Africa (BOA) Sénégal

Gestion administrative du personnel et transfert des données vers un pays tiers

01

YUP Management

Numérisation du système traditionnel d’épargne (appelé Natt au Sénégal)

01

Ma Tontine

Identification des ménages devant bénéficier d’une assistance dans le cadre du Plan d’Urgence à l’Insécurité Alimentaire 2017 (PUSA Sénégal 2017)

01

Secrétariat Exécutif du Conseil National de Sécurité Alimentaire (SECNSA)

Mise à la disposition des entreprises d’une plateforme de gestion des Ressources Humaines

01

Performances Group S.A

Authentification et  création d’une identité numérique des clients ; signature électronique et horodatage

01

Sentrust

Mise en place d’un système d’alertes professionnelles

01

Mitsubishi Corporation Sénégal

Mise en place d’un système bancaire d’alertes des sanctions internationales et embargos

01

Banque Internationale de Commerce et l’Industrie du Sénégal (BICIS)

Mise en œuvre d’une enquête  harmonisée sur les conditions de vie des ménages dans les Etats membres de l’UEMOA

01

Agence nationale de la Statistique et de la Démographie (ANSD)

Gestion du temps de présence des salariés par biométrie

01

Agence nationale de l’Aviation Civile et de la Météorologie (ANACIM)

Mise en œuvre d’une  enquête sur la division sexuée du travail domestique et parental dans les couples à Dakar (DISCOrD)

 

01

Institut de Recherche pour le Développement (IRD)

Dématérialisation de la collecte et du recouvrement des impôts locaux

01

SUD PAY

Mise en place d’une plateforme de paiement scolaire

01

SUD PAY

Dématérialisation du titre de transport urbain et interurbain

01

SUD PAY

Mise en place d’une plateforme de paiement marchand, paiement de biens et de services

01

SUD PAY

 

 

 

  1. -  RECEPISSES DELIVRES :

 

Finalités

Nombre

Structures

 

 

 

Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes

 

 

 

 

28

  • CLINIQUE INTERNATIONALE
  • BERNABE
  • H-COSMETIQUE
  • PHARMACIE MODERNE
  • CASINO DU PORT
  • CASINO DU CAP-VERT
  • LA DAKAROISE DES JEUX
  • CST
  • CENTRE ISLAMIQUE POUR L’APPEL AU CORAN ET A LA SUNNAH
  • POLYCHROME SIEGE
  • POLYCHROME USINE
  • LA ROCHETTE
  • RADIO TELEDIFFUSION SENEGALAISE (RTS)
  • SOCIETE NOUVELLES DES SALINS DU SINE SALOUM
  • SODEFITEX SIEGE
  • SODEFITEX USINE TAMBACOUNDA
  • PHARMACIE SEGA NDAW
  • HOTEL PULLMAN
  • BEBEDISEY SHOP
  • RESTAURANT LE COMPTOIR
  • WASH NICELY SARL
  • SENSTOCK
  • PHARMACIE MARIE VICTOIRE
  • PHARMACIE PAPA DJIBRIL GUEYE
  • PORT AUTONOME DE DAKAR
  • HOPITAL REGIONAL DE MATAM
  • PHARMACIE MOUHAMED (PSL)
  • COMPAGNIE SENEGALAISE DES LUBRIFIANTS (CSL)

 

 

 

Vidéosurveillance chez des particuliers

 

 

 

 

11

  • M. ALY GAZAL
  • M. SELLE DIOUF
  • M. CHEIKH TOURE
  • Mme. FATOU GUEYE
  • M. FRANK DOUR
  • M. OUSMANE HAIDARA
  • M. CHEIKH AHMED TIDIANE NDAO
  • M. SOULEYMANE SAMATE
  • M. OUMAR DIOP
  • M. ABDOURAHMANE  THIAO
  • M. MODOU SEYE

 

 

Etude Monographique sur l’Orpaillage au Sénégal (EMOR)

01

AGENCE NATIONALE DE LA STATISTIQUE ET DE LA DEMOGRAPHIE (ANSD)

 

 

Registre des entrées et des sorties

 

02

  • AIR LIQUIDE Sénégal
  • BANK OF AFRICA (BOA)

 

Base de données clients

01

NCT TELECOM

Contrôle d’accès par badges

01

OILIBYA

Pointage de salariés

01

OILIBYA

 

Gestion des licences du personnel aéronautique 

 

01

AGENCE NATIONALE DE L’AVIATION CIVILE ET DE LA METEOROLOGIE (ANACIM)

 

 

 

 

 

 

 

 

 

 

 

143- LES MISES EN DEMEURE :

 

Structures

Motifs de la mise en demeure

Observations

 

Expresso Sénégal (opérateur de télécommunications)

  • L’absence de conformité des termes et conditions d’utilisation du site Web www.expressotelecom.sn ;
  • L’inobservation de certaines règles liées à la prospection directe ;
  • L’absence d’une durée claire de conservation des données des demandeurs d’emploi.

La mise en demeure a été levée suite à la correction des manquements dans les délais

CBAO Groupe Attijariwafa Bank (établissement bancaire)

  • La durée de conservation de certaines données n’est pas explicite ;
  • L’accès non autorisé à des données ;
  • L’usage de quatre (4) PC sous XP.

La mise en demeure a été levée suite à la correction des manquements dans les délais.

 

 

 

 

 

II - LES MESURES DE SECURITE, LES PLAINTES ET SIGNALEMENTS :    

 

21 -LES MESURES DE SECURITE : Les objets connectés ou l’internet des objets (IDO)

 

Le  réseau des autorités nationales des protections des données personnelles européennes réuni dans le groupe de travail 29 (ci-après GR29) dans son Avis 8/2014 sur les récentes évolutions relatives à l'internet des objets entend par internet des objets (IDO) : « une infrastructure dans laquelle des milliards de capteurs intégrés dans des dispositifs courants, quotidiens – des «objets» en tant que tels ou des choses liées à d'autres objets ou personnes – sont conçus pour enregistrer, traiter, conserver et transférer des données et, comme ils sont associés à des identifiants uniques, interagir avec d’autres dispositifs ou systèmes par un réseau ».

 

De façon générale, tous nos appareils au quotidien sont susceptibles d’intégrer l’Internet des objets : TV, réfrigérateurs, voitures, montres, chaussures, lunettes, valises, pèse-personnes, machines à laver, consoles de jeu, stylos, aspirateurs etc. Même notre corps va devenir connecté avec l’utilisation de capteurs corporels connectés ou de bracelets, pour mesurer en temps réel notre état de santé, notre position géographique, notre énergie, nos performances physiques etc.

 

Des montres et bracelets connectées sont commercialisés et utilisés par les sénégalais.

 

Toutefois, l’Internet des Objets est un sujet au centre des préoccupations liées au domaine de la protection des données à caractère personnel.

 

 

 

 

L’utilisation des objets connectés nécessite de prendre les précautions suivantes contre :

  • Une surveillance clandestine : un appareil, connecté à Internet, peut être détecté par un cybercriminel et être piraté ou détourné de sa fonction initiale.
  • Le vol de données sensibles : Les objets connectés relatifs à la santé (bracelets d’identité ou capteurs) relève de la collecte et du traitement de données dites « sensibles » et, à cet égard, doivent faire l’objet d’une protection renforcée.
  • Les revendeurs de données personnelles : intrusion dans votre système, copie de données et publication sans votre consentement ou revente à des diffuseurs.

Face aux menaces sur les objets connectés, l’encadrement juridique de ces technologies pourrait aujourd’hui se montrer insuffisant.

A cet effet, la CDP à l’image du G29 recommande aux parties prenantes (fabricants, développeurs d’application, destinataires des données…) de :

  • réaliser une analyse d’impacts et de risque quant à chaque objet connecté ;
  • respecter les principes du Privacy By Design (prendre en compte les aspects liés à la protection des données personnelles lors de la phase de conception de l’objet connecté) et Privacy By Default (garantir par défaut le plus haut niveau possible de protection des données) ;
  • faciliter le recueil et le retrait du consentement des utilisateurs,
  • éviter la géolocalisation permanente des utilisateurs ;
  • respecter l’obligation d’information des personnes ;
  • garantir la confidentialité, l’intégrité, la disponibilité, l’authentification et le contrôle d’accès aux données.

 

 

  1.  

Nombre

Plaignant

Mis en cause

Motifs

Observations

1

Mlle A. S

M. A. K

Publication de photos compromettantes et cyber chantage sur Facebook

Par une lettre de demande de suppression envoyée par la CDP au mis en cause, les photos ont été supprimées conformément à l’article 69 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

 

2

Mme F. D.D

XIBAR.NET DAKARACTU.COM

Articles de presse

Commentaires diffamatoires

Des courriers de demande de suppression ont été envoyés aux sites d’information en ligne concernés. Le dossier est toujours en cours.

3

M. G. M. S

Seneporno

divulgation frauduleuse de vidéos compromettantes sur le site seneporno.com

Suite au courrier de la CDP l’administrateur du site Seneporno avait refusé  de supprimer la vidéo compromettante 

La CDP en a informé la Division Spéciale de Lutte contre la Cybercriminalité (DSLC) conformément à la loi n°2016-29 du 08 novembre 2016 portant modification du Code pénal.

Le contenu illicite a finalement été supprimé.

Toutefois, l’identité de l’administrateur de ce site n’est toujours pas connue.

 

 

22 – LISTE DES MANQUEMENTS SIGNALES A LA CDP :

Mis en cause

Motifs

Observations

Burotic diffusion

Installation des caméras à l’intérieur des bureaux

Burotic diffusion dans un courrier de réponse à la demande d’explication déclare que les caméras ont été déplacées à l’extérieur des bureaux. 

Toutefois, la Session plénière enjoint à Burotic Diffusion de notifier officiellement à la CDP le déplacement des caméras installées dans les deux bureaux et de se conformer à la délibération N°2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation d’un système de vidéosurveillance dans les lieux de travail.

 

 

Face à la réception fréquente de requêtes de citoyens portant sur la collecte et le traitement de données personnelles à des fins journalistiques, la CDP en appelle aux acteurs des médias, et plus particulièrement à la presse en ligne, afin que le principe de respect de la vie privée des personnes concernées soit pris en compte le mieux possible. Il s’agit de trouver l’équilibre entre la liberté d’information, d’expression et la protection des données personnelles et de la vie privée.

Conformément aux dispositions des articles 45 et 46 de la loi n°2008-12 du 25 janvier 2008, la CDP rappelle que le traitement des données à caractère personnel réalisé aux fins de journalisme, de recherche ou d’expression artistique ou littéraire est admis lorsqu’il est mis en œuvre aux seules fins d’expression littéraire et artistique ou d’exercice, à titre professionnel, de l’activité de journaliste ou chercheur, dans le respect des règles déontologiques de ces professions.

Les dispositions de la loi n°2008-12 ne font pas obstacle à l’application des dispositions des lois relatives à la presse écrite ou audiovisuelle et du code pénal qui prévoient les conditions d’exercice du droit  de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes physiques.

 

La CDP recommande aux acteurs de la presse en ligne de :

  • respecter la finalité et la durée et conservation des articles de presse qui ne sont plus pertinents (chroniques judicaires, faits divers, divulgation de données personnelles d’un tiers sans son autorisation…).
  • contrôler et modérer les commentaires compromettants des internautes sur les sites d’information.

 

III - LES MISSIONS DE CONTROLE :

Suites aux missions de contrôle effectuées auprès de la CBAO Attijariwafa Bank et d’Expresso Télécom Sénégal (énoncées dans l’avis trimestriel N°3), la CDP après étude avait relevé les manquements suivants à la législation :

  1. Concernant CBAO :
  • la durée de conservation de certaines données n’était pas explicite ;
  • l’accès non autorisé aux données ;
  • la présence et l’utilisation de quatre (4) PC sous XP.
  1. Pour Expresso Télécoms Sénégal
  • La non-conformité des termes et conditions du site Web ; 
  • Le non-respect des conditions de la prospection directe ;
  • l’absence d’une durée claire de conservation des données des demandeurs d’emploi.

Le Comité de sanction de la Session plénière de la Commission de protection des Données Personnelles à l’issue de l’étude de ces dossiers avait prononcé des mises en demeure à l’encontre de CBAO Attijariwafa Bank et d’Expresso Télécom Sénégal.

Cependant, les mises en demeure ont été levées à la suite des éléments de réponses transmis à la CDP.

Toutefois, la CDP a émis des recommandations aux responsables de traitements concernés.

Il est demandé à CBEAO Attijariwafa Bank de veiller au respect scrupuleux de la politique de sécurité des systèmes d’information.

La CDP enjoint également à Expresso Télécoms Sénégal de :                                                                      

  • renforcer l’information préalable des personnes concernées dans les conditions générales d’utilisation des services ;
  • veiller au bon fonctionnement du droit d’opposition et à la gratuité de la fonction « STOP » ;
  • formaliser la procédure de conservation et d’archivage des dossiers de demande d’emploi

La CDP informe, par ailleurs, que tout manquement maintenu ou renouvelé et constaté lors d’un contrôle ultérieur entrainera une sanction sans mise en demeure préalable, conformément à la loi n°2008-12 du 25 janvier 2008.    

 

IV - COMMUNICATION ET SENSIBILISATION

Pour le dernier trimestre de l’année 2017, la Commission de protection des données personnelles a mené des actions de sensibilisation, de promotion et de vulgarisation de la loi sur les données personnelles.

Dakar Digital Show du 24 au 25 octobre 2017

La Commission de protection des données personnelles a pris part  à la seconde édition du Dakar Digital Show qui s’est tenu du 24 au 25 octobre 2017. Organisé par le groupe Sonatel, l'événement, qui a réuni des acteurs du digital et des contenus, de l'Afrique et du monde, est une réponse aux besoins numériques et digitaux actuels et futurs. Les agents de la CDP se sont imprégnés des dernières innovations technologiques afin d’en définir les enjeux et défis, de même que les impacts que peuvent avoir ces technologies sur les traitements des données personnelles.

Inauguration de la nouvelle Ecole de Codage, Sonatel Academy 

La CDP a répondu à l’invitation du Groupe Sonatel, lors de la cérémonie d’inauguration de la nouvelle Ecole de Codage, Sonatel Academy,  le Mercredi 22 Novembre 2017. Une initiative dont s’est félicitée la CDP car elle répond à un besoin en ressources humaines à même de prendre en charge le développement de l’écosystème numérique au Sénégal,

Rencontre avec le Ministère de l’Intérieur

Le Ministre de l’Intérieur Monsieur Aly Ngouille NDIAYE a reçu une délégation de la CDP conduite par la Présidente, Madame Awa NDIAYE, dans les locaux du ministère. Une rencontre où plusieurs points ont été discutés, notamment la protection des données personnelles collectées dans le cadre de la confection  de la carte nationale d’Identité (CNI) biométrique- CEDEAO et des usages connexes.

 

V - COOPERATION ET PARTENARIAT         

  • Participation à la 35ème Réunion Plénière du Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE 108) du Conseil de l’Europe

La Commission de protection des Données Personnelles (CDP) a participé à la 35ème réunion de la Plénière du Comité Consultatif de la Convention  pour la protection des données à caractère personnel du Conseil de l’Europe, du 22 au 24 novembre 2017 à Strasbourg. 

Etaient présents à la réunion les Etats parties à la Convention 108, les observateurs, des experts scientifiques et des institutions européennes. Les participants ont examiné le projet de Recommandation en matière de protection des données relatives à la santé, et le projet de Guide pratique sur l’utilisation des données à caractère personnel dans le secteur de la police.

Sur le projet de Recommandation en matière de protection des données relatives à la santé, les principaux points discutés portaient sur les principes de protection des données de santé. A ce titre, il est suggéré aux responsables de traitements de faire « préalablement » et « régulièrement » un examen de l’impact sur la vie privée des traitements des données de santé utilisant des outils numériques. Cela veut dire que les technologies utilisées dans la cadre de l’e-santé doivent faire l’effet au préalable, d’une étude d’impact ou des risques qu’elles peuvent présenter sur la vie privée. Par ailleurs, le traitement des données génétiques a fait l’objet de discussions, ce qui a amené les participants à proposer d’ajouter dans le projet de Recommandation que les traitements de données génétiques doivent obligatoirement être encadrés par une loi, et que le consentement de la personne concernée doit être nécessaire, mais non suffisant.

Concernant le projet de Guide pratique sur l’utilisation des données à caractère personnel dans le secteur de la police,  la notion de maintien de l’ordre public en tant que finalité pour les traitements de données personnelles dans le secteur de la police a été longuement discutée, afin de décider si elle doit être maintenue ou pas,  puisque l’idée du guide est destinée à la prévention, à l’investigation et à la répression des infractions pénales.

Par ailleurs, il a été recommandé par les participants d’intégrer, dans le projet de Guide, l’étude d’impact préalable de l’utilisation d’outils technologiques dans les traitements des données de police.

Lundi, mars 5, 2018 - 11:30

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles