Panorama des cadres de protection des données personnelles (contours et limites) M. Abdourahmane DIOUF - Magistrat Commissaire à la CDP
SOMMAIRE Genèse de la législation sénégalaise Contours de la législation sénégalaise Limites de la législation sénégalaise Panorama des cadres de protection des données personnelles (contours et limites)
01 Genèse de la loi sénégalaise Panorama des cadres de protection des données personnelles (contours et limites)
Genèse 2014 2011 2008 2005 Premières délibérations de la CDP Circulaire PM n° 2757 du 24/06/2014 portant désignation des points focaux au sein des ministères 2011 Signature du Décret n°2011–929 du 29/06/2011 portant nomination des membres de la CDP 2008 Adoption et promulgation de la loi n° 2008-12 du 25/01/2008 sur la PDACP Signature du décret d’application n° 2008-721 du 30/06/2008 2005 Audit de l’environnement juridique : encadrement propice des TIC Séminaire « Informatique et libertés : quel cadre juridique pour le Sénégal ?» Rédaction d’un projet de loi sur les données à caractère personnel
Genèse – Autres textes 2014 Convention de l’Union Africaine sur la Cybersécurité et la Protection des données personnelles 27 juin 2014 2010 Acte additionnel A/SA.1/01/10 de la CEDEAO du 16 février 2010 relatif à la protection des données à caractère personnel
02 Contours de la législation Panorama des cadres de protection des données personnelles (contours et limites)
Quel cadre normatif ? Le champ d’application Les concepts Les principes fondamentaux Les régimes de protection Les droits et obligations
LDP : Champ d’application Sont soumis à la LDP : Toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé.
IP LDP : les définitions taille Dossier médical nom Compte bancaire vie associative ou politique Qu’est-ce qu’une donnée à caractère personnel ? situation familiale empreintes historique judiciaire orientation sexuelle ? adresse postale UDID du mobile historiques des achats historiques de navigation Immatriculation véhicule âge messageries Carte bancaire Historiques des mots clés courriel patrimoine études empreintes Images des caméras de surveillance Données de trafic (péages) communications téléphoniques poids photos Chats SMS religion sexe ADN N° SS
Responsable de traitement ? LDP : les définitions Traitement de DACP ? Responsable de traitement ? « Toute opération effectuée ou non à l’aide de procédés automatisés ou non, et appliquées à des données personnelles, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, etc. » « La personne physique ou morale, publique ou privée, tout autre organisme ou association qui prend la décision de collecter et de traiter des DACP et en détermine la finalité »
LDP : les principes fondamentaux La finalité : A quoi va servir le traitement envisagé ? La légitimité : le traitement est-il conforme au droit ? La proportionnalité : Recueillir le minimum nécessaire et non au « cas où » La durée : Au bout de quel délai doit-on détruire ou archiver ? La sécurité : Comment garantir la sécurité et la qualité du traitement envisagé ?
LDP : les régimes de protection données sensibles (données politiques, ethniques, santé, etc.) données biométriques interconnexion de fichiers transferts hors du Sénégal 1. Régime d’autorisation - Traitement « à risque » fichiers de Police (sûreté de l’Etat, défense et sécurité publique) recensement de la population 2. Régime d’avis - Traitement de l’Etat 3. Régime de déclaration - Régime de droit commun 4. Régime de dispense - Traitement personnel, copies temporaires
Statistiques sur les types de traitement
Les catégories de données déclarées
Les catégories de données autorisées
LPD : les obligations du RT et les droits de la personne objet de collecte Droits des personnes Recueillir le consentement (sauf disposition contraire) ; Définir une ou des finalité(s) explicite(s) et légitime(s) du traitement; Collecter des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles seront traitées; Veiller à la sécurité et à la confidentialité des données personnelles; Définir la durée de conservation nécessaire au regard de la ou des finalités définies; Déclarer devant la CDP tout fichier, base de données et système portant sur les DP. Droit à l’information préalable (informer sur l’identité du responsable de traitement, des destinataires éventuels des données, etc. ); Droit d’accès (donner la possibilité aux fichées d’accéder aux données les concernant); Droit d’opposition (aux prospections commerciales par exemple); Droit de rectification et de suppression
Quel cadre institutionnel ? Statut de la CDP Composition de la CDP Missions de la CDP Pouvoirs de la CDP
Statut de la CDP Indépendance : AAI / collège / l’origine des membres / durée du mandat (4 ans renouvelable 1 fois) Prestation de serment : CA et Tribunal Financement : budget de l’Etat / autonomie de gestion
La CDP, composition 11 Membres : Président de la République (3) Parlement (1) Cour Suprême (2) Patronat (1) Ordre des avocats (1) Organisations de défense des droits de l’homme (1) Agence de l’informatique de l’Etat (1) Commissaire du Gouvernement (1)
Cadre institutionnel : Missions de la CDP Informer et conseiller Promouvoir la culture de la transparence Protéger contre les abus Contrôler la conformité à la législation Sanctionner en cas de manquement
Cadre institutionnel : Pouvoirs de la CDP Mise en demeure Avertissement Interdiction / Retrait de l’autorisation accordée Amende pécuniaire 1 -> 100 millions Saisir le juge
Statistiques de la CDP Plaintes : 43 Avertissements : 3 Interdictions de traitement : 5 Mise en demeure : 2
Les limites de la législation 03
Limites : les contraintes technologiques
Contraintes technologiques: les réseaux sociaux Divulgation d’informations confidentielles Usurpation d’identité Géolocalisation Harcèlement moral Profilage
Contraintes technologiques: le cloud computing Abus de privilèges du fournisseur Perte de contrôle sur la gestion du SI Confidentialité et Intégrité des données Changement de juridiction Piratage des données
Contraintes technologiques: l’internet des objets Sécurité des données Prospection commerciale Géolocalisation Synchronisation automatique avec le cloud
Contraintes technologiques: le Big Data Impact sur la vie privée: analyse comportementale Non respect des principes de finalité, du consentement des personnes concernées Le degré d’anonymisation des données La non limitation de la quantité de données collectées
Limites : les manquements de la législation Les enregistrements clandestins (vidéo ou audio) La collecte par des particuliers des documents administratifs perdus (carte d’identité, passeport, etc.) Le droit à l’information obligatoire en cas d’atteinte à la sécurité et à l’intégrité de données personnelles (vol, piratage, intrusion, etc.) Le droit à l’oubli immédiat La portabilité des données
MERCI