Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 11 août 2021, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;
Vu la Constitution ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CBMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle, Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 ponant nomination des membres de Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la demande de la société AXA Gabon du 14 juin 2021, aux fins de délivrance d'une autorisation de transfert des données personnelles des employés et des assurés vers le Maroc et usage d'un dispositif d'identification biométrique du personnel ;
Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants :
I-L'IDENTIFICATION DE L'AUTEUR DE LA DEMANDE OU RESPONSABLE DU TRAITEMENT
-Dénomination sociale : AXA GABON
-Adresse : 1935 Boulevard de l'indépendance : boite postale 4047, Libreville (Gabon)
-Domaine d'activité : Assurances Incendie Accidents et Risques Divers.
II- L'OBJET DE LA DEMANDE
Afin de se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel, la société AXA Gabon a saisi la Commission, le 14 juin 2021, aux fins de délivrance d'une autorisation de transfert des données personnelles des employés et des assurés vers le Maroc et d'usage d'un dispositif d'identification biométrique du personnel.
III-LES ELEMENTS CONSTITUTIFS DE LA DEMANDE
Au soutien de sa demande, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1-Les éléments relatifs au transfert des données personnelles des employés et des clients un document intitulé : Contrat de prestation de service informatique entre Axa Gabon et Axa Assurance Maroc ;
-un sous-formulaire portant transfert de données vers un pays tiers qui mentionne comme pays destinataire du transfert, le Maroc dûment rempli.
2-Les éléments relatifs à l'usage d'un dispositif d'identification biométrique du personnel
-un document intitulé : Plan de sécurité physique (CCTV+ Contrôle d'accès) ;
-un document intitulé : Contrat des prestations de gestion des ressources humaines (CPGRH) ;
-un sous-formulaire 4 portant dispositifs d'identification(biométrique ou autres) dûment rempli.
IV-LES CONDITIONS PREALABLES DE MISE EN OEUVRE ET D'EXPLOITATION DES TRAITEMENTS DES DONNEES PERSONNELLES DANS LE CADREDU TRANSFERT DES DONNEES ET DE L'USAGE D'UN DISPOSITIF D'IDENTIFICATION BIOMETRIQUE AINSI QUE LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les dispositions des articles 7 et suivants de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel, précisent les conditions préalables au transfert des données personnelles vers un pays tiers et à l'usage d'un dispositif d'identification biométrique du personnel.
A- DES CONDITIONS PREALABLES AU TRANSFERT DES DONNEES PERSONNELLES ET A L'USAGE D'UN DISPOSITIF D'IDENTIFICATION BIOMETRIQUE DU PERSONNEL
1) Du transfert des données vers un pays tiers
Les dispositions du chapitre VI à la section II, particulièrement les articles 94 et 95 de la loi n°001/2011 du 25 septembre 2011, encadrent les opérations de transfert des données du Gabon vers un pays tiers.
- L'article 94 de la loi n°001/2011 suscité dispose que : « Le responsable du traitement ne peut transférer des données à caractère personnel vers un autre Etat que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
La Commission Nationale pour la Protection des Données à Caractère Personnel s'assure et publie la liste des Etats qui garantissent un niveau de protection suffisant à l'égard de tout transfert des données à caractère personnel ».
-L'article 95 de la même loi énonce que : « Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :
-à la sauvegarde de la vie de cette personne ;
-à la sauvegarde de l'intérêt public ;
-au respect d'obligations permettant d'assurer la consultation, l'exercice ou la défense d'un droit en justice ;
-à la consultation, dans des conditions régulières, d'un registre public qui, en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute autre personne justifiant d'un intérêt légitime ;
-à l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou des mesures précontractuelles prises à la demande de celui-ci ;
-à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable de traitement et un tiers.
Il peut être également fait exception à l'interdiction prévue à l'article 94 ci-dessus, par décision de la Commission Nationale pour la Protection des Données à Caractère Personnel ou, s'il s'agit d'un traitement mentionné à l'article 56 ci-dessus, par décret pris après avis motivé et publié de la Commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment, en raison des clauses contractuelles ou règles internes dont il fait l'objet.
La Commission porte à la connaissance des autres Etats, les décisions d'autorisations de transfert des données à caractère personnel qu'elle prend au titre de l'alinéa précédent ».
2) De l'usage d'un dispositif d'identification biométrique du personnel
Les dispositions du chapitre IV à la section II, particulièrement les articles 54 et 58 de la loi n°001/2011 du 25 septembre 2011, encadrent les opérations des traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
1-L'article 54.5, tiret 5 de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel énonce que : « Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes sont mis en oeuvre après autorisation de la Commission Nationale pour la Protection des Données à Caractère Personnel ».
-L'article 58 de la loi susvisée dispose que : « Les actes autorisant la création d'un traitement en application des articles 54, 55et 56 précisent :
-la dénomination et la finalité du traitement ;
-le service auprès duquel s'exerce le droit d'accès défini au chapitre deuxième ;
-les catégories des données à caractère personnel enregistrées ;
-les destinataires ou catégories des destinataires habilités à recevoir communication de ses données ;
-le cas échéant, les dérogations à l'obligation d'informations prévue i de la présente loi ».
B- DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
II s'agit d'une transposition des garanties des droits et libertés, basés sur les principes essentiels suivants :
| N° | Des principes essentiels au regard de la loi n°1/2011 du 25 septembre 2011 |
| 1 |
La loyauté et la licéité du traitement -Les données doivent être collectées de manière loyale et leur traitement licite ; |
| 2 |
La finalité (Art 45) -Les données doivent être collectées pour les finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ; |
| 3 |
La proportionnalité (Art 45) Les catégories des données collectées pour le traitement doivent être nécessaire pour atteindre l’objectif général déclaré de l’opération envisagée ; |
| 4 |
La pertinence, l’exactitude et la qualité des données collectées (Art 45) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ; |
| 5 |
La temporalité ou la durée limitée de conservation des données (Art 68,69 et 70) La durée de conservation des données collectées doit être précisée ; |
| 6 |
La sécurisation et la confidentialité des données Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traités. |
| 7 |
La transparence et le consentement des personnes concernées (Art 46 et 59) Avant la mise en oeuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : |
| 8 |
Le respect des droits des personnes concernées (Art 7) -Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; |
V- LES CARACTERISTIQUES DES DIFFERENTES COLLECTES ET TRAITEMENTS
Aux termes des dispositions de la loi n°001/2011 du 25 septembre 2011 susvisée, le transfert des données personnelles des employés et des clients vers le Maroc puis, l’usage d’un dispositif d’identification biométrique du personnel reposent sur les caractéristiques suivantes :
1. Les caractéristiques relatives au transfert des données personnelles des employés et des clients vers le vers le Maroc
Est considéré comme transfert des données à caractère personnel, l’envoi d’un fichier ou d’une base de données comportant des données à caractère personnel d’un pays vers un tiers.
Aux termes des conditions énoncées de l’article 94 de la loi n°001/2011 du 25 septembre 2011 susvisée, notamment sur les caractéristiques propres du traitement sollicité par Axa Gabon, elle les décline ainsi qu’il suit :
-Sur la dénomination du traitement : « transfert des données personnelles ».
-Sur la finalité du traitement :
-la gestion du personnel ;
-la gestion des assurés.
-Sur la durée de conservation : la durée de conservation des données personnelles des employés est d’un (1) an au terme du contrat de travail ; celle des assurés est de dix (10) ans au terme de la relation contractuelle.
-Sur la nature des données : la société Axa Gabon collecte et traite les données suivantes :
-Données du personnel
-nom, prénom et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-numéro de téléphone ;
-curriculum vitae (formation/diplôme et expérience professionnelle) ;
-numéro de pièce d'identité.
-Données des assurés
-noms, prénoms ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-numéro de téléphone ;
-numéro de pièce d'identité.
Sur l’origine des données : les données à transférer sont celles des employés et des assurés ;
-Sur les destinataires des données : les données sont transférées vers le Maroc à Axa Assurance Maroc, 120-122 avenue Hassan II ;
-Sur l'existence d’une autorité de protection : le Maroc est doté d’une autorité de protection des données personnelles, dénommée : « commission Nationale de contrôle de la protection des Données à Caractères Personnel (CNDP) »
2. Les caractéristiques relatives à l’usage d’un dispositif d’identification biométrique du personnel
L'identification biométrique est un système qui permet d'identifier avec certitude les données d'un individu. Cette identification biométrique peut être biologique (ADN), morphologique (empreintes digitales, forme de la main, paume de la main, réseaux veineux, visage, iris, voix, oreille) ou comportementale (dynamique de la signature, démarche, frappes du clavier).
Le traitement relatif à l'usage d'un dispositif d'identification biométrique du personnel repose sur des exigences légales et techniques. Ces exigences concernent, l'analyse des aspects techniques et juridiques.
1- L'analyse des aspects techniques d'un dispositif d'identification biométrique
La société Axa Gabon à travers le sous-formulaire relatif au dispositif d'identification biométrique renseigne sur :
a) La localisation du dispositif d'identification biométrique :
-Déploiement du dispositif : quatre (4) lecteurs répartis en deux (2) zones, disposés comme suit :
-deux (2) du côté de l'entrée administrative ;
-deux (2) du côté de l'entrée commerciale.
b) Les caractéristiques et fonctionnalités du dispositif d'identification biométrique :
-origine et nature du matériel utilisé : CLIMI GABON, 13438 Boulevard Triomphal, Libreville.
-nom du modèle du matériel utilisé : Badet.
-nom du logiciel utilisé : Kelios.
Enrôlement et effacement des données :
-enrôlement : création de l'utilisateur dans le système et enregistrement de la paume de la main en une (1) fois ;
-effacement : suppression des données personnelles du salarié après son départ définitif d'Axa Gabon.
-modalités de stockage des gabarits ou des données brutes : les données sont stockées sur le disque dur d'un poste informatique.
-nombre de gabarits ou données brutes traités par personne : la paume de la main choisie par le salarié.
-administration et fonctionnalités du dispositif : l'utilisateur a la possibilité d'utiliser une procédure d'identification ou authentification par la saisie d'un identifiant et d'un mot de passe. Il n'a pas la possibilité d'éditer ou de supprimer les données biométriques ou à badges d'autres utilisateurs.
2- L'analyse des aspects juridiques d'un dispositif d'identification biométrique
Aux termes des conditions énoncées à l'article 58 de la loi susvisée. Axa Gabon les décline ainsi qu'il suit :
-Sur la dénomination du traitement : « dispositif d'identification biométrique ».
-Sur la finalité du traitement :
-le contrôle d'accès ;
-le contrôle de présence des salariés sur le lieu de travail.
-Sur les catégories des données enregistrées : le dispositif enregistre la paume de la main (en une fois) choisie par le salarié;
-Sur les catégories des personnes concernées : il s'agit uniquement des salariés.
-Sur la durée de conservation des données enregistrées : la durée de conservation des données des salariés est relative à la durée du contrat de travail.
-Sur les destinataires ou catégories des destinataires habilités à recevoir communication de ces données: aucun destinataire.
-Sur le service auprès duquel s'exercent les droits d'accès, de rectification et de suppression : ils s'exercent auprès du Responsable des Ressources Humaines.
-Sur l'information et le consentement des personnes concernées : la société Axa Gabon indique que les salariés sont informés de l'enregistrement de leurs données personnelles par note d'information. Ils ont consenti au traitement lors de la mise à disposition de leurs données.
VI- OBSERVATIONS
La société Axa Gabon collecte et traite les données à caractère personnel dans le cadre de son activité. Elle sollicite le transfert mensuel et par voie électronique, des données personnelles de ses employés et de ses assurés vers le Maroc d'une part, et l'usage d'un dispositif d'identification biométrique du personnel, d'autre part.
S'agissant du traitement relatif au transfert des données personnelles, la Commission constate que Axa Gabon transfère vers le Maroc, les fichiers dénommés "base de données clients et base de données des salariés" contenant les données des clients et des employés aux fins de conception, de développement et de maintenance des systèmes d'information, d'entretien, de sécurisation et de sauvegarde. Les employés et les assurés ont été informés et ont consenti respectivement au transfert de leurs données personnelles, lors de la signature du contrat de travail et la signature du contrat d'assurance.
Concernant le traitement relatif à l'usage d'un dispositif d'identification biométrique du personnel, la Commission note que l'usage de ce dispositif permet à Axa Gabon de contrôler les accès et de vérifier la présence des salariés sur le lieu de travail. Les employés ont été informés de la collecte de leurs données personnelles par note d'information. Us ont consenti au traitement lors de la mise à disposition de leurs données.
Dans tous les cas, au regard des traitements présentés ci-dessus, la Commission relève que les employés et les assurés disposent d'un droit d'accès, de rectification et de suppression à leurs données personnelles auprès de l'Assistante Juridique et Conformité.
Par ailleurs, la Commission note que la durée de conservation des données des salariés et des assurés relatifs au transfert des données est respectivement de cinq (5) et dix (10) ans. La durée de conservation des données des salariés relative à l'usage du dispositif d'identification biométrique correspond à la durée du contrat de travail.
La Commission juge raisonnable ces délais de conservation déterminés par le responsable du traitement et les considère comme justifiés, au vu des finalités poursuivies par les traitements.
Elle rappelle toutefois que les données à caractère personnel doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Enfin, la Commission note que le respect des conditions de licéité du traitement et d'exploitation des données personnelles, ainsi que les obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité sont remplies par le responsable du traitement.
En conséquence, la Commission conclut que les traitements des données personnelles relatifs au transfert des données des employés et des clients vers le Maroc, ainsi que l'usage d'un dispositif d'identification biométrique du personnel, mis en oeuvre par la société Axa Gabon, sont conformes à la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er ; Une autorisation de transfert des données personnelles des employés et des assurés vers le Maroc et d'usage d'un dispositif d'identification biométrique du personnel est délivrée à la société Axa Gabon, pour une durée de un (1) an.
Article 2 : La présente décision est susceptible de recours devant le Conseil d'Etat dans un délai de deux (2) mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 11 août 2021
Le Président
Joël Dominique LEDAGA