Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 15 juin 2021, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin Théotime MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;
Vu la Constitution ;
Vu la directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 portant nomination des membres de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la demande de la société Gabon Télécom du 17 mai 2021, aux fins de délivrance d'une autorisation relative à l'interconnexion de fichier avec la Société d'Energie et d'Eau du Gabon ;
Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine ;
Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants :
I- L'IDENTIFICATION DE L'AUTEUR DE LA DEMANDE OU RESPONSABLE DU TRAITEMENT
-Dénomination sociale : GABON TELECOM ;
-Adresse : Avenu Felix EBOUE, Immeuble 9 Etages, boîte postale : 40000, Libreville (Gabon) ;
-Domaine d'activité : Gestion et exploitation des services publics de télécommunication.
II- L'OBJET DE LA DEMANDE
Afin de se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, Gabon Télécom a saisi la Commission, le 17 mai 2021, aux fins de délivrance d'une autorisation relative à l'interconnexion de fichier avec la SEEG.
III- ELEMENTS CONSTITUTIFS DE LA DEMANDE
Au soutien de sa demande, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
-le contrat de prestations de service d'encaissement des factures POSTE PAID par téléphone-mobile « mobile facile »-le formulaire d'abonnement offre filaire -le sous-formulaire relatif à l'interconnexion de fichier qui mentionne comme destinataire de l'interconnexion la Société d'Energie et d'Eau du Gabon (SEEG).
IV-LES CONDITIONS PREALABLES DE MISE EN ŒUVRE ET D'EXPLOITATION DES TRAITEMENTS DES DONNEES PERSONNELLES AINSI QUE LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les dispositions des articles 7 et suivants de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel précisent les conditions préalables de l'interconnexion de fichier et énoncent les principes essentiels de la protection des données à caractère personnel.
A- DES CONDITIONS PREALABLES A L'INTERCONNEXION DE FICHIER
Les dispositions du chapitre IV à la section II et du chapitre VI à la section I, particulièrement les articles 52, 54, 89, 90 et 91 de la loi n°001/2011 du 25 septembre 2011 susvisée, encadrent les opérations d'interconnexion de fichier.
-L'article 52 alinéa 1 de la loi n°001/2011 suscitée dispose que : « La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi ».
-L'article 54.5 tiret 2 de la loi citée ci-dessus précise que : « Sont mis en œuvre après autorisation de la Commission Nationale pour la Protection des Données à Caractère Personnel, à l'exclusion de ceux qui sont mentionnés aux articles 55 et 56 de la présente loi :
-les traitements automatisés ayant pour objet l'interconnexion de fichier relevant d'autres personnes et dont les finalités principales sont différentes ».
-L'article 89 alinéa 2 de la même loi rappelle que : « L'interconnexion de fichiers relevant des personnes privées et dont les finalités principales sont différentes est également soumise à autorisation de la Commission ».
-L'article 90 dispose que : « L'interconnexion des systèmes d'information doit permettre d'atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables de traitements. Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité appropriées et doit tenir compte du principe de pertinence des données faisant l'objet d'interconnexion ».
-L'article 91 énonce que : « La demande d'autorisation d'interconnexion prévue à l'article 54 comprend toute information sur :
-la nature des données à caractère personnel relative à l'interconnexion ;
-la finalité pour laquelle l'interconnexion est considérée nécessaire ;
-la durée pour laquelle l'interconnexion est permise ;
-le cas échéant, les conditions et les termes au regard de la protection la plus efficace des droits et des libertés et notamment du droit à la vie privée des personnes concernées ou des tiers ».
B- DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s'agit d'une transposition des garanties des droits et libertés, basés sur les principes essentiels suivants :
|
N° |
Des principes essentiels au regard de la loi n°001/2011 du 25 septembre 2011 |
|
1
|
La loyauté et la licéité du traitement (Art 45) -les données doivent être collectées de manière loyale et leur traitement licite ; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finalité du traitement, l'identité et l'adresse du responsable de traitement. |
|
2
|
La finalité (Art 45) -les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l'organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l'opération envisagée. |
|
3
|
La proportionnalité (Art 45) -les catégories des données collectées pour le traitement doivent être nécessaires pour atteindre l'objectif général déclaré de l'opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l'opération envisagée. |
|
4
|
La pertinence, l'exactitude et la qualité des données collectées (Art 45) -seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l'objet d'un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées. |
|
5
|
La temporalité ou la durée limitée de conservation des données (Art 68, 69 et 70) -la durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d'archiver les données sur support distinct protégé, dès qu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
6
|
La sécurisation et la confidentialité des données (Art 64 et 66) Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traitées.
Aussi doit-il :
-mettre en œuvre les mesures techniques et d'organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
7
|
La transparence et le consentement des personnes concernées (Art 13 et 14, 46 et 59) Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit :
-obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre 2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d'accès des personnes concernées. |
|
8
|
Le respect des droits des personnes concernées (Art 7) -toute personne a le droit d'obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; -les personnes concernées ont le droit :
-d'avoir accès à leurs données auprès du responsable du traitement ; -de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ; -de s'opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi. |
V- LES CARACTERISTIQUES DE L'INTERCONNEXION DE FICHIER
Est considérée comme interconnexion de réseaux ou de fichier des données à caractère personnel, tout mécanisme de connexion consistant en la mise en relation des données traitées pour une finalité déterminée avec d'autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement.
Aux termes des conditions énoncées à l'article 91 de la loi n°001/2011 du 25 septembre 2011 susvisée, notamment sur les informations relatives à l'interconnexion sollicitée par la société Gabon Télécom, elle les décline ainsi qu'il suit:
-Sur la nature des données à caractère personnel relatives à l'interconnexion :
-noms et prénoms ;
-numéro de téléphone.
-Sur la finalité du traitement pour laquelle l'interconnexion est nécessaire : l'interconnexion est essentielle pour l'utilisation de l'application « mobile facile » en vue du règlement des factures d'eau et d'électricité.
-Sur la durée de l'interconnexion : la durée de l'interconnexion est de cinq ans au terme du contrat de prestation.
VI- OBSERVATIONS
La société Gabon Telecom collecte et traite les données à caractère personnel dans le cadre de son activité commerciale. Elle sollicite l'autorisation d'interconnecter le fichier clients avec la Société d'Energie et d'Eau du Gabon, en abrégée SEEG.
L'interconnexion de fichier entre Gabon Telecom et la SEEG repose sur la conclusion d'un « contrat de prestation de services d'encaissement des factures POST PAID par téléphone mobile ». Ce contrat définit les conditions et les modalités selon lesquelles, Gabon Telecom permet aux utilisateurs de l'application « Mobile Facile » de consulter par téléphone le solde de leurs consommations d'eau et d'électricité et le cas échéant, de procéder au règlement des factures. Que la souscription à l'application « Mobile Facile » par un abonné résulte de la signature du contrat d'abonnement « Offre Filaire ».
Dans tous les cas et au regard de la loi n°001/2011 du 25 septembre 2011 susvisée, notamment les dispositions des articles 7 et suivants, la Commission constate que les clients disposent d'un droit d'accès, de rectification, de suppression et d'opposition à leurs données personnelles, auprès du Chef de Service Réglementation.
Par ailleurs, la durée de conservation des données interconnectées est de cinq ans au terme du contrat de prestation de service. Elle juge raisonnable ce délai de conservation déterminé par Gabon Telecom et le considère comme justifié, au vu de la finalité poursuivie par le traitement. Toutefois, elle rappelle que les données à caractère personnel doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Enfin, la Commission note que le respect des conditions de licéité du traitement et d'exploitation des données personnelles, ainsi que les obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité sont remplies par le responsable du traitement.Aussi, la Commission conclut-elle que le traitement portant interconnexion de fichier entre Gabon Télécom et la SEEG est conforme à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Une autorisation relative à l'interconnexion du fichier clients de GABON TELECOM avec la Société d'Energie et d'Eau du Gabon est délivrée, pour une durée de un an.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 29 juin 2021
Pour le Président
Le Questeur
Euloge NZAMBI