Avis trimestriel de la Commission de protection des données personnelles (Cdp)

AVIS TRIMESTRIEL N° 04-2018

DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES DU SENEGAL (CDP)

La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s’assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.

Dans cette perspective, au cours de ce quatrième trimestre de l’année 2018, et conformément à son programme d’activités annuel, la CDP a émis plusieurs appels à la déclaration aux responsables de traitements des secteurs public et privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le mécanisme de protection des informations nominatives au Sénégal. Par ailleurs, la CDP a poursuivi ses missions de contrôle sur sites afin de vérifier la conformité avec la législation en vigueur des traitements de données personnelles mis en œuvre par les responsables de traitement.

Ainsi, conformément à l’article 43 du Règlement intérieur de la Commission, et après en avoir délibéré en sa séance plénière du vendredi 25 Janvier 2019, la CDP publie le présent avis trimestriel qui décrit  la situation actuelle de la protection des données personnelles au Sénégal.

1. COMPTE RENDU DES ACTIVITES DECLARATIVES         

Au cours de ce quatrième trimestre 2018, la CDP a accueilli 30 structures venues s’imprégner de la législation sur les données à caractère personnel.

La Commission a traité 51dossiers dont 41 déclarations et 10 demandes d’autorisation.

A l’issue des deux (02)sessions plénières tenues à la CDP, 41récépissés de déclaration et 10 autorisations ont été émis.

La Commission a, en outre, reçu des demandes d’avis et émis des appels à déclaration :

– Nombre d’appels à déclaration : 22

– Demande d’avis : 02

– Plaintes reçues : 10

– Signalements : 04

– Nombre de demandes d’explication : 05

• – Demandes d’avis reçus par la CDP

 

 

Objet	Réponse de la CDP
Menaces de divulgation de données à caractère personnel enregistrées sur WhatsApp.	En application des dispositions de l’article 16 de la loi 2008-12 du 25 janvier 2008, la CDP a : ·         Informé le demandeur d’avis sur la nature de l’atteinte et les sanctions pénales encourues par l’auteur, notamment l’article 431-19 de la loi n°2016-19 modifiant le Code pénal qui dispose que « celui qui collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, est puni d’un emprisonnement d’un an à sept ans et d’une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines ».  ·         Rappelé au demandeur que le dépôt d’une plainte était possible en cas de réalisation de la menace.
Légitimité d’un dispositif de vidéosurveillance à domicile filmant la voie publique.	·         La CDP a informé le demandeur que le dispositif de vidéosurveillance était contraire à la loi n°2008-12 et la jurisprudence de la CDP.

• – Les structures appelées à la déclaration de leurs fichiers et bases de données :

 

 

Responsables de traitement/ Sous-traitants	Traitements
1.      Malao DIALOO	Fichiers contenant des données personnelles
2.      ORYX Sénégal SA	Système de contrôle d’accès par badge
3.      Ministre de l’Education nationale	Système d’Information du Ministère de l’Education nationale (SIMEN)
4.      Ministre des Infrastructures, des Transports Terrestres et du Désenclavement	Procédures de dématérialisation des dossiers de l’administration des transports routiers « Capp Karangë »
5.      Soleil du Fouta	Fichiers contenant des données personnelles
6.      ADI Sénégal -Vibe Radio	Registre des entrées et sorties
7.      Ecole Actuelle Bilingue	Registre des entrées et sorties
8.      Afric Management	Fichiers contenant des données personnelles
9.      AGS SENEGAL	Fichiers contenant des données personnelles
10.  Aliou TRAORE	Fichiers contenant des données personnelles
11.  ASPI	Fichiers contenant des données personnelles
12.  BICIS	Registre des entrées et sorties
13.  Cactus Technologies	Fichiers contenant des données personnelles
14.  Colombe Cyberdefense Operations Center (CCDOC)	Registre des entrées et sorties
15.  Global Business Group	Fichiers contenant des données personnelles
16.  Latyr DIOHR	Fichiers contenant des données personnelles
17.  Mamadou BA	Fichiers contenant des données personnelles
18.  Ministre de la Santé et de l’Action Sociale	Registre des entrées et sorties et système de contrôle d’accès par badge
19.  SECTRONIC  SARL	Fichiers contenant des données personnelles
20.  SMS Services	Fichiers contenant des données personnelles
21.  Société d’Emploi Temporaire (SET Intérim)	Fichiers contenant des données personnelles
22.  Tout Travaux et Services (2TS)	Fichiers contenant des données personnelles

• – Décisions rendues par la Session Plénière :

 

 

 

• – Autorisations accordées :

Finalités des traitements	Nombre	Structures
Projet de renforcement du plaidoyer  sur la planification familiale chez les jeunes âgés de 15 à 24 ans dans les Régions de Dakar, Saint-Louis et Kaffrine	01	Population Référence Bureau (PRB) et l’Alliance Internationale des Jeunes pour la Planification Familiale (IYAFP)
Gestion du temps de présence des salariés par biométrie	04	SociétéIndustrielle et Moderne des Plastiques Africains (SIMPA) SOCOCIM Industries ORYX Sénégal La Banque Outarde (LBO)
Base de données clients	01	MICROCED Sénégal
Traitement de données personnelles pour la fourniture de services de communication du site www.ephata.sn	01	EPHATA
Campagne de sensibilisation sur l’hypertension artérielle (HTA) par l’envoi de SMS	01	Ministère de la Santéet de l’Action Sociale/DirectiondeLutte contre la Maladie
Plateformewww.clic-sante.com	01	FOCATI Solutions SAS
Site internet www.leretrouveur.com	01	African Technology Innovation (ATI)
TOTAL	10

 

• – Récépissés délivrés :

 

Finalités	Nombre	Structures
Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes	24	·         Decathlon Sénégal SARL ·         Hammer Sénégal SUARL ·         Pharmacie du Ndoucoumane ·         Auchan Mbour ·         Auchan HLM ·         Auchan Soprim ·         Auchan Thiès 1 ·         Auchan Saly City ·         SociétéInternationalede Linguistique (SIL) ·         Sénégalaise Des Eaux (SDE) ·         Boulangerie Ibrahima NDAO ·         Genesis Africa Businessand Services ·         Ecole Actuelle Bilingue ·         Pétroflamme Sénégal ·         Tabara NDIAYE ·         Baatine Agency SURL ·         ColombeCyberdefense Operations Center (CCDOC) ·         IntelciaSénégal ·         Auchan Liberté 6 ·         Auchan Maristes ·         Auchan Mermoz ·         Auchan Nord Foire ·         Auchan Plateau ·         AuchanPoint E
Vidéosurveillance chez des particuliers	05	·         M. Mamadou FALL ·         Mme. Bineta Coumba DiawDIOUF ·         M. Daniel PENNEY ·         M. Ibrahima FALL ·         M. Modou THIAW
SMS PRO VILVER	01	·         ADEMAS
Registre des entrées et sorties	01	·         MTOA SA
Base de données clients	02	·         VISIOCONTACT ·         Genesis Africa Businessand Services
Site internet et plateforme destinés à l’identification des soumissionnaires et bénéficiaires de financements	01	·         DélégationGénéraleà l’Entreprenariat Rapide des femmes et des jeunes (DER)
Système de contrôle des accès	01	·         Agence Sénégalaise d’Electrification Rurale (ASER)
Utilisation de la base de données des auditeurs	01	·         ADI Sénégal (Vibe Radio)
Base de données « demandeurs d’emploi et de stage »	01	·         SONATEL
Recensement général des entreprises au Sénégal 2016 (RGE)	01	·         ANSD
Système de gestion de vie scolaire (KAIROS)	01	·         Ecole Actuelle Bilingue
Formulaire d’inscription en ligne sur le site www.ecole-actuelle-bilingue.com	01	·         Ecole Actuelle Bilingue
Externalisation des archives	01	·         Banque Internationale pour le Commerce et l’Industrie du Sénégal (BICIS)
TOTAL	41

 

 

II – LES PLAINTES ET SIGNALEMENTS

 

21 –Nombre de plaintes reçues :  

 

Nombre	Plaignant	Mis en cause	Motifs	Observations
1	M. S. W	Institut Internationale en Informatique NIIT Dakar	Atteinte à la sécurité et la confidentialité des données personnelles des étudiants	La CDP a adressé une demande d’explication à la structure mise en cause dans la requête du plaignant en application des articles 70 et 71 de la loi 2008-12. Par ailleurs, le plaignant affirme avoir saisi le parquet d’une plainte pour escroquerie. La structure en cause a décliné sa responsabilité et déposé une plainte contre son ancien collaborateur. NIIT a soumis à la CDP une déclaration relative à son fichier client.
2	M. L. K,  sénégalais demeurant en Espagne	M. M S	Tentative d’escroquerie sur Facebook	La CDP a invité le plaignant à signaler le compte frauduleux à Facebook en suivant la procédure prévue par le réseau social. Relativement à la plainte, la CDP a saisi la Division Spéciale de la Cybersécurité (Police nationale) pour traitement conformément aux dispositions de la Loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal.
3	M. B.D	Hackeur	Menace de publication d’une vidéo compromettante sur les réseaux sociaux	La CDP a recommandé au plaignant de saisir, d’une demande de suppression, l’administrateur de WISTIA (site concerné). Suite à la demande, la vidéo compromettante a été mise hors ligne.
4	M. H.A.B	Bank Of Africa (BOA)	Accès frauduleux et partage de ses informations bancaires à des personnes non habilitées	La requête du plaignant indique que ses informations bancaires ont été partagées à son insu par des employés de la Banque Of Africa (BOA) via WhatsApp et Sms à des tiers. La CDP a envoyé une demande d’explication à la BOA. Le dossier est en cours de traitement.
5	Mme M. ND	Hackeur	Hameçonnage et usurpation d’identité	La CDP a reçu une plainte de Madame M. ND, victime d’hameçonnage sur ses comptes Gmail et Yahoo et d’usurpation d’identité sur Facebook. La CDP a fourni à la victime des indications sur la procédure à suivre pour récupérer ses comptes Yahoo et Gmail. Les équipes de Facebook ont sécurisé le compte concerné après saisine par la CDP de son représentant au Sénégal.
6	Mme K. S. B	Contre X	Usurpation d’identité	Mme B précise dans la plainte transmise à la CDP qu’une autre personne utilise son nom et profil sur Facebook à des fins non précises. La CDP a invité la plaignante à porter plainte auprès de la Division Spéciale de la Cybersécurité (Police nationale). La CDP a recommandé à la plaignante de suivre la procédure mise en place par Facebook pour signaler le compte usurpé.
7	Mlle B.A.D	Contre X	Cyber harcèlement et atteinte à la réputation	La CDP a reçu une plainte de Mademoiselle B. A. D portant cyber harcèlement et atteinte à la réputation. La CDP a informé la Division Spéciale de la Cybersécurité (Police nationale) pour traitement de la plainte.
8	Mlle D. S. D.	M. T. M. S	Publication d’une vidéo portant atteinte à l’honneur et à la dignité	La plaignante précise à la CDP qu’un guérisseur exorciste a publié une vidéo compromettante sur Youtube qui porte atteinte à son honneur et à sa dignité. Par ailleurs, elle a porté plainte auprès du Procureur. La CDP a recommandé à la plaignante de signaler la vidéo à YouTube pour vérifier sa conformité à sa politique de protection de la vie privée, le cas échéant, une procédure de réclamation pour atteinte à la vie privée pourra être initiée. La CDP invite la plaignante à poursuivre la procédure déjà initiée auprès du Procureur contre le guérisseur.
9	Me M. K	K.	Diffusion sur Internet d’images et de photos portant atteinte à l’honneur et la réputation du plaignant	Dans sa plainte transmise à la CDP, le plaignant précise qu’un individu utilisant le pseudonyme de « KOCC », a publié sur Internet, un article relatif à l’orientation sexuelle présumée de son fils. Il a également mis en ligne la vidéo d’une cérémonie familiale mettant en exergue l’image du plaignant. Les éléments incriminés ont été repris par plusieurs sites d’information en ligne. La CDP a : §  informé le Procureur de la République pour suites à donner, conformément aux dispositions des articles 363-2 bis et 431-60f de la loi n°2016-29 du 08 novembre 2016 modifiant le Code Pénal. §  requis des sites d’information en ligne, la suppression des articles concernés, en application de l’article 69 de la loi n°2008-12 sur la protection des données à caractère personnel. La procédure de suppression est en cours.
10	M. G.D.D	ECOBANK	Demande d’accès des données personnelles figurant dans la base de données clientèle d’ECOBANK	La CDP a recommandé au plaignant d’adresser à ECOBANK une demande d’accès à ses données personnelles. La CDP a envoyé une demande d’explication à ECOBANK, suite à l’absence de réponse constaté par le plaignant. ECOBANK a réagi favorablement en délivrant les informations requises.

 

 

22 – Liste des manquements signalés à la CDP : 

 

Mis en cause	Motifs	Observations
Le site internetwww.leretrouveur.com	Traitement de documents perdus sur site Internet www.leretrouveur.com	Suite à un signalement, la CDP a constaté que le site Internet www.leretrouver.com collecte des documents perdus contenant des données personnelles (numéro d’identification nationale), sans respecter les formalités préalables. Conformément aux dispositions de l’article 20-4 de la loi n°2008-12, la CDPa enjoint à l’administrateur du site de surseoir au déploiement jusqu’à l’obtention d’une autorisation, du Ministère de l’Intérieur notamment.
Dash plan	Diffusion sur les réseaux sociaux d’une liste de données personnelles concernant des  jeunes filles	En application des dispositions de l’article 16-2-c de la loi n°2008-12, et à la suite de signalements, la CDPa informéle Procureur de la République de la diffusion sur les réseaux sociaux d’une liste de données personnelles concernant des jeunes filles, avec leurs noms, photos, adresses et numéros de téléphone. Le Procureur a instruit la DSC qui a finalement interpellé les auteurs de ces infractions. Ces derniers, au nombre de quatre, ont été jugés par le tribunal des flagrants délits de Dakar. Deux d’entre eux ont été reconnus coupables pour des chefs d’association de malfaiteurs, ainsi que de collecte illicite de données personnelles.
M. F	Vente de base de données de 70.000 sénégalais résidents aux Etats-Unis, au Canada et en Europe	En application des articles 18, 35, 58 et 33 de la loi n°2008-12 du 25 janvier 2008, la CDP a transmis un courrier de d’explication via la page Facebook de l’auteur de la cession illicite de base de données. La demande d’explication porte sur la violation des obligations préalables à la cession de fichiers contenant des données à caractère personnel. Le dossier est en cours.
M. El. K. Nd	Piratage de compte Gmail	M. Nd.  demande à la CDP la conduite à tenir suite au piratage du compte de son directeur contenant des dossiers administratifs confidentiels. La CDPlui a recommandé de cliquer sur le lien URL ci-après : https://support.google.com/accounts/answer/6294825 et de suivre la procédure pour récupérer le compte piraté. Conformément aux dispositions de l’article 431-8 de la Loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal et compte tenu du caractère sensible des documents figurants dans le compte piraté, la CDP lui recommande dedéposer une plainte à la Division Spéciale de la Cybersécurité (DSC) de la police.

 

 

 

• LES MISSIONS DE CONTROLE

MISSION DE CONTRÔLE CHEZ « BUROTIC DIFFUSION »

Après audition du Responsable Logistique de BUROTIC DIFFUSION, lors la Session plénière du 07 septembre 2018, les agents de la CDP ont procédé à une mission de contrôle, le mardi 04 décembre 2018, auprès de ladite société. Conformément à la décision N°2018­0018C/CDP du 26 octobre 2018, ce contrôle avait pour objet de vérifier les modifications apportées par la société BUROTIC DIFFUSION concernant le traitement de données à caractère personnel, relatif au système de vidéosurveillance.

Pour rappel, une première mission avait été effectuée le 19 avril 2018. Elle avait permis de constater des manquements relatifs notamment au non-respect de l’injonction de la CDP de désinstaller les caméras positionnées dans les bureaux. A cet effet, la Session plénière a ordonné une nouvelle mission de contrôle.

Lors de la mission de vérification sur site, les agents contrôleurs de la CDP ont remarqué que quatre (04) des caméras de vidéosurveillance susvisées sont toujours fonctionnelles et filment des salariés sur leur position de travail de manière permanente. Par ailleurs, les deux (02) autres caméras ont été désactivées, mais elles n’ont pas été démontées.

Par conséquent, après présentation du compte rendu de mission de contrôle à la session plénière, l’organe délibérant a transmis le dossier au comité de sanction de la CDP, pour décision. Ce comité ne s’est pas encore prononcé sur les manquements constatés.

 

PREMIÈRE ÉDITION DU HACKATHON CDP

Au cours du troisième trimestre de l’Année 2018, la CDP a organisé un Hackathon dont l’objectif est de se doter d’une application mobile susceptible de fournir aux personnes physiques, dont les données font l’objet d’un traitement, un outil pour leur permettre de veiller à la bonne utilisation de leurs informations personnelles. Pour les responsables de traitement (organismes publics ou privés qui collectent ou manipulent des données personnelles), l’application mettra à leur disposition un outil d’aide à la décision ou d’aide à la mise en conformité.

La première édition (Hackathon CDP 2018) portant sur le thème « Les technologies mobiles pour une meilleure protection des données personnelles » a regroupé 18 équipes constituées d’étudiants, d’élèves-ingénieurs et de startups. La présélection qui a eu lieu le 07 septembre 2018 a retenu six (06) équipes pour la phase finale de la compétition.

La cérémonie officielle de clôture du Hackathon de la CDP,en partenariat avec ISOC, ESP, ESMT et NIC Sénégal,s’est tenue le mardi 08 janvier 2019 à l’Ecole Supérieure Polytechnique de Dakar, dans l’amphithéâtre Abdoul Aziz WANE. A l’issue de la compétition, les trois meilleurs projets ont été primés sur place, après la délibération des membres du jury.

L’équipe Seculab, classée 2^ème de la compétition et l’équipe 4PP (For Privacy Preserving), classée 3^ème, ont reçu des prix d’encouragement de 300 000 FCFA et la première équipe Référence IT, un prix de 1 500 000 FCFA.

L’équipe Référence IT s’est distinguée par la qualité de son projet, la pertinence des fonctionnalités développées et par l’aspect ergonomique de son application. La CDP va collaborer pendant une durée de trois (03) mois avec Référence IT,  pour l’accompagner dans le déploiement de l’application, afin qu’elle soit disponible sur toutes les plateformes en ligne et accessible au grand public.

Au travers de cette compétition, la CDP a voulu susciter la créativité et l’innovation chez les jeunes, afin de vulgariser la protection des données personnelles au Sénégal.

 

IV – COMMUNICATION ET SENSIBLISATION

Pour le dernier trimestre de l’année 2018, la Commission de protection des données personnelles a mené des actions de formation, de sensibilisation et de vulgarisation de la loi sur les données personnelles.

Dans sa mission de sensibilisation, la CDP a relayé le communiqué de Facebook sur l’attaque dont le réseau social a été victime. En effet, en octobre 2018, le réseau social a été une fois de plus victime d’une attaque et plusieurs comptes ont été touchés.Selon Facebook, « presque 50 millions de comptes ont été affectés directement, les pirates ayant pu accéder aux informations de profils (noms, genre, ville…) par la fonctionnalité « Voir en tant que », qui permet de regarder son propre profil comme si on était un autre utilisateur.

La CDP a également relayé, le 26 novembre 2018,  sur son site, à l’intention des étudiants et chercheurs sénégalais, l’appel à candidatures pour le prix Stefano Rodota duComité de la Convention 108 duConseil de l’Europe.Le Comité a, en effet,  lancé la première édition du concours destiné à récompenser des projets de recherche académique originaux et innovants, contribuant à faire avancer la réflexion en matière de protection des données.Le projet sélectionné sera dévoilé lors de la Journée de la protection des données, le 28 janvier 2019, et le gagnant du concours aura l’honneur de présenter son projet lors de la prochaine session plénière du Comité de la Convention 108 qui se tiendra à Strasbourg, du 12 au 14 juin 2019. Le concours est ouvert aux étudiants et chercheurs provenant de pays membres ou observateurs du Comité de la Convention 108.

V – COOPERATION ET PARTENARIAT

51- AU PLAN NATIONAL

1. Atelier de réflexion et de partage sur la protection des données personnelles

En partenariat avec le Chapitre Sénégal (ISOC) et le Ministère de la Communication, des Télécommunications et de l’Economie Numérique, la CDP a organisé un atelier de réflexion et de partage sur la protection des données personnelles, les 11 et 12 octobre 2018. La réflexion a porté sur l’importance de la protection des données personnelles, mais aussi la nécessité d’assurer la confiance dans les services en ligne, en tant que facteur clé du maintien d’une économie numérique productive et bénéfique.

2. Atelier de lancement de l’initiative sur les modèles multiparties prenantes pour la sécurité de l’Internet des objets au Sénégal organisé par ISOC

Il s’est agi de préparer le lancement d’une initiative sur le modèle multiparties prenantes du Canada où plusieurs acteurs dans différents domaines et secteurs travaillent sur la sécurité de l’internet des objets. Ont été présentés, une introduction à la sécurité de l’Internet des objets, un état des lieux de l’environnement de l’IdO au Sénégal, ainsi qu’une vue d’ensemble sur le processus canadien. Cette initiative multipartite aura pour but de favoriser le développement de contenus de formation liés à la sécurité de l’IdO, et de renforcer la collaboration au sein de la société de l’Internet pour la sécurité de l’IdO et le processus de la gouvernance de l’Internet en général.

3. Participation au Dakar Digital Show 2018 de la SONATEL

Le Dakar Digital Show est un rendez-vous des acteurs du Numérique (éditeurs de contenus, développeurs, groupes média, acteurs des médias sociaux, investisseurs, porteurs de projet, start-ups, etc.) qui combine des conférences et des démonstrations dans les stands et qui permet de vivre des expériences inoubliables. L’Afrique connait un boom de la connectivité et des modes de consommation digitaux. La Sonatel apporte sa pierre à cette grande dynamique avec le Dakar Digital Show.

Salon Ouest Africain sur les contenus et le digital, le Dakar Digital Show a pour objectifs :

• de développer une véritable plateforme de rencontres B2B ;
• de fournir aux professionnels du secteur un contexte d’échanges pour mettre en lumière les perspectives de business ;
• de réunir les acteurs du secteur du Digital et des Contenus de l’Afrique et du monde entier

 

4. Atelier d’échange avec les émetteurs de monnaie électroniques et les sociétés de paiement en ligne

Du 26 novembre au 1er décembre 2018, plus de 250 personnes provenant de diverses structures, notamment les Ministères en charge des finances, les banques, les systèmes financiers décentralisés (SFD), les établissements de monnaie électronique (EME), les services postaux, les Régulateurs (ARTP, CDP), les Fintech, ont pris part à l’édition 2018 de la Semaine de l’Inclusion Financière organisé par la BECEAO.

L’objectif de l’atelier d’échange avec les émetteurs de monnaie  électroniques et les sociétés de paiement en ligne, était de favoriser un cadre de concertation et d’échanges avec les acteurs en vue de promouvoir les services financiers électroniques.

Relativement à la protection du consommateur, la CDP a formulé des recommandations aux responsables de la finance digitale, entre autres :

• L’analyse périodique des risques des traitements mis en œuvre par les acteurs de la monnaie électronique et les sociétés de transfert rapide d’argent ;
• Le respect des droits des consommateurs (droits à l’information préalable, d’accès, d’opposition, de rectification et de suppression).

 

 

5. Formation sur le système de contrôle du trafic et de lutte contre la fraude by pass

L’Autorité de Régulation des Télécommunications et des Postes (ARTP) a organisé un séminaire de formation sur le système de contrôle du trafic et de lutte contre la fraude, les 27 et 28 Septembre à l’hôtel Royal Saly. Les forces de l’ordre, de sécurité, et de défense, le ministère de la justice, l’ordre des avocats, les opérateurs, les organisations de la société civile et la CDP ont pris part à cette activité.

La fraude Bypassing consiste à terminer du trafic international dans un pays en utilisant des routes contournant les liaisons internationales mises en place par les opérateurs, dans le but de payer moins que les tarifs prévus dans les accords de terminaison avec ces opérateurs.

A l’issue de la rencontre, les acteurs ont préconisé :

• La mise en place d’un organe de coordination en charge de la lutte contre la fraude by pass (la CDP est incluse dans ce comité) ;
• Le renforcement des sanctions à l’encontre des auteurs de Fraude By Pass ;
• L’identification au niveau des frontières et les alertes sur les équipements suspects et à possibilité d’usage frauduleux

6. Atelier de mise en place de l’entrepôt de données de l’assurance maladie

Dans la cadre de la mise en œuvre du Système d’Information de Gestion Intégrée de la Couverture Maladie Universelle (SIGICMU), l’Agence de la Couverture Maladie Universelle a invité, du 11 au 13 décembre à Mbour, les partenaires et parties prenantes à un atelier de partage avec les autres régimes de couverture du risque maladie, sur la mise en place de l’entrepôt des données de l’Assurance Maladie au Sénégal.

L’entrepôt de données (ED), appelé aussi Data WareHouse, est une base de données utilisée pour collecter, ordonner et stocker des informations provenant de bases de données opérationnelles et fournir ainsi un socle à l’aide à la décision.

Les participants ont été répartis dans deux groupes de travail afin de réfléchir sur les thématiques suivantes :

• Groupe 1 : cadrage juridique et administratif
• Groupe 2 : cadrage technique et opérationnel

La CDP était représentée dans le groupe de  travail en charge de définir le cadre légal pour la mise en place de l’entrepôt de données.

7. Atelier de formulation du Programme d’appui au renforcement du système d’information de l’état civil et à la consolidation d’un fichier national d’identité biométrique au Sénégal

La CDP a participé à l’atelier de formulation du Programme d’appui au renforcement du système d’information de l’état civil et à la consolidation d’un fichier national d’identité biométrique au Sénégal.

L’objet de ce présent atelier est d’examiner les trois points suivants   :

• un résumé du diagnostic local de l’état civil effectué par le cabinet consultant « Civipol » et l’ONG Enabel ;
• les grandes lignes de la formulation du Programme ;
• les observations et recommandations de la CDP sur le projet  de rapprochementdes données du système d’identification biométrique et des données du fichier d’état civil.

Sur ce dernier point, la CDP a constaté que plusieurs fichiers sont créés et détenus à plusieurs niveaux (DAF, ADIE, MAESE, Etat civil, Education nationale, Santé, etc.). A ce jour, les acteurs ressentent le besoin d’interconnecter leurs fichiers, afin d’échanger leurs données et pour une meilleure gestion de l’état civil. Toutefois, ces interconnexions se font le plus souvent sans une base légale ou règlementaire.

A ce titre, la CDP a rappelé quelques préalables pour les interconnexions de fichiers, qui devront être prise en compte par le Programme :

1. les interconnexions doivent impérativement être fondées sur une base règlementaire (décret ou arrêté), et autorisées par la CDP, conformément à l’article 54 de la loi 2008-12 ;
2. des protocoles de communication de données doivent être signés entre les différents acteurs. Ces protocoles doivent contenir des dispositions relatives à  la confidentialité et à la sécurité des données personnelles, notamment par l’établissement d’un système d’habilitation des accès.

Concernant l’étude sur la protection des données personnelles, la CDP a recommandé d’insérer une analyse des risques sur les données personnelles que pose le rapprochement des données de l’état civil et de la carte d’identité biométrique.

 

8. 2^ème Réunion du Conseil d’Orientation pour le Développement et l’Ethique d’OPAL (Open Algorithms) au Sénégal

OPAL est un projet d’innovation technologique et sociale, porté par Data Pop Alliance, Imperial College London, MIT Media Lab, et Le World Economic Forum. OPAL vise à faciliter l’accès, sans les exposer, aux données détenues par les compagnies privées tels que les opérateurs téléphoniques, en soutien des Objectifs de Développement Durable (ODD) et dans le respect des principes éthiques, des cadres légaux et des logiques commerciales.

Un organe de Gouvernance du projet OPAL, dont la CDP est membre, a été mis en place au Sénégal.  L’organe dénommé Conseil d’Orientation pour le Développement et l’Ethique (CODE) a tenu, le 25 septembre 2018, sa deuxième réunion, afin de discuter, entre autres, du positionnement à court et moyen terme du projet au Sénégal.

9. Atelier de formation des acteurs de la chaine pénale sur la protection des enfants en ligne

Dans le cadre du Plan National de la Protection des Enfants en Ligne, le Ministère de la Communication, des Télécommunications, des Postes et de l’Économie Numérique, a convié la Commission de Protection des données personnelles à une formation des acteurs de la chaine pénale sur la protection des enfants en ligne.

Cette formation a permis une certaine analyse de notre législation par rapport à la protection des enfants et la maitrise de la traque des délinquants en ligne, la prise en charge des victimes, mais aussi la prévention à la récidive ; tout cela nécessitant une collaboration des acteurs tels que le Ministère de la justice et le Ministère de l’intérieur, entre autres.

10. Réunion de formalisation de la campagne sms sur la prévention HTA

La structure Norvatis,en partenariat avec le Ministère de la Santé, l’Unicef, le SINEPS et Path a organisé une réunion de formalisation de la campagne sms sur la prévention Haute Tension Artérielle (HTA), à laquelle la CDP a pris part.

L’idée est de lancer une campagne de sensibilisation sur l’hypertension artérielle. Cette campagne consiste à l’envoi de SMS à une population ciblée. C’est un projet né d’une initiative internationale appelée « better health, better cities », initiative de santé urbaine pour l’hypertension artérielle, pour la ville de Dakar.

Les cibles sont la population générale, la population à risques, la population diagnostiquée non traitée, la population traitée mais non contrôlée et les professionnels de santé.

Les inscriptions pour recevoir les SMS se font par l’envoi d’un SMS sur un numéro court après une campagne de publicité. Le nom de l’application choisi est : Febaaru Tension. Il s’agira de l’envoi de deux (2) SMS par semaine.

Après observations de la CDP, un formulaire de demande d’autorisation sera déposé pour le projet.

11. 2eme Consultation pour l’élaboration de la stratégie export pour le secteur des Technologies de l’Information et de l’externalisation des processus métiers au Sénégal- IT/BPO

La CDP a participé à la deuxième consultation pour l’élaboration d’une stratégie d’export de processus métiers – IT/BPO. Après la validation du diagnostic et des orientations techniques lors de la première consultation en juillet, l’objet de l’atelier était de finaliser et valider la stratégie. Ce programme est issu du Netherlands Trust Funds, qui est un programme financé par les Pays-Bas à travers le CBI et exécuté par le Centre du Commerce International de Genève (ITC), en collaboration avec l’ASEPEX et OPTIC. Ainsi, pendant quatre ans, plusieurs PME sénégalaises seront soutenues et accompagnées, pour vendre leurs expertises à l’étranger.

Pendant deux jours, les chefs d’entreprises et les experts consultants ont réfléchi sur les orientations stratégiques et le plan d’action qui feront du Sénégal, un hub incontournable en Afrique, dans le domaine des services numériques.

Parmi les recommandations formulées par les participants, l’une d’elle met en exergue le renforcement du positionnement du Sénégal comme pôle régional dans le secteur : aligner l’offre des entreprises sénégalaises aux opportunités de marché, utiliser les réseaux existant pour promouvoir les produits et services IT-BPO, augmenter les capacités des entreprises à s’aligner sur le marché avec les normes réglementaires imposées par les pays importateurs, notamment le Règlement Général sur la Protection des Données personnelles.

12. Formation sur la protection des données personnelles pour les centres de prise en charge des usagers de drogue.

La  CDP, dans le cadre de sa mission d’information et de sensibilisation sur la Loi portant protection des données personnelles, a participé à une formation à l’intention des professionnels des centres de prise en charge des usagers de drogue.

Le cadre juridique de conformité à la loi sur la protection des données personnelles a été exposé par la CDP.

Par ailleurs, la CDP a animé une séance de formation portant sur le remplissage des formulaires.

52- AU PLAN INTERNATIONAL 

1. Atelier de validation de la mise à jour des travaux de l’étude diagnostic sur le visa unique de l’UEMOA

Du 08 au 11 octobre 2018 s’est tenu, à la Commission de l’UEMOA (Ouagadougou, Burkina Faso), l’Atelier de validation de la mise à jour des travaux de l’étude diagnostic sur le visa unique de l’UEMOA.

Ont pris part à cette rencontre, les experts des États membres des Ministères en charge de la Sécurité, des Affaires étrangères, des Finances, du Tourisme, des structures de protection des données à caractère personnel et des cadres de la Commission de l’UEMOA, ainsi que les consultants du Cabinet CIVIPOL Conseil.

2. Conférence internationale des Commissaires à la protection de la vie privée et des données personnelles (ICDPPC)

Du 22 au 26 octobre 2018 s’est tenue, à Bruxelles (Belgique), la 40^ème Conférence internationale des Commissaires à la protection de la vie privée et des données personnelles.

L’ordre du jour a porté sur l’adoption de divers textes relatifs à la protection des données à caractère personnel, et sur le renouvellement des instances de l’Association. Une session publique sur le thème de l’éthique dans l’univers du numérique s’est tenue le dernier jour.

3. Participation de la CDP au Sommet Africain sur la Protection des Données Personnelles (Ile Maurice Du 19 au 23 Novembre 2018)

La 1^ère édition du Sommet africain sur la protection des données a été organisée par l’ONG (African Digital Rights Hub -ADRH), pour amener les autorités de protection des données personnelles, les sociétés de technologie, les politiques, les décideurs, les entrepreneurs, les milieux d’affaires et les individus, à discuter et proposer des solutions aux questions émergentes relatives à la protection des données et à la vie privée.

L’objectif de ce sommet était de renforcer les capacités des acteurs, faciliter la collaboration, et explorer en profondeur la question de la protection des données et de la vie privée sur le continent africain, en créant un environnement propice à la collecte et à l’utilisation des données personnelles.

4. Participation à la 37e Réunion plénière du Comité Consultatif de la Convention 108 du 20 au 22 Novembre 2018 à Strasbourg en France.

Le Comité a pris note des informations communiquées par le Secrétariat sur le nombre total de Parties à la Convention 108 (53 pays) compte-tenu des dernières adhésions, effectives au 1er octobre 2018, du Cap Vert et du Mexique, ainsi que de l’ouverture à la signature du Protocole (Convention 108 modernisée), qui avait recueilli, au 22 novembre 2018, un total de 22 signatures.

Le Comité a examiné d’autres projets tels que les lignes directrices sur l’intelligence artificielle, le mécanisme d’évaluation et de suivi prévu par la Convention 108+, le Guide sur les principes de protection des données et de la vie privée proposé par l’ICANN (Internet Corporation for Assigned Names and Numbers ; en français, Société pour l’attribution des noms de domaine et des numéros sur Internet, organisme créé en 1998 qui attribue les adresses internet dans le monde).

5. Réunion avec le Comité de la Convention sur la cybercriminalité (T-CY) sur le deuxième Protocole additionnel à la Convention de Budapest (Strasbourg, le Lundi 26 Novembre 2018).

Sur la base d’un document préparé par le T-CY, les Autorités de protection des données personnelles ont échangé, au Conseil de l’Europe à Strasbourg, sur la coopération entre Etats membres, en matière de transfert des données de l’abonné d’un opérateur de téléphonie ou d’un fournisseur de service Internet.

L’objectif de la réunion a été d’établir les exigences spécifiques en matière de protection des données à respecter, pour une coopération directe entre une autorité de justice pénale compétente d’une partie, et un opérateur ou un fournisseur de services d’une autre partie.

6. Atelier de la Commission de l’Union Africaine sur la vie privée en ligne et la protection des données personnelles en Afrique

Du 17 au 19 décembre 2018 s’est tenu, à Addis Abeba (Éthiopie), l’Atelier de la Commission de l’UA sur la vie privée en ligne et la protection des données personnelles.

L’ordre du jour a porté sur la gouvernance des Autorités de contrôle des données personnelles, ainsi que les liens entre le cadre africain de protection des données personnelles et le Règlement Général surProtection des Données personnelles.

La rencontre a permis au Réseau Africain des Autorités de protection des Données Personnelles (RAPDP) de présenter l’institution et son plan d’activités aux trente (30) pays participants. Il est ressorti des discussions deux points importants :

• Inciter tous les pays africains disposant d’une Autorité de contrôle à adhérer au RAPDP ;
• Encourager les pays membres de l’UA à ratifier la Convention de Malabo.