Journal Officiel
L’Autorité pour la Protection des Données Personnelles et de la Vie Privée (APDPVP), en sa séance plénière du 20 novembre 2023, composée de Joël Dominique LEDAGA, Président, Samuel MOUSSOUNDA IKAMOU, Vice-Président, Mesmin MONDJO EPENIT, Questeur, Steve SINGAULT NDINGA, Rapporteur, Marguerite LEYOUA ANGA épse LEKOGO, Rapporteur Adjoint, Marthe Denise AGANO ONGOTHA épse APLOGAN, Arsène LESSY MOUKANDJA, Jean Raymond ZASSI MIKALA et Désiré OSSAGA MADJOUE, tous Commissaires Permanents.
Vu la Charte de la Transition ;
Vu la Constitution du 26 mars 1991 ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communication électronique au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l’Etat ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication audiovisuelle-cinématographique et écrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la loi n°025/2021 du 28 décembre 2021 portant règlementation des transactions électroniques en République Gabonaise ;
Vu la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°027/2023 du 12 juillet 2023 portant règlementation de la cybersécurité et de la lutte contre la cybercriminalité en République Gabonaise ;
Vu le décret n°00029/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la décision du Conseil des Ministres du 12 juillet 2023 portant nomination du renouvellement des membres de l’Autorité pour la Protection des Données Personnelles et de la Vie Privée ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la déclaration de la Clinique de la Paix du 19 septembre 2023, portant traitements des données personnelles relatifs à la gestion du fichier du personnel et à la communication par transmission des données des employés vers le Cabinet SCHILO Consulting ;
Aux fins d’instruction, le Président de l’APDPVP a désigné le Commissaire Rapporteur sur le fondement de l’article 32 du règlement intérieur de la Commission et ses règles de procédures relatives aux formalités préalables et à la saisine.
Après l’avoir entendu en son rapport circonstancié, l’APDPVP examine et se prononce sur les points suivants :
I- L’IDENTIFICATION DU RESPONSABLE DE TRAITEMENT
-Dénomination sociale : CLINIQUE DE LA PAIX
-Adresse : Boîte postale : 12442, Charbonnages, rue du Camp de Gaulle, Libreville (Gabon)
-Domaine d’activité : Services médicaux
II- L’OBJET DE LA DECLARATION
La Clinique de la Paix a saisi l’APDPVP, le 19 septembre 2023, aux fins de délivrance d’un récépissé de déclaration relatif à la gestion du fichier du personnel et à la communication par transmission des données des employés vers le Cabinet SCHILO Consulting pour se conformer à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
III- LES ELEMENTS CONSTITUTIFS DE LA DECLARATION
Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
1- Les éléments relatifs à la gestion du fichier du personnel
-une fiche EXCEL ;
-un formulaire dûment rempli de déclaration
2- Les éléments relatifs à la communication par transmission des données des employés vers le Cabinet SCHILO CONSULTING
-un contrat de sous-traitance signé le 11 septembre 2023 ;
-une facture de paiement des honoraires du Cabinet SCHILO Consulting ;
-un sous-formulaire dûment rempli relatif à la transmission des données.
IV- LES FORMALITES PREALABLES A LA MISE EN ŒUVRE DES TRAITEMENTS ET LES PRINCIPES PREALABLES ET ESSENTIELS DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Sur le fondement de la loi n°025/2023 du 12 juillet 2023, relative à la protection des données à caractère personnel, la Clinique de la Paix sollicite la mise en œuvre de deux traitements des données personnelles qui obéissent à des conditions auxquelles sont attachés des principes préalables et essentiels en matière de protection des données personnelles.
A- DES CONDITIONS PREALABLES AUX DIFFERENTS TRAITEMENTS
Les dispositions des articles 78, 79 et 81 de la section II du chapitre III de la loi précitée, encadrent les opérations de traitement des données personnelles relatifs à la gestion du fichier des employés et à la communication par transmission des données des employés et énoncent que :
-Article 78 alinéa 1 : « Les traitements automatisés des données font l’objet d’une déclaration auprès de l’APDPVP, à l’exception des traitements mentionnés aux articles 80, 81 et 82 ou à l’article 111 de la présente loi ».
-Article 79 alinéas 1, 2, 3, 4, 5 et 6 : « La déclaration des traitements automatisés des données comporte l'engagement que le traitement satisfait aux exigences de la loi.
Elle est adressée à l’APDPVP par tout moyen de communication laissant trace.
Le responsable du traitement est tenu de notifier sans délai excessif, à tout le moins à l’Autorité de contrôle compétente, les violations des données susceptibles de porter gravement atteintes aux droits et libertés fondamentaux des personnes concernées.
L’APDPVP délivre, sans délai et par tout moyen laissant trace, un récépissé.
Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé.
La demande de récépissé doit être renouvelée à l’expiration de sa validité suivant les dispositions du règlement intérieur ».
-Article 81 alinéa 4 : « L’APDPVP se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son Président. Lorsque l’Autorité ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée ».
B- DU RAPPEL DES PRINCIPES PREALABLES ET ESSENTIELS EN MATIERE DE COLLECTE ET DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Il s’agit d’une transposition des garanties, des droits et libertés en matière de protection des données à caractère personnel et de la vie privée suivantes :
|
1 |
L’obligation de déclarer les traitements automatisés ou non Les organismes privés sont tenus de déclarer les traitements automatisés ou non des données personnelles auprès de l’APDPVP en cas de collecte, traitement, exploitation et usage des données à caractère personnel (art 78). |
|
2 |
L’obligation de se conformer aux contrôles et vérifications Les organismes privés sont tenus de se conformer aux contrôles et vérifications de l’APDPVP et de répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions (art 201 et 202). |
|
3
|
La protection des personnes concernées à l’égard de l’innovation technologique L’APDPVP veille au respect d’intérêt public tel qu’un niveau élevé de la sécurité et des droits fondamentaux, assurant ainsi la protection des consommateurs, des droits des utilisateurs et de la vie privée (art 175). |
|
4
|
La loyauté et la licéité du traitement Les données doivent être collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites, légitimes et non inhumaines ; elles doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies ; exactes, complètes et, si nécessaire, mises à jour. Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (art 70). |
|
5
|
La finalité du traitement Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (Art 70 tiret 2). |
|
6
|
La proportionnalité Les catégories des données collectées pour le traitement doivent être proportionnées c’est-à-dire pertinentes au regard de la finalité légitime poursuivie, et limité à ce qui est nécessaire au regard des intérêts, droits et libertés des personnes concernées ou de l’intérêt public (art 70 tiret 3). |
|
7
|
La pertinence, l’exactitude et la qualité des données collectées (Art 70 tiret 3, 4 et 5) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l’objet d’un traitement (art 70 tiret 3); -les données doivent par ailleurs, être exactes, complètes et, si nécessaire, mises à jour (art 70 tiret 4) ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées (art 70 tiret 5). |
|
8
|
La temporalité ou la durée limitée de conservation des données et la pérennité Le responsable de traitement est tenu de prendre toute mesure utile pour assurer la pérennité des données (art 118 al 1) ; - les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées (art 118 al 3) ; -le principe de la conservation pendant une durée limitée impose d’effacer ou d’archiver les données sur support distinct protégé, dès qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
9
|
La confidentialité et la sécurité des données Le responsable de traitement et le sous-traitant sont astreints à une obligation de confidentialité et de sécurité des données traitées. Aussi doivent-ils: - choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelles (art 111) ; - mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé (art 113) ; - veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
10
|
Le consentement des personnes concernées et la transparence Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : - obtenir le consentement préalable de la personne concernée (art 71) ; - permettre à la personne concernée de retirer son consentement à tout moment (art 73) ; - procéder à la communication des droits des personnes concernées (art 91 al 1) ; Enfin, l’information de la personne concernée doit être concise, transparente, compréhensible, aisément accessible et formulée en des termes clairs et simples (art 91 al 2). |
|
11
|
Le respect des droits des personnes concernées Toute personne a le droit d’obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données. La personne concernée a le droit : - d’avoir accès à ses données auprès du responsable de traitement (art 43) ; les patients peuvent eux même ou par l’intermédiaire d’un médecin exercer leur droit d’accès à leurs données de santé (art 46) ; -de faire rectifier, compléter ou clarifier, mettre à jour ou effacer leurs données par le responsable de traitement (art 50 à 53) ; -d’obtenir la limitation du traitement de ses données personnelles lorsque : -l’exactitude des données personnelles est contestée par la personne concernée ; -le traitement est illicite et la personne concernée s’oppose à l’effacement de ses données personnelles ; -le responsable du traitement n’a plus besoin des données personnelles aux fin du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; -la personne concernée s’est opposée au traitement des données personnelles la concernant dans l’attente de la vérification du motif légitime du responsable de traitement (art 55). -de recevoir les données la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine (art 58) ; -enfin, de s’opposer à tout moment, pour des raisons tenant à sa situation particulière au traitement des données la concernant (art 60), de s’opposer à une décision fondée exclusivement sur un traitement automatisé y compris le profilage (art 66). En ce qui concerne la protection de la personne concernée par l’innovation technologique, toute trace numérique qu’une personne laisse sur internet : pseudo, noms, images, vidéos, adresses IP, favoris, commentaires, doit en cas d’exploitation être soumis à un avis ou une autorisation délivrée par l’Autorité pour la Protection des Données Personnelles et la Vie Privée (art 175 à 187). |
|
12 |
La communication ou la transmission des données de santé Pour communiquer ou transmettre les données de santé, lorsque ces données permettent l’identification des personnes (patients) elles doivent être : -codées avant leur transmission lorsque le traitement des données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d’études coopératives nationales ou internationales (art 152) ; -communiquées sous la forme des statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées, lorsqu’il s’agit des données communiquées à des fins d’évaluation, ou d’analyse des pratiques ou activés de soins et de prévention (art 160). |
V- LES CARACTERISTIQUES DES DIFFERENTS TRAITEMENTS
Aux termes de la loi n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel, les traitements des données personnelles relatifs à la gestion du fichier du personnel et à la communication par transmission des données des employés, reposent sur des caractéristiques précises.
1) Le traitement des données personnelles relatif à la gestion du fichier du personnel
Aux termes de l’article 6 tiret 122 de la loi n°025/2023 sus-citée, est définit comme traitement des données personnelles, toute opération ou tout ensemble d’opérations effectuées à l’aide des procédés automatisés ou non et appliquées à des données ou à des ensembles des données personnelles.
Les articles 70 et suivants de la loi n°025/2023 susmentionnée énoncent les caractéristiques du traitement des données à caractère personnel relatives à la gestion du fichier du personnel :
-Sur la dénomination du traitement : traitement des données personnelles des employés.
-Sur la finalité du traitement : recrutement du personnel.
-Sur les catégories des personnes concernées : il s’agit uniquement des employés.
-Sur la nature des données : la Clinique de la Paix collecte et traite les données suivantes :
-noms, prénoms, date et lieu de naissance et situation familiale ;
-adresse ;
-adresse électronique ;
-numéro de téléphone ;
-curriculum vitae.
-Sur la durée de conservation des données : dix ans, non légale.
-Sur l’information et le consentement des personnes concernées : lors de la signature du contrat de travail.
-Sur le droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition : ils s’exercent auprès du Directeur.
2) Le traitement des données personnelles relatif à la communication par transmission des données des employés vers le Cabinet SCHILO CONSULTING
L’article 6 tiret 27 de la loi n°025/2023 du 12 juillet 2023 dispose que la communication par transmission des données est un mode de communication qui privilégie la transmission directe des données personnelles entre deux machines, un émetteur actif et un récepteur passif.
L’article 70 de la loi susmentionnée détermine les conditions de licéité du traitement des données personnelles relatives à la communication par transmission des données des employés vers le Cabinet SCHILO Consulting :
-Sur la dénomination du traitement : communication par transmission.
-Sur la finalité du traitement : traitement de la paie.
-Sur les catégories des personnes concernées : il s’agit des employés.
-Sur les catégories des données transmises : la Clinique de la Paix transmet les données suivantes :
-noms, prénoms, date et lieu de naissance, situation familiale, poste/fonction, nombre d’enfants, montant du salaire et date d’embauche ;
-numéro CNSS ;
-numéro CNAMGS.
-Sur le destinataire des données transmises : les données personnelles des employés sont transmises vers le Cabinet SCHILO CONSULTING, BP : 13919, derrière le Palais de Justice, Libreville/Gabon.
-Sur la durée de conservation des données transmises : un mois.
-Sur l’information et le consentement des personnes concernées : lors de l’entretien et après la signature du contrat de travail.
-Sur le droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition : ils s’exercent auprès du Directeur.
VI- OBSERVATIONS
La Clinique de la Paix collecte et traite les données personnelles dans le cadre de son activité de services médicaux. Elle sollicite la mise en œuvre des traitements des données personnelles relatifs à la gestion du fichier du personnel et à la communication par transmission des données des employés vers le Cabinet SCHILO Consulting.
L’APDPVP note que :
Sur le traitement relatif à la gestion du fichier du personnel :
Les données personnelles des employés sont collectées et traitées pour le recrutement et la gestion du personnel.
Les employés sont informés de la collecte, du traitement de leurs données personnelles et y ont consenti, lors de la signature du contrat de travail.
Les employés disposent d’un droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition à leurs données personnelles, qui s’exerce auprès du Directeur Général.
S’agissant du traitement relatif à la communication par transmission des données des employés :
La Clinique de la Paix transmet mensuellement par mail ou physiquement, le fichier dénommé ‘‘fichier du personnel’’ vers le Cabinet SCHILO Consulting, aux fins de traitement de la paie.
Le Cabinet SCHILO Consulting devient par conséquent un sous-traitant car, il traite les données pour le compte de la Clinique de la Paix. Conformément aux dispositions de l’article 112 de la loi n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel, SCHILO Consulting a les mêmes obligations que la Clinique de la Paix en matière de sécurité et de confidentialité des données.
-L’Autorité constate qu’en application de l’alinéa 4 de l’article 112 cité ci-dessus, un contrat liant le sous-traitant au responsable du traitement a été versé au dossier. Ce contrat comporte les obligations incombant au sous-traitant en matière de protection, de sécurité et de confidentialité des données et prévoit que lesous-traitant ne peut agir que sur instruction du responsable de traitement.
Les employés sont informés de l’enregistrement, du traitement de leurs données personnelles et y ont consenti, lors de l’entretien et de la signature du contrat de travail.
Les employés disposent d’un droit d’accès, de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données et d’opposition à leurs données personnelles, qui s’exerce auprès du Directeur.
-Que conformément à l’alinéa 2 de l’article 61 de la loi n°025/2023 du 12 juillet 2023 relative à la Protection des Données à Caractère Personnel,le droit d’opposition ne s’applique pas lorsque le traitement est d’ordre public ou répond à une obligation légale ou contractuelle.
La durée sollicitée de conservation des données relative à la gestion du fichier du personnel est de dix ans et celle relative à la communication par transmission des données des employés est d’un mois. Toutefois, l’Autorité rappelle que conformément aux dispositions de l’article 118 de la loi n°025/2023 du 12 juillet 2023 relative à Protection des Données à Caractère Personnel, « les données personnelles doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ».
-Que conformément aux dispositions des articles 119 et 120 de la loi citée ci-dessus, le responsable du traitement ou son représentant à l’obligation de tenir un registre des activités des traitements effectués sous sa responsabilité.
-L’APDPVP conclut que les traitements des données personnelles portant sur la gestion du fichier des employés et la communication par transmission des données des employés vers le Cabinet SCHILO Consulting, mis en œuvre par la Clinique de la Paix, sont conformes à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
Au vu de ce qui précède et après en avoir délibéré ;
D E C I D E :
Article 1er : Pour les traitements sollicités, un récépissé de déclaration est délivré à la CLINIQUE DE LA PAIX, pour une durée d’un an à compter de la date de notification.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 21 novembre 2023
Le Président
Joël Dominique LEDAGA