Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 15 juin 2021, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin Théotime MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;
Vu la Constitution ;
Vu la directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 portant nomination des membres de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la demande dc la société Airtel Gabon S.A du 29 avril 2021, aux fins de délivrance d'une autorisation de transfert des données des employés et des partenaires commerciaux d'Airtel GABON S.A vers l'Inde et le Kenya puis, d'interconnexion des fichiers des employés, des abonnés et des partenaires commerciaux avec la société Airtel Kenya ;
Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine ;
Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants :
I- L'IDENTIFICATION DE L'AUTEUR DE LA DEMANDE OU RESPONSABLE DE TRAITEMENT
-Dénomination sociale : AIRTEL GABON S.A ;
-Adresse : LBS sis à la rue Pecqueur, Centre-Ville, boîte postale : 9259, Libreville (Gabon) ;
-Domaine d'activité : Télécommunications.
II- L'OBJET DE LA DEMANDE
Afin de se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, la société AIRTEL GABON S.A a saisi la Commission, le 29 avril 2021, aux fins de délivrance d'une autorisation portant transfert des données de ses employés et de ses partenaires commerciaux vers l'Inde et le Kenya et interconnexion des fichiers des salariés, des abonnés et des partenaires commerciaux avec la société AIRTEL KENYA.
III- LES ELEMENTS CONSTITUTIFS DE LA DEMANDE
Au soutien de sa demande, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1- Les éléments relatifs au transfert des données des employés et des partenaires commerciaux vers l'Inde et le Kenya
-les sous-formulaires portant transfert des données vers un pays tiers qui mentionnent comme pays destinataires du transfert, l'Inde et le Kenya ;
2- Les éléments relatifs à l'interconnexion des fichiers du personnel, des abonnés et des partenaires commerciaux avec la société AIRTEL KENYA
-le document de procédure interne de paiement au sein d'Airtel Gabon ;
-le sous-formulaire relatif à l'interconnexion des fichiers qui mentionne comme seul destinataire de l'interconnexion AIRTEL KENYA.
IV-LES CONDITIONS PREALABLES DE MISE EN ŒUVRE ET D'EXPLOITATION DES TRAITEMENTS DES DONNEES PERSONNELLES ET LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les dispositions des articles 7 et suivants de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel précisent les conditions préalables du transfert des données personnelles vers un pays tiers et de l'interconnexion des fichiers puis, énoncent les principes essentiels de la protection des données à caractère personnel.
A- DES CONDITIONS PREALABLES DU TRANSFERT DES DONNEES PERSONNELLES ET DE L'INTERCONNEXION DES FICHIERS
1) Du transfert des données vers un pays tiers
Les dispositions du chapitre VI à la section II, particulièrement des articles 94 et 95 de la loi n°001/2011 du 25 septembre 2011, encadrent les opérations de transfert des données personnelles du Gabon vers un pays tiers.
-L'article 94 de la loi n°001/2011 susmentionnée prévoit que : « Le responsable du traitement ne peut transférer des données à caractère personnel vers un autre Etat que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
La Commission Nationale pour la Protection des Données à Caractère Personnel s'assure et publie la liste des Etats qui garantissent un niveau de protection suffisant à l'égard de tout transfert des données à caractère personnel ».
-L'article 95 de la même loi précise que : « Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :
-à la sauvegarde de la vie de cette personne ;
-à la sauvegarde de l'intérêt public ;
-au respect d'obligations permettant d'assurer la consultation, l'exercice ou la défense d'un droit en justice ;
-à la consultation, dans des conditions régulières, d'un registre public qui,' en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute autre personne justifiant d'un intérêt légitime ;
-à l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou des mesures précontractuelles prises à la demande de celui-ci ;
-à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable de traitement et un tiers.
Il peut être également fait exception à l'interdiction prévue à l'article 94 ci-dessus, par décision de la Commission Nationale pour la Protection des Données à Caractère Personnel ou, s'il s'agit d'un traitement mentionné à l'article 56 ci-dessus, par décret pris après avis motivé et publié de la Commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment, en raison des clauses contractuelles ou règles internes dont il fait l'objet.
La Commission porte à la connaissance des autres Etats, les décisions d'autorisations de transfert des données à caractère personnel qu'elle prend au titre de l'alinéa précédent ».
2) De l'interconnexion des fichiers
Les dispositions du chapitre IV à la section II et du chapitre VI à la section I, particulièrement les articles 52, 54, 89, 90 et 91 de la loi n°001/2011 du 25 septembre 2011, encadrent les opérations d'interconnexion des fichiers.
-L'article 52 alinéa 1 de la loi n°001/2011 citée ci-dessus énonce que : « La déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi ».
-L'article 54.5 tiret 2 de la loi susvisée dispose que : « Sont mis en œuvre après autorisation de la Commission Nationale pour la Protection des Données à Caractère Personnel, à l'exclusion de ceux qui sont mentionnés aux articles 55 et 56 de la présente loi :
-les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ».
-L'article 89 alinéa 2 de la loi précitée rappelle que : « L'interconnexion de fichiers relevant des personnes privées et dont les finalités principales sont différentes est également soumise à autorisation de la Commission ».
-L'article 90 de la loi susmentionnée dispose que : « L'interconnexion des systèmes d'information doit permettre d'atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables de traitements. Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité appropriées et doit tenir compte du principe de pertinence des données faisant l'objet d'interconnexion ».
-L'article 91 de la même loi énonce que : « La demande d'autorisation d'interconnexion prévue à l'article 52 comprend toute information sur :
-la nature des données à caractère personnel relative à l'interconnexion ;
-la finalité pour laquelle l'interconnexion est considérée nécessaire ;
-la durée pour laquelle l’interconnexion est permise ;
-le cas échéant, les conditions et les termes au regard de la protection la plus efficace des droits et des libertés et notamment du droit à la vie privée des personnes concernées ou des tiers ».
B- DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s'agit d'une transposition des garanties des droits et libertés, basés sur les principes essentiels suivants :
|
N° |
Des principes essentiels au regard de la loi n°001/2011 du 25 septembre 2011 |
|
1
|
La loyauté et la licéité du traitement (Art 45) -Les données doivent être collectées de manière loyale et leur traitement licite ; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finalité du traitement, l'identité et l'adresse du responsable de traitement. |
|
2
|
La finalité (Art 45) -Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l'organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l'opération envisagée. |
|
3
|
La proportionnalité (Art 45) -Les catégories des données collectées pour le traitement doivent être nécessaires pour atteindre l'objectif général déclaré de l'opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l'opération envisagée. |
|
4
|
La pertinence, l'exactitude et la qualité des données collectées (Art 45) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l'objet d'un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées. |
|
5
|
La temporalité ou la durée limitée de conservation des données (Art 68, 69 et 70) -La durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d'archiver les données sur support distinct protégé, dès qu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
6
|
La sécurisation et la confidentialité des données (Art 64 et 66) Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traitées.
Aussi doit-il :
-mettre en œuvre les mesures techniques et d'organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
7
|
La transparence et le consentement des personnes concernées (Art 13 et 14, 46 et 59) Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit :
-obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre 2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d'accès des personnes concernées. |
|
8
|
Le respect des droits des personnes concernées (Art 7) -Toute personne a le droit d'obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; -les personnes concernées ont le droit :
-d'avoir accès à leurs données auprès du responsable du traitement ; -de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ; -de s'opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi. |
V- LES CARACTERISTIQUES DES DIFFERENTES COLLECTES ET TRAITEMENTS
Aux termes des dispositions de la loi n°001/2011 du 25 septembre 2011 suscité ; le transfert des données personnelles et l'interconnexion des fichiers reposent sur les caractéristiques suivantes :
1- Les caractéristiques du traitement portant transfert des données personnelles des employés et des partenaires commerciaux vers l'Inde et le Kenya
Est considéré comme transfert des données personnelles, l'envoi d'un fichier ou d'une base de données comportant des données à caractère personnel d'un pays vers un pays tiers.
Aux termes des conditions énoncées à l'article 94 de la loi n°001/2011 du 25 septembre 2011 suscitée, notamment sur les caractéristiques propres du traitement, AIRTEL GABON S.A, les décline ainsi qu'il suit :
-Sur la dénomination du traitement : « transfert des données personnelles ».
-Sur la finalité du traitement :
-la gestion du personnel ;
-la gestion des partenaires commerciaux ;
-le règlement des commissions.
-Sur la durée de Conservation : la durée de conservation des données transférées respectivement en Inde et au Kenya est de trente jours et quinze jours.
-Sur la nature des données transférées en Inde et au Kenya : Airtel Gabon S.A collecte, traite et transfert les données suivantes :
a) Données transférées en Inde :
-Données du personnel
-noms, prénoms et montant du salaire ;
-numéro matricule.
-informations bancaires.
-Données des partenaires commerciaux (personnes physiques)
-noms et prénoms ;
-numéro de téléphone.
b) Données transférées au Kenya :
-Données des partenaires commerciaux (personnes physiques)
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-fonction.
-Sur l'origine des données traitées : il s'agit des données des employés et des partenaires commerciaux ;
-Sur les destinataires des données : les données sont transférées en Inde, vers BHARTI AIRTEL, Bharti Crescent, 1 Nelson Mandela Road, vasant kuny, phase II New Delhi et au Kenya vers Airtel Kenya, Parkside Towers, Mombasa, 73146-00200 ;
-Sur l'existence d'une autorité de protection des données personnelles : la République de l'Inde est dotée d'une autorité de protection des données personnelles, dénommée « Autorité Indienne de Protection des Données (AIPD) ».
2. Les caractéristiques du traitement portant interconnexion des fichiers de Airtel Gabon S.A avec Airtel Kenya
Est considérée comme interconnexion de réseaux ou de fichiers des données à caractère personnel, tout mécanisme de connexion consistant en la mise en relation des données traitées pour une finalité déterminée avec d'autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement.
Aux termes des conditions énoncées à l'article 91 de la loi n°001/2011 du 25 septembre 2011 suscitée, notamment sur les informations relatives à l'interconnexion sollicitée par la Société Airtel Gabon S.A, elle les décline ainsi qu'il suit :
-Sur la nature des données à caractère personnel interconnectées : Airtel Gabon S.A interconnecte avec Airtel Kenya les données suivantes :
-Données des salariés
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-curriculum vitae ;
-informations bancaires ;
-numéro de pièce d'identité.
-Données des abonnés
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-fonction ;
-numéro de pièce d'identité.
-Données des partenaires commerciaux (personnes physiques)
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-numéro de pièce d'identité.
-Sur la finalité du traitement pour laquelle l'interconnexion est nécessaire : l'interconnexion est essentielle pour la mise à jour de la base des données des fichiers du personnel, des abonnés et des partenaires commerciaux, ainsi que le règlement des salaires et des commissions.
-Sur la durée de l'interconnexion : la durée de l'interconnexion est relative à la finalité du traitement.
VI-OBSERVATIONS
La société AIRTEL GABON S.A collecte et traite les données à caractère personnel dans le cadre de son activité professionnelle. Par la présente demande, elle sollicite le transfert mensuel et par voie électronique, des données de ses employés et de ses partenaires commerciaux vers l'Inde et le Kenya notamment, à Bharti Airtel et à Airtel Kenya et l'interconnexion des fichiers des employés, des abonnés et des partenaires commerciaux avec la société AIRTEL KENYA.
Toutefois, pour que cette collecte soit conforme à la loi n°001/2011 du 25 septembre 2011 susvisée, AIRTEL GABON S.A doit remplir certaines obligations spécifiques.
S'agissant du transfert des données, la Commission relève qu'AIRTEL GABON S.A transfère vers l'Inde et le Kenya, notamment à BHARTI AIRTEL et AIRTEL KENYA les fichiers des données des employés et des partenaires commerciaux (personnes physiques) aux fins de gestion et de règlement des commissions.
Par ailleurs, le transfert des données vers le Kenya qui n'est doté d'aucune autorité de protection des données personnelles, n'est possible que si la personne concernée a expressément donné son consentement conformément aux dispositions de l'article 95.5 de la loi n°001/2011 du 25 septembre 2011 notamment, pour l'exécution d'un contrat entre AIRTEL GABON S.A et ses partenaires commerciaux.
En ce qui concerne l'interconnexion des fichiers, la Commission constate qu'AIRTEL GABON S.A interconnecte les fichiers des employés, des abonnés et des partenaires commerciaux avec Airtel Kenya pour la mise à jour de la base des données, le règlement des salaires des employés et les commissions des partenaires commerciaux.
Au regard des dispositions des articles 7 et suivants de la loi n°001/2011, les employés, les abonnés et les partenaires commerciaux ont le droit d'accès à leurs données, de les faire rectifier, supprimer et de s'opposer auprès des Directeurs des ressources humaines et du service clients.
La durée de conservation respective des données transférées vers l'Inde et le Kenya est de trente et quinze jours ; celle relative à l'interconnexion correspond à la finalité du traitement. La Commission juge raisonnable ces délais de conservation déterminés par le responsable du traitement et les considère comme justifiés, au vu des finalités poursuivies par les traitements.
Elle rappelle toutefois que les données à caractère personnel doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Au surplus, la Commission note avec satisfaction le respect des conditions de licéité du traitement et d'exploitation des données personnelles, ainsi que des obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité remplies par le responsable du traitement.
Aussi, la Commission conclut-elle que les traitements des données personnelles relatifs au transfert des données des salariés et des partenaires commerciaux vers l'Inde et le Kenya et à l'interconnexion des fichiers des employés, des abonnés et des partenaires commerciaux avec Airtel Kenya, mis en œuvre par Airtel Gabon S.A, sont conformes à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Une autorisation relative au transfert des données des employés, des partenaires commerciaux vers l'Inde et le Kenya, et à l'interconnexion des fichiers des employés, des abonnés et des partenaires commerciaux avec Airtel Kenya est délivrée à AIRTEL GABON S.A, pour une durée de un an.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 15 juin 2021
Pour le Président
Le Questeur
Euloge NZAMBI