La Commission précise que, pour cette période, elle a traité 36 dossiers dont 28 déclarations et 08 demandes d’autorisation.
Du point de vue juridique, l’examen des dossiers a mis en exergue des manquements relatifs à la conservation pour une durée indéfinie des images et vidéos d’un système de vidéosurveillance et à l’installation de caméras dans des bureaux.
Ces manquements concernent aussi l’absence d’engagement de confidentialité signé par un sous-traitant chargé de l’installation, de la maintenance et de la conservation de données d’un système de géolocalisation et l’absence d’affiches pour informer les personnes sur la présence d’un système de vidéosurveillance.
Elle signale par ailleurs avoir reçu une plainte concernant un hacker anonyme pour le piratage d’un compte Gmail. La CDP a aussi enregistré deux autres plaintes pour des commentaires par la presse en ligne d’une décision rendue par le Tribunal de grande instance (TGI) de Dakar «portant atteinte à l’honneur du plaignant».
Au titre des signalements, elle évoque une «collecte de la CNI (carte nationale d’identité) dans le cadre d’un transfert d’argent […], sans informer préalablement les personnes concernées sur la finalité de ladite collecte» et la publication d’une vidéo sur internet sans le consentement de la personne concernée. «Suite à ces signalements, indique-t-elle, des demandes d’explication ont été envoyées aux sociétés et organe concernés.»
Dans ses missions d’accompagnement aux responsables de traitement pour les formalités déclaratives, la CDP déclare avoir relevé la méconnaissance par certains responsables de traitement ayant recours à un hébergeur, du lieu exact de stockage des données traitées et l’inexistence pour certains traitements, de clause de confidentialité ou contrat d’hébergement entre structures intervenantes.
Elle évoque aussi le manque de maitrise des garanties de sécurité appliquées par le destinataire des données transférées à l’étranger, l’inexistence d’une charte informatique ou d’une politique formalisée d’administration, d’accès ou d’exploitation des données…
Au regard des constats à l’examen des dossiers instruits, la CDP formule un certain nombre de recommandations. Elle exhorte ainsi à «recourir à un professionnel, ou un prestataire pour le remplissage des points techniques des formulaires de demande d’autorisation et de déclaration normale», «indiquer, de manière claire et exhaustive, dans les conditions générales de souscription, les pays où se situent les centres de données du prestataire Cloud computing».
Elle appelle aussi à «sensibiliser et informer tous les acteurs intervenants dans le traitement sur les mesures de sécurité mise en place».
La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des Sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.
Du point de vue juridique, l’examen des dossiers a mis en exergue des manquements relatifs à la conservation pour une durée indéfinie des images et vidéos d’un système de vidéosurveillance et à l’installation de caméras dans des bureaux.
Ces manquements concernent aussi l’absence d’engagement de confidentialité signé par un sous-traitant chargé de l’installation, de la maintenance et de la conservation de données d’un système de géolocalisation et l’absence d’affiches pour informer les personnes sur la présence d’un système de vidéosurveillance.
Elle signale par ailleurs avoir reçu une plainte concernant un hacker anonyme pour le piratage d’un compte Gmail. La CDP a aussi enregistré deux autres plaintes pour des commentaires par la presse en ligne d’une décision rendue par le Tribunal de grande instance (TGI) de Dakar «portant atteinte à l’honneur du plaignant».
Au titre des signalements, elle évoque une «collecte de la CNI (carte nationale d’identité) dans le cadre d’un transfert d’argent […], sans informer préalablement les personnes concernées sur la finalité de ladite collecte» et la publication d’une vidéo sur internet sans le consentement de la personne concernée. «Suite à ces signalements, indique-t-elle, des demandes d’explication ont été envoyées aux sociétés et organe concernés.»
Dans ses missions d’accompagnement aux responsables de traitement pour les formalités déclaratives, la CDP déclare avoir relevé la méconnaissance par certains responsables de traitement ayant recours à un hébergeur, du lieu exact de stockage des données traitées et l’inexistence pour certains traitements, de clause de confidentialité ou contrat d’hébergement entre structures intervenantes.
Elle évoque aussi le manque de maitrise des garanties de sécurité appliquées par le destinataire des données transférées à l’étranger, l’inexistence d’une charte informatique ou d’une politique formalisée d’administration, d’accès ou d’exploitation des données…
Au regard des constats à l’examen des dossiers instruits, la CDP formule un certain nombre de recommandations. Elle exhorte ainsi à «recourir à un professionnel, ou un prestataire pour le remplissage des points techniques des formulaires de demande d’autorisation et de déclaration normale», «indiquer, de manière claire et exhaustive, dans les conditions générales de souscription, les pays où se situent les centres de données du prestataire Cloud computing».
Elle appelle aussi à «sensibiliser et informer tous les acteurs intervenants dans le traitement sur les mesures de sécurité mise en place».
La Commission de protection des données personnelles (CDP), autorité administrative indépendante, instituée par la loi n° 2008-12 du 25 janvier 2008, est chargée de vérifier la légalité de la collecte et du traitement des données personnelles des Sénégalais et de s'assurer que toutes les précautions sont prises pour qu’elles soient sécurisées.