Comment nos données sont protégées ?
En tant qu’autorité de protection, la CDP est chargée de vérifier la légalité des traitements de données personnelles. Il s’agit de toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données personnelles.
Entre autres activités concernées nous avons : la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.
Toute ces actions sont dans le champ d’application de la loi 2008–12 du 25 janvier encadrant le traitement des données personnelles. C’est ainsi que dans son activité l’autorité publie chaque trimestre un avis retraçant son activité.
Certains types de traitements doivent faire l’objet d’une déclaration ou autorisation préalable auprès de la commission. Par exemple, si vous comptez mettre en place un fichier de prospects pour votre activité marketing vous devez attendre que la CDP vous délivre le récépissé de déclaration avant d’envoyer des sms push ou des mails. C’est le cas lorsqu’il s’agit de site internet dans le domaine de la fintech ou d’application dans le domaine du marketing. Quand vous devez procéder à un traitement de données de santé ou transférer des données à l’étranger vous devez obligatoirement avoir l’autorisation de la CDP.
Après la saisine de la CDP, différentes réponses sont possibles selon la nature des données en question et le respect des principes gouvernant le traitement. Il s’agit des demandes d’explication qui peuvent concernées la finalité, les bases légales et beaucoup d’autres facteurs. C’est ainsi que dans son avis du premier trimestre nous avons des refus d’autorisation et sanctions. Mais il faut aussi souligner les avis favorables pour des traitement parce qu’il faut signaler que la mission de la CDP est d’accompagner l’innovation et pas le contraire.
Avis favorables
Dans son AVIS N°1 de 2024, la CDP a traité 109 dossiers, dont 71 déclarations, 33 demandes d’autorisations. A l’issue des 02 sessions plénières (session plénière = organe délibérant), 71 récépissés de déclaration et 27 autorisations ont été délivrés.
Pour les déclarations concernant les systèmes de vidéosurveillance il y a 15 structures qui ont satisfait à cette obligation. Normalement c’est la partie qui devrait faire 70% du contenu des rapports de la CDP si on considère le nombre de système de vidéosurveillance que nous avons même dans les boutiques de quartier. Auchan Grand Mbao, Kaolack, Mbour font partie des responsables de traitement ayant déclaré leur système. Désormais dans ces grandes surfaces vous devez y trouver un panneau avertissant les usagers de la présence du dispositif et d’un contact pour l’exercice des droits.
Pour les bases de données nous avons 10 structures qui ont déclaré, 08 pour les systèmes de pointage dans le milieu du travail, parmi ces structures nous pouvons cité l’ADPME l’(Agence de développement et d’encadrement des PME) qui a déclaré son système de pointage par badge. Ce n’est pas le seul traitement que l’ADPME a déclaré, l’agence a aussi déclaré avec 10 autres structures, son registre des entrées et sorties. Il faut comprendre que le vigile qui gère ce registre doit respecter le minimum de sécurité par rapport à ce registre pour assurer les droits des usagers.
Refus d’autorisation
Si un traitement n’est pas en conformité avec les textes sur les données personnelles, il faut noter que la CDP peut refuser l’autorisation nécessaire pour y procéder. Imaginez que vous ayez un business à faire tourner sur la base de la prospection directe et que la CDP refuse de vous octroyer son avis favorable pour le traitement. C’est le cas d’une base de données collecté durant un forum.
Il en est ainsi du refus concernant la déclaration d’une structure qui avait comme finalité de traitement « Étude des facteurs sous-jacents de l’offre et de la demande d’électricité de qualité dans les zones rurales et périurbaines du Sénégal et évaluation de son efficacité à répondre aux contraintes des consommateurs ». La session plénière a décidé de rejeter la demande à cause du caractère non formel du recueil de consentement.
Il ne faut pas oublier que dans le cadre des traitements, le consentement comme base légal est très important, mais il faut le documenter, dans le cas ci-dessus la structure prévoyait de recueillir les consentements verbalement. C’est problématique par ce que rien ne prouve que le consentement ait été obtenu loyalement. A côté de cela, il faut noter que les données collectées allaient être transférées dans un autre pays.
Sanctions
Dans le registre des sanctions nous avons la société ridetech sen suarl (YANGO) qui a reçu un avertissement de la part de la CDP pour « Non-conformité à la loi n°2008–12 du 25 janvier 2008 relative à la protection des données à caractère personnel, notamment le non-respect des règles préalables à la mise en œuvre des traitements de données à caractère personnel.»
L’une des obligations préalables à la mise en œuvre de traitement de données personnelles est la déclaration ou l’autorisation de la CDP qu’il faut avoir bien avant le traitement dans certains cas de figure. Il faut noter que cette activité qui consiste à mettre en location un véhicule avec chauffeur à travers une plateforme numérique est réglementée par l’Etat du Sénégal (Décret N°2024–847) portant réglementation des plateformes numériques de mise en relation chauffeurs/clients.
Depuis ce décret l’activité de mise en relation chauffeurs/clients est subordonnée à l’obtention d’un agréement délivré par la direction générale des transports terrestres (art 5) décret précité. Il est intéressant de constater la mise en place d’une collaboration en amont entre la (DGTT) Direction Générale des Transports Terrestres et la Commission des données personnelles (CDP) pour que les formalités préalables auprès ce cette autorité constituent un élément indispensable pour la délivrance de l’agréement aux plateformes de VTC.
L’espoir est permis dans la mesure ou le dernier alinéa de cet article parle de possible collaboration avec d’autres services de l’Etat dans le cadre de l’instruction des demandes. Mais, notons que la décision de la CDP ne peut en aucun cas être considérée comme un simple avis consultatif. Mieux, en poursuivant la lecture de ce décret vous allez voir que la copie de l’autorisation de traitement des données personnelles délivrée par la CDP figure parmi les 17 documents constituant le dossier de demande d’agréement. Une amende de deux à dix millions est prévue pour toute société de transport qui enfreint les dispositions de ce décret.
Fermons cette parenthèse pour aborder une autre sanction, il s’agit de SOLID Afrique qui, durant la précampagne (élection présidentielle 2024) envoyait des sms pour inviter les citoyens à voter. L’alerte a été lancé sur les réseaux sociaux et certainement des personnes concernées ayant reçu les messages ont saisi la commission des données personnelles pour se plaindre de ce traitement.
La société à été mise en demeure de cesser le traitement pour une prospection non sollicitée et une non-conformité de la plateforme Kay voter. La décision de sanctionner par une mise en demeure précise les manquements reprochés au responsable de traitement de même que le délai imparti à ce dernier pour se mettre en conformité. Elle indique également les conséquences pour le responsable du non-respect de la mise en demeure. Si toutefois la sanction n’est pas suivi d’effet le comité de sanction de la session plénière peut passer à la vitesse supérieure.