COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

Normes simplifiées

Afin de permettre aux responsables de traitement de mener leurs actions de mise en conformité et dans le but de leur faciliter les démarches de déclaration des fichiers contenant des données personnelles, la Commission de protection des données personnelles propose des ‘’Normes simplifiées’’.

Norme simplifiée n°2019–001/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES

OBJET :

SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DE  DONNEES PERSONNELLES RELATIFS A LA GESTION DES PERSONNELS DANS LES ORGANISMES PUBLICS ET PRIVES

La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;

 

Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;

Vu la loi n°97-17 du 1er décembre 1997 portant Code du travail ;

Vu la loi n°61-33 du 15 juin 1961 relative au statut général des fonctionnaires ;

Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;

Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;

Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;

Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.

 

EMET, APRES DELIBERATION, LES MESURES SUIVANTES :

I.  Objet :

En application de l’article 19 de la loi n°2008-12 du 25 janvier portant protection des données à caractère personnel, la CDP établit et publie des normes destinées à simplifier l’obligation de déclaration.

A ce titre, les organismes publics et privés conformes aux exigences de la présente norme simplifiée peuvent effectuer une déclaration simplifiée pour les traitements mis en œuvre dans le cadre de la gestion de leurs personnels.

Ces exigences sont :

II.  Les finalités du traitement :

Les  finalités visées dans le cadre de la présente norme simplifiée sont :

II .1. La gestion administrative et financière et la gestion organisationnelle du travail :

La gestion administrative et financière et la gestion organisationnelles du travail peut comprendre :

  • la gestion des dossiers du personnel ;
  • la gestion des fiches de postes du personnel ;
  • la gestion administrative et financière du personnel(élaboration de contrat, congés, les salaires ou autres rémunérations, déclarations fiscales et sociales) ;
  • la gestion des agendas professionnels et des tâches à effectuerpar le personnel autorisé ;
  • la gestion des réunions périodiques des départements ou services ;
  • la gestion des annuaires internes etorganigrammes ;
  • la gestiondes dotations individuelles en fourniture, d’équipements, de véhicules, de bons de carburants, d’achats et de restauration, de cartes de paiement, de crédit téléphonique.

II.2.   La mise à la disposition des employés d’outils informatiques :

Le traitement de données personnelles des salariés à des fins de mise à disposition d’outils informatiques prend en compte :

  • l’installation, le suivi et la maintenance du parc informatique ;
  • la gestion de la messagerie électronique professionnelle ;
  • la gestion du dispositif intranet de l’organisme.

II.3.      La  formation et le suivi des carrières :

Le traitement de données personnelles à des fins de formation et de suivi des carrières des employés comprend notamment :

  • le traitement des demandes de formation ;
  • l’organisation des sessions de formation ;
  • le suivi des formations internes et externes du personnel ;
  • l’évaluation des formationset des connaissances ;
  • l’évaluation du personnel ;
  • la gestion de la mobilitéprofessionnelle des employés ;
  • le suivi des affectations de postes ;
  • la mise à disposition et le détachement des agents ;
  • le changement de corps professionnel.

III.  Les catégories de données traitées :

Les catégories de données pertinentes pour la gestion du personnel sont les suivantes :

  1. noms, prénoms, sexe, date et lieu de naissance, adresse, numéro de téléphone personnel et professionnel, adresse électronique, situation matrimoniale, nombre d’enfants, nationalité, coordonnées personnelles, matricule interne, extrait casier judiciaire volet n°3 ;
  2. noms, prénoms des enfants et époux ou épouse (s), nom et prénoms et numéro de téléphone de la personne à contacter en cas de besoin ;
  3. statut de l’employé (salarié, intérimaire, stagiaire, consultant interne, conseiller) ;
  4. les données relatives aux actes d’avancement ;
  5. date et conditions d’embauche ou de recrutement, poste occupé,missions confiées,horaires de travail fixées ;
  6. données de connexion enregistrées pour assurer le bon fonctionnement des applications et réseaux de l’organisme.

 

IV.  Les catégories de personnes concernées :

Les personnes concernées par le traitement sont les employés et collaborateurs des organismes publics ou privés et quelle que soit la nature de la relation professionnelle (salarié, intérimaire, stagiaire, consultant, conseiller), ainsi que les membres de leur famille.

V.  Les destinataires des données :

Les personnes et structures habilitées à recevoir communication des données citées au point 3 de la présente norme sont, notamment :

  • les services de gestion des ressources humaines ;
  • les supérieurs hiérarchiques des employés concernés ;
  • les institutions sociales (l’IPRES, la CSS, IPM) ;
  • l’administration fiscale (la DGID) ;
  • la Direction générale de la Solde ;
  • l’Inspection du travail ;
  • les compagnies d’assurances contractantes.

Les données peuvent être communiquées à tout autre organisme public légalement habilité.

VI.  La durée de conservation des données :

Les données à caractère personnel ne peuvent être conservées au-delà de dix (10) ans après le départ de l’employé, sous réserve de dispositions particulières fixant une durée de conservation.  

VII.  Les droits des personnes concernées :

Les personnes employées dans les organismes publics et privés exercent leurs droits à l’égard du traitement de leurs données dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.

Ces droits sont :

  • le droit à l’information préalable :

Les salariés sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités et des destinataires des données.

Cette information doit être portée dans une clause du contrat de travail ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

  • le droit d’accès :

L’employeur doit mettre en place toutes les mesures nécessaires pour permettre aux salariés d’accéder à leurs données personnelles.

Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

L’employeur communique les données demandées par les salariés dans un délai ne dépassant pas un (01) mois.

  • le droit d’opposition :

Les salariés ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale de l’employeur ou à une nécessité de service.

Les modalités d’exercice du droit d’opposition doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

  • le droit de rectification et de suppression :

Les salariés ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées.

Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

 

VIII.  Les mesures de sécurité :

Les organismes publics ou privés doivent prendre toutes les mesures de sécurité techniques et organisationnelles utiles pour préserver la sécurité des données, conformément à l’article 71 de la loi n°2008-12 du 25 janvier 2008.

L’employeur doit, notamment empêcher que les données personnelles des salariés soient déformées, endommagées ou que des tiers non autorisés y aient accès.

 

IX.  Le recours à un sous-traitant :

Lorsque l’employeur fait appel à un sous-traitant (cabinet comptable, fiscal et Ressources Humaines) pour l’externalisation de la gestion administrative et financière de son personnel, celui-ci doit présenter des garanties appropriées pour la sécurité et la confidentialité des données personnelles qu’il traite.

Par ailleurs, le sous-traitant s’engage à traiter les données personnelles des salariés de façon confidentielle.

Un engagement de confidentialité signé par le sous-traitant est consigné au contrat qui le lie à l’employeur.  

X.  Dispositions finales :

Tout traitement mis en œuvre par un organisme public ou privé pour la gestion de son personnel, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

Les traitements non conformes à la présente norme sont régis par la déclaration normale.

 

  Télécharger NS N°1_Gestion du personnel.pdf
  Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx

Norme simplifiée n°2019–002/CDP du 19 avril 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES 

OBJET :

SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DE DONNEES PERSONNELLES RELATIFS AUX REGISTRES DES ENTREES ET SORTIES

La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière du 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;

Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;

Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;

Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;

Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;

Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.

 

EMET, APRES DELIBERATION, LES MESURES SUIVANTES :

I.  Objet :

En application de l’article 19 de la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la CDP établit et publie des normes destinées à simplifier l’obligation de déclaration.

A ce titre, les responsables de traitements conformes aux exigences de  la présente norme peuvent  effectuer une déclaration simplifiée pour les traitements  de données à caractère personnel relatifs à la tenue d’un registre des entrées et des sorties au sein des établissements accueillant du public.

Ces exigences sont :

II.  Les finalités du traitement :

Les  finalités visées dans le cadre de la présente norme simplifiée sont :

  1. l’identification des visiteurs à des fins de contrôle des accès aux établissements accueillant du public
  2. le pointage du personnel ;
  3. la gestion du temps de présence des salariés.

III.  Les catégories de données traitées :

Les catégories de données autorisées pour la tenue d’un registre des entrées et des sorties sont les suivantes :

  • nom ;
  • prénom ;
  • heure d’entrée et heure de sortie ;
  • identité de la personne demandée ;
  • numéro de la pièce d’identité présentée.

Le  numéro de téléphone peut être collecté sous réserve que la personne concernée soit informée de son caractère facultatif,  et qu’elle donne son consentement.

IV.  Les catégories de personnes concernées :

Les personnes concernées par le traitement sont :

  • les visiteurs ;
  • les employés ;
  • les prestataires ou fournisseurs.

 

V.  Les destinataires des données :

Les données peuvent être communiquées aux autorités judiciaires à des fins d’enquêtes.

VI.  La durée de conservation des données :

Les données collectées sont conservées pour une durée maximum de six (06) mois. Au-delà de cette durée, les registres sont archivés ou détruits.

VII.  Les droits des personnes concernées :

Les personnes citées au point IV exercent leurs droits à l’égard du traitement de leurs données dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.  

Ces droits sont :

  • le droit à l’information préalable :

Les personnes concernées sont informées du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données et de leur durée de conservation.

Cette information est donnée de façon orale aux personnes concernées et inscrite sur la page de garde du registre.

  • le droit d’accès :

Celui qui met en place un registre des entrées et des sorties doit permettre aux personnes citées au point IV d’accéder à leurs données personnelles.

  • le droit d’opposition :

Les personnes concernées ont le droit de s’opposer à la collecte de leurs données personnelles autres que celles citées au point III.

  • le droit de rectification et de suppression :

Les personnes concernées ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour.

Elles peuvent également demander la suppression de leurs données à la fin de la durée de conservation.

 

VIII.  Les mesures de sécurité :

Celui qui met en place un registre des entrées et des sorties doit prendre toutes les mesures utiles afin de préserver la sécurité des données, dans les conditions prévues par l’article 71 de la loi n°2008-12 du 25 janvier 2008.

Il doit, notamment empêcher que les données personnelles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

IX.  Le recours à un sous-traitant :

Lorsque le responsable du traitement fait appel à un sous-traitant, notamment à une agence de sécurité pour la tenue du registre et la sécurité des locaux, celui-ci doit assurer la sécurité et la confidentialité du registre qui lui est confié.

Le sous-traitant doit signer un engagement de confidentialité dans le cadre de sa mission.

X.  Dispositions finales :

Tout traitement de données à caractère personnel relatif à la tenue d’un registre des entrées et des sorties, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

Les traitements non conformes à la présente norme simplifiée sont régis par la déclaration normale.  

 

Tout traitement de données à caractère personnel relatif à la tenue d’un registre des entrées et des sorties, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

 

  Télécharger NS N°2_REGISTRE DES ENTREES ET DES SORTIES.pdf

  Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx

Norme simplifiée n°2019–003/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES

 

                                                                                                OBJET :

SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DE DONNEES PERSONNELLES RELATIFS AUX SYSTEMES DE VIDEOSURVEILLANCE INSTALLES A DOMICILE  POUR LES PARTICULIERS

 

La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril  2019 sous la présidence de Madame Awa NDIAYE, Présidente ;

 

Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;

Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;

Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;

Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;

Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.

 

EMET, APRES DELIBERATION, LES MESURES SUIVANTES :

I.    Objet :

En application de l’article 19 de la loi n°2008-12 du 25 janvier  2008 portant sur la protection des données caractère personnel, la CDP établit et publie des normes destinées à simplifier l’obligation de déclaration.

A ce titre, les responsables de traitements conformes aux exigences de  la présente norme simplifiée peuvent  effectuer une déclaration simplifiée pour les systèmes de vidéosurveillance installés dans un domicile privé.

Ces exigences sont :

II.     Les finalités du système de vidéosurveillance :

Les  finalités visées dans le cadre de la présente norme simplifiée sont :

  1. la sécurité des personnes ;
  2. la sécurité des biens situés à l’intérieur et à la devanture  du domicile ;
  3. la protection des abords du domicile, sous réserve que les caméras ne filment pas la voie public et le voisinage.

 

III.    Les catégories de données traitées :

Les catégories de données autorisées sont les images.

Toutefois, il n’est pas autorisé l’enregistrement de données sonores.

IV.    Les catégories de personnes concernées :

Les catégories de personnes concernées sont : les membres de la famille, les visiteurs et le personnel de maison.

 

V.    Les emplacements des caméras de surveillance :

 

Des caméras peuvent être installées :

  • dans les espaces communs du domicile (cour, terrasse, jardin, couloirs, escaliers et balcon) ;
  • à l’entrée du domicile (porte d’entrée, parking du domicile) ;
  • à l’extérieur des cuisines pour éviter de filmer le personnel de maison, s’il en existe, sur leur position de travail.

 

VI.    Les caractéristiques et les fonctionnalités du système de vidéosurveillance :

Les caractéristiques et fonctionnalités des systèmes de vidéosurveillance installés dans les domiciles suivantes sont autorisées :

  • visualisation en temps réel des images ;
  • enregistrement en continu, sur plage horaire ou sur détection de mouvement ;
  • accès aux images à distance ;
  • utilisation d’un enregistreur analogique ou numérique ;
  • utilisation de caméras fixes ou mobiles ;
  • suppression automatique ou manuelle des images.

 

VII.    Les destinataires des données :

Les images peuvent être communiquées aux autorités judiciaires dans le cadre d’une enquête judiciaire.

VIII.    La durée de conservation des données :

Les images collectées sont conservées pour une durée maximum de trois (03) mois.

IX.    Les droits des personnes filmées :

 

  1. Modalités d’information des personnes :

Les personnes citées au point IV sont informées de la présence d’un système de vidéosurveillance par un panneau ou une affiche.

Le panneau ou l’affiche doit être visible à l’entrée du domicile et comporter les informations suivantes :

  • « domicile sous vidéosurveillance » ;
  • le numéro de récépissé de déclaration délivré par la Commission de protection des Données Personnelles (CDP).

Par ailleurs, les employés de maison doivent être informés de l’existence du système de vidéosurveillance.

  1. Modalités d’exercice du droit d’accès :

Le responsable du système de vidéosurveillance doit prendre des mesures permettant aux personnes concernées d’accéder aux images les concernant.

 

 

X.    Les mesures de sécurité :           

Le responsable du système de vidéosurveillance doit prendre des précautions garantissant la sécurité des images, notamment :

  • sécuriser l’accès aux images avec un login et un mot de passe fort ;
  • garder l’enregistreur dans un endroit sécurisé ;
  • limiter les accès aux images ;
  • sensibiliser les personnes habilitées à accéder aux images.

 

XI.    Le recours à un sous-traitant :

Lorsque le responsable du système de vidéosurveillance fait appel à un sous-traitant ou prestataire, pour l’installation et la maintenance, celui-ci doit signer un engagement de confidentialité dans le cadre de sa mission.  

 

XII.    Dispositions finales :

Tout système de vidéosurveillance installé dans un domicile privé, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

Les traitements non conformes à la présente norme sont régis par la déclaration normale.  

 

  Télécharger NS N°3_VIDEOSURVEILLANCE A DOMICILE.pdf

  Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx

NORME SIMPLIFIEE n° 2019–004/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES

 

                                                                                                 OBJET :

SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DONNEES PERSONNELLES RELATIFS AUX SYSTEMES D’ACCES PAR BADGES

 

La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;

 

Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;

Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;

Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;

Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;

Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.

 

EMET, APRES DELIBERATION, LES MESURES SUIVANTES :

I.    Objet :

En application de l’article 19 de la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la Commission des données personnelles établit et publie des normes destinées à simplifier l’obligation de déclaration.

A ce titre, la présente norme vise à simplifier la déclaration des systèmes de contrôle d’accès par badges magnétiques et par badges simples.

Par ailleurs, sont exclus du bénéfice de la déclaration simplifiée les systèmes d’accès utilisant la biométrie.

Les responsables de traitement conformes aux exigences de la présente norme peuvent effectuer une déclaration simplifiée pour les traitements  de données à caractère personnel relatifs à un système d’accès par badges.

II.    Les finalités du traitement :

Les  finalités visées dans le cadre de la présente norme simplifiée sont notamment :

  1. le contrôle des accès aux bâtiments, locaux et salles (informatique, archives) ;
  2. la limitation des accès à certains endroits de l’entreprise ;
  3. la gestion des  horaires et du temps de présence des salariés ;
  4. le contrôle d’accès des visiteurs.

 

III.    Les catégories de personnes concernées : 

Les personnes concernées par le traitement sont :

  • les salariés ;
  • les stagiaires ;
  •  les intérimaires ;
  • les consultants ;
  • les prestataires ;
  • les conseillers ;
  • les visiteurs.

 

IV.    Les catégories de données traitées : 

Les catégories de données pertinentes à collecter sont :

  • nom ;
  • prénom ;
  • photo ;
  • fonction ;
  • service ;
  • numéro du badge et date de validité ;
  • heures d’entrée et de sortie ;
  • en cas d’accès à un  parking : numéro d’immatriculation du véhicule, numéro de place de stationnement.

 

V.    Les personnes habilitées à avoir accès aux données :

Les personnes habilitées à accéder aux données citées au point IV de la présente norme sont.

  • l’employeur ;
  • le service informatique à des fins de maintenance ;
  • le service des ressources humaines et de la paie.

 

VI.    La durée de conservation des données :

Les données personnelles relatives au système d’accès par badges sont conservées pour une durée de deux (2) ans au maximum après le départ du salarié.

VII.   Les droits des personnes concernées :

Les personnes citées au point III exercent leurs droits dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.

Ces droits sont :

  •    le droit à l’information préalable :

Les salariés sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données.

Cette information doit être portée dans une clause du contrat de travail, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

  • le droit d’accès :

L’employeur doit mettre en place toutes les mesures nécessaires pour permettre aux salariés d’accéder à leurs données personnelles.

Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

L’employeur communique les données demandées par les salariés dans un délai ne dépassant pas un (01) mois.

  • le droit d’opposition :

Les salariés ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale de l’employeur, aux finalités visées au point II de la présente norme et aux nécessités du service.

Les modalités d’exercice du droit d’opposition doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

  • le droit de rectification et de suppression :

Les salariés ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées.

 

Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service, dans le règlement intérieur de l’entreprise, ou dans un document écrit ou électronique remis au salarié lors de l’embauche.

 

VIII.    Les mesures de sécurité :

Celui qui met en place un système de contrôle d’accès par badges doit prendre toutes les mesures utiles afin de préserver la sécurité des données, dans les conditions prévues par l’article 71 de la loi n°2008-12 du 25 janvier 2008.

Il doit, notamment empêcher que les données personnelles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

IX.    Le recours à un sous-traitant :

Lorsque le responsable du traitement fait appel à un sous-traitant, notamment pour la confection des badges, l’installation et la maintenance du système, celui-ci doit assurer la sécurité et la confidentialité des données auxquelles il a accès.

Le sous-traitant doit signer un engagement de confidentialité dans le cadre de sa mission.

X.    Dispositions finales :

Tout traitement mis en œuvre par un organisme public ou privé relatif à un système de contrôle d’accès, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

Les traitements non conformes à la présente norme sont régis par la déclaration normale.   

 

  Télécharger NS N°4_SYSTEME DE CONTROLE D'ACCES PAR BADGES.pdf

  Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx

Norme simplifiée n°2019–005/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES

                                                                                                    OBJET :

SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DE DONNEES PERSONNELLES RELATIFS A LA GESTION DES FOURNISSEURS

La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;

 

Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;

Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;

Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;

Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;

Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.

 

EMET, APRES DELIBERATION, LES MESURES SUIVANTES :

I.   Objet :

En application de l’article 19 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données caractère personnel, la CDP établit et publie des normes destinées à simplifier l’obligation de déclaration.

A ce titre, les organismes publics ou privés conformes aux exigences de  la présente norme peuvent  effectuer une déclaration simplifiée pour les traitements mis en œuvre dans le cadre de la gestion des fournisseurs.

 

 

Ces exigences sont :

II.     Les finalités du traitement :

Les finalités du traitement des données personnelles des fournisseurs sont liées :

  • au traitement des demandes d’agrément des fournisseurs ;
  • à la sélection d’un fournisseur ;
  • à la gestion des contrats ;
  • au suivi des commandes ;
  • à la réception des commandes ;
  • à la gestion des comptes fournisseurs.

 

III.    Les catégories de données traitées :

Les catégories de données pertinentes pour la gestion des fournisseurs sont les suivantes :

  • nom ou raison sociale ;
  • prénom ;
  • adresse ;
  • numéro de téléphone ;
  • adresse électronique ;
  • NINEA ; 
  • Numéro du RCCM ;
  •  numéro de la Carte Nationale d’Identité ;
  • données fiscales.

 

IV.    Les catégories de personnes concernées :

Les personnes concernées par le traitement sont fournisseurs ou prestataires des entreprises publiques et privées.

V.    Les destinataires des données :

Les personnes et structures habilitées à recevoir communication des données citées au point 3 de la présente norme sont, notamment :

  • les services chargés de la comptabilité, des achats ;
  • les services de passation de marchés ;
  • les services d’audit et de contrôle interne ;
  • les commissaires aux comptes ;
  • les organismes d’audit et de contrôle externe.

Les données peuvent être communiquées à tout autre organisme public légalement habilité.

VI.    La durée de conservation des données :

Les données peuvent être conservées pour une durée fixée par les dispositions légales applicables, notamment en matière comptable et fiscale. 

 

VII.    Les droits des personnes concernées :

Les fournisseurs ou prestataires exercent leurs droits à l’égard du traitement de leurs données dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.

Ces droits sont :

  • le droit à l’information préalable :

Les fournisseurs ou prestataires sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités du traitement, des destinataires des données.  

  • le droit d’accès :

Le responsable du traitement doit mettre en place toutes les mesures nécessaires pour permettre aux fournisseurs d’accéder aux données personnelles les concernant.

  • le droit d’opposition :

Les fournisseurs ou prestataires ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale.   

  • le droit de rectification et de suppression :

Les fournisseurs ou prestataires ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées.

 

 

VIII.    Les mesures de sécurité :           

Le responsable de traitement doit prendre toutes les mesures de sécurité techniques et organisationnelles utiles pour préserver la sécurité des données des fournisseurs, conformément à l’article 71 de la loi n° 2008-12 du 25 janvier 2008.

Le responsable doit, notamment empêcher que les données des fournisseurs soient déformées, endommagées ou que des tiers non autorisés y aient accès.

 

IX.    Dispositions finales :

Tout traitement mis en œuvre par un organisme public et privé pour la gestion de ses fournisseurs, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.

Les traitements non conformes à la présente norme sont régis par la déclaration normale.

 

  Télécharger NS N°5_GESTION DES FOURNISSEURS.pdf

  Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles