COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.
COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES
S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.
NORME SIMPLIFIEE n° 2019–004/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES
OBJET :
SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DONNEES PERSONNELLES RELATIFS AUX SYSTEMES D’ACCES PAR BADGES
La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;
Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;
Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;
Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;
Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;
Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.
EMET, APRES DELIBERATION, LES MESURES SUIVANTES :
I. Objet :
En application de l’article 19 de la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la Commission des données personnelles établit et publie des normes destinées à simplifier l’obligation de déclaration.
A ce titre, la présente norme vise à simplifier la déclaration des systèmes de contrôle d’accès par badges magnétiques et par badges simples.
Par ailleurs, sont exclus du bénéfice de la déclaration simplifiée les systèmes d’accès utilisant la biométrie.
Les responsables de traitement conformes aux exigences de la présente norme peuvent effectuer une déclaration simplifiée pour les traitements de données à caractère personnel relatifs à un système d’accès par badges.
II. Les finalités du traitement :
Les finalités visées dans le cadre de la présente norme simplifiée sont notamment :
III. Les catégories de personnes concernées :
Les personnes concernées par le traitement sont :
IV. Les catégories de données traitées :
Les catégories de données pertinentes à collecter sont :
V. Les personnes habilitées à avoir accès aux données :
Les personnes habilitées à accéder aux données citées au point IV de la présente norme sont.
VI. La durée de conservation des données :
Les données personnelles relatives au système d’accès par badges sont conservées pour une durée de deux (2) ans au maximum après le départ du salarié.
VII. Les droits des personnes concernées :
Les personnes citées au point III exercent leurs droits dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.
Ces droits sont :
Les salariés sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données.
Cette information doit être portée dans une clause du contrat de travail, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
L’employeur doit mettre en place toutes les mesures nécessaires pour permettre aux salariés d’accéder à leurs données personnelles.
Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
L’employeur communique les données demandées par les salariés dans un délai ne dépassant pas un (01) mois.
Les salariés ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale de l’employeur, aux finalités visées au point II de la présente norme et aux nécessités du service.
Les modalités d’exercice du droit d’opposition doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
Les salariés ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées.
Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
VIII. Les mesures de sécurité :
Celui qui met en place un système de contrôle d’accès par badges doit prendre toutes les mesures utiles afin de préserver la sécurité des données, dans les conditions prévues par l’article 71 de la loi n°2008-12 du 25 janvier 2008.
Il doit, notamment empêcher que les données personnelles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
IX. Le recours à un sous-traitant :
Lorsque le responsable du traitement fait appel à un sous-traitant, notamment pour la confection des badges, l’installation et la maintenance du système, celui-ci doit assurer la sécurité et la confidentialité des données auxquelles il a accès.
Le sous-traitant doit signer un engagement de confidentialité dans le cadre de sa mission.
X. Dispositions finales :
Tout traitement mis en œuvre par un organisme public ou privé relatif à un système de contrôle d’accès, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.
Les traitements non conformes à la présente norme sont régis par la déclaration normale.
Télécharger NS N°4_SYSTEME DE CONTROLE D'ACCES PAR BADGES.pdf
©2016 Commission de Protection des Données Personnelles
33 859 70 30
