Journal Officiel
La Commission Nationale pour la Protection des Données à Caractère Personnel (CNPDCP), en sa séance plénière du 16 novembre 2022, composée de Joël Dominique LEDAGA, Président, Euloge NZAMBI, Questeur, Albert BOUSSOUGOU IBOUILY, Rapporteur, Steve SINGAULT NDINGA, François MEYE ME NDONG, Jean Raymond ZASSI MIKALA, Mesmin MONDJO EPENIT, Samuel MOUSSOUNDA IKAMOU et Philomène MBOUI épse BIYOGO. Tous, Commissaires Permanents.
Vu la Constitution ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communications électroniques au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de déontologie de la fonction publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l’Etat ;
Vu la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la communication audiovisuelle-cinématographique et écrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code pénal de la République Gabonaise ;
Vu le décret n°000163/PR/MISDDL du 20 juin 2018 portant nomination des membres de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu le décret n°00029/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la demande de Citibank Gabon S.A du 09 mai 2022, aux fins de délivrance d’une autorisation de transfert des données personnelles des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis puis, d’interconnexion des réseaux avec la Banque des Etats de l’Afrique Centrale (BEAC) ;
Aux fins d’instruction, le Président de la Commission a désigné le Commissaire Rapporteur sur le fondement de l’article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après l’avoir entendu en son rapport circonstancié, la Commission examine et se prononce sur les points suivants :
I-L’IDENTIFICATION DE L’AUTEUR DE LA DEMANDE OU RESPONSABLE DU TRAITEMENT
-Dénomination sociale : CITIBANK GABON S.A
-Adresse : Boîte postale : 3940, 810 boulevard Quaben, rue Kringer, Libreville (Gabon)
-Domaine d’activité : Banque
II-L’OBJET DE LA DEMANDE
Citibank Gabon S.A a saisi la Commission, le 09 mai 2022, aux fins de délivrance d’une autorisation de transfert des données personnelles des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis puis, d’interconnexion des réseaux avec la Banque des Etats de l’Afrique Centrale pour se conformer à la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
III-LES ELEMENTS CONSTITUTIFS DE LA DEMANDE
Au soutien de sa demande, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1-Les éléments relatifs au transfert des données des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis
-les documents relatifs au descriptif du traitement et de l’application (CSI)/détaille fonctionnelle ;
-le document relatif à la politique de protection des données des employés EMEA ;
-le formulaire d’informations et de consentement ;
-les sous-formulaires portant transfert de données vers un pays tiers qui mentionnent comme pays destinataires du transfert, l’Allemagne et les Etats-Unis.
2-Les éléments relatifs à l’interconnexion des réseaux avec la Banque des Etats de l’Afrique Centrale
-un extrait du document relatif au système de paiement et garanties interbancaires (cinquième partie) ;
-un sous-formulaire relatif à l’interconnexion de fichier qui mentionne comme pays destinataire de l’interconnexion la BEAC.
IV-LES FORMALITES PREALABLES A LA MISE EN ŒUVRE DES TRAITEMENTS ET LES PRINCIPES ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Sur le fondement de la loi n°001/2011 du 25 septembre 2011, relative à la protection des données à caractère personnel, Citibank Gabon S.A sollicite la mise en œuvre de deux traitements des données à caractère personnel qui obéissent à des conditions préalables auxquelles sont attachés les principes essentiels en matière de protection des données personnelles.
A-DES CONDITIONS PREALABLES AUX DIFFERENTS TRAITEMENTS
1) Du transfert des données vers un pays tiers
Les dispositions des articles 54, 94 et 95 de la section II du chapitre IV de la présente loi, encadrent les opérations de transfert des données du Gabon vers un pays tiers et énoncent que :
-Article 54 alinéa 3 : « La Commission se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son Président.
Lorsque la Commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée ».
-Article 94 : « Le responsable du traitement ne peut transférer des données à caractère personnel vers un autre Etat que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet.
Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.
La Commission Nationale pour la Protection des Données à Caractère Personnel s’assure et publie la liste des Etats qui garantissent un niveau de protection suffisant à l’égard de tout transfert des données à caractère personnel ».
-Article 95 : « Toutefois, le responsable d’un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
-à la sauvegarde de la vie de cette personne ;
-à la sauvegarde de l’intérêt public ;
-au respect d’obligations permettant d’assurer la consultation, l’exercice ou la défense d’un droit en justice ;
-à la consultation, dans des conditions régulières, d’un registre public qui, en vertu des dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute autre personne justifiant d’un intérêt légitime ;
-à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou des mesures précontractuelles prises à la demande de celui-ci ;
-à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable de traitement et un tiers.
Il peut être également fait exception à l’interdiction prévue à l’article 94 ci-dessus, par décision de la Commission Nationale pour la Protection des Données à Caractère Personnel ou, s’il s’agit d’un traitement mentionné à l’article 56 ci-dessus, par décret pris après avis motivé et publié de la Commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment, en raison des clauses contractuelles ou règles internes dont il fait l’objet ».
2) De l’interconnexion des réseaux
Les dispositions des articles 52, 54, 89, 90 et 91 de la section II du chapitre IV et de la section I du chapitre VI de la présente loi, encadrent les opérations d’interconnexion des réseaux et précisent que :
-Article 52 alinéa 1 : « La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi ».
-Article 54. 5 tiret 2 : « Sont mis en œuvre après autorisation de la Commission Nationale pour la Protection des Données à Caractère Personnel, à l’exclusion de ceux qui sont mentionnés aux articles 55 et 56 de la présente loi :
-les traitements automatisés ayant pour objet l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes ».
-Article 89 alinéa 2 : « L’interconnexion de fichiers relevant des personnes privées et dont les finalités principales sont différentes est également soumise à autorisation de la Commission ».
-Article 90 : « L’interconnexion des systèmes d’information doit permettre d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables de traitements. Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité appropriées et doit tenir compte du principe de pertinence des données faisant l’objet d’interconnexion ».
-Article 91 : « La demande d’autorisation d’interconnexion prévue à l’article 52 comprend toute information sur :
-la nature des données à caractère personnel relative à l’interconnexion ;
-la finalité pour laquelle l’interconnexion est considérée nécessaire ;
-la durée pour laquelle l’interconnexion est permise ;
-le cas échéant, les conditions et les termes au regard de la protection la plus efficace des droits et des libertés et notamment du droit à la vie privée des personnes concernées ou des tiers ».
B) DU RAPPEL DES PRINCIPES ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s’agit d’une transposition des garanties des droits et libertés basés sur les principes essentiels suivants :
|
N° |
Des principes essentiels au regard de la loi n°001/2011 du 25 septembre 2011 |
|
1 |
La loyauté et la licéité du traitement (Art 45) -Les données doivent être collectées de manière loyale et leur traitement licite ; -le processus de traitement des données doit être opéré de manière transparente, en particulier vis-à-vis des personnes concernées ; -le responsable de traitement doit informer les personnes concernées avant le traitement de leurs données, sur la finalité du traitement, l’identité et l’adresse du responsable de traitement. |
|
2 |
La finalité (Art 45) -Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines, correspondant aux missions de l’organisation ou du responsable de traitement ; -leur traitement ne doit se faire ultérieurement et de manière incompatible avec les finalités poursuivies par l’opération envisagée. |
|
3 |
La proportionnalité (Art 45) -Les catégories des données collectées pour le traitement doivent être nécessaires pour atteindre l’objectif général déclaré de l’opération envisagée ; -le responsable de traitement doit limiter la collecte des données aux informations pertinentes pour la finalité spécifique poursuivie par l’opération envisagée. |
|
4 |
La pertinence, l’exactitude et la qualité des données collectées (Art 45) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement ; -les données doivent par ailleurs, être exactes et, si nécessaire, mises à jour ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées.
|
|
5 |
La temporalité ou la durée limitée de conservation des données (Art 68, 69 et 70) -La durée de conservation des données collectées doit être précisée ; -le principe de la conservation pendant une durée limitée impose de supprimer ou d’archiver les données sur support distinct protégé, dès qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
6 |
La sécurisation et la confidentialité des données (Art 64 et 66) Le responsable de traitement est astreint à une obligation de sécurisation et de confidentialité des données traitées. Aussi doit-il : -mettre en œuvre les mesures techniques et d’organisations appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
7 |
La transparence et le consentement des personnes concernées (Art 46 et 59) Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : -obtenir le consentement préalable des personnes concernées ; -informer, avant la collecte, les personnes concernées des caractéristiques essentielles du traitement (finalité du traitement, caractère obligatoire ou facultatif du recueil, destinataires des données collectées et droits consacrés à ces derniers au titre de la loi n°001/2011 du 25 septembre 2011) avant que les données ne soient communiquées pour la première fois à des tiers ou utilisées pour le compte de tiers à des fins de prospection ; -doit enfin, permettre le droit d’accès des personnes concernées. |
|
8 |
Le respect des droits des personnes concernées (Art 7, 10, 13 et 14) -Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données ; -les personnes concernées ont le droit : -d’avoir accès à leurs données auprès du responsable de traitement ; -de faire rectifier ou supprimer (ou verrouiller, le cas échéant) leurs données par le responsable de traitement en cas de traitement illégal ; -de s’opposer au traitement de leurs données, en cas de non-conformité de celui-ci aux dispositions de la loi. |
V- LES CARACTERISTIQUES DES DIFFERENTS TRAITEMENTS
Aux termes de la loi n°001/2011 du 25 septembre 2011, le transfert des données personnelles des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis puis, l’interconnexion des réseaux reposent sur des caractéristiques précises :
1.Les caractéristiques relatives au transfert des données personnelles des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis
Est considéré comme transfert des données personnelles, toute communication, copie ou déplacement des données personnelles ayant vocation à être traité dans un pays tiers.
Aux termes des conditions énoncées à l’article 94 de la loi n°001/2011 du 25 septembre 2011, les caractéristiques du transfert des données se déclinent ainsi qu’il suit :
-Sur la dénomination du traitement : transfert des données personnelles.
-Sur la finalité du traitement :
-la gestion des activités des clients et des employés dans le cadre d’une stratégie au niveau du groupe de centralisation d’activités ;
-le programme de surveillance des communications électroniques (centre de stockage au siège social du groupe).
-Sur la durée de conservation : les données des employés et des clients transférés vers l’Allemagne sont conservées pendant un (1) an ; celles des employés transférés vers les Etats-Unis sont conservées pendant un (1) an au terme du contrat de travail.
-Sur la nature des données : Citibank Gabon S.A collecte et traite les données suivantes :
a) Données transférées vers l’Allemagne
-Données des employés
-noms, prénoms et lieu de travail ;
-identifiant professionnel ;
-e-mail professionnel.
-Données des clients
-noms, prénoms, date et lieu de naissance et situation familiale ;
-adresse électronique ;
-numéro de téléphone ;
-informations bancaires ;
-numéro de carte bancaire.
b) Données transférées vers les Etats-Unis
-Données des employés
-noms, prénoms, catégorie d’employé, fonction, date de recrutement, date de cessation de travail, numéro d’identifiant du département et numéro d’identifiant du département local ;
-adresse postale ;
-adresse électronique ;
-numéro de téléphone ;
-numéro d’identifiant professionnel.
-Sur l’origine des données traitées : il s’agit des données des employés et des clients.
-Sur les destinataires des données : les données sont transférées vers l’Allemagne à Citibank N.A Germany, hernrichlanz-Allée 45, Frankfurt et vers les Etats-Unis à Citibank N.A, 388 Greenwich Street, New-York.
-Sur l’existence d’une autorité de protection : la République Fédérale d’Allemagne et les Etats-Unis sont respectivement dotés d’une autorité de protection des données personnelles dénommées « Der Hessische Datenschutzbeaufragte » et « Ferderal Trade Commission (FTC) ».
2.Les caractéristiques relatives à l’interconnexion des réseaux entre Citibank Gabon S.A et la Banque des Etats de l’Afrique Centrale
Aux termes de la loi n°001/2011 du 25 septembre 2011 susvisée, est considérée comme interconnexion des réseaux, tout mécanisme de connexion consistant en la mise en relation des données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement.
Aux termes des conditions énoncées à l’article 91 de la loi n°001/2011 du 25 septembre 2011, les caractéristiques de l’interconnexion des réseaux se déclinent ainsi qu’il suit :
-Sur la catégorie des données concernées par l’interconnexion auprès de Citibank Gabon S.A :
-noms et prénoms du donneur d’ordre ;
-noms et prénoms du bénéficiaire ;
-numéro de compte.
-Sur la finalité du traitement pour laquelle l’interconnexion est nécessaire : traitement des transactions sur la plateforme SYSTAC appartenant à la BEAC.
-Sur la durée de l’interconnexion : elle est relative à la finalité du traitement.
VI-OBSERVATIONS
Citibank Gabon S.A collecte et traite les données à caractère personnel dans le cadre de son activité bancaire. Elle sollicite le transfert des données personnelles des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis puis, l’interconnexion des réseaux avec la Banque des Etats de l’Afrique Centrale.
La Commission note que :
-S’agissant du transfert des données personnelles, la Commission constate que Citibank Gabon S.A transfère vers l’Allemagne à Citibank N.A Germany et selon la fréquence du cycle du projet
-ou de l’activité, le fichier dénommé Global Sanctions Screening Operating Model for Payments receivables contenant les données de ses employés et de ses clients, aux fins de gestion de leurs activités dans le cadre d’une stratégie au niveau du groupe de centralisation d’activités.
-De même, elle transfère quotidiennement vers les Etats-Unis, à Citibank New-York, le fichier ‘‘Total Conduct For Ecomm Deployment’’ contenant les données de ses employés, pour le programme de surveillance des communications électroniques.
-Les employés sont informés de l’enregistrement, du traitement de leurs données personnelles et ont donné leur consentement de manière libre et éclairé, lors de la signature du formulaire d’information et de consentement. Les clients quant à eux sont informés de l’enregistrement, du traitement de leurs données personnelles et y ont consenti, lors du renseignement et de la signature de l’imprimé de demande d’information d’ouverture de compte.
-Les employés et les clients disposent d’un droit d’accès, d’un droit de rectification, d’un droit de suppression et d’un droit d’opposition, à leurs données personnelles qui s’exercent auprès du Directeur de la Conformité.
-Concernant le traitement relatif à l’interconnexion des réseaux, Citibank Gabon S.A interconnecte son fichier clients avec la Banque des Etats de l’Afrique Centrale, pour le traitement des transactions sur la plateforme SYSTAC appartenant à la BEAC. Cette interconnexion repose sur une obligation légale notamment, le règlement n°02/03/CEMAC/UMAC/CM relatif aux systèmes, moyens et incidents de paiement.
-Par ailleurs, la durée de conservation des données des employés et des clients transférées vers l’Allemagne est d’un (1) an et celle relative aux données transférées vers les Etats-Unis est d’un (1) an au terme du contrat de travail. La durée de conservation relative à l’interconnexion des réseaux correspond à la finalité du traitement. Toutefois, aux termes des dispositions de l’article 68 de la loi n°001/2011 citée ci-dessus, la Commission rappelle que les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Aussi, conformément à la loi n°001/2011, le responsable de traitement remplit-il les conditions de licéité des différents traitements envisagés ainsi que les obligations de transparence, de confidentialité, de sécurité, de conservation et de pérennité.
En conséquence, la Commission conclut que les traitements des données personnelles relatifs au transfert des données des employés et des clients vers la République Fédérale d’Allemagne et les Etats-Unis puis, l’interconnexion des réseaux avec la Banque des Etats de l’Afrique Centrale, mis en œuvre par la société Citibank Gabon S.A, sont conformes à la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Pour chaque traitement sollicité, une autorisation de transfert des données et d’interconnexion des réseaux est délivrée à Citibank Gabon S.A pour une durée d’un (1) an.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d’Etat dans un délai de deux (2) mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 16 novembre 2022
Le Président
Joël Dominique LEDAGA