COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

Focus sur la législation

Comment définir la finalité d’un traitement ?

Pour définir la finalité d’un traitement, il faut rechercher le but ultime dudit traitement. Il doit être déterminant (fixé et connu), explicite (compréhensible, pertinent, nécessaire) et légitime (conforme aux prescriptions légales, réglementaires ou statutaires).

Qui est le responsable d’un traitement ?

Le responsable de traitement est la personne physique ou morale, de droit privé ou de droit public ou l’ensemble des personnes physiques et ou morales qui prend la décision de procéder à des manipulations de données personnelles pour un but précis allant notamment de la collecte à la transmission ou à la suppression. Le responsable est celui qui détermine la finalité, les moyens du traitement et qui décide de sa mise en œuvre. (cf. art. 4-15 de la Loi 2008-12 du 25 Janvier 2008 relative à la protection des données à caractère personnel).

Qu’est-ce-que le consentement de la personne concernée ?

Le consentement désigne toute manifestation de volonté expresse, non équivoque, libre, spécifique et informé par laquelle la personne faisant l’objet de traitement de données à caractère personnel ou son représentant légal, judiciaire ou conventionnel acceptent que ses données à caractère personnel fassent l’objet d’un traitement manuel ou électronique.

Qu’est-ce-que le transfert de données  à caractère personnel vers un pays tiers ?

Le transfert de données personnelles vers un pays tiers désigne tout envoi, par voie électronique ou postale, vers un Etat autre que le Sénégal de données à caractère personnel. 

Qu’est-ce-qu’une donnée de santé ?

Une donnée de santé désigne toute information concernant  l’état physique et mentale d’une personne concernée, y compris les données génétiques.

Qu’est-ce-qu’une mission de contrôle ?

Une mission de contrôle est toute opération menée par la Commission des données personnelles dans les lieux, établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et les sites internet procédant à un traitement de données à caractère personnel, et ce dans le but de contrôler la conformité du traitement à la législation. Ces missions sont menées sous réserve d’informer préalablement le Procureur de la République territorialement compétent.

Qui est le sous-traitant du responsable du traitement ?

Le sous-traitant est toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données personnelles pour le compte du responsable du traitement. 

Qu’est-ce-qu’une demande d’avis ?

L’Etat, une collectivité locale, un organisme public ou privé gérant un service public peuvent adressée, à la Commission des données personnelles, une demande d’avis sur la licéité et la légitimité d’un traitement  qu’ils comptent mettre en œuvre.

Qu’est-ce-qu’une demande d’autorisation ?

Une demande d’autorisation est une  demande écrite adressée à la Commission des  Données Personnelles, par voie électronique ou postale, en vue d’obtenir l’autorisation de procéder à un traitement de certaines catégories de données à caractère personnel (les données génétiques, les données biométriques, les données relatives aux infractions, condamnations ou mesures de sûreté, les données relatives à l’interconnexion de fichiers, les transferts de données vers un pays tiers). 

Qu’est ce qu’un traitement de données personnelles ?

Un traitement est toute opération effectuée sur des données personnelles. Les plus courantes sont la collecte, l’exploitation, la gestion, la conservation ou le transfert, la copie, et dans une certaine mesure, l’interconnexion. (cf. art. 4-19 de la Loi 2008-12 du 25 Janvier 2008 relative à la protection des données à caractère personnel).

Qu’est ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est une information permettant d’identifier une personne ou qui la rend identifiable. Il s’agit du nom de la personne, de son état civil, de numéros identifiants qui lui sont propres, de sa photo, de ses empreintes, référence à un simple numéro identifiant, etc. (cf. art. 4-6 de la Loi 2008-12 du 25 Janvier 2008 relative à la protection des données à caractère personnel).

Qu’est-ce-que l’interconnexion des fichiers contenant des données à caractère personnel ?

L’interconnexion des données personnelles désigne tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement (c. f article 4-11 de la loi 2008-12). Autrement dit, l’interconnexion donne lieu à la mise en relation d’au moins deux fichiers distincts contenant des données personnelles.

Qu’est-ce-qu’une mesure de sécurité ?

Une mesure de sécurité désigne toute  précaution utile  qu’est tenu de prendre le responsable d’un traitement au regard de la nature des données traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès (c. f article 71 de la loi 2008-12).

Qu’est-ce-qu’une donnée génétique ?

Une donnée génétique désigne toute donnée concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés. 

Qu’est-ce-qu’un récépissé de traitement ?

Le récépissé est délivré au responsable d’un traitement qui introduit une demande de déclaration auprès de la Commission de protection des données personnelles. Le récépissé permet au déclarant de mettre en œuvre le traitement  envisagé. Le délai de délivrance est d’un (1) mois et peut être prorogé une fois sur décision motivée de la CDP (c. f article 18 de la loi 2008).

Qu’est-ce-qu’une norme simplifiée de déclaration ?

Une norme simplifiée vise à faciliter ou à exonérer l’obligation de déclaration pour les catégories de traitement de données à caractère personnel qui ne sont pas susceptibles de porter atteinte à la vie privée et aux libertés individuelles. Tout traitement de données personnelles conforme à une norme préétablie  par la CDP peut bénéficier de la procédure de déclaration simplifiée dans les conditions que ladite norme fixe. 

Qu’est-ce-qu’une dispense de déclaration ?

Certaines catégories de traitements de données à caractères personnel sont dispensées de déclaration. Il s’agit, entre autres, des traitements mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, des traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dès lors que ces données correspondent à l’objet de cette association ou de cet organisme, qu’elles ne soient pas communiquées à des tiers et qu’elles portent sur ses membres.

Qui est le signataire d’un formulaire ?

Le signataire d’un formulaire est le responsable du traitement ou son représentant dûment habilité pour engager sa responsabilité dans le cadre du traitement des données personnelles.

Les conditions de licéité d’un traitement ?

Un traitement portant sur des données à caractère personnel est licite si les données sont :

- collectées et traitées de manière loyale et licite ; 
- collectées pour des finalités déterminées, explicites et légitimes ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ;
- exactes, complètes et, si nécessaire, mises à jour ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Qu’est-ce-qu’un fichier contenant des données personnelles ?

Un fichier de données personnelles est un ensemble structuré de données accessibles selon les critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (article 4-10 loi 2008-12).

Qu’est-ce-qu’une  donnée sensible ?

Les données sensibles sont toutes les données à caractère personnel relatives aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives.

Qu’est-ce-que la prospection directe ? 

La prospection directe désigne toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature, notamment commerciale, politique ou caritative, destiné à promouvoir, directement ou indirectement, des biens, des services, ou l’image d’une personne vendant des biens ou fournissant des services (article 4- 11 de la loi de 2008). 

Qui est le destinataire des données à caractère personnel ?

Le destinataire des données à caractère personnel est toute personne habilitée à recevoir communication  de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités publiques légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, peuvent demander au responsable du traitement de leur communiquer des données à caractère personnel.

Qu’est-ce-qu’une déclaration normale de traitement de données à caractère personnel ?

La déclaration normale est le régime de droit commun en matière de protection des données personnelles.  Doivent faire l’objet de déclaration normale tous les  traitements de données à  caractère personnel autres que ceux dispensés par la loi et ceux portant sur des données sensibles.  Une déclaration conforme aux dispositions légales et règlementaires donne lieu à la délivrance d’un récépissé par la CDP. 
 

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles