Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 16 novembre 2022, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents.
Vu la Constitution ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de déontologie de la fonction publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l’Etat ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la communication audiovisuelle-cinématographique et écrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code pénal de la République Gabonaise ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 portant nomination des membres de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00029/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la délibération n°010/CNPDCP du 09 avril 2019 portant Norme Simplifiée n°002 relative à l’exploitation des systèmes de vidéosurveillance et de télévidéosurveillance ;
Vu la déclaration de BGFIBANK GABON S.A du 26 juillet 2022, portant traitements des données personnelles relatifs à la gestion du fichier clients, au suivi médical des employés, à l’exploitation du système de vidéosurveillance et à la communication par transmission des données des clients à la Banque des Etats de l’Afrique Centrale (BEAC), à la Commission Bancaire de l’Afrique Centrale (COBAC) et au cabinet Archives Afrique Consulting ;
Aux fins d’instruction, le Président de la Commission a désigné le Commissaire responsable sur le fondement de l’article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après l’avoir entendu en son rapport circonstancié, la Commission examine et se prononce sur les points suivants :
I-L’IDENTIFICATION DE L’AUTEUR DE LA DEMANDE OU RESPONSABLE DU TRAITEMENT
-Dénomination sociale : BGFIBANK GABON S.A
-Adresse : Boîte postale : 2253, 1295 Boulevard de l’Indépendance Libreville (Gabon)
-Domaine d’activité : Bancaire
II-L’OBJET DE LA DECLARATION
BGFIBANK GABON S.A a saisi la Commission, le 26 juillet 2022, aux fins de délivrance d’un récépissé de déclaration relatif à la gestion du fichier clients, au suivi médical des employés, à l’exploitation du système de la vidéosurveillance et à la communication par transmission des données des clients à la Banque des Etats de l’Afrique Centrale (BEAC), à la Commission Bancaire de l’Afrique Centrale (COBAC) et au cabinet Archives Afrique Consulting pour se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
III-LES ELEMENTS CONSTITUTIFS DE LA DECLARATION
Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1-Les éléments relatifs à la gestion du fichier clients
-un document explicatif du système d’exploitation Sopra Banking Software ;
-un formulaire de déclaration dûment rempli.
2-Les éléments relatifs au suivi médical des employés
-un contrat de prestations médicales et paramédicales entre le docteur Nothhurge DITENGOU et BGFIBANK Gabon S.A ;
-un formulaire dûment rempli relatif aux soins ambulatoires.
3-Les éléments relatifs à l’exploitation du système de la vidéosurveillance
-un listing des caméras de surveillance et leurs champs de vision ;
-un sous-formulaire dûment rempli relatif à la vidéosurveillance.
4-Les éléments relatifs à la communication par transmission des données des clients à la BEAC, à la COBAC et au cabinet Archives Afrique Consulting
-un protocole d’échange des données sur la centralisation des risques bancaires (version du 07 décembre 2010) ;
-un document sur l’instruction COBAC I-2028/01 portant mise à jour système collecte d’exploitation et de restitution aux Banques et établissements financiers des Etats Réglementaires (CERBER) ;
-un contrat de sous-traitance entre BGFIBANK GABON S.A et ARCHIVES AFRIQUE CONSULTING ;
-un sous-formulaire dûment rempli relatif à la transmission des données.
IV-LES FORMALITES PREALABLES A LA MISE EN ŒUVRE DES TRAITEMENTS ET LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Sur le fondement de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel, BGFIBANK GABON S.A sollicite la mise en œuvre de quatre traitements des données à caractère personnel qui obéissent à des conditions préalables auxquelles sont attachés des principes essentiels en matière de protection des données personnelles.
A-DES CONDITIONS PREALABLES AU DIFFERENTS TRAITEMENTS
Les dispositions des articles 51 et 52 de la section II du chapitre IV de la présente loi, encadrent les opérations de traitement des données personnelles relatifs à la gestion du fichier clients, au suivi médical des employés, à l’exploitation du système de la vidéosurveillance et à la communication par transmission des données des clients et énoncent que :
-Article 51 alinéa 1 : « A l’exception de ceux qui relèvent des dispositions prévues aux articles 54, 55 et 56 ou qui sont visés à l’article 65 de la présente loi, les traitements automatisés des données à caractère personnel font l’objet d’une déclaration auprès de la Commission Nationale pour la Protection des Données à Caractère Personnel ».
-Article 52 alinéa 1, 2 et 3 : « La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.
Elle est adressée à la Commission Nationale pour la Protection des Données à Caractère Personnel par des voies traditionnelles ou par voie électronique.
La Commission délivre sans délai un récépissé, le cas échéant, par voie électronique. Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé ; il n’est exonéré d’aucune de ses responsabilités ».
B-DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s’agit d’une transposition des garanties des droits et libertés basés sur les principes essentiels suivants :
|
N° |
Des principes essentiels au regard de la loi n°001/2011 du 25 septembre 2011 |
|
1 |
L’utilisation des technologies de l’information et de la communication (Art 3)
Les technologies de l’information et de la communication doivent être au service de chaque citoyen. Leur développement doit s'opérer dans le cadre de la coopération internationale, dans la limite des accords en vigueur. Elles ne doivent porter atteinte, ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. |
|
2 |
La loyauté et la licéité du traitement (Art 45)
-Les données doivent être collectées de manière loyale et leur traitement licite ; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finalité du traitement, l’identité et l’adresse du responsable de traitement.
|
|
3 |
La finalité (Art 45)
-Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l’opération envisagée.
|
|
4 |
La proportionnalité (Art 45)
-Les catégories des données collectées pour le traitement doivent être nécessaires pour atteindre l’objectif général déclaré de l’opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l’opération envisagée. |
|
5 |
La pertinence, l’exactitude et la qualité des données collectées (Art 45)
-Seuls les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées. |
|
6 |
La temporalité ou la durée limitée de conservation des données (Art 68, 69 et 70)
-La durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d’archiver les données sur support distinct protégé, dès qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
7 |
La sécurisation et la confidentialité des données (Art 64 et 66)
Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traitées.
Aussi doit-il : -mettre en œuvre les mesures techniques et d’organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
8 |
La transparence et le consentement des personnes concernées (Art 46 et 59) Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : -obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre 2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d’accès des personnes concernées. |
|
9 |
Le respect des droits des personnes concernées (Art 7, 10, 13 et 14) -Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ;
-les personnes concernées ont le droit :
-d’avoir accès à leurs données auprès du responsable de traitement ; -Les patients exercent eux même ou par l’intermédiaire d’un médecin leurs droits d’accès ;
-de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ; -de s’opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi. |
|
10 |
La communication ou la transmission des données de santé (Art 73 et 81)
-Pour communiquer ou transmettre les données de santé, lorsque ces données permettent l’identification des personnes (patients) :
-elles doivent être codées avant leur transmission lorsque le traitement des données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d’études coopératives nationales ou internationales ; -elles doivent être communiquées sous la forme des statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées, lorsqu’il s’agit des données communiquées à des fins d’évaluation, ou d’analyse des pratiques ou activés de soins et de prévention. |
|
11 |
Les droits des usagers et du personnel en matière de vidéosurveillance
a) Informer les usagers -Le responsable des systèmes de vidéosurveillance et de télévidéosurveillance est tenu d’informer le public, qu’il se trouve dans un lieu sous vidéosurveillance ou télévidéosurveillance. Il s’engage à mettre en place un dispositif de signalisation dans chaque zone équipée de caméras implantée de façon à être vue par le public ; -Le public qui le souhaite doit être informé du nom du responsable du traitement, du nom du destinataire des images et des modalités d’exercice du droit des personnes notamment, le droit d’accès aux images et le droit de suppression. b) Informer le personnel de l’entreprise -L’installation des caméras sur les lieux de travail n’est légale que si elle est justifiée par des impératifs de sécurité et non pour surveiller l’activité des salariés ; -Par ailleurs, les salariés doivent être prévenus de la mise en place d’une vidéosurveillance et/ou télévidéosurveillance ; -Les représentants du personnel sont préalablement informés et consultés sur les moyens techniques permettant un contrôle de l’activité des salariés. |
V-LES CARACTERISTIQUES DES DIFFERENTS TRAITEMENTS
Aux termes de la loi n°001/2011 du 25 septembre 2011, la gestion du fichier clients, le suivi médical des employés, la communication par transmission des données des clients et l’exploitation du système de la vidéosurveillance reposent sur des caractéristiques précises :
1.Le traitement des données personnelles relatif à la gestion du fichier clients
Au sens de l’article 4 de la loi n°001/2011 du 25 septembre 2011, est considéré comme traitement des données à caractère personnel, toute opération ou ensemble d’opérations, effectuées à l’aide des procédés automatisés ou non et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel, ainsi que l’interconnexion des réseaux.
Aux termes des conditions de licéité du traitement des données à caractère personnel, énoncées aux articles 45 et suivant de la loi n°001/2011 du 25 septembre 2011, les caractéristiques du traitement des données personnelles relatif à la gestion du fichier clients se déclinent ainsi qu’il suit :
-Sur la dénomination du traitement : traitement des données personnelles des clients.
-Sur la finalité du traitement :
-la gestion du fichier clients notamment, la création et la gestion des comptes clients ;
-la gestion du fichier clients ayant souscrit au service BGFI Mobile.
-Sur les catégories des personnes concernées : il s’agit des clients BGFIBANK et BGFI Mobile.
-Sur la nature des données collectées : BGFIBANK GABON S.A collecte et traite les données suivantes :
Données des clients BGFIBANK
-noms, prénoms et situation familiale, date et lieu de naissance ;
-adresse ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-bulletins de salaire ;
-pièce d’identité.
Données des clients BGFI Mobile
-noms et prénoms ;
-adresse ;
-adresse électronique ;
-numéro de téléphone ;
-numéro de compte ;
-numéro de carte bancaire.
-Sur la durée de conservation des données : elle est relative à la finalité du traitement.
-Sur l’information et le consentement des personnes concernées : lors de la signature de la convention d’ouverture de compte, de la souscription au service BGFI Mobile.
-Sur les droits d’accès, de rectification et de suppression : ils s’exercent auprès du Directeur de la Conformité et du Médecin.
2.Le traitement des données personnelles relatif au suivi médical des employés
Tout salarié nouvellement recruté doit bénéficier d’une visite d’information et de prévention sur son état de santé. Ainsi, tout travailleur bénéficie au titre de la surveillance de son état de santé, d’un suivi individuel assuré par un médecin du travail.
A cet effet, BGFIBANK GABON S.A a signé un contrat de prestations médicales et paramédicales avec le Docteur Nothhurge DITENGOU. Ce contrat fixe les conditions et modalités selon lesquelles le prestataire s’engage à accompagner les salariés de BGFIBANK GABON S.A dans le cadre des consultations et visites médicales, examens cliniques, ergonomie au travail et autres exigences de la règlementation gabonaise en matière, d’hygiène, santé et sécurité au travail.
Le Docteur Nothhurge DITENGOU veillera à conserver les dossiers médicaux des patients dans des conditions de nature à assurer une confidentialité effective (coffre, locaux fermés) et à en limiter l’accès aux seuls personnels habilités à savoir : les personnels de l’infirmerie et de la DRH tenus au suivi des dossiers médicaux. Il veillera en outre à ce que le personnel mis à sa disposition par la banque se conforme à cette obligation de confidentialité.
La banque devra pour sa part, mettre à la disposition du médecin, les moyens nécessaires à la bonne conservation des dossiers et au respect du secret médical, notamment en ce qui concerne le courrier, les moyens de conservation des dossiers médicaux quel qu’en soit le support et la sécurisation des locaux dédiés.
Aux termes des conditions de licéité du traitement des données à caractère personnel, énoncées aux articles 45 et suivants de la loi n°001/2011 du 25 septembre 2011 sus-citée, BGFIBANK GABON S.A les décline ainsi qu’il suit :
-Sur la dénomination du traitement : suivi médical.
-Sur la finalité du traitement : suivi médical des employés.
-Sur les catégories des personnes concernées : il s’agit uniquement des employés de BGFIBANK GABON S.A.
-Sur la catégorie des données collectées : BGFIBANK GABON S.A collecte et traite les données suivantes :
-noms, prénoms, date et lieu de naissance ;
-adresse ;
-sexe ;
-numéro de téléphone.
-Sur la durée de conservation des données : elle est relative à la finalité du traitement.
-Sur l’information et le consentement des personnes concernées : lors de la consultation médicale.
-Sur le droit d’accès : il s’exerce auprès du Médecin.
3.Le traitement des données personnelles relatif à la communication par transmission des données des clients à la BEAC, à la COBAC et au Cabinet Archives Afrique Consulting
La communication par transmission de données désigne la communication des données personnelles, quel que soit le type d’information, d’un endroit à un autre, par tout support.
Aux termes des conditions de licéité du traitement des données à caractère personnel énoncées aux articles 45 et suivants de la loi n°001/2011 du 25 septembre 2011 sus-citée, les caractéristiques du traitement des données personnelles relatif à la communication par transmission des données des clients se déclinent ainsi qu’il suit :
-Sur la dénomination du traitement : communication par transmission des données.
-Sur la finalité du traitement :
-échange des données sur la centralisation des risques bancaires ;
-déclaration CERBER ;
-archivage des documents physiques (pièces comptables, dossiers clients et autres).
-Sur la catégorie des personnes concernées : il s’agit uniquement des clients.
-Sur les catégories des données personnelles transmises : BGFIBANK GABON S.A collecte, communique et transmet les données suivantes :
Données transmises à la BEAC
-noms, prénoms, date et lieu de naissance;
-nom de jeune fille pour les femmes mariées ;
-le titulaire d’une fonction ;
-adresse et coordonnées ;
-boîte postale.
Données transmises à la COBAC
-noms, prénoms, date et lieu de naissance et situation familiale ;
-adresse et coordonnées ;
-adresse électronique ;
-numéro de téléphone ;
-photo ;
-bulletins de salaire ;
-pièce d’identité.
Données transmises au cabinet Archives Afrique Consulting
-noms, prénoms date et lieu de naissance ;
-numéro de compte ;
-numéro matricule.
-Sur le destinataire des données transmises : les données des clients sont transmises à la Banque des Etats de l’Afrique Centrale (BEAC), Boulevard Triomphal avenue Jean Paul II, BP : 112, Libreville-Gabon, à la Commission Bancaire de l’Afrique Centrale (COBAC) et au cabinet Archives Afrique Consulting, BP : 25245, Libreville-Gabon.
-Sur la durée de conservation des données transmises : la durée de conservation des données transmises à la BEAC et à la COBAC est relative à la finalité du traitement ; celle concernant les données transmises au cabinet Archives Afrique Consulting est de trois (3) ans.
4.Le traitement des données personnelles portant exploitation du système de la vidéosurveillance
La vidéosurveillance et la télévidéosurveillance sont considérées comme des systèmes techniques structurés en réseaux permettant de surveiller et/ou d’enregistrer à distance les individus dans les lieux publics ou privés.
Le traitement relatif à l’exploitation du système de la vidéosurveillance repose sur des exigences techniques et juridiques.
1-L’analyse des aspects techniques du système de vidéosurveillance
BGFIBANK GABON S.A à travers le sous-formulaire relatif à la déclaration du système de la vidéosurveillance renseigne sur :
a) La localisation du système
-lieu d’installation du système de la vidéosurveillance : Agence VENUS ; Agence EDEN (KALIKAK) ; Agence EXELLIUM; Agence PERCEE; Agence Océan ; Agence CAPELLA; Agence LEONIS; Agence de NKOK; Agence de MOANDA ; Agence de FRANCEVILLE; GAB hors Agence.
-nature de l’environnement sous surveillance : établissement accueillant le public.
-emplacement des caméras : intérieur et extérieur des agences.
-espaces visualisés :
Agence VENUS (Siège) :
-1er étage : hall d’entrée (1), accueil (1), couloir côté gauche (2), couloir passerelle ERP (2), Couloir CDL (2), couloir entrée/sortie personnel coté bâtiment F (1).
-2ème étage : couloir sortie ascenseur côté droit (1), local onduleur (1), salle DATA CENTER SAS (2), salle DATA CENTER (4), salle télévidéosurveillance (1), couloir sortie ascenseur côté gauche (2).
-Rez-De-Chaussée : extérieur entrée principale côté gauche (1), extérieur entrée principale côté excentré gauche (1), extérieur coté GAB, extérieur entrée principale côté droit (4), extérieur entrée principale côté droit face local groupe électrogène (1), extérieur entrée personnel (2), extérieur façade côté ERP (2), extérieur façade côté bâtiment F (1), extérieur entrée principale (1), hall client (5), salle d’attente espace client (1), guichets Agence VENUS (8), couloir Back Office (2), Salle Test GAB (1), couloir arrière caisse (1), Couloir entrée salle de TRI (1), local technique Onduleur (1), couloir entrée grande caisse (1), grande caisse (1), intérieur salle des GAB (1), entrée salle forte espèce (1), ancien local coffre nuit (1), local entrée bâche à eau (2), entrée coffre clients (2), salle des coffres clients (2), ancien local groupe électrogène (1), salle forte espèce (2).
-Agence EDEN (KALIKAK) : façade arrivée (2), couloir entrée personnel (1), pool back-office (1), arrière caisse (1), guichets (2), salle (1), SAS guichets (1), hall accueil back-office (2), entrée SAS (1), entrée pool commercial (1), couloir DA/CCR (2), accueil commercial entrée et sortie (2), façade avant (3).
-Agence EXELLIUM (Batterie IV) : salle d’attente espace (CRC) (2), entrée personnel (1), entrée espace back-office (1), salle d’accueil (1), salle (1), hall client (4), accès client (1), guichets (3), salle forte (1), SAS mouvement de fonds (2), façade avant (3).
-Agence PERCEE (OLOUMI) :
-rez-de-chaussée (OLOUMI) : entrée personnel/SAS (2), façade arrière (4), SAS back-office (2), coffre-fort (1), guichets (2), couloir espace commercial (1), hall client (2), SAS sécurité (2), façade arrière (2), GAB hors agence (3).
-1er étage : hall commercial (2), caisse (1), couloir espace CRC (1), couloir DA (1), accès locaux technique (1), local onduleur (1).
-Agence OCEAN (GLASS) :
-rez-de-chaussée : hall client (3), PC sécurité (2), accès personnel (5), salle d’attente espace client (1), guichets Agence VENUS (8), Couloir Back-Office (2), Salle Test GAB (1), couloir arrière caisse (1), couloir entrée salle de TRI (1), local technique onduleur (1), couloir entrée grande caisse (1), grande caisse (1), intérieur salle des GAB (1), entrée salle forte espèce (1), ancien local coffre nuit (1), local entrée bâche à eau (2), entrée coffre client (2), salle des coffres clients (2), ancien local groupe électrogène (1), salle forte espèce (2).
-1er étage : hall d’entrée (1), accueil (1), couloir côté gauche (2), couloir passerelle ERP (2), couloir CDL (1), couloir entrée/sortie personnel côté bâtiment F.
-2ème étage : hall principal (4), hall espace commercial/trésorerie (4), couloir sortie ascenseur côté droit (1), local onduleur (1), salle DATA CENTER SAS (2), salle DATA CENTER (4), salle vidéosurveillance (1), couloir sortie ascenseur côté gauche (2).
-Agence CAPELLA (SNI) : extérieur entrée/sortie personnel (1), extérieur Back-Office (2), local GAB (1), entrée salle forte (1), guichets Agence CAPELLA (4), hall client (2), couloir CRC (2), local technique entrée (1), Bureau Directeur d’Agence (1), entrée espace GAB (1).
-Agence LEONIS : guichet N° 1 (1), guichet N° 2 (1), hall Agence (1), local Technique (1), local coffre (1), GAB 1 (2), GAB 2 (2), extérieur Agence (3).
-Agence de NKOK : hall client (2), local technique (1), couloir entrée personnel (2), back-office (1), guichet N° 2 (2), Salle forte/GAB (1), façade arrière (2), façade avant (2).
-Agence de MOANDA : couloir extérieur caisses (1), extérieur entrée portail (1), extérieur parking droit (1), extérieur parking gauche (1), intérieur bureau caissier principal (1), intérieur caisse gros versement (1), intérieur caisse N° 1 (1), intérieur caisse N° 2 (1), intérieur entrée personnel (1), intérieur entrée principale (1), intérieur salle d’attente hall clients (1), intérieur salle d’attente hall commercial (1), intérieur salle de tri & entrée salle forte espèce (1), intérieur salle des GAB personnel (1), salle informatique & onduleur (1).
-Agence de FRANCEVILLE : GAB (1), entrée porte RDC côté coffre-fort (1), intérieur sortie GAB (1), intérieur GAB (1), entrée principale (1), hall attente client (1), hall attente (1), salle attente caisse N°1 (1), salle attente caisse N°1 (2), salle attente caisse N°1 (3), caisse N°1 (1), caisse N°2 (1), caisse N°3 (1), caisse N°4 (1), extérieur attente 1 (1), caisse extérieur N°2 (1), caisse extérieur N°3 (1), escalier RDC (1), entrée SAS (1), extérieur N°1 SAS (1), extérieur entrée TGBT (1), extérieur N°4 parking RDC (1), extérieur N°5 parking RDC (1), entrée chef d’Agence (1), parking SAS N°2 accueil (1), ancien local groupe électrogène (1), coffre-fort (1), escalier montée coffre-fort (1), extérieur N°2 sous-sol (1), entrée escalier sous-sol (1), couloir N°1 R+1 (1), kitchenet R+1 (1), couloir N°2 R+1 (1), salle informatique R+1 (1), parking sous-sol (1), entrée kitchenet R+2 (1), couloir R+2 (1), couloir entrée salle réunion R+2 (1), entrée PCA R+2 (1), salle informatique RDC (1), salle tri (1).
-Recensement GAB Hors Agence : GAB station total en face de la CNSS Glass (2), GAB FINATRA (2), GAB centre affaire NOMBAKELE (2), GAB CHUL (2), GAB SEEG en ville (2), GAB SOBRAGA OWENDO (2), GAB SOBRAGA OWENDO (2), GAB station pétro PEDIATRIE OWENDO (2), GAB HOLDING (4), GAB pharmacie de la grâce ANGONDJE (2), GAB Beach club SABLIERE (2), GAB station OKALA (2), GAB Camp de GAUL (2), GAB SAINT ANDRE (1), GAB station OLA ENERGY UOB (1), GAB ELECTRA (3), GAB station pétro NZENG AYONG (4), GAB PK 12 (6), GAB BEAUSEJOUR (3), GAB prix import Camp de POLICE (3), GAB CNSS BIKELE (2), GAB MARCHE BANANE (3), GAB station ENGEN PK 8 (2), GAB station OIL LIBYA GLASS (2), GAB Ministère de l’Intérieur (2), GAB TOTAL ADL AEROPORT (2), GAB station TOTALE AWENDJE (2), GAB MBOLO (1).
-caractéristiques de l’espace : ouvert au public.
-nombre de caméras : deux cent trente-deux (232) caméras installées
-Agence Venus (Siège) 125 ;
-Agence EDEN 20 ;
-Agence EXELLIUM 19 ;
-Agence PERCEE 28 ;
-Agence OCEAN 67 ;
-Agence CAPELLA 16 ;
-Agence LEONIS 12 ;
-Agence de NKOK 13 ;
-Agence MOANDA 15 ;
-Agence de FRANCEVILLE 42.
b) les Caractéristiques et fonctionnalités du système
-visualisation des images : en temps réel sans prise de son.
-enregistrement : en continu et sur détection de mouvement ;
-nature des enregistreurs : numérique et analogique.
-type de caméra : Dômes et fixes.
c) la sécurité du traitement
-identité des personnes habilitées à accéder aux images : le Chef de Département Moyen Généraux et le Chargé de la Sécurité.
-mesures prises pour contrôler l’accès au poste central de surveillance : local fermé à clé, code d’accès et local surveillé.
-mesures de sécurité prises pour la sauvegarde et la protection des enregistrements : enregistreur, disques externes de conservation des fichiers, poste de travail/disque, coffre ;
-mesures prises pour la suppression des enregistrements : suppression sur les postes de travail et sur le disque dur.
2-L’analyse des aspects juridiques du système de la vidéosurveillance
-Sur la dénomination du traitement : vidéosurveillance.
-Sur la finalité du traitement : la sécurité des personnes et des biens.
-Sur la catégorie des données collectées : exclusivement les images sans prise de son.
-Sur la durée de conservation des images : trois (3) mois.
-Sur l’information des personnes concernées : au cours d’une réunion et par la présence des panneaux d’information indiquant que ‘‘les agences et tous les locaux GAB sont placées sous vidéosurveillance’’.
-Sur le droit d’accès : il s’exerce auprès du Directeur de la Conformité.
VI-OBSERVATIONS
BGFIBANK GABON S.A collecte et traite les données à caractère personnel dans le cadre de son activité bancaire. Elle sollicite la mise en œuvre des traitements des données personnelles relatifs à la gestion du fichier clients, au suivi médical des employés, à l’exploitation du système de la vidéosurveillance et à la communication par transmission des données des clients à la BEAC, à la COBAC et au cabinet Archives Afrique Consulting.
La Commission note que :
-Sur le traitement des données personnelles des clients, les données sont collectées et traitées pour l’ouverture de compte et la consultation médicale.
-Les clients sont informés de la collecte, du traitement de leurs données personnelles et ont donné leur consentement de manière libre et éclairé, lors de la signature de la convention d’ouverture de compte, de la souscription au service BGFI Mobile.
-Les clients disposent d’un droit d’accès, d’un droit de rectification, d’un droit d’opposition et d’un droit de suppression, à leurs données personnelles qui s’exercent auprès du Directeur de Conformité.
-Sur le plan du suivi médical, les données personnelles des employés sont collectées et traitées pour le suivi médical des employés. Les employés sont informés de la collecte, du traitement de leurs données personnelles et ont donné leur consentement lors de la consultation médicale.
-La Commission note que le Médecin du Travail assure les soins des employés de BGFIBANK GABON S.A à travers un contrat de prestations médicales et paramédicales. Cependant, elle rappelle que le dossier médical des salariés doit être détenu par le médecin du travail. Il ne peut être communiqué qu’à un autre médecin à la demande du salarié. Ainsi, l’employeur ou le service des ressources humaines n’a donc pas le droit de posséder des informations médicales sur le personnel, excepté dans le cas d’un accident de travail ou d’une maladie professionnelle dont il serait responsable. Aussi, lorsqu’un employé est malade, il ne doit communiquer à son employeur que l’éventuel arrêt maladie dont il pourrait bénéficier, sans aucune autre précision sur son état de santé ou la nature de la pathologie.
-S’agissant du traitement relatif à la communication par transmission des données, BGFIBANK GABON S.A communique et transmet mensuellement par mail, le fichier de déclaration des données sur la centralisation des risques bancaires à la BEAC et la déclaration CERBER à la COBAC. Cette transmission repose sur des obligations règlementaires notamment, le Protocole d’échange des données sur la centralisation des risques bancaires (version du 07 décembre 2010) et l’Instruction COBAC I-2008/01 portant mise à jour du système de collecte d’Exploitation et de Restitution aux banques et établissements financiers des Etats Règlementaires (CERBER).
-De même, BGFIBANK GABON S.A communique et transmet au cabinet Archives Afrique Consulting les documents physiques (pièces comptables, données des clients et autres) aux fins d’archivage. Ce cabinet devient par conséquent un sous-traitant car, il traite les données pour le compte de BGFIBANK GABON S.A.
-Aussi, conformément aux dispositions de l’article 65 de la loi n°001/2011 précitée, ce cabinet a-t-il les mêmes obligations que BGFIBANK GABON S.A en matière de sécurité et de confidentialité des données. La Commission constate qu’en application de l’alinéa 3 de l’article 65 cité ci-dessus, un contrat liant le sous-traitant au responsable du traitement a bien été versé au dossier. Ce contrat comporte les indications incombant au sous-traitant en matière de protection, de sécurité et de confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
-En ce qui concerne le traitement sur l’exploitation du système de la vidéosurveillance, la Commission constate que les employés sont informés de l’existence du système de la vidéosurveillance au cours d’une réunion. Quant aux clients, ils sont informés de l’existence dudit système par la présence des panneaux d’information indiquant que les agences et tous les locaux GAB sont placées sous vidéosurveillance.
-Par ailleurs, dans la limite de ses attributions, seul le Directeur de la Conformité a accès aux images enregistrées.
La Commission rappelle que l’installation des caméras sur les lieux de travail est justifiée par des impératifs de sécurité et non pour surveiller l’activité des salariés.
-En outre, la durée de conservation des données relatives à la gestion du fichier clients, au suivi médical des employés et à la communication par transmission des données correspond aux finalités des traitements. Les images enregistrées par le système de la vidéosurveillance sont conservées pendant trois (3) mois. Toutefois, aux termes des dispositions de l’article 68 de la loi n°001/2011 citée ci-dessus, la Commission rappelle que les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
-Conformément à la loi n°001/2011, le responsable de traitement remplit les conditions de licéité des différents traitements envisagés ainsi que les obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité.
En conséquence, la Commission conclut que les traitements des données personnelles portant gestion du fichier clients, suivi médical des employés, communication par transmission des données des clients à la BEAC, à la COBAC et au cabinet Archives Afrique Consulting et exploitation du système de la vidéosurveillance, mis en œuvre par BGFIBANK GABON S.A, sont conformes à la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel et à la norme y relative.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Pour chaque traitement sollicité, un récépissé de déclaration est délivré à BGFIBANK GABON S.A pour une durée d’un (1) an.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d’Etat dans un délai de deux (2) mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 16 novembre 2022
Le Président
Joël Dominique LEDAGA