Expresso et Cbao-Attijariwafa ont un mois pour se conformer aux dispositions de la loi sur la protection des données à caractère personnel pour éviter des sanctions.
Des manquements graves ont été constatés, à leur niveau, par la Commission des données personnelles qui leur a servi une mise en demeure d’un mois.
La commission des données personnelles a servi une mise en demeure à l’opérateur, de téléphonie, Expresso, et à Cbao-Attijariwafa Bank, dans ses délibérations du 20 octobre 2017. Pour le cas de l’opérateur de téléphonie, Expresso, la commission lui reproche, entre autres, des manquements liés à la pratique de la prospection directe commerciale non conforme aux exigences de la législation sur les données personnelles, la non-conformité des termes et conditions du site web par rapport à la loi n°2008-12 du 25 janvier 2008 et une durée de conservation non définie des données des demandeurs d’emploi. Expresso aurait fait l’objet de plusieurs signalements et plaintes auprès de l’institution en charge de protection des données. Les plaignants accusent l’opérateur de prospection directe. Ce, en méconnaissance des dispositions de la loi sur la protection des données à caractère personne. Pourtant, par délibération n°2014-0015 du 3 avril 2015, la commission avait prononcé un avertissement à l’encontre de l’opérateur pour manquement à la législation dans le cadre d’opérations de prospection directe en décidant d’interdire à Expresso toute pratique de ce genre non conforme à la législation en vigueur en matière de protection des données à caractère personnel. Elle avait, en outre, demandé au comité de sanction de prononcer une mise en demeure suivie d’une sanction pécuniaire en cas de récidive. Ainsi, elle soutient avoir constaté un désengagement de responsabilité de l’opérateur par rapport à la sécurité et à la confidentialité des communications.
La commission des données personnelles a relevé des manquements dans le traitement relatif à la gestion administrative du personnel de Cbao-Attijariwafa Bank. En plus de cela, elle a constaté des manquements à l’obligation de conserver les données pour une durée définie. Car, l’institution bancaire collecte des données de ses salariés à des fins d’identification lors d’un traitement administratif. Alors que la loi précise que «le responsable de traitement doit prendre, en particulier, toute mesure visant à garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence», a souligné la commission dans sa note. En lieu et place de cette disposition, la Cbao a opté pour une politique de sécurité globale. Pis, la commission a constaté qu’avec le voisinage réseau, il est possible d’accéder à un certain nombre de fichiers des postes de travail du même sous réseau. Et, qu’en manipulant, il est possible d’accéder, à partir d’un ordinateur distant, à des documents confidentiels, notamment ceux relatifs à la situation des comptes clients et à des informations à caractère privé, dont une demande d’explication servie à un salarié. Alors que l’accès à des informations confidentielles, par une personne non habilitée, constitue un manquement à l’obligation de sécurité et de confidentialité. Face à ces manquements graves, la commission a mis en demeure la Cbao et exige d’elle le respect des obligations de sécurité et la finalisation du processus de migration des postes vers un système d’exploitation supporté par l’éditeur.
Adama COULIBALY
