Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 23 mai 2019, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO, tous, Commissaires Permanent ;
Vu la Constitution ;
Vu la décision n°255bis/CC du 13 décembre 2018 relative au contrôle de constitutionnalité du règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère personnel ;
Vu la Directive n°07/08-UEAC-133-CM-18 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel et ses règles de procédures relatives aux formalités préalables et à la saisine.
Aux fins d'instruction, le Président de la Commission a désigné un Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après avoir entendu le Commissaire responsable en son rapport circonstanciel, la Commission formule les observations suivantes :
-En vertu des dispositions de l'article 53 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel (CNPDCP), la Commission est habilitée à établir des normes destinées à accompagner les déclarations des traitements les plus courants et dont la mise en œuvre, dans des conditions bien que régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
-La Commission Nationale pour la Protection des Données à Caractère Personnel constate le développement des dispositifs dits de géolocalisation permettant aux organismes privés ou publics de prendre connaissance de la position géographique, à un instant donné ou en continu, des véhicules de service géolocalisé.
-En effet, la géolocalisation est un système permettant de déterminer, en temps réel, la position géographique d'un véhicule géolocalisé ; autrement dit, c'est un système qui permet de déterminer la vitesse, la date, l'heure de circulation, le trajet effectué et partant, la surveillance des déplacements dans le temps et dans l'espace des véhicules géolocalisés.
-Le renseignement fourni par le système de géolocalisation peut provenir directement d'un logiciel installé au sein de l'organisme privé ou public accessible par l’intermédiaire du site web d'un prestataire de service.
-Ce traitement, en ce qu'il permet de collecter les données à caractère personnel par l'identification indirect de l'usager du véhicule géolocalisé et susceptible de porter atteinte à la vie privée de par le suivi des mouvements du véhicule géolocalisé, est soumis aux formalités préalables à la mise en œuvre des traitements des données à caractère personnel au sens de l'article 51 de la loi susvisée.
-La commission estime nécessaire d'adopter une norme destinée à accompagner la déclaration des traitements visant à géolocaliser le véhicule utilisé par les personnels ou tous autres usagers.
Par ces motifs, elle délibère et décide ce qui suit :
Article 1er : La présente norme, prise en application des dispositions de l'article 53 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, précise les conditions d'installation et d'exploitation du système de géolocalisation dans les véhicules utilisés par les personnels d'organismes publics, privés ou aux usagers.
Article 2 : De la procédure
-Déclarer le traitement envisagé auprès de la CNPDCP avant la mise en œuvre.
Un formulaire de déclaration de la CNPDCP dûment rempli est accompagné d'un dossier technique détaillant l'installation du dispositif et ses caractéristiques (type d'appareil, durée d'enregistrement). La déclaration donne lieu à la délivrance d'un récépissé qui porte sur la mise en œuvre du traitement.
-Demander une autorisation auprès de la CNPDCP dans certains cas :
-soit en raison des données enregistrées (données sensibles) ;
-soit parce qu'ils poursuivent des finalités spécifiques (ex : dans le cas de la recherche médicale) ;
-soit parce qu'ils comportent des transferts de données hors du Gabon.
-Se soumettre aux contrôles et vérifications in situ de la CNPDCP et répondre à toute demande de renseignement qu'elle formule dans le cadre de ses missions.
Article 3 : Des finalités du traitement
Au sens de la loi n°001/2011 susvisée, les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites, légitimes non inhumaines et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Les finalités définies par la présente norme s'appliquent aux traitements concernant la mise en œuvre du système de géolocalisation.
Les finalités visées sont les suivantes :
-le respect d'une obligation légale ou réglementaire imposant la mise en œuvre d'un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
-le suivi et la facturation d'une prestation de transport de personnes ou de marchandises ou d'une prestation de services directement liée à l'utilisation du véhicule, ainsi que la justification d'une prestation auprès d'un client d'un donneur d'ordre ;
-la sûreté ou la sécurité de l'employé lui-même, des marchandises ou du véhicule dont il a la charge, en particulier la lutte contre le vol du véhicule ;
-La meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d'urgence ;
-le contrôle du respect des règles d'utilisation du véhicule définies par le responsable du traitement, sous réserve de ne pas collecter une donnée de localisation en dehors du temps de travail du conducteur ;
-le traitement peut avoir pour finalité accessoire le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par un autre moyen. Le cas échéant, interdiction est faite, de collecter ou de traiter des données de géolocalisation en dehors du temps de travail des employés concernés.
Article 4 : Des catégories des données collectées
La Commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable du traitement. Ce dernier doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Pour atteindre les finalités mentionnées à l'article 3 de la présente norme, le responsable du traitement peut collecter et traiter :
-l'identification de l'employé : nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d'immatriculation du véhicule ;
-les données relatives aux déplacements des employés : données de localisation issues de l'utilisation d'un dispositif de géolocalisation, historique des déplacements effectués ;
-les données complémentaires associées à l'utilisation du véhicule : vitesse de circulation du véhicule, nombre de kilomètres parcourus, durée d'utilisation du véhicule, temps de conduite, nombre d'arrêts ;
-La date et l'heure d'une activation et d'une désactivation du dispositif de géolocalisation pendant le temps de travail.
Par ailleurs, pour ne pas porter atteinte à la vie privée de l'employé, il est interdit de collecter une donnée de localisation en dehors du temps de travail, en particulier lors des trajets effectués entre son domicile et son lieu de travail ou pendant ses heures de pause.
Article 6 : Des catégories des personnes concernées
Il s'agit essentiellement des employés des organismes publics, privés ou de toute autre personne se trouvant à bord d'un véhicule pourvu d'un système de géolocalisation.
Article 7 : Des obligations du responsable du traitement
Le responsable du traitement doit, conformément aux dispositions de la loi n°001/2011 du 25 septembre 2011, informer les employés de la mise en place d'un dispositif de géolocalisation.
Conformément aux dispositions de l'article 59 de la loi susvisée, les employés concernés doivent être informés, préalablement à la mise en œuvre du traitement, sur :
-l'identité du responsable du traitement ou de son représentant ;
-la finalité poursuivie par le traitement ;
-les destinataires ou catégories des destinataires des données.
Le responsable du traitement est tenu d'informer également les instances représentatives du personnel avant la mise en œuvre du dispositif de géolocalisation.
Article 8 : Les employés investis d'un mandat électif ou syndical ne doivent en aucun cas faire l'objet d'une opération de géolocalisation lorsqu'ils agissent dans le cadre de l'exercice de leur mandat.
Article 9 : Les droits de la personne
-Du droit d'accès
Toute personne peut demander au responsable du traitement l'accès aux enregistrements qui la concernent et de vérifier que les informations ont été effacées dans le délai légal.
En cas de refus ou de résistance, la personne concernée exerce son droit d'accès aux données personnelles en saisissant la Commission.
-Du droit d'opposition
Toute personne peut s'opposer à ce qu'il soit fait usage des informations la concernant à des fins publicitaires, de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d'exercer son droit d'opposition à la cession de ses données à des tiers dès leur collecte.
L'utilisation d'automates d'appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires à partir des données collectées, est interdite si les personnes n'y ont pas préalablement consenti.
-Du droit de rectification et suppression
Toute personne peut demander directement que les informations la concernant soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être régulièrement collectées par l'organisme concerné).
Article 10 : Les employés doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules, en particulier à l'issue de leur temps de travail ou pendant leurs temps de pause.
Le responsable du traitement peut, le cas échéant, demander des explications en cas de désactivation trop fréquentes ou trop longues du dispositif.
Article 11 : Des destinataires des données
La Commission rappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 66 de la loi précitée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès ;
A ce titre, le responsable d'un traitement, avant de transmettre des données à un organisme, doit opérer un tri parmi ces dernières et veiller à ce que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication ;
Seuls les employés habilités par le responsable du traitement, dans la limite de leurs attributions respectives, doivent pouvoir accéder aux données à caractère personnel traitées dans le cadre d'un dispositif de géolocalisation, en particulier les personnes en charge de coordonner, de planifier ou de suivre les interventions, les personnes en charge de la sécurité des biens transportés ou des personnes ou, le cas échéant, le responsable des ressources humaines ;
Pour rendre compte à un client ou à un donneur d'ordre sur l'état d'avancement d'une prestation, ou pour justifier de sa réalisation à posteriori, le responsable du traitement doit communiquer les seules données nécessaires au regard de la finalité ;
Si l'identité du conducteur du véhicule présente un intérêt particulier, dans ce cas, elle ne doit pas être communiquée à un tiers ;
En toutes hypothèses, les données transmises par le responsable du traitement doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions ;
Le client pour lequel les données sont collectées ou traitées, est tenu au respect de la finalité pour laquelle ces données ont été collectées. Elles ne peuvent être utilisées, notamment, pour l'identification des salariés à des fins de contrôles ou de justificatifs quelconque.
Article 12 : De la durée de conservation des données
La Commission rappelle que les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles ont été collectées, d'une part, et qu'elles doivent également être exactes, complètes et si nécessaires mises à jour, d'autre part ;
Les données relatives à la localisation d'un employé ou de tout autre utilisateur ne peuvent être conservées que pour une durée pertinente au regard de la finalité du traitement qui a justifié la collecte ;
Au regard des finalités pouvant justifier la mise en place d'un dispositif de géolocalisation, une durée de trois (3) mois est considérée comme adéquate ;
Les données de localisation peuvent être conservées pour une période supérieure à trois (3) mois si :
-une disposition légale le prévoit ;
-une telle conservation est rendue nécessaire à des fins de preuve de l'exécution d'une prestation, lorsqu'il n'est pas possible de rapporter la preuve par un autre moyen.
Dans ce cas, la durée de conservation est fixée à un (1) an. Cette durée ne faisant pas obstacle à une conservation supérieure en cas de contestation des prestations effectuées ;
-la conservation est effectuée pour conserver un historique des déplacements à des fins d'optimisation des tournées, pour une durée maximale d'un (1) an.
Dans le cadre de la finalité accessoire du suivi du temps de travail, seules les données relatives aux horaires effectués peuvent être conservées pendant une durée de cinq (5) ans.
La Commission rappelle qu'il est possible d'archiver des données à caractère personnel.
Article 13 : Des mesures de sécurité
Le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour garantir la sécurité des données à caractère personnel pendant leur collecte, leur transmission et leur conservation, en empêchant qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès conformément à l'article 66 de la loi susmentionnée.
Pour atteindre cet objectif, le responsable de traitement peut réaliser une étude des risques liés à la sécurité des données permettant de définir les mesures les plus adaptées au contexte en présence ;
En toutes hypothèses, les accès individuels aux données doivent s'effectuer par un identifiant et un mot de passe individuel respectant les recommandations de la Commission et régulièrement renouvelées ;
Elle peut aussi s'effectuer par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité;
Par ailleurs, un mécanisme de gestion des habilitations, régulièrement mis à jour, doit être mis en œuvre pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable du traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
Toute transmission d'information via un canal de communication non sécurisé, par exemple internet, doit s'accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, tel qu'un chiffrement des données.
Les moyens utilisés doivent être conformes, et le cas échéant respecter les recommandations de la Commission ;
Les accès à l'application doivent faire l'objet d'une traçabilité, dont l'intégrité est assurée, afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes, en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression.
Les données de journalisation doivent être conservées pendant une durée de six mois et faire l'objet d'une revue régulière visant à identifier tout incident de sécurité.
La Commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable du traitement, qui doit notamment vérifier que ces outils ou logiciels sont conformes aux dispositions de la loi relative à la protection des données à caractère personnel ;
La Commission rappelle qu'en cas de recours aux services d'un sous-traitant, ce dernier ne peut agir que sur instruction du responsable du traitement, lequel n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l'article 66 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité, et le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
La Commission rappelle enfin que l'obligation de veiller à la sécurité des données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Article 14 : Les données issues du système de géolocalisation ne peuvent faire l'objet d'aucun transfert ou de communication par transmission, sauf autorisation de la Commission.
Tout contrat passé entre un responsable de traitement et un sous-traitant doit être conforme aux dispositions de l'article 65 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
Article 15 : La présente délibération portant adoption de la présente norme sera enregistrée et publiée au Journal Officiel ou dans un journal d’annonces légales.
Fait à Libreville, le 27 mai 2019
Le Président
Joël Dominique LEDAGA