Journal Officiel
L’Autorité pour la Protection des Données Personnelles et de la Vie Privée (APDPVP), en sa séance plénière du 20 novembre 2023, composée de Joël Dominique LEDAGA, Président, Samuel MOUSSOUNDA IKAMOU, Vice-Président, Mesmin MONDJO EPENIT, Questeur, Steve SINGAULT NDINGA, Rapporteur, Marguerite LEYOUA ANGA épse LEKOGO, Rapporteur Adjoint, Marthe Denise AGANO ONGOTHA épse APLOGAN, Arsène LESSY MOUKANDJA, Jean Raymond ZASSI MIKALA et Désiré OSSAGA MADJOUE, tous Commissaires Permanents.
Vu la Charte de la Transition ;
Vu la Constitution du 26 mars 1991 ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communication électronique au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l’Etat ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication audiovisuelle-cinématographique et écrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la loi n°025/2021 du 28 décembre 2021 portant règlementation des transactions électroniques en République Gabonaise ;
Vu la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°027/2023 du 12 juillet 2023 portant règlementation de la cybersécurité et de la lutte contre la cybercriminalité en République Gabonaise ;
Vu le décret n°00029/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la décision du Conseil des Ministres du 12 juillet 2023 portant nomination du renouvellement des membres de l’Autorité pour la Protection des Données Personnelles et de la Vie Privée ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la délibération n°010/CNPDCP du 09 avril 2019 portant norme simplifiée n°002/2019 relative à l’exploitation des systèmes de vidéosurveillance et de télévidéosurveillance ;
Vu la déclaration de la Compagnie Aérienne AFRIJET BUSINESS SERVICE du 10 août 2023, portant traitements des données personnelles relatifs à la gestion des fichiers du personnel et des clients, au contrôle d’accès du personnel, à la communication par transmission des données des employés et leurs ayants droit à AXA GABON et à l’exploitation du système de la vidéosurveillance ;
Aux fins d’instruction, le Président de l’APDPVP a désigné le Commissaire Rapporteur sur le fondement de l’article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après l’avoir entendu en son rapport circonstancié, l’APDPVP examine et se prononce sur les points suivants :
I- L’IDENTIFICATION DU RESPONSABLE DE TRAITEMENT
-Dénomination sociale : AFRIJET BUSINESS SERVICE
-Adresse : Boîte postale : 10253, Zone d’Affaires de l’aéroport de Libreville (Gabon)
-Domaine d’activité : Transport Aérien
II- L’OBJET DE LA DECLARATION
La Compagnie Aérienne AFRIJET BUSINESS SERVICE a saisi l’APDPVP, le 10 août 2023, aux fins de délivrance d’un récépissé de déclaration relatif à la gestion des fichiers du personnel et des clients, au contrôle d’accès du personnel, à la communication par transmission des données des employés et leurs ayants droit à AXA GABON et à l’exploitation du système de la vidéosurveillance pour se conformer à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
III- LES ELEMENTS CONSTITUTIFS DE LA DECLARATION
Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1- Les éléments relatifs à la gestion des fichiers du personnel et des clients :
-une fiche technique du logiciel SAGE PAIE ;
-une fiche AEROCRS ;
-un formulaire dûment rempli de déclaration.
2- Les éléments relatifs au contrôle d’accès du personnel
-un sous-formulaire dûment rempli relatif au contrôle d’accès.
3- Les éléments relatifs à la communication par transmission des données des employés et leurs ayants droit vers AXA GABON
-un contrat commercial entre AFRIJET et AXA GABON ;
-un contrat de sous-traitance entre AFRIJET BUSINESS SERVICE et AXA GABON signé le 08 août 2023 ;
-un sous-formulaire dûment rempli relatif à la transmission des données.
4- Les éléments relatifs à l’exploitation du système de la vidéosurveillance :
-un listing des caméras de vidéosurveillance ;
-un sous-formulaire dûment rempli portant déclaration du système de la vidéosurveillance.
IV- LES FORMALITES PREALABLES A LA MISE EN ŒUVRE DES TRAITEMENTS ET LES PRINCIPES PREALABLES ET ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Sur le fondement de la loi modifiée n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel, AFRIJET BUSINESS SERVICE sollicite la mise en œuvre de quatre traitements des données à caractère personnel qui obéissent à des conditions auxquelles sont attachés des principes préalables et essentiels en matière de protection des données personnelles.
IV- DES CONDITIONS PREALABLES AUX DIFFERENTS TRAITEMENTS
Les dispositions des articles 78, 79 et 81 de la section II du chapitre III de la loi précitée, encadrent les opérations de traitement des données personnelles relatifs à la gestion des fichiers des employés et des clients, au contrôle d’accès du personnel, à la communication par transmission des données et à l’exploitation du système de la vidéosurveillance et énoncent que :
-Article 78 alinéa 1 : « Les traitements automatisés des données font l’objet d’une déclaration auprès de l’APDPVP, à l’exception des traitements mentionnés aux articles 80, 81 et 82 ou à l’article 111 de la présente loi ».
-Article 79 alinéas 1, 2, 3, 4, 5 et 6 : « La déclaration des traitements automatisés des données comporte l'engagement que le traitement satisfait aux exigences de la loi.
Elle est adressée à l’APDPVP par tout moyen de communication laissant trace.
Le responsable du traitement est tenu de notifier sans délai excessif, à tout le moins à l’Autorité de contrôle compétente, les violations des données susceptibles de porter gravement atteintes aux droits et libertés fondamentaux des personnes concernées.
L’APDPVP délivre, sans délai et par tout moyen laissant trace, un récépissé.
Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé.
La demande de récépissé doit être renouvelée à l’expiration de sa validité suivant les dispositions du règlement intérieur ».
-Article 81 alinéa 4 : « L’APDPVP se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son Président. Lorsque l’Autorité ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée ».
B- DU RAPPEL DES PRINCIPES PREALABLES ET ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s’agit d’une transposition des garanties, des droits et libertés en matière de protection des données à caractère personnel et de la vie privée suivantes :
|
1 |
L’obligation de déclarer les traitements automatisés ou non Les organismes privés sont tenus de déclarer les traitements automatisés ou non des données personnelles auprès de l’APDPVP en cas de collecte, traitement, exploitation et usage des données à caractère personnel (art 78). |
|
2 |
L’obligation de se conformer aux contrôles et vérifications Les organismes privés sont tenus de se conformer aux contrôles et vérifications de l’APDPVP et de répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions (art 201 et 202). |
|
3
|
La protection des personnes concernées à l’égard de l’innovation technologique L’APDPVP veille au respect d’intérêt public tel qu’un niveau élevé de la sécurité et des droits fondamentaux, assurant ainsi la protection des consommateurs, des droits des utilisateurs et de la vie privée (art 175). |
|
4
|
La loyauté et la licéité du traitement Les données doivent être collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites, légitimes et non inhumaines ; elles doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies ; exactes, complètes et, si nécessaire, mises à jour. Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (art 70). |
|
5
|
La finalité du traitement Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (Art 70 tiret 2). |
|
6
|
La proportionnalité Les catégories des données collectées pour le traitement doivent être proportionnées c’est-à-dire pertinentes au regard de la finalité légitime poursuivie, et limité à ce qui est nécessaire au regard des intérêts, droits et libertés des personnes concernées ou de l’intérêt public (art 70 tiret 3). |
|
7
|
La pertinence, l’exactitude et la qualité des données collectées (Art 70 tiret 3, 4 et 5) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement (art 70 tiret 3); -les données doivent par ailleurs, être exactes, complètes et, si nécessaire, mises à jour (art 70 tiret 4) ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées (art 70 tiret 5). |
|
8
|
La temporalité ou la durée limitée de conservation des données et la pérennité Le responsable de traitement est tenu de prendre toute mesure utile pour assurer la pérennité des données (art 118 al 1) ; - les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées (art 118 al 3) ; -le principe de la conservation pendant une durée limitée impose d’effacer ou d’archiver les données sur support distinct protégé, dès qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
9
|
La confidentialité et la sécurité des données Le responsable de traitement et le sous-traitant sont astreints à une obligation de confidentialité et de sécurité des données traitées. Aussi doivent-ils: - choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelles (art 111) ; -mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé (art 113) ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
10
|
Le consentement des personnes concernées et la transparence Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : - obtenir le consentement préalable de la personne concernée (art 71) ; - permettre à la personne concernée de retirer son consentement à tout moment (art 73) ; - procéder à la communication des droits des personnes concernées (art 91 al 1) ; Enfin, l’information de la personne concernée doit être concise, transparente, compréhensible, aisément accessible et formulée en des termes clairs et simples (art 91 al 2). |
|
11
|
Le respect des droits des personnes concernées Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données. La personne concernée a le droit : - d’avoir accès à ses données auprès du responsable de traitement (art 43) ; les patients peuvent eux même ou par l’intermédiaire d’un médecin exercer leur droit d’accès à leurs données de santé (art 46) ; -de faire rectifier, compléter ou clarifier, mettre à jour ou effacer leurs données par le responsable de traitement (art 50 à 53) ; -d’obtenir la limitation du traitement de ses données personnelles lorsque : -l’exactitude des données personnelles est contestée par la personne concernée ; -le traitement est illicite et la personne concernée s’oppose à l’effacement de ses données personnelles ; -le responsable du traitement n’a plus besoin des données personnelles aux fin du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; -la personne concernée s’est opposée au traitement des données personnelles la concernant dans l’attente de la vérification du motif légitime du responsable de traitement (art 55). -de recevoir les données la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine (art 58) ; -enfin, de s’opposer à tout moment, pour des raisons tenant à sa situation particulière au traitement des données la concernant (art 60), de s’opposer à une décision fondée exclusivement sur un traitement automatisé y compris le profilage (art 66). En ce qui concerne la protection de la personne concernée par l’innovation technologique, toute trace numérique qu’une personne laisse sur internet : pseudo, noms, images, vidéos, adresses IP, favoris, commentaires, doit en cas d’exploitation être soumis à un avis ou une autorisation délivrée par l’Autorité pour la Protection des Données Personnelles et la Vie Privée (art 175 à 187). |
|
12 |
La communication ou la transmission des données de santé Pour communiquer ou transmettre les données de santé, lorsque ces données permettent l’identification des personnes (patients) elles doivent être : -codées avant leur transmission lorsque le traitement des données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d’études coopératives nationales ou internationales (art 152) ; -communiquées sous la forme des statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées, lorsqu’il s’agit des données communiquées à des fins d’évaluation, ou d’analyse des pratiques ou activés de soins et de prévention (art 160). |
|
13 |
Les obligations spécifiques en matière de vidéosurveillance et de télévidéosurveillance (art 7 de la Norme Simplifiée n°002) a) Informer les usagers -Le responsable des systèmes de vidéosurveillance et de télévidéosurveillance est tenu d’informer le public, qu’il se trouve dans un lieu sous vidéosurveillance ou télévidéosurveillance. Il s’engage à mettre en place un dispositif de signalisation dans chaque zone équipée de caméras implantée de façon à être vue par le public ; -Le public qui le souhaite doit être informé du nom du responsable du traitement, du nom du destinataire des images et des modalités d’exercice du droit des personnes notamment, le droit d’accès aux images et le droit de suppression. b) Informer le personnel de l’entreprise -L’installation des caméras sur les lieux de travail n’est légale que si elle est justifiée par des impératifs de sécurité et non pour surveiller l’activité des salariés ; -Par ailleurs, les salariés doivent être prévenus de la mise en place d’une vidéosurveillance et/ou télévidéosurveillance ; -Les représentants du personnel sont préalablement informés et consultés sur les moyens techniques permettant un contrôle de l’activité des salariés. |
V- LES CARACTERISTIQUES DES DIFFERENTS TRAITEMENTS
Aux termes de la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel, les traitements des données personnelles relatifs à la gestion des fichiers du personnel et des clients, au contrôle d’accès du personnel, à la communication par transmission des données des employés et à l’exploitation du système de la vidéosurveillance, reposent sur des caractéristiques précises.
1-Le traitement des données personnelles relatif à la gestion des fichiers du personnel et des clients
Aux termes de l’article 6 tiret 122 de la loi n°025/2023 sus-citée, est définit comme traitement des données personnelles, toute opération ou tout ensemble d’opérations effectuées à l’aide des procédés automatisés ou non et appliquées à des données ou à des ensembles des données personnelles.
L’article 70 de la loi susmentionnée énonce les caractéristiques du traitement des données à caractère personnel relatives à la gestion des fichiers du personnel et des clients :
-Sur la dénomination du traitement : traitement des données personnelles des employés et des clients.
-Sur la finalité du traitement :
-calcul des salaires ;
-gestion clientèle.
-Sur les catégories des personnes concernées : il s’agit des employés et les clients.
-Sur la nature des données : AFRIJET BUSINESS SERVICE collecte et traite les données suivantes :
-Données des employés
-nom, prénom, date et lieu de naissance et situation familiale ;
-adresse ;
-numéro de téléphone ;
-copie pièce d’identité ;
-photo ;
-curriculum vitae ;
-informations bancaires.
-Données des clients
-noms, prénom, date et lieu de naissance ;
-adresse ;
-numéro de téléphone.
-Sur la durée de conservation des données : dix ans pour les employés et un an pour les clients.
-Sur l’information et le consentement des personnes concernées : lors de la signature du contrat de travail pour les employés et lors de l’émission du billet pour les clients.
-Sur le droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition : ils s’exercent auprès du Responsable Juridique.
2) Le traitement des données personnelles relatif au contrôle d’accès du personnel
Le contrôle d’accès désigne les différents aspects techniques qui permettent de sécuriser et gérer les accès physiques à un bâtiment ou un site, ou les accès logiques à un système d’information.
Le traitement relatif au contrôle d’accès repose sur des exigences légales et techniques. Ces exigences concernent l’analyse des aspects techniques et juridiques.
a)L’analyse des aspects techniques du dispositif
AFRIJET BUSINESS SERVICE à travers le sous-formulaire relatif au contrôle d’accès renseigne sur :
-La localisation du dispositif du contrôle d’accès :
-Déploiement du dispositif : un (01) lecteur disposé à l’étage du Terminal.
-Les caractéristiques et fonctionnalités du dispositif du contrôle d’accès :
-Origine et nature du matériel utilisé : 2 D-Software, 18 allée des Fourmis.
-Nom du modèle du matériel utilisé : Automate NET4. -Nom du capteur (optique, capacitif) et marque utilisés : lecteur HD.
-Enrôlement et effacement des données :
-enrôlement : noms, prénoms, nationalité, sexe et numéro matricule ;
-effacement : automatique après un an.
-Modalités de stockage des gabarits ou des données brutes : les données sont stockées sur un composant matériel dédié.
-Nombre de gabarits ou données brutes traités par personne : noms, prénoms, nationalité, sexe et numéro matricule.
b) L’analyse des aspects juridiques du contrôle d’accès
Les articles 70 et suivants de la loi susmentionnée déterminent les conditions de licéité du traitement des données personnelles et énoncent les fondements juridiques :
-Sur la dénomination du traitement : contrôle d’accès.
-Sur la finalité du traitement : sécurité et contrôle d’accès aux locaux.
-Sur les catégories des données enregistrées : le dispositif enregistre les données suivantes :
-nom, prénom, nationalité et sexe ;
-numéro de matricule.
-Sur les catégories des personnes concernées : il s’agit uniquement du personnel.
-Sur la durée de conservation des données enregistrées : elle est relative à la durée du contrat de travail.
-Sur les destinataires ou catégories des destinataires habilités à recevoir communication de ces données : aucun destinataire.
-Sur l’information et le consentement des personnes concernées : lors de la signature du contrat de travail.
-Sur les droits d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition : ils s’exercent auprès du Responsable Juridique.
3) La communication par transmission des données personnelles des employés et leurs ayants droit vers AXA GABON
L’article 6 tiret 27 de la loi n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel dispose que la communication par transmission des données est un mode de communication qui privilégie la transmission directe des données personnelles entre deux machines, un émetteur actif et un récepteur passif.
Les articles 70 et suivants de la loi susmentionnée déterminent les conditions de licéité du traitement des données à caractère personnel relatives à la communication par transmission des données des employés et leurs ayants droit à AXA GABON :
-Sur la dénomination du traitement : communication par transmission.
-Sur la finalité du traitement : affiliation à l’assurance santé des employés et leurs ayants droit.
-Sur les catégories des personnes concernées : il s’agit des employés et leurs ayants droit.
-Sur les catégories des données personnelles transmises : AFRIJET BUSINESS SERVICE transmet les données des employés et des ayants droit suivantes :
-nom, prénom et date de naissance
-Sur les destinataires des données transmises : les données des employés et leurs ayants droit sont transmises à AXA GABON, BP : 1935, Boulevard de l’Indépendance, Libreville/Gabon.
-Sur la durée de conservation des données transmises : un an.
-Sur l’information et le consentement des personnes concernées : lors de la signature du formulaire de souscription AXA.
-Sur le droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition : ils s’exercent auprès du Responsable Juridique.
4) Le traitement des données personnelles relatif à l’exploitation du système de la vidéosurveillance
L’article 6 tiret 131 de la loi n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel définit la vidéosurveillance comme tout système de caméras et de transmission d’images permettant de surveiller ou d’enregistrer sur place ou à distance des lieux publics ou privés.
Le traitement relatif à l’exploitation du système de la vidéosurveillance repose sur des exigences techniques et juridiques.
a) L’analyse des aspects techniques du système de la vidéosurveillance
AFRIJET BUSINESS SERVICE à travers le sous-formulaire relatif à la déclaration du système de la vidéosurveillance renseigne sur :
-La localisation du système :
-lieu d’installation du système de la vidéosurveillance : terminal AFRIJET sise à la zone d’affaires de l’aéroport Internationale Léon MBA.
-nature de l’environnement sous surveillance : immeuble, bureaux et le terminal privé AFRIJET.
-emplacement des caméras : intérieur et extérieur des bâtiments.
-caractéristiques des espaces : ouverts et non-ouverts au public.
-nombre de caméras : Vingt (20) caméras installées.
-espaces visualisés : réserve catering, deux (02) caméras ; cuisine, une (01) caméra ; agence vente, une (01) caméra ; poste d’inspection frontière, deux (02) caméras ; salle d’enregistrement, une (01) caméra, sortie personnel, une (01) caméra ; bureau IT, une (01) caméra , salon VIP, une (01) caméra ; sortie agence, une (01) caméra ; entrée AFRIJET, une (01) caméra ; salle d’embarquement, une (01) caméra ; checking, une (01) caméra ; bureau de vente, une (01) caméra ; tarmac, trois (03) caméras ; bagages, une (01) caméra.
-Les caractéristiques et fonctionnalités du système :
-visualisation des images : en temps réel avec prise de son.
-enregistrement : en continu.
-nature de l’enregistreur : numérique.
-liaison et réseau : Intranet, Internet et LAN.
-La sécurité du traitement :
-identité des personnes habilitées à accéder aux images : l’Administrateur Général.
-mesures prises pour contrôler l’accès au poste central de surveillance : local surveillé et fermé.
-mesures de sécurité prises pour la sauvegarde et la protection des enregistrements : mot de passe.
-mesures prises pour la suppression des enregistrements : suppression automatique.
b) Le fondement juridique du système de la vidéosurveillance
-Sur la dénomination du traitement : vidéosurveillance.
-Sur la finalité du traitement : la sécurité des personnes et des biens.
-Sur la catégorie des données collectées : exclusivement les images avec prise de son.
-Sur la durée de conservation des images : sept jours.
-Sur l’information des personnes concernées : par des affiches à l’entrée principale indiquant que ‘‘la structure est placée sous vidéosurveillance’’.
-Sur le droit d’accès : il s’exerce auprès de l’Informaticien.
VI- OBSERVATIONS
La Compagnie Aérienne AFRIJET BUSINESS SERVICE collecte et traite les données personnelles dans le cadre de son activité commerciale notamment, le transport aérien. Elle sollicite la mise en œuvre des traitements des données personnelles relatifs à la gestion des fichiers du personnel et des clients, au contrôle d’accès du personnel, à la communication par transmission des données des employés et leurs ayants droit vers AXA GABON et à l’exploitation du système de la vidéosurveillance.
L’APDPVP note que :
Sur le traitement relatif à la gestion des fichiers du personnel et des clients :
Les données personnelles des employés et des clients sont collectées et traitées aux fins de traitement de la paie des salariés et de la vente des billets aux clients.
Les employés sont informés de la collecte, du traitement de leurs données personnelles et y ont consenti de manière libre et éclairé, lors de la signature du contrat de travail. Les clients quant à eux sont informés de la collecte, du traitement de leurs données personnelles et ont donné leur accord, lors de l’émission du billet.
Les employés et les clients disposent d’un droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition à leurs données personnelles, qui s’exerce auprès du Responsable Juridique.
S’agissant du traitement relatif à la communication par transmission des données des employés et leurs ayants droit :
AFRIJET BUSINESS SERVICE transmet annuellement par courrier, le fichier dénommé ‘‘fichier du personnel et de leurs ayants droit’’ à AXA GABON, aux fins de souscription à l’assurance santé.
AXA GABON devient par conséquent un sous-traitant car, il traite les données pour le compte d’AFRIJET BUSINESS SERVICE. Conformément aux dispositions de l’article 112 de la loi n°025/2023 précitée, AXA GABON a les mêmes obligations qu’AFRIJET BUSINESS SERVICE en matière de sécurité et de confidentialité des données.
-L’Autorité constate qu’en application de l’alinéa 4 de l’article 112 cité ci-dessus, un contrat liant le sous-traitant au responsable du traitement a été versé au dossier. Ce contrat comporte les obligations incombant au sous-traitant en matière de protection, de sécurité et de confidentialité des données et prévoit que lesous-traitant ne peut agir que sur instruction du responsable du traitement.
Les employés et leurs ayants droit sont informés de l’enregistrement, du traitement de leurs données personnelles et ont donné leur consentement, lors de la signature du formulaire de souscription AXA GABON.
Les employés et leurs ayants droit disposent d’un droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition à leurs données personnelles, qui s’exerce auprès du Responsable Juridique.
S’agissant du traitement relatif au contrôle d’accès du personnel :
Les employés sont informés de l’enregistrement, du traitement de leurs données personnelles et y ont consenti, lors de la signature du contrat de travail.
Les employés disposent d’un droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition à leurs données personnelles, qui s’exerce auprès du Responsable Juridique.
-Que conformément à l’alinéa 2 de l’article 61 de la loi n°025/2023 du 12 juillet 2023, le droit d’opposition ne s’applique pas lorsque le traitement est d’ordre public ou répond à une obligation légale ou contractuelle.
Les données personnelles des salariés préalablement collectées par le lecteur HD ont pour but la sécurité et le contrôle d’accès aux locaux. Le recours à l’utilisation de ce dispositif permet un contrôle complet et sécurisé, plus fiable que le contrôle manuel.
Pour ce qui est du traitement relatif à l’exploitation du système de la vidéosurveillance :
Les employés et les usagers sont informés de l’existence dudit système par des affiches à l’entrée principale indiquant que la structure est placée sous vidéosurveillance.
L’Informaticien a accès aux images enregistrées.
-L’Autorité rappelle que l’installation des caméras sur les lieux de travail est justifiée par des impératifs de sécurité et non pour surveiller l’activité des salariés.
La durée sollicitée de conservation des données relative à la gestion des fichiers du personnel et des clients est de dix ans pour le personnel et un an pour les clients ; celle relative au contrôle d’accès correspond à la durée du contrat de travail. La durée de conservation des données liées à la communication par transmission des données des employés et leurs ayants droit est d’un an. Les images enregistrées par le système de la vidéosurveillance sont conservées pendant sept jours. Toutefois, l’Autorité rappelle que conformément aux dispositions de l’article 118 de la loi n°025/2023 du 12 juillet 2023 relative à la Protection des Données Personnelles, « les données personnelles doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ».
-Que conformément aux dispositions des articles 119 et 120 de la loi citée ci-dessus, le responsable du traitement ou son représentant a l’obligation de tenir un registre des activités des traitements effectués sous sa responsabilité.
-L’APDPVP conclut que les traitements des données personnelles portant sur la gestion des fichiers des employés et des clients, le contrôle d’accès du personnel, la communication par transmission des données des employés et leurs ayants droit à AXA GABON et l’exploitation du système de la vidéosurveillance, mis en œuvre par la Compagnie Aérienne AFRIJET BUSINESS SERVICE, sont conformes à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25septembre 2011 relative à la Protection des Données à Caractère Personnel et à la Norme y relative.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Pour les traitements sollicités, un récépissé de déclaration est délivré à la Compagnie Aérienne AFRIJET BUSINESS SERVICE pour une durée d’un an à compter de la date de notification.
Article 2 : La délibération n°010/CNPDCP du 09 avril 2019 portant Norme Simplifiée n°002 relative à l’exploitation des systèmes de vidéosurveillance et de télévidéosurveillance est annexée à la présente déclaration.
Article 3 : La présente délibération est susceptible de recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
Article 4 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise
Fait à Libreville, le 21 novembre 2023
Le Président
Joël Dominique LEDAGA