Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 11 août 2021, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents ;
Vu la Constitution ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CBMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle, Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 ponant nomination des membres de Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00028/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la délibération n°010/CNPDCP du 09 avril 2019 portant norme simplifiée n°002/2019 relative à l'exploitation des systèmes de vidéosurveillance et de télé vidéosurveillance ;
Vu la déclaration de la société Axa Gabon du 14 juin 2021 portant traitements des données personnelles relatifs à la gestion des fichiers du personnel et des assurés et à l'exploitation d'un système de vidéosurveillance ;
Aux fins d'instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l'article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine ;
Après avoir entendu le Commissaire responsable en son rapport circonstancié, la Commission examine les points suivants ;
I- L'IDENTIFICATION DE L'AUTEUR DE LA DEMANDE OU RESPONSABLE DUTRAITEMENT
-Dénomination sociale : AXA GABON ;
-Adresse : 1935 Boulevard de l'indépendance, boîte postale ; 4047, Libreville (Gabon) ;
-Domaine d'activité ; Assurance IARD.
II- L'OBJET DE LA DECLARATION
Afin de se conformer à la loi n°001/20n du 25 septembre 2011 relative à la protection des données à caractère personnel, la société Axa Gabon a saisi la Commission, le 14 juin 2021, aux fins de délivrance d'un récépissé de déclaration relatif à la gestion des fichiers du personnel et des assurés puis, à l'exploitation d'un système de vidéosurveillance.
III- LES ELEMENTS CONSTITUTIFS DE LA DECLARATION
Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportât les, éléments justificatifs suivants :
1- Les éléments relatifs à la gestion des fichiers du personnel et des assurés
-un formulaire d'ouverture de compte ;
-un formulaire de déclaration dûment rempli.
2- Les éléments relatifs à l’exploitation d’un système de vidéosurveillance
-un plan schématise de l’emplacement des caméras ;
-un sous-formulaire portant déclaration du système de vidéosurveillance dûment rempli.
IV-LES CONDITIONS PREALABLES DE MISE EN OEUVRE ET D'EXPLOITATION DES TRAITEMENTS DES DONNEES PERSONNELLES AINSI QUE LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les dispositions des articles 7 et suivants de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel précisent les conditions préalables à la gestion des fichiers du personnel et des assurés et à l'exploitation d'un système de vidéosurveillance puis, énoncent les principes essentiels de la protection des données à caractère personnel.
A- DES CONDITIONS PREALABLES A LA GESTION DES FICHIERS DU PERSONNEL ET DES ASSURES ET A L'EXPLOITATION D'UN SYSTEME DE VIDEOSURVEILLANCE
Les dispositions du chapitre IV à la section II, particulièrement les articles 51 et 52 de la loi n°001/2011 du 25 septembre 2011, encadrent les traitements automatisés ou non des données à caractère personnel.
-L'article 51, alinéa 1 de la loi n°001/2011 susvisée dispose que : « A l'exception de ceux qui relèvent des dispositions prévues aux articles 54, 55 et 56 ou qui sont visés à l'article 65 de la présente loi, les traitements automatisés des données à caractère personnel font l'objet d'une déclaration auprès de la Commission Nationale pour la Protection des Données à Caractère Personnel».
-L'article 52, alinéa 3 de la même loi énonce que : « La Commission délivre sans délai un récépissé, le cas échéant, par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé ; il n'est exonéré d'aucune de ses responsabilités ».
B- DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DECOLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s'agit d'une transposition des garanties des droits et libertés, basés sur les principes essentiels suivants :
| N° |
Des principes essentiels au regard de la loi n°1/2011 du 25 septembre 2011 |
| 1 |
La loyauté et la licéité du traitement -Les données doivent être collectées de manière loyale et leur traitement licite ; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finale du traitement, l’identité et l’adresse du responsable de traitement. |
| 2 |
La finalité (Art 45) -Les données doivent être collectées pour les finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l’opération envisagée. |
| 3 |
La proportionnalité (Art 45) Les catégories des données collectées pour le traitement doivent être nécessaire pour atteindre l’objectif général déclaré de l’opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l’opération envisagée |
| 4 |
La pertinence, l’exactitude et la qualité des données collectées (Art 45) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées. |
| 5 |
La temporalité ou la durée limitée de conservation des données (Art 68,69 et 70) La durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d’archiver les donnés sur support distinct protégé, dès qu’elles ne sont plus aux finalités pour qu’elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
| 6 |
La sécurisation et la confidentialité des données Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traités. -mettre en oeuvre les mesures techniques et d’organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
| 7 |
La transparence et le consentement des personnes concernées (Art 46 et 59) Avant la mise en oeuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : -obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d’accès des personnes concernées. |
| 8 |
Le respect des droits des personnes concernées (Art 7) -Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; -les personnes concernées ont le droit : -d’avoir accès à leurs données auprès du responsable de traitement ; -de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de |
| 9 |
Les obligations spécifiques en matière de vidéosurveillance et de télévidéosurveillance (Art 7 de la Norme Simplifiée n°002) a) Informer les usagers -Le responsable des systèmes de vidéosurveillance et de télé vidéosurveillance est tenu d’informer le public, qu’il se trouve dans un lieu sous vidéosurveillance. Il s’engage à mettre en place un dispositif de signalisation dans chaque zone équipée de caméras implantées de façon à être vue par le public ; b) Informer le personnel de l’entreprise |
V- LES CARACTERISTIQUES DES DIFFERENTES COLLECTES ET TRAITEMENTS
Aux termes des dispositions de la loi n°001/2011 du 25 septembre 2011 suscitée, la gestion des fichiers du personnel et des assurés, ainsi que l'exploitation d'un système de vidéosurveillance reposent sur les caractéristiques suivantes :
1. Les caractéristiques relatives à la gestion des fichiers du personnel et des assurés
Au sens de l'article 4 de la loi n°001/2011 du 25 septembre 2011, est considéré comme traitement des données à caractère personnel, toute opération ou ensemble d'opérations, effectuées à l'aide des procédés automatisés ou non et appliquées à des données, telles que la collecte, l'exploitation, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l'utilisation, la communication par transmission, la diffusion ou tout autre mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction des données à caractère personnel, ainsi que l'interconnexion des réseaux.
Aux termes des conditions de licéité du traitement des données à caractère personnel, énoncées aux articles 45 et suivants de la loi n°001/2011 du 25 septembre 2011 suscitée, AXA GABON les décline ainsi qu'il suit :
-Sur la dénomination du traitement : « traitement des données personnelles ».
-Sur la finalité du traitement :
-la gestion du personnel ;
-la gestion des assurés.
-Sur les catégories des personnes concernées : Il s'agit des employés et des assurés.
-Sur les catégories des données à caractère personnel collectées : Axa Gabon collecte et traite les données suivantes :
-Données des employés
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-adresse électronique ;
-numéro de téléphone ;
-curriculum vitae (formation/diplôme et expérience professionnelle) ;
-numéro de pièce d'identité.
-Données des assurés
-noms, prénoms et situation familiale ;
-adresse et coordonnées ;
-date et lieu de naissance ;
-numéro de téléphone ;
-numéro de pièce d’identité.
-Sur la durée de conservation des données : la date de conservation des données personnelles des employé est cinq (5) ans ; celle des assurés est de dix (10) ans au terme de la relation contractuelle.
-Sur l’exercice des droits d’accès, d’opposition, de rectification et de suppression : Ils s’exercent auprès de l’assistante juridique et conformité.
-Sur l’information et le consentement des personnes concernées : Axa Gabon indique que les employés sont informés de l’enregistrement et du traitement de leurs données personnelles au cours de l’entretien d’embauche. Ils ont consenti lors de la signature du contrat d’assurance.
2. Les caractéristiques relatives à l'exploitation d'un système de vidéosurveillance
La vidéosurveillance est considérée comme un système technique structuré en réseau permettant de surveiller et ou d'enregistrer à distance les lieux (publics ou privés), les machines (voir supervision et monitoring) ou les individus.
Le traitement relatif à l'exploitation du système de vidéosurveillance repose sur des exigences légales et techniques. Ces exigences concernent l'analyse des aspects techniques et juridiques dudit système.
a) L'analyse des aspects techniques du système de vidéosurveillance
Axa Gabon, à travers le sous-formulaire relatif à la déclaration du système de vidéosurveillance, renseigne sur :
-La localisation du système
-lieu d'installation du système de vidéosurveillance : Axa Gabon, 1935, Boulevard l'Indépendance BP : 4047 Libreville (Gabon) ;
-nature de l’environnement sous surveillance : établissement accueillant le public ;
-emplacement des caméras : intérieur et extérieur du bâtiment ;
-espaces visualisés des agences :
-extérieur du bâtiment ; parking clients, parking du personnel, poste de sécurité ;
-intérieur du bâtiment : hall, portes des bureaux de la direction générale, de la direction commerciale, du contrôle de gestion, de l'Assistant du DG, du Responsable juridique, du Responsable Technique, entrée salle informatique, intérieure de la salle informatique, espace conseil et salle visioconférence.
-caractéristiques des espaces : ouvert et non ouvert au public ;
-nombre de caméras : vingt (20).
-Les Caractéristiques et fonctionnalités du système
-visualisation des images : en temps réel avec prise de son ;
-enregistrement : en continu ;
-nature de l'enregistreur : numérique ;
-accès aux images à distance : à partir d'un Smartphone ;
-type de caméra : fixe et mobile.
-La sécurité du traitement
-identité des personnes habilitées à accéder aux images ; le Directeur Général et le Responsable Sécurité Physique ;
-mesures prises pour contrôler l'accès au poste central de surveillance : code d'accès, local surveillé et fermé à clé ;
-mesures de sécurité prises pour la sauvegarde et la protection des enregistrements : les enregistrements sont sauvegardés sur disques durs ;
-mesures prises pour la suppression des enregistrements : suppression automatique après un (1) mois.
b) L'analyse des aspects juridiques du système de vidéosurveillance
Les aspects juridiques déclinés par Axa Gabon sont les suivants :
-Sur la dénomination du traitement : « vidéosurveillance ».
-Sur la finalité du traitement : la sécurité des personnes et des biens ;
-Sur la catégorie des données collectées : exclusivement les images avec prise de son
-Sur la durée de conservation des images : les images sont conservées pendant un (1) mois.
-Sur l'information des personnes concernées : Axa Gabon indique que les employés sont informés de l'existence d'un système de vidéosurveillance au cours d'une réunion de sensibilisation. Les clients quant à eux sont informés de l'existence dudit système, par la présence des panneaux de signalisation indiquant que le bâtiment est placé sous vidéosurveille.
-Sur le droit d'accès : il s'exerce auprès du Directeur Général et du Responsable Sécurité Physique.
VI- OBSERVATIONS
Axa Gabon collecte et traite les données à caractère personnel dans le cadre de son activité. Elle sollicite la mise en oeuvre des traitements des données personnelles relatifs à la gestion des fichiers du personnel et des assurés et à l'exploitation d'un système de vidéosurveillance.
Sur le traitement relatif à la gestion des fichiers du personnel et des assurés, la Commission note que les données personnelles des employés et des assurés sont collectées et traitées de manière loyale et licite, pour la gestion des salariés et des assurés.
Les employés sont informés de la collecte de leurs données personnelles au cours de l'entretien d'embauche. Ils ont consenti au traitement lors de la signature du contrat de travail. Les clients quant à eux sont informés de la même procédure d'enregistrement, du traitement de leurs données personnelles et y ont consenti lors de la signature du contrat d'assurance.
Par ailleurs, la durée de conservation des données des employés est relative à celle du contrat de travail ; celle des assurés est de dix (10) ans au terme de la relation contractuelle. La Commission juge raisonnable les délais de conservation déterminés par Axa Gabon et les considère comme justifiés au vu des finalités poursuivies par le traitement.
S'agissant du traitement relatif à l'exploitation d'un système de vidéosurveillance, la Commission constate que le personnel est informé de l'existence de la vidéosurveillance lors d'une réunion de sensibilisation.
Quant aux assurés, ils sont informés de l'existence dudit système, par la présence des panneaux de signalisation indiquant que le bâtiment est placé sous vidéosurveillance". En outre, les images des employés et des assurés sont collectées de manière loyale et licite avec pour finalité ; la sécurité des personnes et des biens.
Seuls le Directeur Général et le Responsable Sécurité Physique ont accès aux images enregistrées.
La Commission note que les images enregistrées avec prise de son par le système de vidéosurveillance, sont conservées pendant un (1) mois. Elle rappelle tout de même que l'installation des caméras sur les lieux de travail, est justifiée par des impératifs de sécurité et non pour surveiller l'activité des salariés.
Dans tous les cas, au regard des traitements présentés ci-dessus, la Commission constate que les employés et les clients disposent d'un droit d'accès, de rectification, de suppression et d'opposition à leurs données personnelles auprès de l'Assistant Juridique et Conformité.
Toutefois, elle rappelle que les données à caractère personnel doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Enfin, la Commission note que le respect des conditions de licéité du traitement et d'exploitation des données personnelles, ainsi que les obligations de transparence, de confidentialité, de sécurité, de, conservation et de pérennité sont remplies par le responsable du traitement.
En conséquence, la Commission conclut que les traitements des données personnelles portant gestion des fichiers du personnel et des assurés et exploitation d'un système de vidéosurveillance, mis en oeuvre par la société Axa Gabon, sont conformes à la loi n°001/2011 du 25 septembre 2011 relatif et à la protection des données à caractère personnel et à la Norme y relative.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Un récépissé de déclaration est délivré à la société Axa Gabon pour ses traitements des données personnelles relatifs à la gestion des fichiers du personnel et des assurés, ainsi qu'à l'exploitation d'un système de vidéosurveillance, pour une durée de un (1) an.
La délibération n°010/CNPDCP du 09 avril 2019 portant Norme Simplifiée n°002 relative à l'exploitation des systèmes de vidéosurveillance et de télé vidéosurveillance, est annexée au présent récépissé de déclaration.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d'Etat dans un délai de deux (2) mois à compter de sa notification.
Article 3 ; La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 11 août 2021
Le Président
Joël Dominique LEDAGA