Installation de système de vidéosurveillance dans des entreprises, chantage et extorsion de fonds : les points saillants de l’avi Trimestriel N° 01-2021 de la CDP

La commission de protection des données personnelles du Senegal (cdp) a publié son avis Trimestriel N 1-2021. Plusieurs plaintes ont été adressées à la structure dirigée par Awa Ndiaye. Surtout relative à l’installation jugée illégale d’un système de vidéosurveillance dans des entreprises à Dakar. Des dénonciations pour chantage et extorsion de fonds ont été aussi notées. Dans cet avis des signalements et demandes d’avis transmis à la CDP ont été aussi enregistrés.


Installation de système de vidéosurveillance dans des entreprises, chantage et extorsion de fonds : les points saillants de l’avi Trimestriel N° 01-2021 de la CDP
La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Dans cette perspective, au cours de ce premier trimestre de l’année 2021, et conformément à son programme annuel d’activités, la CDP a adressé une lettre d’appel à la déclaration à un responsable de traitement du secteur privé, examiné plusieurs dossiers de demande d’autorisation, recueilli des plaintes et rendu visite à des acteurs clés dans le cadre de la protection des informations nominatives au Sénégal.
Ainsi, après délibération des Commissaires de la Session plénière, la CDP publie le présent avis trimestriel qui décrit la situation actuelle de la protection des données personnelles au Sénégal.
  •  COMPTE RENDU DES ACTIVITES DECLARATIVES
 
Au cours de ce premier trimestre 2021, la CDP a accueilli 05 structures et 01 particulier, venus s’imprégner de la législation sur les données à caractère personnel. 
 La Commission a traité 45 dossiers, dont 33 déclarations et 12 demandes d’autorisation.
A l’issue de la session plénière tenue le 04 février 2021 en vidéoconférence trente-deux (32) récépissés de déclaration et douze (12) autorisations ont été délivrés. Par ailleurs, la Commission a décidé de sursoir à l’examen d’un (01) dossier.
La Commission a, en outre, émis un appel à la déclaration, reçu des plaintes, signalements et demandes d’avis :
- Nombre d’appels à déclaration : 01
- Plaintes et signalements reçus : 12
- Demande d’avis : 06
 
1-1- Demandes d’avis reçus par la CDP  
 
QUESTIONS REPONSES
Laboratoire d’analyse médicale Quel est le contenu du dossier à fournir pour une déclaration de données à caractère personnel ?  Si les données personnelles traitées concernent des données sensibles (exemple : données de santé, données biométriques), vous devez faire une demande d’autorisation en renseignant le formulaire de demande d’autorisation.
En outre, vous devez effectuer une demande d’autorisation lorsque les données sont transférées à l’étranger ou interconnectées avec d’autres données.
Cependant, si le traitement ne concerne pas de données sensibles, et qu’il n’existe pas de transfert ni d’interconnexion de données, vous devez effectuer une déclaration. Pour ce faire, vous devrez remplir le formulaire de déclaration normale.
 
Pour la vidéosurveillance, le formulaire de déclaration de système de vidéosurveillance doit être renseigné et déposé, avec le plan d’installation des caméras.
Tous les formulaires sont disponibles sur le lien suivant : https://www.cdp.sn/liste-des-formulaires
Monsieur DIEME Pourquoi la CDP est-elle sous tutelle du ministère de l’intérieur ? La CDP est une Autorité Administrative Indépendante. Elle est rattachée par le Décret de répartition des Services de l’État au Secrétariat Général de la Présidence de la République.
Pour plus d’informations sur le statut et la composition de la CDP, vous pouvez lire la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, téléchargeable sur www.cdp.sn.
Société de prestations informatiques Quelles sont les procédures à suivre pour déclarer les installations de système de vidéosurveillance  
Concernant l'installation d'un système de vidéosurveillance, vous devez remplir le formulaire de "déclaration de système de vidéosurveillance" téléchargeable sur le site de la CDP www.cdp.sn
- S’il existe un sous-traitant pour l’installation, ce dernier doit déclarer son activité, afin d’être conforme avec la CDP.
- Si le sous-traitant assure la maintenance du système, un engagement de confidentialité doit être signé et joint au formulaire.
- Le formulaire renseigné doit être déposé avec le plan général d'installation des caméras.
 
Monsieur  DIOUF Quels sont les papiers à fournir en plus du formulaire d’autorisation de traitement des données ? Si votre traitement est bien soumis au régime de la demande d'autorisation, il suffit de déposer à la CDP le formulaire de demande d’autorisation rempli et signé. 
Lors de l’instruction de la demande d’autorisation, les services de la CDP peuvent demander, au besoin, des compléments d’informations.
Monsieur A. S Un de mes cousins a transmis, par mégarde, ses images à une personne qui lui demande de l’argent, sous peine de les envoyer à ses proches. Je voudrais demander conseils. Votre cousin peut informer la CDP en cas de diffusion des images sur Internet ou sur les réseaux sociaux. La CDP pourra l’accompagner dans ses démarches de demande de retrait et de suppression. 
Par ailleurs, la CDP recommande à votre cousin :
  • de ne pas céder aux chantages (aucune somme d’argent ne doit être envoyée) et
  • de porter plainte auprès de la Division Spéciale de la Cybersécurité (DSC) de la Police. La plainte doit être accompagnée des éléments de preuves (captures d’écran des images, des échanges de mails ou de messages sur les réseaux sociaux).
 
Monsieur A. K Une personne de nationalité béninoise a eu une vidéo de moi, et elle a créé un groupe Facebook à mon nom, et avec mes amis. Elle me menace de publier la vidéo si je ne lui envoie pas d’argent. Je voudrais savoir comment arrêter cette personne ? En cas de diffusion de la vidéo sur Facebook et sur d’autres réseaux sociaux, la CDP vous accompagnera dans vos démarches de retrait et de suppression de ladite vidéo.
Par ailleurs, la CDP vous recommande, dans l’immédiat :
  • de ne pas céder aux chantages (aucune somme d’argent ne doit être envoyée) et
  • de porter plainte auprès de la Division Spéciale de la Cybersécurité (DSC) de la Police. La plainte doit être accompagnée des éléments de preuves (captures d’écran des images, des échanges de mails ou de messages sur les réseaux sociaux).
 
1-2- Les structures appelées à la déclaration de leurs fichiers et bases de données :
 
Responsables de traitement/ Sous-traitants Traitements
  1. SENEGAL AUCHAN STORE (SENAS)
Système de contrôle d’accès par badge
 
 
- Décisions rendues par la Session Plénière :
 
  1-3  Autorisations accordées :  
Finalités des traitements
 
Nombre Structures
Base de données clients 01 AXA SENEGAL
Collecte et traitement des données sensibles 01 AXA SENEGAL
 
Fichier du personnel  01
 
AXA SENEGAL
Projet Alpha (cession d’un portefeuille de créances en souffrance) 
 
01 société générale Sénégal (SGS)
 
Transfert et traitement automatise d’activités de back-office de la Société Générale Sénégal vers la Société Générale Madagascar dans le cadre du load balancing et de PCA  01 société générale Sénégal (SGS)
Plateforme de gestion des demandes de la carte nationale de la presse et accréditations aux journalistes et techniciens des médias www.cartepresse.sn / www.cartepresse.com
 
01 COMMISSION DE LA CARTE NATIONALE DE LA PRESSE
Enregistrements d’appels (entrants et sortants) entre les clients et le service support de Wave Sénégal 01
 
WAVE SENEGAL SA
Gestion et traitement des requêtes clients à partir de la Citi Malaisie 01 CITIBANK SENEGAL SA
Pointage biométrique
 
01 BERNABE SENEGAL
Exploitation du jeu PMU Online sur application mobile 01 LOTERIE NATIONALE SENEGALAISE (LONASE)
 
Exploitation du jeu PMU Online sur le site internet www.pmuonline.sn 01 LOTERIE NATIONALE SENEGALAISE (LONASE)
Gestion de la relation clients/prospects sur internet www.niousport.sn 01 DECATHLON SENEGAL SARL
 
 1-4-  Récépissés délivrés : 
 
Finalités
 
Nombre Structures
 
 
 
Vidéosurveillance dans les établissements accueillant du public pour assurer la sécurité des biens et des personnes
 
 
 
 
06
  • AUCHAN SENEGAL STORE (SENAS) - TIVAOUNE
  • AUCHAN SENEGAL STORE (SENAS) – BOURGUIBA          
  • SOSETER
  • PHARMACIE FATIM ZARA
  • WEST AFRICA PHARMA
  • TAMOU FISHING SARL
Vidéosurveillance chez des particuliers
 
02
  • MAME PATHE GAYE
  • MOUSSA DIOP
Base de données des clients 09
  • SENEGALAISE DE PROTECTION ELECTRONIQUE (SPE)
  • SECUDESIGN
  • PRODIS SERVICES
  • SMS TECHNOLOGIE
  • COMTEL INGENIERIE
  • AZUR PROTECTION
  • ACCEL TECHNOLOGIES
  • DANEWELL SOLUTIONS SARL
  • PYRAMIDE GROUP
Transfert et traitement automatise d’activités de Back-Office de la Société Générale Benin et Togo vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de Back-Office de la Société Générale Madagascar vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société Générale Burkina Faso vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société Générale Tchad vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la société générale Côte d’Ivoire vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société Générale Guinée vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société Générale Mauritanie vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société générale Cameroun vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Transfert et traitement automatise d’activités de back-office de la Société Générale Congo vers la Société Générale Sénégal 01
  • SOCIETE GENERALE SENEGAL (SGS)
Base de données des Commissionnaires 01
  • LOTERIE NATIONALE SENEGALAISE (LONASE)
Registre des entrées et sorties 01
  • LA BANQUE OUTARDE
Système de contrôle d’accès et de pointage par badge 02
  • LA BANQUE OUTARDE
  • ECOBANK SENEGAL
Gestion du personnel 01
  • ACCEL TECHNOLOGIES
Gestion des fournisseurs et prestataires 01
  • ACCEL TECHNOLOGIES
 
  • PLAINTES ET SIGNALEMENTS 
 
-2-1 PLAINTES
         PLAIGNANT   MIS EN CAUSE MOTIFS OBSERVATIONS
1 B.T, A.G et I.D Page YouTube « oreille du monde » Diffusion sur une page YouTube d’enregistrements de paroles d’un guide religieux sans son consentement La CDP a reçu une plainte des MM. B.T, A.G et I.D, pour diffusion sur la page YouTube « Oreille du monde », d’enregistrements de paroles de leur guide religieux, sans son consentement.
Les plaignants ont, au préalable, exercé leur droit de suppression auprès de l’administrateur de la page, sans suite favorable.
 A la suite de cette plainte, la CDP a requis des explications de l’administrateur de la page.  Ainsi, en application des articles 4-6, 33 et 35 de la loi n°2008-12 du 25 janvier 2008, les enregistrements ont été supprimés de la page.
 2 A.W K. B. Inscription du numéro de téléphone de la plaignante par erreur sur un site académique Madame A.W a adressé une plainte à la CDP, relative à l’inscription de son numéro de téléphone sur la fiche personnelle du Professeur K.N, publiée sur le site internet de l’École Doctorale Santé-Environnement et Vie de l’UCAD.
Après vérification, la CDP a constaté que ce numéro de téléphone a été inscrit par erreur sur ladite fiche personnelle.
La CDP a demandé la suppression du numéro de la plaignante, et une mise à jour de la fiche personnelle sur le site internet.
Ainsi, les mesures correctives ont été appliquées.  
3 Délégués du personnel Groupe Fauzie LAYOUSSE Installation illégale des systèmes de vidéosurveillance et de biométrie en milieu professionnel La CDP a reçu une plainte du Collège des Délégués du personnel du Groupe Fauzie LAYOUSSE, relative à l’installation de systèmes de vidéosurveillance et de pointage biométrique, au sein de l’entreprise.
Les plaignants soutiennent que les systèmes de vidéosurveillance et de pointage biométrique installés ne respecteraient pas les droits des travailleurs.
Ainsi, en application des articles 18, 20, 35, 58 et suivants de la loi n°2008-12 du 25 janvier 2008, la CDP a transmis au responsable du traitement une demande d’explication, relative à l’installation et l’exploitation de ces deux systèmes, sans effectuer les formalités préalables, et en méconnaissance des droits des personnes concernées.
Le dossier est en cours d’instruction, afin de faire cesser les éventuels manquements signalés.
4 Syndicat des travailleurs Centrale Electrique de Kounoune (MESA) Installation illégale des systèmes de vidéosurveillance et de biométrie en milieu professionnel Le Syndicat des Travailleurs de la Centrale Electrique de Kounoune (MESA) a adressé une plainte à la CDP, relative à l’installation d’un système de vidéosurveillance, au sein des locaux de l’entreprise. Il ressort de la plainte que le système de vidéosurveillance installé ne respecterait pas les droits des travailleurs.
Ainsi, sur le fondement de la Délibération n°2016-00238/CDP du 11 novembre 2016 portant sur les règles d’installation et d’exploitation d’un système de vidéosurveillance dans les lieux de travail et des articles 18, 35, 58 et suivants de la loi n°2008-12 du 25 janvier 2008, la CDP a transmis une demande d’explication au responsable du traitement.
Le dossier est en cours d’instruction, afin de faire cesser les éventuels manquements signalés.
5 S.S Contre X Chantages et extorsion de fonds sur Internet et les réseaux sociaux M. S. S a porté plainte à la CDP pour chantage et extorsion de fonds sur Internet et sur les réseaux sociaux.
Dans la plainte reçue, le plaignant se dit victime de chantage émanant d’une personne qui a obtenu, de manière illégale sur Skype, une vidéo compromettante le concernant.  
Le mis en cause a demandé, à plusieurs reprises, au plaignant, le versement de sommes d’argent, sous peine de publier ladite vidéo sur les réseaux sociaux.
En application des articles 363 bis et 372 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a transmis la plainte à la Division Spéciale de la Cybersécurité de la Police, pour enquête et recherche de l’auteur de ces infractions.
Par ailleurs, la CDP a recommandé à la victime de ne plus céder aux chantages, de rompre tout contact avec le mis en cause, et d’envoyer les liens de la vidéo, aux fins d’accompagnement à la suppression, en cas de divulgation sur les réseaux sociaux.
6 C.S Senenews.com Atteinte à la vie privée liée à une interview diffusée sur senenews.com Maître C.S, mandaté par Madame H. E, a porté plainte auprès de la CDP contre le site d’information Senenews.com.
Il ressort des informations transmises à la CDP que l’interview-vidéo, publiée par Senenews, porte atteinte à la vie privée de la plaignante, en raison des paroles prononcées par son ex-mari Monsieur L.
En vertu des dispositions des articles 45 et 46 de la loi n°2008-12 du 25 janvier 2008, la CDP a rappelé à Senenews que la diffusion d’informations à des fins journalistiques doit respecter les dispositions juridiques qui protègent la vie privée et la réputation des personnes physiques.
Ainsi, la CDP a requis du site d’information des explications sur la diffusion de cette interview, qui fait état d’informations sur la vie privée d’une personne physique. Le dossier est en cours d’instruction.
7 D. D ATPS Accès non autorisé au répertoire de contacts du plaignant Monsieur D.D a adressé une plainte à la CDP contre ATPS, relative à l’accès non autorisé à son répertoire de contacts, lors de la souscription à la solution UPAY au sein de son entreprise, pour les besoins de paiement de primes.
En application des articles 35, 68, 69 et 70 de la loi n°2008-12 du 25 janvier 2008, la CDP a requis des explications de ATPS sur la justification de l’accès obligatoire au répertoire de contacts d’un utilisateur, pour l’offre de services liée à l’application UPAY.
 
2-2 SIGNALEMENTS
MIS EN CAUSE MOTIFS OBSERVATIONS
Way2call Collecte de la donnée sensible relative à la religion pour le besoin recrutement Un signalement adressé à la CDP, précise que le centre d’appel Way2Call collecte, à partir de son site Internet, une donnée sensible, à savoir la religion, pour des besoins de recrutement. En cliquant sur "nous rejoindre" le lien renvoie à une page Google form « Fiche d’enregistrement candidat », dans laquelle il est demandé au candidat à l’embauche de renseigner sa religion, à la rubrique 10.
Sur le fondement des articles 40 et 41 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, la CDP a rappelé à Way2 call qu’il est interdit de procéder à la collecte, et au traitement de données personnelles, relatives aux convictions religieuses.
Ainsi, la CDP a demandé des explications à Way2 call sur la collecte de cette catégorie de données et sur le non-respect de la formalité de déclaration des données recueillies sur le site Internet du responsable du traitement.  
Contre X Usurpation d’identité sur Facebook Mademoiselle M. ND a appelé la CDP pour signaler l’usurpation d’identité dont elle a été victime sur Facebook.
En application de l’article 431-57 de la loi n°2016-29 du 08 novembre 2016 modifiant le Code pénal, la CDP a recommandé à la victime de porter plainte auprès de la DSC de la police aux fins d’enquête et de recherche de l’auteur de l’infraction.
M.D Demande de suppression d’un compte Facebook suite à une tentative d’extorsion de fonds Le sieur D, victime d’une tentative d’extorsion de fonds sur Facebook, s’est rapproché de la CDP pour solliciter un accompagnement à la clôture de son compte Facebook.
Pour la suppression définitive de son compte, la CDP a recommandé au plaignant de suivre la procédure suivante :
  • d’abord, Aller dans Paramètres puis cliquez sur « Vos informations Facebook » ;
  • ensuite, Cliquer sur « Supprimer votre compte et vos informations » et
  • enfin, Cliquez sur « Supprimer mon compte » et confirmez avec son mot de passe.
Suite à l’accomplissement de cette procédure, Facebook a notifié à l’auteur de la demande que la suppression totale et définitive de son compte prendra effet à l’issue d’un délai de 30 jours.
Page Facebook T Diffusion d’images à caractère pédopornographique La CDP a reçu un signalement relatif à la diffusion d’images à caractère pédopornographique dans le groupe Facebook T. En effet, l’auteur du signalement précise « qu’il s’agit d'une photo d'une fille, subissant des attouchements, qui a été partagée sur la page. Dans les commentaires, certains membres de ce Groupe affirment détenir la vidéo en question tandis que d’autres sollicitent le partage de ladite vidéo ».
Suite à cette dénonciation, la CDP a :
  • informé le Procureur de la République et la Division Spéciale de la Cybersécurité, en vertu de l’article 16-2 c de la loi n°2008-12 du 25 janvier 2008 et des articles  431-34 et suivants de la loi n°2016-29 du 08 novembre 2016 modifiant le Code Pénal;
  • transmis une demande d’explication à l’Administratrice de la page Facebook.
Le dossier est en cours d’instruction. 
Contre X Menaces de divulgation d’une vidéo compromettante Le sieur K, utilisateur de Facebook, inquiet, a informé la CDP de sa plainte introduite auprès de la DSC de la police, et des menaces de divulgation d’une vidéo compromettante le concernant, à la date du 14 février 2021.
Ainsi, la CDP a recommandé à l’auteur du signalement :
  • de ne pas céder aux chantages en refusant catégoriquement de verser une somme d’argent ;
  • d’utiliser le lien ci-après pour signaler l’atteinte à sa vie privée relative à la diffusion d’une vidéo :  https://www.facebook.com/help/contact/143363852478561  
  • de respecter les consignes de la DSC en attendant l’aboutissement de l’enquête et l’interpellation de l’auteur de l’infraction.
 
 
 
III. ATELIERS ET RENCONTRES :
3-1. Atelier sur la revue juridique du système d’état civil sur les causes de décès
L’atelier était organisé, les 06, 07 et 08 janvier 2021, par la Direction de l’État civil du Ministère des Collectivités Territoriales. Il s’agissait de lancer la revue juridique du système de l’état civil, sur les causes de décès notamment, qui jusqu’ici n’étaient prises en compte dans la révision du cadre juridique de l’état civil.
La CDP a fait une présentation sur la « Protection de la Vie privée et des données de l’État civil », destinée à faire le lien entre la protection de la vie privée et l’état civil, et à souligner la nécessité de préserver la confidentialité des faits d’état civil. 
 
 
3-2. Webinaire Journée Internationale de la protection des données personnelles organisé par Facebook, CIPESA et Techsocial
Le 28 janvier 2021, la CDP a participé au Panel « Surveillance Covid-19 : les défis de la confidentialité », co-organisé par Facebook, CIPESA et Techsocial. Ce Panel fut l’occasion de présenter les actions de la CDP durant la pandémie Covid-19, et les défis rencontrés pour faire respecter la loi sur les données personnelles, face à l’urgence sanitaire.
Les discussions ont porté sur :
  • L’état des lieux de la protection des données personnelles au Sénégal et de la coopération avec les autres pays africains ;
  • Les défis rencontrés par la CDP dans le cadre de l’exécution de ses missions ;
  • La régulation africaine des GAFAM et l’harmonisation des législations africaines, en matière de protection des données personnelles.
 
3-3. Rencontre d’échanges avec la Mission d’Audit du Fichier électoral
La CDP a reçu dans ses locaux, le 15 mars 2021, la Mission d’Audit du Fichier électoral, soucieuse d’échanger avec l’Autorité de contrôle sur l’accès au fichier général des électeurs et sur le système de vérification des données de parrainage.
 
Sur le premier point, la CDP a rappelé que la mise à disposition intégrale du fichier électoral présente des risques sur les données personnelles des électeurs. Par ailleurs, le droit des partis politiques d’exercer un contrôle sur le Fichier électoral, tel que prévu par l’article L.48 du Code électoral, doit être accompagné par des garanties sur la confidentialité des données personnelles des électeurs.
 
Ainsi, le décret prévu à l’article L.48, qui détermine les conditions d’organisation et de fonctionnement du fichier, devrait prévoir des garanties de sécurité et de confidentialité des données.
 
 Sur le deuxième point, relatif à la vérification de l’inscription d’un parrain sur les listes électorales, la CDP rappelle qu’il est préférable que le parrain le fasse lui-même, avec l’utilisation de ses identifiants, sur une plateforme en ligne sécurisée et gérée par la Direction des Élections. 
 
 3-4. Réunion du Comité de Pilotage du projet d’adressage numérique du Ministère de l’Économie numérique et des Télécommunications
La CDP est membre du Comité de Pilotage (COPIL) du projet d’adressage numérique. Réuni le 18 mars 2021, le COPIL a installé le Comité Technique et a procédé à la validation de la feuille de route du projet.
Par ailleurs, pour l’exécution de la feuille de route, des sous-comités sont créés, notamment :
  • Le Sous-comité Adressage physique ;
  • Le Sous-comité Codes postaux ;
  • Le Sous-comité Géolocalisation, Bases de données d’adresses et plateformes numériques ;
  • Le Sous-comité Juridique ;
  • Le Sous-comité Communication.
 
IV- ACTIVITES DE LA DIRECTION DE LA TECHNOLOGIE DE L’INNOVATION ET DU CONTROLE
 
Dans le cadre de ses missions de conseil, de contrôle, d’innovation et de technologie, la Direction de la Technologie, de l’Innovation et du Contrôle a mené diverses activités :
 
4-1. Note Technique - Mise à jour de la Politique de confidentialité de WhatsApp
Suite aux récentes polémiques médiatiques concernant la mise à jour de la Politique de confidentialité de WhatsApp, la CDP s’est rapprochée de Facebook Africa, afin d’obtenir davantage d’informations relatives à cette mise à jour. Une note technique a ensuite été élaborée, qui reprend les changements majeurs de la Politique de confidentialité de WhatsApp, et fournit un aperçu des fonctionnalités de Telegram et Signal (alternatives à WhatsApp), pour permettre aux citoyens sénégalais de choisir l’outil de communication adapté à leurs besoins. 
Il faut noter que face aux nombreuses réactions et questionnements, le déploiement de la nouvelle politique de confidentialité de WhatsApp a été repoussé jusqu’au 15 mai 2021.
 
  1. Nouvelle Politique de Confidentialité WhatsApp
Les appels et les messages WhatsApp sont protégés par le chiffrement de bout en bout. WhatsApp n’a pas accès aux conversations personnelles des utilisateurs ou appels privés, pas plus que Facebook.
Pour en savoir plus : https://www.whatsapp.com/security/
 
La mise à jour de la Politique de confidentialité de WhatsApp n’aura aucun impact sur la confidentialité et la sécurité de la messagerie personnelle : les messages personnels sur WhatsApp restent protégés par le chiffrement de bout en bout. En résumé, ni WhatsApp ni Facebook ne peuvent lire vos messages ou écouter vos appels personnels.
 
A la différence des opérateurs de téléphonie mobile, WhatsApp ne conserve pas les historiques des destinataires des messages ou des appels. Développée pour offrir la possibilité de communiquer de manière privée, l’application permet d’avoir des conversations entièrement confidentielles.  
 
Le partage de localisation sur WhatsApp demeure lui aussi secret. Lorsque les utilisateurs partagent leur localisation avec quelqu’un sur WhatsApp, leur localisation est protégée par le chiffrement de bout en bout, ce qui signifie que personne ne peut voir leur localisation à part les personnes avec lesquelles elles l’ont partagée. 
 
Les groupes WhatsApp restent eux aussi privés. Le procédé d’adhésion à un groupe permet de transmettre des messages et de protéger le service des spams et des abus. Les informations restent sur WhatsApp et ne sont pas échangées avec Facebook à des fins publicitaires. Ces discussions privées sont chiffrées de bout en bout et ni WhatsApp ni Facebook ne peuvent en voir le contenu. 
 
La mise à jour n’apporte aucun changement aux pratiques de partage de données de WhatsApp avec Facebook. Dans la dernière mise à jour de la politique de confidentialité mondiale de WhatsApp en 2016, il a été indiqué aux utilisateurs que WhatsApp commencerait à partager avec Facebook certaines catégories de données - y compris les informations d'enregistrement de compte (par exemple, le numéro de téléphone), la manière dont les utilisateurs interagissent avec les autres (y compris les entreprises) et l'adresse IP de l'utilisateur, afin de garantir davantage la sécurité et l'intégrité, la lutte contre le spam et les abus, l'amélioration de l’infrastructure et des systèmes de distribution. Ce partage de données permet également de personnaliser le contenu - y compris les publicités - à travers les produits de l'entreprise Facebook. WhatsApp souligne cependant que la mise à jour récemment envisagée n’est pas concernée par cette politique de partage.

 
La mise à jour de la Politique de confidentialité de WhatsApp vise donc à fournir : 
  • des informations plus claires et plus détaillées aux utilisateurs sur la manière et les raisons pour lesquelles leurs données sont utilisées ; 
  • des informations sur la manière dont les entreprises peuvent utiliser WhatsApp pour se connecter avec leurs clients. 
 
En relation avec le deuxième objectif, la mise à jour de la politique de confidentialité de WhatsApp fournit des informations sur la façon dont les entreprises, qui utilisent l'API WhatsApp pour communiquer avec leurs clients, pourront le faire en recevant des services d'hébergement de Facebook, afin de les aider à stocker et gérer les discussions avec leurs clients. Les entreprises peuvent choisir d'utiliser ce service fourni par Facebook ou non (elles peuvent également utiliser un autre fournisseur de services) et, de même, les utilisateurs peuvent choisir de communiquer avec les entreprises via WhatsApp ou non. Pour en savoir plus, vous pouvez lire l’article suivant : https://blog.whatsapp.com/shopping-payments-and-customer-service-on-whatsapp .   
 
  1. Telegram :
Telegram est peut-être le concurrent le plus proche de WhatsApp en termes de fonctionnalités.
Comme pour WhatsApp et Signal, Telegram est un outil de messagerie multiplateforme. Il existe des clients disponibles pour iOS, Android, Windows Phone, Windows, MacOs et Linux (variantes 32 et 64 bits). Le service utilise le protocole de cryptage MTProto, mais tout n'est pas crypté de la même manière. La plupart des messages sont stockés dans les serveurs cloud de Telegram et sont chiffrés sur le serveur.
 
Si vous êtes particulièrement préoccupé par la confidentialité, il convient de noter que Telegram n'est pas complètement open source et que le service a accès aux clés de cryptage que vous utilisez.
 
Une fonctionnalité supplémentaire offerte par Telegram est « les chats secrets ». Ceux-ci sont évidemment cryptés, mais ils ont une mesure de sécurité supplémentaire intégrée. Les discussions secrètes ne peuvent être lues que sur l'appareil à partir duquel le message a été envoyé et sur l'appareil qui l'a reçu. Même en utilisant les mêmes comptes, il n'est pas possible de lire les messages sur d'autres appareils. Les fonctionnalités de sécurité supplémentaires incluent une notification, lorsqu’une capture d'écran est prise d'un message secret que vous avez envoyé, et un blocage sur la transmission de ces messages est effectué. Les discussions secrètes ne peuvent avoir lieu qu'entre deux personnes, pas à l’intérieur d’un groupe. Vous pouvez également envoyer des messages autodestructeurs, qui disparaissent automatiquement après un délai prédéfini.
 
Si vous souhaitez éviter les publicités, Telegram pourrait être un bon choix. Le service n'a pas besoin de gagner de l'argent par le biais de publicité car, comme indiqué dans une FAQ, "Pavel Durov, qui partage notre vision, a fourni à Telegram un don généreux, nous avons donc assez d'argent pour le moment".
 
 
  1. Signal :
Rendu célèbre - ou du moins un peu plus célèbre - grâce au fait qu'il s'est révélé être l'outil de messagerie sécurisée préféré d'Edward Snowden, Signal est disponible pour Windows, MacOs, Linux (distributions basées sur Debian), iOS et Android. La version de bureau de Signal n'est pas, à proprement parler, une application autonome, car pour l'utiliser, vous devez d'abord installer et configurer l'application mobile.
 
Signal a des liens avec WhatsApp. En effet, en tant que co-fondateur, Brian Acton a contribué à la création de la Signal Foundation, dans le but de promouvoir la messagerie privée.
Il existe un cryptage de bout en bout du contenu. De plus, Signal garantit aux utilisateurs que personne d'autre que l'expéditeur et le destinataire prévu ne peut voir les messages. Pour renforcer encore plus la sécurité, il est possible de choisir la durée de disponibilité des messages et des conversations. En substance, vous pouvez créer des messages autodestructeurs qui sont rendus complètement inaccessibles - par n'importe qui - après une période de votre choix. Les clés de cryptage sont stockées sur les téléphones et les ordinateurs des utilisateurs, jamais sur des serveurs. Et, pour éviter le risque potentiel (bien que très faible) d'usurpation d'identité, vous serez averti si la clé de sécurité de votre correspondant change.
 
Les discussions de groupe peuvent inclure un nombre pratiquement illimité de personnes - la limite n'a pas été spécifiée, mais la livraison des messages peut prendre plus de temps. Signal peut également être utilisé comme application SMS par défaut sur Android - bien que les messages textes ne puissent pas être cryptés.
A la grande différence de ses concurrents, Signal, en plus d’être gratuit, est un projet open source. Cela signifie que tout le code de l'application est accessible au public. Par ailleurs, l’organisation à but non lucratif souligne également qu’il n’y a pas de publicités, pas de marketing affilié, « pas de suivi effrayant ». Et de nos jours, il est difficile de demander plus, en termes de confidentialité.
 
 
 
  1. . Élaboration d’un Référentiel de Sécurité et de Contrôle
Conformément à ses missions, la CDP supervise l’application de la loi par les responsables de traitement, notamment par la vérification a priori, et a posteriori, des traitements de données à caractère personnel mis en œuvre.
 
A ce titre, la CDP est dotée d’un pouvoir de contrôle permettant à ses agents d’accéder directement à tous les éléments intervenant dans les processus de collecte et de traitement des données personnelles (les systèmes, les applications, les équipements, les locaux, les supports d'information...), afin d’en vérifier la conformité.
Ces contrôles peuvent donner lieu à des sanctions administratives, pécuniaires ou pénales.
 
A cet égard, un référentiel de sécurité et de contrôle a été développé par la Commission pour servir de guide aux entreprises du secteur privé et public. Il explique en détail le processus d’exécution des missions de contrôle de la CDP et met l’accent sur les modalités de contrôle afférent à certains types de traitements (vidéosurveillance, géolocalisation, etc…). L’objectif est de fournir aux organismes privés et publics un outil d’aide à la mise en conformité pour les traitements de données à caractère personnel, afin d’assurer le bon déroulement des missions de contrôle. Ce guide sera publié très prochainement.
 
 
 
 
  1. . Série de webinaires techniques sur la cryptographie
La CDP a pris part, dans le cadre du programme SIPAO (Système d’Information Policière pour l’Afrique de l’Ouest), en collaboration avec le Ministère de l’Intérieur, à une série de webinaires techniques, organisée par le Projet GLACY+ (Action Globale sur la Cybercriminalité Élargie) et avec le support d’INTERPOL, dont l’objectif était de promouvoir les connaissances ainsi que la compréhension sur la cryptographie.
 
L’atelier s’est tenu en 5 sessions durant le mois de février, avec les thématiques suivantes : 
  • Essentiels du hachage et cryptographie
  • Cryptographie symétrique
  • Cryptographie asymétrique
  • Confiance en Internet : certificats numériques
  • Fondamentaux des crypto-monnaies
 
  1. . Accompagnement à la mise en conformité : VFS Global Sénégal, YUX et Air Sénégal
L’accompagnement des organismes dans la mise en conformité de leurs traitements avec la loi 2008 fait partie intégrante des missions de la CDP. En plus de répondre aux diverses sollicitations, la CDP n’hésite pas à aller directement vers les responsables de traitement, afin de les former sur les outils et méthodologie de mise en conformité.
 
  • COMMUNICATION ET SENSIBILISATION
Malgré le contexte marqué par la Covid-19, pour le premier trimestre de cette année 2021, la CDP s’est investie dans des activités de vulgarisation et de promotion de la protection des données personnelles. Elle a pris part à des rencontres en ligne (webinaires) ou en présentiel, occasions de plaider pour le respect des dispositions de la loi.
 
 
 
  1. Campagne de sensibilisation à l’éducation numérique
Lancé en 2020, l’ambitieux Programme d’éducation au numérique appelé #MaVieEn Ligne, est entré dans sa phase active durant le premier trimestre 2021.
Le Programme #MaVieEnLigne, initié par la CDP en collaboration avec Facebook, le cabinet Bscorp et l’Isoc, est le plus important programme d’éducation numérique consacré aux élèves du Sénégal âgé de 13 à 18 ans. La CDP, qui s’est investie depuis 2016 dans l’éducation au numérique, a voulu fédérer les synergies, afin de toucher l’ensemble des jeunes élèves du Sénégal.
Avec l’engagement fort du Ministère de l’Éducation nationale, partenaire majeur de la CDP, le programme a commencé à dérouler ses activités depuis novembre 2020. Il a déjà enregistré la formation de vingt (20) enseignants, qui, à leur tour, assurent la restitution de la formation à deux cents (200) autres formateurs.
Avant la fin de l’année scolaire, la phase pilote du programme touchera au moins dix mille (10 000) élèves, pour un passage à grande échelle à partir d’octobre 2021.
Parallèlement à ces activités de terrain, la Commission de protection des données personnelles a débuté la sensibilisation en ligne avec la publication hebdomadaire de visuels dudit programme sur son site et ses pages des réseaux sociaux, en plus de la plateforme en ligne # Ma vie en ligne #.
 
  1. Webinaires
La CDP a pris part au webinaire sur le thème : Usages de l’Intelligence Artificielle (IA) dans la lutte contre le Covid-19 : adaptabilité locale et acceptabilité sociale pour une IA éthique et responsable. Cette rencontre a permis aux participants d’échanger sur les politiques qui soutiennent et renforcent la confiance dans l’intelligence artificielle, un des leviers jugés essentiels dans la réponse face aux épidémies.
 
Dans le cadre de sa série de conférences en ligne, Digital Africa a organisé, lors du « Safer Internet Day » le 17 février 2021, en partenariat avec Facebook, un webinaire sur le thème : « Comment protéger les enfants du danger du web ». Une occasion mise à profit par le Chef de la Division du Contentieux de la CDP pour expliquer la politique de prise en charge des cas de violation des données personnelles de cette tranche d’âge. Il est également revenu sur les différentes campagnes de sensibilisation destinées aux jeunes, sans occulter les difficultés auxquelles la Commission fait face.  
 
  1. Rencontres
- Agence De l'Informatique de l'État (ADIE)
La CDP a tenu avec les services de l’ADIE, le 18 février 2021, une rencontre en ligne destinée à échanger sur les composantes du programme « Smart Sénégal ». Le programme Smart Sénégal vise à déployer des infrastructures réseaux et de télécommunications, et à mettre en place des plateformes technologiques, afin de contribuer de manière significative à l’amélioration des conditions de vie des populations à travers une plus grande sécurité de nos villes, et un accès à l’éducation, la santé et l’information publique, dans toutes les communes du Sénégal.
Les cinq projets majeurs du programme ont fait l’objet de présentation aux membres de la CDP. Des échanges fructueux ont été engagés sur les aspects techniques et juridiques des données collectées, mais également sur les outils et procédés technologiques utilisés à cet effet. La Présidente de la CDP et le Directeur de l’ADIE ont jugé pertinent de tenir des rencontres régulières, afin de veiller à la mise en conformité dudit projet avant son déploiement effectif.
- Ministère de l’Économie numérique et des Télécommunications (MENT)
La Commission de la protection des données personnelles était l’hôte du Ministère de l’Économie Numérique et des Télécommunications, le lundi 22 mars 2021. La Présidente de la CDP, Mme Awa Ndiaye, à la tête d’une délégation, a été reçue par le Ministre M. Yankhoba Diattara, entouré de ses collaborateurs, pour une séance d’échange et de travail sur diverses problématiques communes, la mise en place d’un dispositif de régulation souple, propice à l’exploitation des opportunités offertes par le numérique. 
Les deux parties ont convenu de mettre en place un cadre de travail et de concertation à travers une rencontre mensuelle, afin d’échanger sur les problématiques essentielles.

5.4. Interpellations sur les réseaux sociaux
Les internautes ont, par le biais des pages de réseaux sociaux de la Commission, signalé et interpellé la CDP sur nombre de faits notamment la nouvelle politique de l’application WhatsApp, intervenue au début de l’année. Les interpellations ont aussi concerné l’absence de la mise en place d’un canal d’opposition à une prospection venant d’un opérateur de télécommunications, et la collecte de données personnelles par une entreprise nationale à des fins de sondage. Le secteur de la santé n’a pas été en reste, du fait de la pandémie. Les interpellations ont porté sur les mesures de sécurité et les moyens de collecte des plateformes, dans le cadre de la vaccination contre la Covid -19.
 
Un internaute a également interpellé la Commission sur la sécurité et le stockage des données collectées par le secteur bancaire, et les moyens de saisine en cas de violations dans l’usage desdites données. Comme les trimestres précédents, la Commission a reçu des signalements et de plaintes concernant des menaces de diffusion de photos et vidéos compromettantes. Face à ces cas, la CDP oriente les victimes vers la Division de la cybersécurité de la Police nationale, pour la prise en charge efficiente de ces violations dont les auteurs présumés sont parfois établis hors du territoire national.
 
5.5. Interpellations dans les médias
Sollicitée par les médias, la Commission a apporté des éclairages par rapport à la loi ou sur les atteintes portant sur les données personnelles. C’est ainsi que le Directeur des Affaires Juridiques, du Contentieux et de la Conformité a participé, le 10 février 2021, à l’émission « Les après-midis de la Tech » sur la « E-santé au Sénégal : à quand la révolution », sur la  I-Radio. Les participants ont débattu de la stratégie santé digitale au Sénégal et du rôle des différents acteurs dans la mise en place d’outils favorisant un accès sécurisé à des informations de qualité.
Par ailleurs, la CDP s’est entretenue avec le quotidien « Sud Quotidien » sur la problématique de la protection des données personnelles au Sénégal. La mise à jour de la politique de confidentialité de l’application WhatsApp a été l’occasion de revenir sur les rôles et les missions de la Commission, au cours d’un entretien avec le site Leral.net, mais aussi de discuter des impacts du RGPDP.
La Commission a été également interpellée par le site en ligne DakarActu.com sur la problématique des écoutes téléphoniques. Le Directeur des Affaires Juridiques, du Contentieux et de la Conformité a rappelé les textes juridiques en vigueur en cas de mise sur écoute, il est revenu sur le principe qui interdit « l’enregistrement d’une personne à son insu ».
Enfin, le Chef de la Division du Contentieux, à l’occasion d’une intervention dans l’émission tech « Arobas » de la Radio Futurs Médias (RFM) a rappelé les dispositions de la loi condamnant la divulgation des contenus et contenus haineux tenus sur les réseaux sociaux.
 
VI- COOPERATION INTERNATIONALE
6.1. Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) et Conseil de l’Europe : Série d’ateliers thématiques en visioconférence sur la protection des données personnelles
 
Le Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) et le Conseil de l’Europe ont poursuivi, entre janvier et mars 2021, la série d’ateliers mensuels sur la protection des données personnelles. Durant ce dernier trimestre, trois ateliers ont été organisés sur les thématiques suivantes :
  • L'utilisation de données à caractère personnel dans le cadre des campagnes politiques et d'élections ;
  • Les Données personnelles et la vie privée dans la Fintech ;
  • L’utilisation des données personnelles et Autorités chargées de l’application de la loi.
 
Au cours du premier atelier sur « l'utilisation de données à caractère personnel dans le cadre des campagnes politiques et d'élections », organisé, le 7 janvier 2021, les discussions ont porté sur les défis et considérations clés dans l'utilisation des données personnelles dans les campagnes politiques, y compris la surveillance des électeurs, en s'appuyant sur des expériences en Afrique, notamment en Afrique australe et en Afrique de l’Est.
Par ailleurs, les enjeux actuels de l’utilisation de l’Intelligence Artificielle et du Big Data dans les espaces électoraux ont été discutés.
Lors du deuxième atelier, organisé le 3 février 2021, sur le thème « les données personnelles et la vie privée dans la Fintech », les enjeux de la protection des données dans un contexte de développement des finances basé sur les technologies étaient au cœur des débats. Les Autorités africaines de protection, dont la CDP, ont été invitées à partager leur expérience de régulation des données dans le domaine de la Fintech, notamment dans le contexte de la COVID-19 fortement marqué par les paiements mobiles.
Ainsi, certaines problématiques, liées à la Fintech et à la protection des données personnelles, ont été soulevées par la CDP et les Autorités de protection, à savoir :
  • Le crédit scoring ou le traitement des informations sur la solvabilité des clients ;
  • L’identité numérique dans le domaine de la Fintech ;
  • L’encadrement des flux transfrontiers de données entre les plateformes étrangères de paiement. 
  •  
Pour le dernier atelier du trimestre, organisé le 3 mars 2021, sur le thème « L’utilisation des données personnelles et Autorités chargées de l’application de la loi », les échanges ont porté sur l’utilisation, par les services de police et de renseignement, des données personnelles, à des fins de sécurité.
Ainsi, plusieurs problématiques ont été soulevées, notamment :
  • La proportionnalité de l’utilisation des données personnelles des citoyens dans l’exécution des finalités de sécurité ;
  • L’accès aux données relatives aux communications téléphoniques, et la collaboration des opérateurs de télécommunications ;
  • La durée de conservation des données de communication interceptées dans le cadre de certaines procédures judiciaires.
Au sortir de ces discussions, les Autorités Africaines de protection ont proposé de continuer la réflexion au sein du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP), et de mettre en place un groupe de travail sur la thématique.
 
6.2 Conseil de l’Europe : Célébration de la Journée Internationale de la protection des données personnelles, le 28 janvier 2021
 
La Journée Internationale de la protection des données personnelles, célébrée chaque 28 janvier, fut, pour cette année, une journée spéciale pour toute la Communauté internationale.
 
Elle marquait en effet le 40ème anniversaire de la Convention 108 du Conseil de l’Europe, ouverte à la signature le 28 janvier 1981.
Pour célébrer cette année spéciale, le Conseil de l’Europe a organisé plusieurs manifestations scientifiques, au sein des différentes régions géographiques du monde, eu égard à l’étendue de la Convention 108, ouverte à la signature et à l’adhésion à des pays non-membres du Conseil de l’Europe.
 
A cette occasion, 40 membres de la communauté mondiale de la protection de données ont enregistré des messages vidéos de Joyeux Anniversaire, qui traduisent combien la Convention 108, est importante pour leur pays ou organisation respectif.
 
A ce titre, Madame Awa NDIAYE, Présidente de la CDP a, dans son message, rappelé avec force que : « La Convention 108+ est un cadre de coopération et d’harmonisation des principes et des outils de la régulation, accessible à tous les pays de la communauté internationale. Elle devra, ainsi, renforcer son ouverture aux différentes aires géographiques qui la compose ».
 
La vidéo compilée des messages de Joyeux anniversaire est disponible sur le lien suivant ; https://vimeo.com/505128507
 
 
 
Conclusion
 
Le premier trimestre de l’année 2021 a été marqué par les nombreuses interpellations de la CDP sur des questions d’actualité, notamment la nouvelle politique de confidentialité de Whatsapp, les cas récurrents de violation des données personnelles et de la vie privée sur les réseaux sociaux.
Ces interpellations ont entrainé une multiplication des plaintes et signalements, par rapport au trimestres passé.
 
Sur la question de la mise à jour de la politique de confidentialité de Whatsapp, la CDP, et ses homologues du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) tiendront une séance d’échanges avec Facebook, le 09 avril prochain.
Cette réunion sera l’occasion pour les Autorités africaines de partager les questionnements et inquiétudes des utilisateurs africains du service de messagerie, mais également de discuter sur des garanties de protection des données plus appropriées.
 
Par ailleurs, la CDP a renforcé, durant ce trimestre, son dialogue avec l’Administration publique. Ainsi, les projets de l’État (Smart Sénégal, état civil, Audit du fichier électoral, adressage numérique) qui ont un réel impact sur la vie privée et les données personnelles de nos concitoyens, sont suivis avec beaucoup d’attention par le régulateur des données personnelles.
 
 
 
 
 
 
 
 
Dimanche 11 Avril 2021
Dakar actu




Dans la même rubrique :