Délibération n /AT/CNIL du 21 décembre 2016

Documents pareils
Le Traitement des Données Personnelles au sein d une Association

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Sur les informations traitées

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Nomination et renouvellement de MCF et PR associé à temps plein

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

LOI N portant Code des Postes

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Cadre juridique de la Protection des Données à caractère Personnel

Les données à caractère personnel

(Document adopté par la Commission le 19 janvier 2006)

DELIBERATION N DU 3 MAI 2010

NOTE ANNEXE EXEMPLES CONCRETS DE DIFFICULTES EN MATIERE DE VIDEOSURVEILLANCE

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

LIVRET SERVICE. Portail Déclaratif Etafi.fr

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

CODE PROFESSIONNEL. déontologie

Hébergement TNT OM Important

Commission nationale de l informatique et des libertés

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Loi n du 30 juin 2006 relative aux archives et aux documents administratifs 1 EXPOSE DES MOTIFS

DELIBERATION N DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DE LA

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

conforme à l original

Violation du «Transitional Rule Book» (Swiss Blue Chip Segment) de SIX Swiss Exchange et de la «Blue Chip Segment Directive 19» de SIX Swiss Exchange

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

CONTRAT DE PRISE D ORDRES

VÍCTOR PEY CASADO ET AUTRE REPUBLIQUE DU CHILI. (Affaire CIRDI ARB/98/2) Procédure de révision

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

DEMANDE DE VISA TOURISME/ (VISITE FAMILIALE/OU AMICALE)

Contrat d'abonnement A l'offre NetBox

1. Procédure. 2. Les faits

Copie Certifiée Conforme à l original

conforme à l original

Les affiches seront présentes sur les supports suivants : - Grands arrières de Bus touristiques : du 9 au 22 Juin 2015,

Les fiches déontologiques Multicanal

Les aides légales à la gestion du patrimoine et à la protection de la personne

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

FIXANT LES CONDITIONS ET MODALITES APPLICABLES AUX OFFRES PROMOTIONNELLES DES OPERATEURS DE TELEPHONIE MOBILE DE NORME GSM

Législation et droit d'un administrateur réseaux

Procédure Juridique de mise en place d une base de données biométriques

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

NRC : N KG/2985/M info@mecreco.cd, mecrecocoocec@yahoo.fr

DATE D'APPLICATION Octobre 2008

L'enjeu primordial du commerce electronique? La securite! Benoit Vanderstichelen, Ancien Directeur general de l'i.e.c., Tax Director Arthur Andersen

D E M A N D E D E C A R T E P R E P A Y E E R E C H A R G E A B L E

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

CONTRAT DE PERMANENCE TELEPHONIQUE EXTERNALISATION DE STANDARD

LA COUR DES COMPTES a rendu l arrêt suivant :

Textes de référence : articles 223-1, et du règlement général de l AMF

INSTALLATION DE LA NOUVELLE AUTORITÉ DE CONTRÔLE PRUDENTIEL

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

INFORMATIQUE : LOGICIELS TABLEUR ET GESTIONNAIRE DE BASES DE DONNEES

REGLEMENT COMPLET Jeu «Gagnez un séjour Thalasso» Du 31 mars au 24 mai 2014

LE PRESIDENT DE LA REPUBLIQUE ; CHEF DE L'ETAT ; CHEF DU GOUVERNEMENT ;

GUIDE LA PUB SI JE VEUX!

STAGE : TECHNICIEN EN INFORMATIQUE

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

PROSPECTION COMMERCIALE PAR L ING SE LEGALISE POINT SUR LA REGLEMENTATION JURIDIQUE : L OPT-IN DEVIENT LA NORME EUROPEENNE ET FRANCAISE

Vu la demande d'avis de M. Christos DOULKERIDIS, Secrétaire d Etat au Gouvernement de la Région de Bruxelles-Capitale reçue le 23/02/2012;

Procès-verbal de l Assemblée Générale Extraordinaire du 4 février 2012

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

Open data : les données libérées doivent-elles être gratuites?

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

Un contrôle citoyen avec les entreprises

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

SMARTPHONES ET VIE PRIVÉE

CONDITIONS GENERALES DE VENTE & D UTILISATION DES FORFAITS POUR LA SAISON HIVER 2014/2015

LEGISLATION FRANçAISE

Règlement d INTERPOL sur le traitement des données

CONDITIONS GENERALES DE VENTE

Syndicat de copropriétaires

DOSSIER DE CANDIDATURE MASTER Master 1 avec Option :

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

LES AMIS DE CIRCUL LIVRE Association régie par la loi du 1 er juillet 1901 Siège social : 16 rue Dagorno Paris STATUTS

RESPONSABILITÉ DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE PREMIÈRE PARTIE LE FAIT INTERNATIONALEMENT ILLICITE DE L ÉTAT CHAPITRE PREMIER

Vu la demande de la Banque Nationale de Belgique du 5 octobre 2005;

Loi n du relative à la protection des données à caractère personnel

«Marketing /site web et la protection des données à caractère personnel»

Décret n du 20 mai 2008

Transcription:

Délibération n 2016-14/AT/CNIL du 21 décembre 2016 Relative à la demande d autorisation de collecte de données personnelles d identification des abonnés de la société Etisalat Bénin S.A (MOOV) (Décision de régularisation) La Commission Nationale de l Informatique et des Libertés (CNIL), réunie en séance plénière, sous la présidence de M. Etienne Marie FIFATIN ; Etant également présents, Madame et Messieurs : - BIO TCHANE MAMADOU Ismath ; - DEGBEY Jocelyn ; - LEKOYO Imourane ; - BENON Nicolas ; - ZOUMAROU Wally Mamoudou ; - YEKPE Guy-Lambert ; - TCHOBO Valère ; - ABOU SEYDOU Amouda ; - MADODE Onésime Gérard. Vu la loi n 2009-09 du 22 mai 2009 portant protection des données à caractère personnel en République du Bénin ; Vu le décret n 2015-533 du 06 novembre 2015 portant nomination des membres de la Commission Nationale de l Informatique et des Libertés (CNIL), deuxième mandature ; 1

Vu le décret n 2016-513 du 24 août 2016 portant nomination de Madame Félicité AHOUANDOGBO née TALON en qualité de Commissaire du Gouvernement près la Commission Nationale de l Informatique et des Libertés (CNIL) ; Vu le décret n 2016-606 du 26 septembre 2016 modifiant le décret n 2015-533 du 06 novembre 2015 portant nomination de Madame Ismath BIO-TCHANE et de Monsieur Onésime Gérard MADODE, en qualité de membres de la Commission Nationale de l Informatique et des Libertés (CNIL) ; Vu le règlement intérieur de la Commission Nationale de l Informatique et des Libertés (CNIL) en date du 05 janvier 2011 ; Vu la demande d autorisation de collecte et de traitement de données à caractère personnel en date du 27 octobre 2016 du Directeur Général de la société Etisalat Bénin ; Vu le rapport du commissaire ABOU SEYDOU Amouda de la Commission Nationale de l Informatique et des Libertés ; Après en avoir délibéré en présence du Commissaire du Gouvernement, Madame Félicité TALON AHOUANDOGBO qui a fait ses observations, EMET LA DECISION SUIVANTE : I- Objet de la demande d autorisation et le responsable du traitement 1-1 Objet Etisalat Bénin S.A, opérateur de téléphonie mobile évoluant dans le domaine des communications électroniques, a saisi la Commission Nationale de l Informatique et des Libertés d une lettre en date du 27 octobre 2016 par laquelle il sollicite la collecte de données y compris biométriques de ses abonnés aux fins de leur identification. 1-2 Responsable du traitement Est considérée comme responsable de traitement, toute personne qui, «seule ou conjointement avec d autres, détermine les finalités et les moyens de traitement de données à caractère personnel». En l espèce, le Directeur Général de la société Etisalat Bénin SA (MOOV Bénin) est le responsable du traitement. 2

II- Examen de la demande d autorisation 2-1 Recevabilité Au regard des dispositions de l article 43 de la loi n 2009-09 du 22 mai 2009 portant protection des données à caractère personnel en République du Bénin, la demande est recevable. 2-2 Finalité du traitement Aux termes des dispositions de l article 5 de la loi informatique et libertés, «un traitement de données à caractère personnel ne peut porter que sur des données remplissant les conditions ci-après : a- être collectées et traitées de manière loyale et licite ; b- être collectées pour des finalités bien déterminées, explicites, légitimes et non frauduleuses ; c- ne pas être traitées ultérieurement de manière incompatible avec les finalités ainsi déterminées». Il ressort du dossier que le traitement vise d une part, l identification des abonnés aux services des communications électroniques au Bénin et d autre part, l association d une ligne téléphonique en service ou ayant été utilisée à un abonné identifié selon les exigences réglementaires. La Commission estime, dès lors, que la finalité existe, qu elle est légitime, explicite et non frauduleuse. 2-3 Droits des personnes concernées Droit à l information préalable et droit d accès Aux termes des dispositions de l article 12 de la loi portant protection des données personnelles, «la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant doit être informée par le responsable du traitement ou son représentant : a- de l identité du responsable de traitement ou de celle de son représentant ; b- de l objectif poursuivi à travers le traitement ; 3

c- du caractère obligatoire ou facultatif des informations qui sont demandées et des réponses fournies». Aux termes des dispositions de l article 13 de ladite loi, «toute personne justifiant de son identité a le droit d interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés dont la liste est accessible au public en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d en obtenir communication». Au regard du dossier, le requérant indique que le client est préalablement informé avant son identification. Par ailleurs il précise que, conformément aux dispositions de l article 118 de la loi 2014-14 du 09 juillet 2014 relative aux communications électroniques et à la poste «pour les besoins de la défense nationale, de la sécurité publique, de la lutte contre la pédophilie, le racisme et le terrorisme, les opérateurs de réseaux et les exploitants de service de communications électroniques ouvert aux publics procèdent, au moment de la souscription au service de téléphonie, à l identification des abonnés.» De même, selon les dispositions des articles 12 et 15 de la loi portant protection des données à caractère personnel le demandeur a prévu un mécanisme pour le respect du droit d accès. Il ressort du dossier que la société Etisalat Benin S.A assure le droit d accès sur demande payante des clients. La CNIL estime que l exercice du droit d accès ne saurait être soumis au paiement d une somme d argent. Droits de rectification d opposition et de suppression En ce qui concerne les droits d opposition, de rectification et de suppression, le demandeur affirme que tout abonné voulant effectuer des rectifications sur ses données préalablement communiquées à Etisalat Bénin est accueilli en agence à cet effet. De plus, le requérant précise que conformément aux dispositions de l article 89 de la loi relative aux communications électroniques et à la poste en République du Bénin, «L Autorité de régulation veille au respect des dispositions législatives et réglementaires applicables en matière de protection des données à caractère personnel et relatives à la vie privée. En particulier, les coordonnées des abonnés qui s y opposent expressément ne sont pas publiées dans les annuaires». 4

La CNIL en prend acte. 2-4 Proportionnalité Conformément aux dispositions de l article 5-d, les données collectées doivent «être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs». En l espèce, les personnes concernées par le traitement sont exclusivement les abonnés. Les données à collecter portent sur le nom, le prénom, l adresse, l âge, le sexe, la date et le lieu de naissance, l identifiant des terminaux, l identifiant d horodatage d une part, et sur la prise d empreintes digitales et de reconnaissance vocale et de photographie d autre part. En ce qui concerne la première catégorie de données, la CNIL considère qu elles sont adéquates, pertinentes et non excessives au regard des finalités du traitement. En revanche, les données relevant de la deuxième catégorie d identification soumise par l opérateur Etisalat, à savoir, la prise d empreintes digitales, la reconnaissance vocale et la photographie, sont des données biométriques qui reposent sur le principe de la reconnaissance de caractéristiques physiques. Elles offrent une preuve irréfutable de l identité d une personne puisqu elles constituent des caractéristiques biologiques uniques qui distinguent une personne d une autre et ne peuvent être associées qu à une seule personne. Au fondement de sa requête, le Directeur Général de la société Etisalat Bénin SA évoque le décret n 2016-465 du 03 août 2016 portant obligation d identification des abonnés aux réseaux et services de communications électroniques en République du Bénin qui impose, entre autres, aux opérateurs, la collecte des données biométriques de leurs clients. Les activités de la société Etisalat Bénin (MOOV) consistent pour l essentiel à offrir des prestations de service en matière de télécommunication (opérateur GSM). 5

Au regard de ces activités et notamment de leur finalité la collecte de données biométriques n est pas nécessaire à l identification des abonnés. Dès lors, la collecte de données biométriques envisagée (empreintes digitales, reconnaissance vocale et photo du visage) aux fins d identification des abonnés de la société est disproportionnée. 2-5 Durée de conservation des données collectées Au regard du dossier, le temps de conservation des données collectées prévu pour le traitement, court aussi longtemps que l abonné est actif sur le réseau. La durée de conservation est de cinq (5) années après inactivité. La CNIL estime que cette durée est raisonnable et conforme à la finalité. 2-6 Sous-traitance Au regard du dossier, la CNIL relève l inexistence de sous-traitant. 2-7 Transfert des données collectées La Société ETISALAT n a pas formé une demande de transfert des données à collecter. 2-8 Sécurité Suivant les dispositions de l article 50 de la loi portant protection des données à caractère personnel «le responsable du traitement est tenu de prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées ou que des tiers non autorisés y aient accès». Sécurité physique/logique des données et équipement des locaux Les mesures de sécurité prises lors du traitement des données sont : - la mise en place d un système d exploitation Linus redhat 7. sur des microordinateurs et terminaux, puis sur plusieurs serveurs au sein de l organisme. 6

- la mise en place d un logiciel d analyse qui met en œuvre une base de données Oracle lui permettant d effectuer des statistiques. - la mise en place d un système de haute sécurité qui consiste à ranger les serveurs dans un rack logé dans un Datacenter et dont l accès est restreint et surveillé par vidéosurveillance. Mesure de Sécurité, de sauvegarde et de confidentialité des données Le demandeur assure la sécurité de sauvegarde du système par des baies de sauvegardes avec copie sur site distant et sur bande. Il assure au travers des informations fournies et par la description de son système qu un antivirus est installé sur tous les postes prenant part au traitement pour lutter contre les intrusions et autres attaques virales. Il indique par ailleurs qu un système de détection d intrusion (IDS) est utilisé et les traitements sont confinés dans un ou plusieurs réseaux isolés des autres traitements. Les personnes affectées aux tâches de développement et de gestion sont distinctes. La maintenance des matériels par un sous-traitant se fait en présence de l informaticien de la société Etisalat et les interventions de cette maintenance sont enregistrées dans une main courante. De même, des profils d habilitation définissent les fonctions ou les types d informations accessibles à un utilisateur et le contrôle se fait par un mot de passe. L administrateur, suivant l expression des besoins du commercial, attribue les profils d accès aux personnes habilitées. La CNIL considère que ces mesures de sécurité sont adéquates pour la protection des données à caractère personnel. Par ces motifs : 1- Autorise la mise en œuvre du traitement des données portant sur : nom, prénom, adresse, âge, sexe, date et lieu de naissance, identifiant des terminaux et information d horodatage ; 2- N autorise pas la collecte des données biométriques relatives aux empreintes digitales, à la reconnaissance vocale ainsi qu à la prise et la conservation des photos des clients dans le fichier informatique ; 7

3- Enjoint à la société Etisalat d assurer aux personnes concernées leur droit d accès sans frais. Le Président Etienne Marie FIFATIN 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back