Journal Officiel
L'Autorité pour la Protection des Données Personnelles et de la Vie Privée (APDPVP), en sa séance plénière du 10 octobre 2024, composée de Joël Dominique LEDAGA, Président, Samuel MOUSSOUNDA IKAMOU, Vice-président, Mesmin MONDJO EPENIT, Questeur, Steve SINGAULT NDINGA, Rapporteur, Marguerite LEYOUA ANGA épse LEKOGO, Rapporteur adjoint, Marthe Denise AGANO ONGOTHA épse APLOGAN, Arsène LESSY MOUKANDJA, Désiré OSSAGA MADJOUE et Jean Raymond ZASSI MIKALA. Tous, Commissaires Permanents.
Vu la Charte de la Transition ;
Vu la loi n°3/91 du 26 mars 1991 portant Constitution de la République Gabonaise ;
Vu la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs de réseaux et de services de communication électronique au sein de la CEMAC ;
Vu la loi n°14/2005 du 08 août 2005 portant Code de Déontologie de la Fonction Publique ;
Vu la loi n°20/2005 du 03 janvier 2006 fixant les règles de création, d'organisation et de gestion des services de l'Etat, ensemble les textes modificatifs subséquents ;
Vu la loi n°19/2016 du 09 août 2016 portant Code de la Communication Audiovisuelle-Cinématographique et Ecrite en République Gabonaise, ensemble les textes modificatifs subséquents ;
Vu la loi n°006/2020 du 30 juin 2020 portant Code Pénal de la République Gabonaise ;
Vu la loi n°025/2021 du 28 décembre 2021 portant réglementation des transactions électroniques en République Gabonaise ;
Vu la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la protection des données à caractère personnel ;
Vu la loi n°027/2023 du 12 juillet 2023 portant règlementation de la cybersécurité et de la lutte contre la cybercriminalité en République Gabonaise ;
Vu le décret n°00029/PR/MRICAAI du 18 mars 2020 portant réorganisation du Secrétariat Général de la Commission Nationale pour la Protection des Données à Caractère Personnel ;
Vu la décision du Conseil des Ministres du 12 juillet 2023 portant nomination et renouvellement des membres de l'Autorité pour la Protection des Données Personnelles et de la Vie Privée ;
Vu la délibération n°001/APDPVP du 06 septembre 2023 portant élection du bureau de l'Autorité pour la Protection des Données Personnelles et de la Vie Privée ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la délibération n°001/2018 du 16 juillet 2018 portant règlement intérieur de la Commission Nationale pour la Protection des Données à Caractère Personnel, déclarée conforme à la Constitution par décision n°255bis/CC du 13 décembre 2018 ;
Vu la délibération n°010/CNPDCP du 09 avril 2019 portant Norme Simplifiée n°002 relative à l'exploitation des systèmes de vidéosurveillance et de télévidéosurveillance ;
Vu la déclaration de la société Gabon Special Economic Zone Airport S.A (GSEZ AIRPORT S.A) du 09 août 2024, portant traitement des données personnelles relatifs à la gestion des fichiers du personnel et des clients ;
Aux fins d'instruction, le Président de l'APDPVP a désigné un Commissaire Rapporteur sur le fondement de l'article 32 du règlement intérieur de l'Autorité et ses règles de procédures relatives aux formalités préalables et à la saisine ;
Après l'avoir entendu en son rapport circonstancié l'APDPVP examine et se prononce sur les points suivants :
I- L'IDENTIFICATION DU RESPONSABLE DU TRAITEMENT
-Dénomination sociale : GABON SPECIAL ECONOMIC ZONE AIRPORT S.A (GSEZ AIRPORT S.A) ;
-Adresse : Boîte Postale 1024, Boulevard Triomphal, Galeries TSIKA, Libreville (Gabon) ;
-Domaine d'activité : Gestion de l'Aéroport International Léon MBA.
II- L'OBJET DE LA DÉCLARATION
GABON SPECIAL ECONOMIC ZONE AIRPORT S.A (GSEZ AIRPORT S.A) a saisi l'APDPVP, le 09 août 2024, aux fins de renouvellement et de délivrance du récépissé de déclaration relatif à la gestion des fichiers du personnel et des clients pour se conformer à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel.
III- LES ÉLÉMENTS CONSTITUTIFS DE LA DÉCLARATION
Au soutien de sa déclaration, le responsable du traitement a fourni un dossier comportant les éléments justificatifs suivants :
-une lettre adressée à l'APDPVP ;
-un formulaire dûment renseigné de déclaration ;
-un formulaire dûment renseigné portant renouvellement du traitement déclaré.
IV- LES FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE DES TRAITEMENTS ET LES PRINCIPES PRÉALABLES ET ESSENTIELS DE LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Sur le fondement de la loi n°025/2023 du 12 juillet 2023 relative à la protection des données à caractère personnel, GSEZ AIRPORT S.A sollicite la mise en œuvre d'un traitement des données personnelles qui obéit à des conditions auxquelles sont attachés des principes préalables et essentiels en matière de protection des données personnelles.
A- DES CONDITIONS PRÉALABLES À LA GESTION DES FICHIERS DU PERSONNEL ET DES CLIENTS
Les dispositions des articles 78, 79 et 81 de la section II du chapitre III de la loi précitée, encadrent l'opération de traitement des données personnelles relatif à la gestion des fichiers du personnel et des clients et énoncent que :
-Article 78 alinéa 1 : « Les traitements automatisés des données font l'objet d'une déclaration auprès de l'APDPVP, à l'exception des traitements mentionnés aux articles 80, 81 et 82 ou à l'article 111 de la présente loi ».
-Article 79 alinéas 1, 2, 3, 4, 5 et 6 : « La déclaration des traitements automatisés des données comporte l'engagement que le traitement satisfait aux exigences de la loi.
Elle est adressée à l'APDPVP par tout moyen de communication laissant trace.
Le responsable du traitement est tenu de notifier sans délai excessif, à tout le moins à l'Autorité de contrôle compétente, les violations des données susceptibles de porter gravement atteintes aux droits et libertés fondamentaux des personnes concernées.
L'APDPVP délivre, sans délai et par tout moyen laissant trace, un récépissé.
Le demandeur peut mettre en œuvre le traitement dès réception de ce récépissé.
La demande de récépissé doit être renouvelée à l'expiration de sa validité suivant les dispositions du règlement intérieur ».
Article 81 alinéa 4 : « L'APDPVP se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois ; ce délai peut être renouvelé une fois sur décision motivée de son Président. Lorsque l'Autorité ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée ».
B- DU RAPPEL DES PRINCIPES PRÉALABLES ET ESSENTIELS EN MATIÈRE DE COLLECTE ET DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Il s'agit d'une transposition des garanties des droits et libertés en matière de protection des données à caractère personnel et de la vie privée suivantes :
|
1
|
L'obligation de déclarer les traitements automatisés ou non Les organismes privés sont tenus de déclarer les traitements automatisés ou non des données personnelles auprès de l'APDPVP en cas de collecte, traitement, exploitation et usage des données à caractère personnel (art 78). |
|
2 |
L'obligation de se conformer aux contrôles et vérifications Les organismes privés sont tenus de se conformer aux contrôles et vérifications de l'APDPVP et de répondre à toute demande de renseignements qu'elle formule dans le cadre de ses missions (art 201 et 202). |
|
3
|
La protection des personnes concernées à l'égard de l'innovation technologique L'APDPVP veille au respect d'intérêt public tel qu'un niveau élevé de la sécurité et des droits fondamentaux, assurant ainsi la protection des consommateurs, des droits des utilisateurs et de la vie privée (art 175). |
|
4
|
La loyauté et la licéité du traitement Les données doivent être collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites, légitimes et non inhumaines ; elles doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies ; exactes, complètes et, si nécessaire, mises à jour. Les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (art 70). |
|
5
|
La finalité du traitement Les données doivent être collectées pour des finalités déterminées, explicites, légitimes et non inhumaines et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (art 70 tiret 2). |
|
6
|
La proportionnalité Les catégories des données collectées pour le traitement doivent être proportionnées c'est-à-dire pertinentes au regard de la finalité légitime poursuivie, et limité à ce qui est nécessaire au regard des intérêts, droits et libertés des personnes concernées ou de l'intérêt public (art 70 tiret 3). |
|
7
|
La pertinence, l'exactitude et la qualité des données collectées (art 70 tiret 3, 4 et 5) -Seules les données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement peuvent faire l'objet d'un traitement (art 70 tiret 3) ; -les données doivent par ailleurs, être exactes, complètes et, si nécessaire, mises à jour (art 70 tiret 4) ; -les données inexactes ou incomplètes doivent être effacées ou rectifiées (art 70 tiret 5). |
|
8
|
La temporalité ou la durée limitée de conservation des données et la pérennité Le responsable de traitement est tenu de prendre toute mesure utile pour assurer la pérennité des données (art 118 al 1) ; -les données doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées (art 118 al 3) ; -le principe de la conservation pendant une durée limitée impose d'effacer ou d'archiver les données sur support distinct protégé, dès qu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; -les exceptions aux principes de la conservation pendant une durée limitée doivent être définies par la législation et requièrent des garanties spéciales pour la protection des données concernées. |
|
9
|
La confidentialité et la sécurité des données Le responsable de traitement et le sous-traitant sont astreints à une obligation de confidentialité et de sécurité des données traitées. Aussi doivent-ils : -choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d'intégrité personnelles (art 111) ; -mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles collectées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé (art 113) ; -veiller à préserver et à garantir la confidentialité desdites données et éviter leur divulgation. |
|
10
|
Le consentement des personnes concernées et la transparence Avant la mise en œuvre de tout traitement des données à caractère personnel, le responsable de traitement doit : -obtenir le consentement préalable de la personne concernée (art 71) ; -permettre à la personne concernée de retirer son consentement à tout moment (art 73) ; -procéder à la communication des droits des personnes concernées (art 91 al 1) ; Enfin, l'information de la personne concernée doit être concise, transparente, compréhensible, aisément accessible et formulée en des termes clairs et simples (art 91 al 2). |
|
11
|
Le respect des droits des personnes concernées Toute personne a le droit d'obtenir du responsable de traitement la confirmation que celui-ci traite ou non ses données. La personne concernée a le droit : -d'avoir accès à ses données auprès du responsable de traitement (art 43) ; les patients peuvent eux même ou par l'intermédiaire d'un médecin exercer leur droit d'accès à leurs données de santé (art 46) ; -de faire rectifier, compléter ou clarifier, mettre à jour ou effacer leurs données par le responsable de traitement (art 50 à 53) ; -d'obtenir la limitation du traitement de ses données personnelles lorsque : -l'exactitude des données personnelles est contestée par la personne concernée ; -le traitement est illicite et la personne concernée s'oppose à l'effacement de ses données personnelles ; -le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ; -la personne concernée s'est opposée au traitement des données personnelles la concernant dans l'attente de la vérification du motif légitime du responsable de traitement (art 55). -de recevoir les données la concernant qu'elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine (art 58) ; -enfin, de s'opposer à tout moment, pour des raisons tenant à sa situation particulière au traitement des données la concernant (art 60), de s'opposer à une décision fondée exclusivement sur un traitement automatisé y compris le profilage (art 66). En ce qui concerne la protection de la personne concernée par l'innovation technologique, toute trace numérique qu'une personne laisse sur internet : pseudo, noms, images, vidéos, adresses IP, favoris, commentaires, doit en cas d'exploitation être soumis à un avis ou une autorisation délivrée par l'Autorité pour la Protection des Données Personnelles et la Vie Privée (art 175 à 187). |
|
12 |
Les obligations d'informations en matière de vidéosurveillance et de télévidéosurveillance (art 7 de la Norme Simplifiée n°002) a) Informer les usagers -Le responsable des systèmes de vidéosurveillance et de télévidéosurveillance est tenu d'informer le public, qu'il se trouve dans un lieu sous vidéosurveillance ou télévidéosurveillance. Il s'engage à mettre en place un dispositif de signalisation dans chaque zone équipée de caméras implantée de façon à être vue par le public ; -Le public qui le souhaite doit être informé du nom du responsable du traitement, du nom du destinataire des images et des modalités d'exercice du droit des personnes notamment, le droit d'accès aux images et le droit de suppression. b) Informer le personnel de l'entreprise -L'installation des caméras sur les lieux de travail n'est légale que si elle est justifiée par des impératifs de sécurité et non pour surveiller l'activité des salariés ; Par ailleurs, les salariés doivent être prévenus de la mise en place d'une vidéosurveillance et/ou télévidéosurveillance ; -Les représentants du personnel sont préalablement informés et consultés sur les moyens techniques permettant un contrôle de l'activité des salariés. |
V- LES CARACTÉRISTIQUES DU TRAITEMENT DES DONNÉES PERSONNELLES RELATIF À LA GESTION DES FICHIERS DU PERSONNEL ET DES CLIENTS
Aux termes de l'article 6 tiret 122 de la loi n°025/2023 sus-citée, est défini comme traitement des données personnelles, toute opération ou tout ensemble d'opérations effectuées à l'aide des procédés automatisés ou non et appliquées à des données ou à des ensembles des données personnelles.
Les articles 70 et suivants de la loi susmentionnée énoncent les conditions de licéité du traitement des données à caractère personnel relatives à la gestion des fichiers du personnel et des clients :
-Sur la dénomination du traitement : traitement des données personnelles des employés et des clients.
-Sur la finalité du traitement : gestion du personnel et des clients.
-Sur les catégories des personnes concernées : il s'agit des employés et des clients.
-Sur la nature des données : GSEZ AIRPORT S.A collecte et traite les données suivantes des employés et des clients :
-Données du personnel
-noms, prénoms, date et lieu de naissance et situation familiale ;
-adresse ;
-numéro de téléphone ;
-photo ;
-curriculum vitae.
-Données des clients
-noms, prénoms, date et lieu de naissance ;
-adresse ;
-numéro de téléphone ;
-photos.
-Sur la durée de conservation des données : dix ans.
-Sur l'information et le consentement des personnes concernées : lors de la signature du contrat de travail, pour les employés et lors de la remise de la carte d'abonnement, pour les clients.
-Sur le droit d'accès, de rectification, à l'effacement, à la limitation du traitement, à la portabilité des données et d'opposition : ils s'exercent auprès du Directeur Général.
VI- OBSERVATIONS
La société GABON SPECIAL ECONOMIC ZONE AIRPORT S.A (GSEZ AIRPORT S.A) collecte et traite les données personnelles dans le cadre de son activité notamment, la gestion de l'Aéroport International Léon MBA. Elle sollicite la mise en œuvre du traitement des données personnelles relatif à la gestion des fichiers du personnel et des clients.
L'APDPVP note que :
Les données personnelles des employés et des clients sont collectées et traitées respectivement pour la gestion de la paie et la gestion des abonnements clients.
Les employés sont informés de la collecte, du traitement de leurs données personnelles et ont donné leur consentement, lors de la signature du contrat de travail.
Les clients quant à eux, sont informés de la collecte, du traitement de leurs données personnelles et y ont consenti, lors de la remise de la carte d'abonnement.
Les employés et les clients disposent d'un droit d'accès, de rectification, à l'effacement, à la limitation du traitement, à la portabilité des données et d'opposition à leurs données personnelles, qui s'exercent auprès du Directeur Général.
Que conformément à l'alinéa 2 de l'article 61 de la loi n°025/2023 du 12 juillet 2023, le droit d'opposition ne s'applique pas lorsque le traitement est d'ordre public ou répond à une obligation légale ou contractuelle, pour l'ensemble des traitements sollicités.
La durée de conservation des données relative à la gestion des fichiers du personnel et des clients est de dix ans respectivement au terme du contrat de travail et d'abonnement. Toutefois, l'Autorité rappelle que conformément aux dispositions de l'article 118 de la loi n°025/2023 du 12 juillet 2023 relative à la Protection des Données à Caractère Personnel, « les données personnelles doivent être conservées pendant une durée qui n'excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ».
Que suivant les dispositions des articles 119 et 120 de la loi citée ci-dessus, le responsable du traitement ou son représentant a l'obligation de tenir un registre des activités des traitements effectués sous sa responsabilité.
L'APDPVP conclut que le traitement des données personnelles portant sur la gestion des fichiers du personnel et des clients, mis en œuvre par la société GABON SPECIAL ECONOMIC ZONE AIRPORT S.A (GSEZ AIRPORT S.A), est conforme à la loi n°025/2023 du 12 juillet 2023 portant modification de la loi n°001/2011 du 25 septembre 2011 relative à la Protection des Données à Caractère Personnel et à la Norme y relative.
Au vu de ce qui précède et après en avoir délibéré ;
D É C I D E :
Article 1er : Un récépissé de déclaration portant gestion des fichiers du personnel et des clients est délivré à la société GABON SPECIAL ECONOMIC ZONE AIRPORT S.A (GSEZ AIRPORT S.A) pour une durée d'un an à compter de la date de notification.
Article 2 : La présente délibération est susceptible de recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.
Article 3 : La présente délibération sera publiée au Journal Officiel de la République Gabonaise.
Fait à Libreville, le 11 octobre 2024
Pour le Président
P.O Le Vice-président
Samuel MOUSSOUNDA IKAMOU