AVIS TRIMESTRIEL N°03-2023

DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

SOMMAIRE

Introduction

1. Bilan des activités de mise en conformité……………………………………………………………...p3

1. Décisions rendues par la Session plénière de la CDP………………………………………………………p4
   1. Autorisations accordées………………………………………………………………………………………p5
   2. Récépissés délivrés…………………………………………………………………………………………....p6
2. Structures appelées à la déclaration de leurs traitements de données personnelles…………………....p9

1. Bilan des plaintes et signalements traités……………………………………………………………...p10

1. Plaintes traitées…………………………………………………………………………………………………p10
2. Signalements traités……………………………………………………………………………………………p11

1. Bilan des sanctions prononcées…………………………………………………………………………p13
2. Bilan des missions de contrôle sur sites………………………………………………………………..p16

1. Mission de contrôle suite à une plainte ……………………………………………………………………....p16

2. Missions de contrôle des déclarations simplifiées……………………………………………………………p17

1. Bilan des activités de communication et de sensibilisation………………………………………….p18

1. Communication sur les plateformes digitales……………………………………………………………….p19
2. Assistance et sensibilisation des internautes…………………………………………………………………p19

1. Coopération et partenariat…………………………………………………………………………………p20

1. Au niveau national………………………………………………………………………………………………p20
2. Au niveau africain……………………………………………………………………………………………….p21
3. Au niveau international…………………………………………………………………………………………p22

1. Point des réunions sur des projets importants………………………………………………………….p23

Conclusion…………………………………………………………………………………………………………….p25

INTRODUCTION

La Commission de protection des Données Personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées, conformément aux obligations légales.

Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie son troisième avis trimestriel de l’année 2023, qui couvre les activités des mois de Juillet, Août et Septembre 2023.  

Au cours de ce troisième trimestre de l’année 2023, la CDP a examiné plusieurs dossiers de demande d’autorisation et de déclarations de traitements de données à caractère personnel.

La CDP a, également, reçu des plaintes et signalements de citoyens, et effectué des missions de contrôle sur sites.

• BILAN DES ACTIVITES DE MISE EN CONFORMITE

Au cours de ce troisième trimestre 2023, la Commission de protection des Données Personnelles (CDP) a traité soixante-six (66) dossiers dont trente-sept (37) déclarations et vingt-neuf (29) demandes d’autorisation.

A l’issue des sessions plénières tenues à la CDP, trente-cinq (35) récépissés de déclaration et vingt-six (26) autorisations ont été délivrés. La Commission a refusé d’autoriser des traitements de données personnelles à trois (03) structures, et a décidé de sursoir au traitement de deux (02) dossiers.

En outre, la CDP a appelé à déclaration un (01) responsable de traitement, pour la mise en conformité de leurs traitements de données à caractère personnel.

Les tableaux ci-après détaillent le bilan des activités du troisième trimestre, relatives à la mise en conformité avec la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel.

1. Décisions rendues par la Session Plénière de la CDP :

La Session plénière des Commissaires de la CDP s’est réunie deux fois, en vue de statuer sur les demandes d’autorisation et les déclarations de traitements de données à caractère personnel.

Au regard des autorisations accordées et des récépissés délivrés, les traitements qui portent sur les systèmes de vidéosurveillance en entreprise et dans les domiciles des particuliers, sur la collecte de données sur site internet, les systèmes de contrôles d’accès par biométrie dans les lieux de travail et la gestion du personnel, sont récurrents.

1.  Autorisations accordées :  

1.  Récépissés délivrés : 

1.  Refus d’autorisation / délivrance récépissé

1.  Sursis à statuer

1. Structures appelées à la déclaration de leurs traitements de données personnelles

La CDP a invité la SEN’EAU à déclarer le traitement de données personnelles mis en œuvre à des fins de géolocalisation des maisons, pour la délivrance des factures d’eau. 

 II - BILAN DES PLAINTES ET SIGNALEMENTS TRAITES

1. PLAINTES

1. SIGNALEMENTS

III - BILAN DES SANCTIONS PRONONCEES

1. AVERTISSEMENTS

1. MISE EN DEMEURE

IV-       BILAN DES MISSIONS DE CONTRÔLE SUR SITES

En application de l’article 25 de la loi n° 2008-12 du 25 janvier 2008 et de la décision de la Session plénière du 24 juin 2021, la Commission de Protection des Données Personnelles (CDP) a décidé d’effectuer une série de missions de contrôle portant sur les déclarations simplifiées. En effet, la Commission de protection des données personnelles a mis en place des ‘’Normes simplifiées’’ permettant aux responsables de traitement de mener leurs actions de mise en conformité sans passer par le processus lourd des déclarations « classiques », ce, afin de leur faciliter les démarches de conformité.

 L’objet de ces missions de contrôles est de vérifier que les traitements de données à caractère personnel effectués sur la base de ces déclarations simplifiées, respectent tout autant que les autres types de déclarations, les dispositions de la loi n°2008-12. Au cours du troisième trimestre 2023, la CDP a effectué six (06) missions de contrôle sur site dont deux (02) contrôles de déclarations simplifiées et quatre (04) missions de contrôle classique, sur décision de la session plénière, auprès des structures ci-après.

Contrôle suite à une plainte concernant le service << Hello Star >> de la SONATEL

Contrôle des déclarations simplifiées

A l’issue des missions de contrôle effectuées, les manquements relevés ont été notifiés aux responsables de traitement, avec une demande de mise en conformité dans un délai imparti. Par ailleurs, des recommandations ont été formulées à l’égard des structures contrôlées.

1. BILAN DES ACTIVITES DE COMMUNICATION ET DE SENSIBILISATION

Au cours de ce troisième trimestre 2023, les actions de formation et sensibilisation en ligne ont été privilégiées pour une meilleure vulgarisation de la loi sur la protection des données personnelles.

• Publication sur le site et les réseaux sociaux d’un appel à communication

En marge de l’organisation prochaine d’un colloque célébrant ses 10 ans d’existence, la CDP a lancé un appel à communication dont l’objectif est d’offrir une tribune aux acteurs nationaux pour leur permettre de partager leurs expériences, travaux de recherches et leurs opinions sur les thématiques telles que la mise en conformité avec la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel face aux technologies émergentes (Intelligence Artificielle, Métaverse, Internet des objets, etc.).

• Communiqué sur le changement d’adresse du siège de la CDP

Suite au déménagement dans ses nouveaux locaux, la CDP a publié un communiqué pour informer le grand public du changement d’adresse de son siège sis désormais sur la Route de l’Aéroport Léopold Sédar Senghor en face de l’agence Ecobank de Ngor Almadies. Les contacts téléphoniques et électroniques restant inchangés.

1. Communication sur les plateformes digitales

Les publications à titre de sensibilisation et d'information sur les plateformes digitales de la CDP se sont poursuivies tout au long de ce troisième trimestre. Des publications en capsules illustratives des informations contenues dans le second rapport trimestriel, et autres documents produits par la CDP ont été faites sur les différentes pages des plateformes numériques de la Commission.

Ainsi de juillet à Septembre 2023, 4276 utilisateurs se sont intéressés à nos contenus sur notre page Facebook. Sur la même période, nous avons enregistré sur ce réseau social 1095 abonnés, soit 66,4% de progression.

La page Facebook compte actuellement 4591 abonnés, soit 362 abonnés supplémentaires par rapport à l’avis trimestriel précédent.

Sur Twitter, nous comptons actuellement 2717 abonnés, soit 100 abonnées de plus comparés aux statistiques précédentes. Nos tweets ont été impressionnées 3602 fois sur ce réseau social.

Sur LinkedIn la page continue toujours son développement et compte actuellement 3726 abonnés.

1. Assistance et sensibilisation des internautes

Durant ce troisième trimestre de l’année 2023, les plateformes digitales de la CDP ont été très sollicitées par les internautes, pour demander assistance à la CDP ou pour signaler des manquements liés à l’utilisation de leurs données personnelles. En effet, on dénombre au moins une vingtaine de signalements.

Les demandes et questions reçues ont porté sur des menaces de diffusion d’images compromettantes (à caractère sexuel), de diffusions de photos avec des commentaires à caractère diffamatoire, injurieux ou portant atteinte à la crédibilité d’une personne.

A ce titre, les internautes ont été invités à saisir de manière formelle la CDP via une plainte à l’aide du modèle disponible sur le site : www.cdp.sn . Pour les cas les plus urgents, la CDP a incité les internautes à porter plainte directement devant la Police, la Gendarmerie ou la Division de la Cybersécurité.

Les internautes ont, également, interpellé la CDP sur des questions relatives à la limitation d’un âge médian pour l’utilisation des plateformes numériques au Sénégal, aux conditions à remplir pour installer des caméras de vidéosurveillance, à la protection des données personnelles par Amazon et, enfin, à la clarification sur la gestion de données collectées par le biais d’un hébergement gratuit.  A toutes ces interpellations, la CDP a apporté les réponses prévues par les dispositions de la loi sur les données personnelles.

VI- COOPERATION ET PARTENARIAT

• Au niveau national

Rentrée Numérique de GAINDE 2000

La deuxième édition de la Rentrée Numérique a eu lieu le 12 septembre 2023 à l'hôtel Radisson Blu de Dakar, au Sénégal. Organisé par GAINDE 2000, l'événement avait pour but de promouvoir la transformation numérique et l'innovation au Sénégal, avec un focus sur le thème « L'intelligence artificielle : opportunités et menaces pour les économies, les entreprises et la société - quelle attitude devons-nous adopter ? ». L'événement a réuni divers acteurs, notamment des responsables gouvernementaux, des chefs d'entreprise et des experts en intelligence artificielle, afin de partager leurs expériences et points de vue sur des sujets tels que l'IA et la société, ainsi que l'IA et l'économie, lors de tables rondes.

• Au niveau africain

1. Visite de l’APDP du Mali à la CDP

L’Autorité de Protection des Données Personnelles du Mali (APDP) avec à sa tête son président, Dr. Mamoudou Samassekou, a effectué une visite de travail et d’imprégnation à Dakar, du 3 au 5 juillet 2023. La délégation malienne, composée de nouveaux membres pour la plupart, a tenu des séances de travail au plan juridique, technique et de la communication.

Au terme de la visite, un protocole de coopération a été signé par les deux autorités, qui favorisera l’atteinte des objectifs de protection des données à caractère personnel, conformément aux instruments juridiques nationaux, régionaux et internationaux en vigueur dans leurs pays respectifs. Il a été retenu l’établissement de comités ad hoc ainsi qu’un protocole de suivi pour des résultats concluants.

1. Visite de la HAPDP du Niger

Du 17 au 19 juillet 2023, la Haute Autorité de protection des données personnelles au Niger a été l’hôte de la CDP pour une visite d’amitié et de travail. Une occasion mise à profit par les deux autorités pour magnifier la coopération déjà enclenchée lors de la première visite d’imprégnation de l’autorité nigérienne, venue s’inspirer de l’expérience sénégalaise.

Mme Sanady Tchimaden Hadatan, qui assure également la présidence du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP), a justifié le choix de la CDP pour ses avancées en termes de coopération au niveau sous régional, africain mais aussi au plan international. Outre les échanges sur le plan technique, juridique et communication, la CDP a offert ses services dans l’accompagnement de la HAPDP pour la ratification de conventions et traités régionaux et internationaux sur la protection des données à caractère personnel.

1. Visite de l’Autorité de protection des données à caractère personnel (APDP) de la Mauritanie

Une étape majeure a été franchie dans les relations entre le Sénégal et la Mauritanie, lors de la visite de travail de l’Autorité de protection des données à caractère personnel (APDP) de la Mauritanie, effectuée du 24 au 25 juillet 2023. En effet, au-delà des relations séculaires liant les deux pays, l’autorité mauritanienne, installée le 5 juillet 2022, a réservé sa première visite de travail à son voisin, le Sénégal. Une marque de confiance mais aussi une reconnaissance de l’expertise sénégalaise en termes de protection des données personnelles.

Durant ces deux jours, le Président de l’APDP de la Mauritanie, M. Mohamed Lemine Sidi et sa délégation, ont eu des échanges intenses avec les agents de la CDP en ce qui concerne les enjeux mais aussi les procédures de traitement en termes de protection des données personnelles. Au terme de la visite, les deux autorités ont exprimé leur volonté commune de promouvoir une coopération bilatérale fructueuse, avec la constitution dans les délais les meilleurs, de groupes de travail sur des thématiques importantes liées à la protection des données personnelles.

1. Réunion mensuelle du Comité des contributeurs de la plateforme de sensibilisation en ligne Koun3labal (en ligne)

La CDP a tenu avec la CNPDP, l’Autorité marocaine en charge du Comité des Contributeurs, et les autorités africaines, des réunions mensuelles pour le compte de la plateformeKoun3laba, mise en place dans le cadre d’un programme de sensibilisation des autorités africaines. La réflexion a porté sur les idées à développer lors de l’élaboration d’un guide destiné aux adolescents pour l’utilisation de l’Internet sans risques, et pour les plus petits, un livre de coloriage pour les initier à la protection des données personnelles.

• Au niveau international

1. 59^ème Réunion du Bureau du Comité de la Convention 108 du Conseil de l’Europe

Le Bureau du Comité de la Convention 108 a tenu sa 59ème réunion à Paris du 27 au 29 septembre 2023. Il s’est concentré sur l'interprétation de l'article 11 de la Convention modernisée, sur le deuxième module des clauses contractuelles types pour le transfert de données à caractère personnel, et sur le projet de lignes directrices sur le traitement des données à caractère personnel sensibles concernant l'inscription et l'authentification des électeurs. Le Bureau a également procédé à un échange de vues sur l'état d'avancement de la mise en œuvre du son programme de travail 2022-25 et a décidé de commencer à travailler sur la protection des données dans le contexte des neurosciences. (https://www.coe.int/fr/web/data-protection/-/59th-meeting-of-the-bureau-of-the-consultative-committee-of-convention-108-held-in-paris-1).

1. Participation à la 15^ème Assemblée Générale de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) et à la 14^ème Conférence annuelle de l’AFAPDP

La CDP a participé, les 02 et 03 octobre 2023 à Tanger au Maroc, à la 15^ème Assemblée Générale de l’Association Francophones des Autorités de Protection des Données Personnelles (AFAPDP) et à la 14^ème Conférence annuelle de l’AFAPDP.

Les Autorités de protection des pays suivants ont été présentes : Cap-Vert, France, Suisse, Maroc, Bénin, Canada, Gabon, Côte d’Ivoire, Sénégal. L’Autorité de protection du Burkina Faso a suivi les travaux en visioconférence.

La Conférence de cette année était axée autour de (02) thématiques :

• Les limites de juridiction des Autorités de protection des données personnelles ;
• Le Web Scraping et la protection des données personnelles.

1. POINT DES REUNIONS SUR DES PROJETS IMPORTANTS

• Cérémonie officielle de présentation de la stratégie nationale sur l’IA

La Directrice des TIC du MCTEN, Mme Aissatou Jeanne NDIAYE, a donné la priorité à l'élaboration d’une stratégie concernant les données numériques et l'intelligence artificielle, dans le cadre de la mission d'accélération de la SN2025.

Le 14 septembre, une cérémonie officielle a été organisée à l'Hôtel Terrou-Bi pour présenter cette stratégie nationale du Sénégal, s'inscrivant ainsi dans les efforts visant à encadrer le développement de l'IA dans le pays.

Cette cérémonie est précédée par des ateliers qui se sont déroulé les 8 et 9 juin 2023, ainsi que les 20 et 21 juin 2023. Lors de ces ateliers, les participants ont examiné divers aspects liés à l'intelligence artificielle et aux besoins du Sénégal en vue de l'élaboration d'une stratégie nationale solide.

• Atelier national d'élaboration d'un manuel de procédure pour le Comité National de Bioéthique et d'Ethique des Sciences (CNBES) 

Le MSAS, avec l'appui de l'UNESCO, a organisé un atelier pour élaborer un manuel opérationnel de référence pour le CNBES, en vue d'anticiper sa mise en place. L'atelier s'est tenu du 24 au 26 juillet 2023.

• Atelier de lancement de la campagne #TaxawTemm! Aar Sunu Bopp (contre le harcèlement en ligne) organisé par AfricTivistes.

Tenu le 10 Août 2023, l'objectif dudit atelier était de mobiliser un large éventail d'acteurs clés afin de sensibiliser le grand public aux violences en ligne et de promouvoir des actions concrètes pour assurer la sécurité numérique des femmes et des filles. 

• Réunion d’échange et de concertation sur la co-régulation

Sur invitation de l’Autorité de régulation des télécommunications et des postes (ARTP), la CDP a pris part, le 12 septembre 2023, à une réunion regroupant les autorités et organes clés de l’écosystème numérique notamment la SODAV et la BCEAO, en vue d’échanger sur des perspectives de co-régulation.

• Journée de consultation régionale des parlementaires de la CEDEAO sur la digitalisation des systèmes de santé et la gouvernance des données sanitaires, organisée par Enda Santé

Dans le souci de contribuer à un effort de digitalisation du système de santé et d’amélioration de la gouvernance des données sanitaires, ENDA Santé, en collaboration avec Transform Health, a organisé, avec les parlementaires de la CEDEAO, l’Organisation Ouest Africaine de la Santé (OOAS), ainsi que différents partenaires et organisations régionales et nationales, une Consultation Régionale. L’objectif de ladite rencontre était d’amener les parlementaires au niveau régional, en leur qualité de législateurs et acteurs de plaidoyer, à apporter leur contribution au processus de digitalisation des systèmes de santé et à la gouvernance des données sanitaires.

Durant cette journée du 23 août 2023, la CDP a activement participé aux travaux en rappelant sa mission principale par le biais du contrôle de la conformité des traitements de données personnelles avec les dispositions légales et réglementaires en vigueur au Sénégal. En outre, elle est revenue sur les différents comités qu’elle partage avec le MSAS dans l’accompagnement des développeurs de solutions e-santé dans leurs démarches de conformité.

Ce fut également l’occasion pour elle de rappeler la nécessité de trouver un équilibre entre la protection des données personnelles et de la vie privée en générale, et la nécessité de partager les données de santé pour les besoins de la digitalisation des systèmes de santé.

CONCLUSION

Durant le troisième trimestre de l’année 2023, une légère baisse des dossiers traités a été notée dans le cadre de l’accomplissement des formalités préalables par les responsables de traitement. Néanmoins, comme relevé dans le deuxième avis trimestriel, les traitements de données relatives aux systèmes de vidéosurveillance installés dans les établissements accueillant du public ou chez les particuliers, restent les dossiers les plus nombreux, avec la récurrence de ceux liés aux caméras embarquées dans des véhicules de transport d’hydrocarbures.

A cela s’ajoute les traitements de données effectués dans le milieu professionnel, notamment les systèmes de contrôle d’accès et de pointage par badge ou par biométrie, et la gestion du personnel.

Dans la même foulée, les missions de contrôles des déclarations simplifiées se sont poursuivies durant ce trimestre, afin de vérifier l’effectivité du respect des normes simplifiées qui encadrent lesdites déclarations. On note, cependant, une mission de contrôle faite à la suite d’une plainte pour recueillir le plus d’éléments possibles, afin de permettre une décision éclairée de la Session Plénière.

Sur le volet de la sensibilisation, la CDP continue de se déployer sur le terrain et en ligne sur les plateformes numériques pour échanger avec les différents acteurs sur le cadre juridique de la protection des données personnelles.

Sur le plan de la coopération africaine, un renforcement du réseau de coopération bilatérale a été noté, avec les visites des Autorités de protection des données personnelles du Mali, du Niger et de la Mauritanie, et la signature d’accords de coopération.