Nommé à la tête de la Commission des données personnelles en début mars par l’ancien chef d’Etat, Macky Sall, Ousmane Thiongane a publié ce vendredi son premier rapport. Il faut dire qu’au cours de ce premier trimestre 2024, la CDP a traité cent-neuf (109) dossiers, dont soixante-onze (71) déclarations, trente-trois (33) demandes d’autorisation et cinq (05) dossiers réinscrits. Au même moment, la Commission a auditionné quatre (04) responsables de traitement, décidé de surseoir à la décision de six (06) dossiers et a mis en demeure une (01) structure et avertit un (01) responsable de traitement.
La Commission de protection des données personnelles a publié ce vendredi son premier avis trimestriel de l’année 2024. La publication dudit rapport survient quelques semaines après l’arrivée d’Ousmane Thiongane à la tête de la CDP, en remplacement de Awa Ndiaye, au terme de son mandat. Juriste, ancien conseiller spécial à la présidence de la République du Sénégal en charge du numérique, sa nomination intervient avec le renouvellement de certains Commissaires de la session plénière qui est l’organe délibérant de la CDP.
Un trimestre marqué par l’augmentation des nombres d’auditions de responsables de traitement
Il faut dire que le premier trimestre de l’année 2024 est marqué par l’augmentation du nombre d’auditions de responsables de traitement par la Session plénière de la CDP. Les auditions constituent un levier de contrôle de la conformité des traitements, que la Session plénière utilisé pour prendre des décisions éclairées sur certains dossiers assez sensibles, ou projets stratégiques de l’État. C’est pourquoi, la session plénière a accordé une attention particulière aux transferts de données personnelles en dehors du Sénégal, notamment pour des traitements concernant l’Administration. C’est à ce titre que les entités publiques effectuant des transferts de données vers des pays tiers ont été auditionnées durant ce trimestre, en vue de les amener à héberger au Sénégal, les données personnelles qu’elles traitent.
Une demande d’explication envoyée à la Sonatel
Sur le volet du contentieux, le premier trimestre a été marqué par des plaintes et signalements portant sur des fuites de données personnelles, ainsi que sur la prospection à caractère politique. D’ailleurs, selon le rapport, A. S, victime d’une escroquerie, a saisi la CDP d’une plainte contre la Sonatel, pour violation de ses données personnelles. C’est ainsi qu’une demande d’explication a été envoyée à la Sonatel sur la gestion de la sécurité et de la confidentialité des données personnelles des clients, au sein des services de la Sonatel en charge du traitement des factures, et sur les exigences de sécurité fixées aux sous-traitants. Sur le fondement de l’escroquerie, la CDP a transmis la plainte au Procureur de la République pour enquête et suites à donner, conformément à l’article 16 de la loi sur les données personnelles, non sans signaler que le dossier est clôturé au sein de ses services.
Pluie de signalements contre l’Ecole supérieure polytechnique (ESP) de Dakar
S’ajoutent à cela les signalements reçus. En effet, la Cdp a reçu plusieurs signalements sur ses plateformes, relatifs à l’accès par des personnes non autorisées aux dossiers de candidats, pour les tests d’entrée à l’Ecole supérieur polytechnique (ESP) de Dakar. A cet effet, en application des articles 70 et 71 de la loi sur la protection des données personnelles, la CDP a requis des explications auprès de la Direction de l’ESP sur les causes de la fuite des dossiers des candidats ; la procédure de réception, de traitement et d’archivage des documents des candidats ; les mesures mises en œuvre pour la sécurité et la confidentialité des données personnelles traitées par l’ESP. Le dossier est en cours d’instruction.
La CDP refuse à l’Hôtel Terrou-Bi l’installation d’un dispositif biométrique de contrôle d’accès et de pointage par reconnaissance faciale
Au cours du premier trimestre 2024, la CDP renseigne aussi dans son rapport qu’elle a effectué trois (03) missions de contrôle sur site. Il s’agit de la mission de contrôle auprès de la société Sabadola Gold Opérations (SGO) (SABADOLA), sise à Kédougou, la pharmacie nouvelle Baobabs et l’hôtel Terrou-Bi. Quant à la mission effectuée à l’Hôtel Terrou-Bi, le rapport souligne que l’établissement avait saisi la CDP d’une demande de dérogation relative à son dispositif biométrique de contrôle d’accès et de pointage par reconnaissance faciale. Mais, la session plénière de la CDP avait refusé d’accorder la dérogation et avait invité l’hôtel à utiliser un dispositif alternatif, notamment les badges magnétiques. La mission de contrôle a permis de vérifier que l’hôtel Terrou-Bi n’a pas installé de dispositif de reconnaissance faciale, suite aux injonctions de la CDP. Toutefois, en conclusion, la CDP signale que des manquements ont été relevés lors de ces missions de contrôle. Ces manquements feront l’objet d’échanges et de discussions lors de la session plénière de la CDP pour avis et décisions.
La CDP appelle la Direction générale des Impôts et Domaines (DGID) à déclarer sa plateforme E-Services
Dans cette perspective, au cours de ce premier trimestre de l’année 2024, et conformément à son programme annuel d’activités, la CDP a également examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.
Ainsi, la CDP a accueilli sept (07) structures venues s’imprégner de la législation sur les données à caractère personnel. La Commission a traité cent-neuf (109) dossiers, dont soixante-onze (71) déclarations, trente-trois (33) demandes d’autorisation et cinq (05) dossiers réinscrits, et délivré soixante-onze (71) récépissés de déclaration et vingt-sept (27). Par ailleurs, la Commission a auditionné quatre (04) responsables de traitement et a décidé de surseoir à la décision de six (06) dossiers. En outre, la Commission a mis en demeure une (01) structure et avertit un (01) responsable de traitement. Toutefois, la CDP appelle la Direction générale des Impôts et Domaines (DGID) à déclarer sa plateforme E-Services ; à DIOTALI, ses fichiers contenant des données personnelles. A propos du système de contrôle d’accès et de pointage, la CDP a donné son feu vert à l’Agence de développement et d’encadrement des PME (ADEPME).
Amadou DIA (Actusen.sn)