Journal Officiel

Maternité Allaitant

JOURNAL OFFICIEL N°134 DU 8 OCTOBRE 2021

Délibération N° 041/CNPDCP du 23/08/2021 portant déclaration de la société Financière Africaine de Microprojets relative à la gestion du fichier clients et à l’exploitation d’un système de vidéosurveillance


La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 23 août 2021, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;

Vu la Constitution ;

Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CBMAC ;

Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;

Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;

Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle, Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;

Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;

Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;

Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;

Vu le décret n°000163/PR/MISDDL du 20 juin 2018 ponant nomination des membres de Commission Nationale pour la Protection des Données à Caractère Personnel ;

Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;

Vu la délibération n°010/CNPDCP du 09 avril 2019 portant norme simplifiée n°002/2019 relative à l'exploitation des systèmes de vidéosurveillance et de télévidéosurveillance ;

Vu la déclaration de la société Financière Africaine de Microprojets, en abrégé EMF-FINAM S.A du 22 juin 2021, portant traitements des données personnelles relatifs à la gestion du fichier clients et à l’exploitation d’un système de vidéosurveillance ;

Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine ;

Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants ;

I- L'IDENTIFICATION DE L'AUTEUR DE LA DEMANDE OU RESPONSABLE DU TRAITEMENT

-Dénomination sociale : Financière Africaine de Microprojets, en abrégé EMF-FINAM S.A ;
-Adresse : Avenue Lubin Martial, face à l’Université Omar BONGO : boîte postale 22408, Libreville (Gabon) ;
-Domaine d'activité ; Microfinances.

II- L'OBJET DE LA DECLARATION

Afin de se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, la société Financière Africaine de Microprojets, en abrégé EMF-FINAM S.A a saisi la Commission, le 22 juin 2021, aux fins de délivrance d'un récépissé de déclaration relative à la gestion du fichier clients et à l'exploitation d'un système de vidéosurveillance.

III- LES ELEMENTS CONSTITUTIFS DE LA DECLARATION

Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :

1- Les éléments relatifs à la gestion du fichier clients

-une fiche de renseignements clients particuliers ;
-un formulaire d'ouverture de compte ;
-une fiche réclamation client ;
-un recueil des spécimens de signatures ;
-un formulaire de déclaration dûment rempli.

2- Les éléments relatifs à l'exploitation d'un système de vidéosurveillance

-un plan schématisé de l'emplacement des caméras ;
-un sous-formulaire portant déclaration du système de vidéosurveillance dûment rempli.

IV-LES CONDITIONS PREALABLES DE MISE EN OEUVRE ET D'EXPLOITATION DES TRAITEMENTS DES DONNEES PERSONNELLES AINSI QUE LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Les dispositions des articles 7 et suivants de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel précisent les conditions préalables à la gestion du fichier clients et à l'exploitation d'un système de vidéosurveillance puis, énoncent les principes essentiels de la protection des données à caractère personnel.

A- DES CONDITIONS PREALABLES A LA GESTION DU FICHIER CLIENTS ET A L'EXPLOITATION D'UN SYSTEME DE VIDEOSURVEILLANCE

Les dispositions du chapitre IV à la section II, particulièrement les articles 51 et 52 de la loi n°001/2011 du 25 septembre 2011, encadrent les traitements automatisés ou non des données à caractère personnel.

-L'article 51, alinéa 1 de la loi n°001/2011 susvisée dispose que : « A l'exception de ceux qui relèvent des dispositions prévues aux articles 54, 55 et 56 ou qui sont visés à l'article 65 de la présente loi, les traitements automatisés des données à caractère personnel font l'objet d'une déclaration auprès de la Commission Nationale pour la Protection des Données à Caractère Personnel».

-L'article 52, alinéa 3 de la même loi énonce que ; « La Commission délivre sans délai un récépissé, le cas échéant, par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités ».

B- DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

Il s'agit d'une transposition des garanties des droits et libertés, basés sur les principes essentiels suivants :

Des principes essentiels au regard de la loi n°1/2011 du 25 septembre 2011
1

La loyauté et la licéité du traitement
(Art 45)

-Les données doivent être collectées de manière loyale et leur traitement licite ;

-le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ;

-le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finale du traitement, l’identité et l’adresse du responsable de traitement.

2

La finalité (Art 45)

-Les données doivent être collectées pour les finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ;

-leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l’opération envisagée.

3

La proportionnalité (Art 45)

Les catégories des données collectées pour le traitement doivent être nécessaire pour atteindre l’objectif général déclaré de l’opération envisagée ;

-le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l’opération envisagée.

4

La pertinence, l’exactitude et la qualité des données collectées (Art 45)

-Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ;

-les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ;

-les données inexactes ou incomplètes doivent être effacées ou rectifiées.

5

La temporalité ou la durée limitée de conservation des données (Art 68,69 et 70)

La durée de conservation des données collectées doit être précisée ;

-le principe de la conservation pendant une durée limitée impose de supprimer ou d’archiver les donnés sur support distinct protégé, dès qu’elles ne sont plus aux finalités pour qu’elles ont été collectées ;

-les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées.

6

La sécurisation et la confidentialité des données
(Art 64 et 66)

Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traités.

Aussi doit-il :

-mettre en oeuvre les mesures techniques et d’organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ;

-veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation.

7

La transparence et le consentement des personnes concernées (Art 46 et 59)

Avant la mise en oeuvre de tout traitement des données à caractère personnel, le responsable de traitement doit :

-obtenir le consentement préalable des personnes concernées ;

-informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ;

-doit enfin, permettre le droit d’accès des personnes concernées.

8

Le respect des droits des personnes concernées (Art 7, 13 et 14)

-Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ;

-les personnes concernées ont le droit :

-d’avoir accès à leurs données auprès du responsable de traitement ;

-de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ;

-de s’opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi.

9

Les obligations spécifiques en matière de vidéosurveillance et de télévidéosurveillance (Art 7 de la Norme Simplifiée n°002)

a) Informer les usagers

-Le responsable des systèmes de vidéosurveillance et de télé vidéosurveillance est tenu d’informer le public, qu’il se trouve dans un lieu sous vidéosurveillance. Il s’engage à mettre en place un dispositif de signalisation dans chaque zone équipée de caméras implantées de façon à être vue par le public ;

-Le public qui le souhaite doit être informé du nom du responsable du traitement, du nom du destinataire des images et des modalités d’exercice du droit des personnes notamment, le droit d’accès aux images et le droit de suppression.

b) Informer le personnel de l’entreprise

-L’installation des caméras sur les lieux de travail n’est légale que si elle est justifiée par des impératifs de sécurité et non pour surveiller l’activité des salaires ;

-Par ailleurs, les salaires doivent être prévenus de la mise en place d’une vidéosurveillance et/ou télé vidéosurveillance ;

-Les représentants du personnel sont préalablement informés et consultés sur les moyens techniques permettant un contrôle de l’activité des salariés.

V- LES CARACTERISTIQUES DES DIFFERENTES COLLECTES ET TRAITEMENTS

Aux termes des dispositions de la loi n°001/2011 du 25 septembre 2011 suscitée, la gestion du fichier cloents, ainsi que l'exploitation d'un système de vidéosurveillance reposent sur les caractéristiques suivantes :

1. Les caractéristiques relatives à la gestion du fichier clients

Au sens de l'article 4 de la loi n°001/2011 du 25 septembre 2011, est considéré comme traitement des données à caractère personnel, toute opération ou ensemble d'opérations, effectuées à l'aide des procédés automatisés ou non et appliquées à des données, telles que la collecte, l'exploitation, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l'utilisation, la communication par transmission, la diffusion ou tout autre mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction des données à caractère personnel, ainsi que l'interconnexion des réseaux.

Aux termes des conditions de licéité du traitement des données à caractère personnel, énoncées aux articles 45 et suivants de la loi n°001/2011 du 25 septembre 2011 suscitée, EMF-FINAM S.A les décline ainsi qu'il suit :

-Sur la dénomination du traitement : « traitement des données personnelles ».
-Sur la finalité du traitement : la gestion intégrée du crédit ;
-Sur les catégories des personnes concernées : Il s'agit uniquement des clients ;
-Sur les catégories des données collectées ; EMF-FINAM S.A les collectes et traite les données suivantes :

-noms et prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-informations bancaires (revenu de dettes) ;
-numéro de pièce d’identité.

-Sur la durée de conservation des données : la durée de conservation des données personnelles des clients est de dix (10) ans, au terme de la relation contractuelle.
-Sur l’information et le consentement des personnes concernées : la société Financière Africaine de Microprojets indique que les clients ont été informés de la collecte, du traitement de leurs données personnelles et y ont consenti lors du renseignement et de la signature du formulaire d'adhésion.
-Sur l'exercice des droits d'accès, de rectification et de suppression : ils s'exercent auprès du Responsable Juridique.

2. Les caractéristiques relatives à l'exploitation d'un système de vidéosurveillance

La vidéosurveillance est considérée comme un système technique structuré en réseau permettant de surveiller et/ou d'enregistrer à distance les lieux (publics ou privés), les machines (voir supervision et monitoring) ou les individus.

Le traitement relatif à l'exploitation du système de vidéosurveillance repose sur des exigences légales et techniques. Ces exigences concernent l'analyse des aspects techniques et juridiques dudit système.

a) L'analyse des aspects techniques du système de vidéosurveillance

EMF-FINAM S.A à travers le sous-formulaire relatif à la déclaration du système de vidéosurveillance renseigne sur :

-La localisation du système

-lieu d'installation du système de vidéosurveillance : Siège social et toutes les agences établies sur le territoire national (Libreville, Lambaréné, Franceville, Oyem, Makokou, Moula et Moanda) ;
-nature de l'environnement sous surveillance : établissements accueillant le public ;
-emplacement des caméras : intérieur et extérieur des agences ;
-espaces visualisés des agences : hall des agences, espace d'accueil, comptoir caisse, issues des secours, coffre-fort, arrière des bâtiments, salle informatique et guichets automatiques ;
-caractéristiques des espaces : ouverts et non ouverts au public ;
-nombre de caméras : cent vingt-huit (128) caméras réparties dans 19 sites.

-Les Caractéristiques et fonctionnalités du système

-visualisation des images : en temps réel sans prise de son ;
-enregistrement : en continu et sur détection des mouvements ;
-nature de l'enregistreur : numérique et analogique ;
-liaison et réseaux : câble coaxial et LAN ;
-type de caméra ; fixe.

-La sécurité du traitement

-identité des personnes habilitées à accéder aux images : le Chef de Service Informatique, l'Administrateur Système et le Responsable Maintenance ;
-mesures prises pour contrôler l'accès au poste central de surveillance : lecteur d'empreinte, caméra et registre d'entrées et sorties ;
-mesures de sécurité prises pour la sauvegarde et la protection des enregistrements : les enregistrements sont sauvegardés dans les disques durs puis, conservés dans le coffre-fort de la banque ;
-mesures prises pour la suppression des enregistrements : suppression automatique après trois (3) mois.

b) L'analyse des aspects juridiques du système de vidéosurveillance

Les aspects juridiques déclinés par EMF-FINAM S.A sont les suivants :

-Sur la dénomination du traitement : « vidéosurveillance ».
-Sur la finalité du traitement : la sécurité des personnes et des biens.
-Sur la catégorie des données collectées : exclusivement les images sans prise de son.
-Sur la durée de conservation des images : les images sont conservées pendant trois (3) mois.
-Sur l'information des personnes concernées : EMF-FINAM S.A indiqué que les employés sont informés de l'existence d'un système de vidéosurveillance par courrier électronique et note d'information. Les clients quant à eux sont informés de l'existence dudit système, par la présence des panneaux de signalisation dont deux (2) par site, notamment aux portes d'entrées et aux espaces d'accueils, "indiquant que les agences sont placées sous vidéosurveillance".
-Sur le droit d'accès : il s'exerce auprès du Directeur Général.

VI-OBSERVATIONS

La société Financière Africaine de Microprojets collecte et traite les données à caractère personnel dans le cadre de son activité.

Elle sollicite la mise en oeuvre des traitements des données personnelle relatifs à la gestion du fichier clients et à l'exploitation d'un système de vidéosurveillance.

Sur le traitement relatif à la gestion du fichier clients, la Commission note que les données personnelles des clients sont collectées et traitées de manière loyale et licite, pour la gestion intégrée de l'épargne et du crédit.

Les clients ont été informés de la collecte, du traitement de leurs données personnelles et ayant consenti lors de la signature du formulaire d'adhésion.

Par ailleurs, la durée de conservation des données des clients est de dix (10) ans au terme de la relation contractuelle. La Commission juge raisonnable ce délai de conservation déterminé par EMF-FINAM S.A et le considère comme justifié, au vu de la finalité poursuivie par le traitement.

S'agissant du traitement relatif à l'exploitation d'un système de vidéosurveillance, la Commission constate que le personnel est informé de l'existence de la vidéosurveillance par courrier électronique et par note d'information. Quant aux clients, ils sont informés de l'existence dudit système, par la présence des panneaux de signalisation indiquant que " les agences sont placées sous vidéosurveillance". En outre, les images des employés et des clients sont collectées de manière loyale et licite avec pour finalité : la sécurité des personnes et des biens. Seuls le Chef de Service Informatique, l'Administrateur Système et le Responsable Maintenance ont accès aux images enregistrées.

La Commission note que les images enregistrées sans prise de son par le système de vidéosurveillance, sont conservées pendant trois (3) mois. Elle rappelle tout de même que l'installation des caméras sur les lieux de travail est justifiée par des impératifs de sécurité et non pour surveiller l'activité des salariés.

Toutefois, elle rappelle que les données à caractère personnel doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.

Dans tous les cas, au regard des traitements présentés ci-dessus, la Commission constate que les employés et les clients disposent d'un droit d'accès, de rectification et de suppression à leurs données personnelles auprès du Responsable Juridique et du Directeur Général.

Enfin, la Commission note que le respect des conditions de licéité du traitement et d'exploitation des données personnelles, ainsi que les obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité sont remplies par le responsable du traitement.

En conséquence, la Commission conclut que les traitements des données personnelles portant gestion du fichier clients et exploitation d'un système de vidéosurveillance, mis en oeuvre par la société Financière Africaine de Microprojets, sont conformes à la loi n°001/2011 du 25 septembre2011 relative à la protection des données à caractère personnel et à la Norme y relative.

Au vu de ce qui précède et après en avoir délibéré ;

D E C I D E :

Article 1er : Un récépissé de déclaration est délivré à la société Financière Africaine de Microprojets, pour ses traitements des données personnelles relatifs, à la gestion du fichier clients et à l'exploitation d'un système de vidéosurveillance, pour une durée d'un (1) an.

La délibération n°010/CNPDCP du 09 avril 2019 portant Norme Simplifiée n°002 relative à l'exploitation des systèmes de vidéosurveillance et de télé vidéosurveillance, est annexée au présent récépissé de déclaration.

Article 2 : La présente délibération est susceptible de recours devant le Conseil d'Etat dans un délai de deux (2) mois à compter de sa notification.

Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.

Fait à Libreville, le 23 août 2021

 

Le Président


Joël Dominique LEDAGA

Abonnez-vous au Journal Officiel de la République Gabonaise

Inscrivez-vous et recevez votre exemplaire du journal Officiel de la république Gabonaise.