La Commission de protection des données personnelles (CDP) recommande, dans son dernier avis trimestriel, le traitement des données de santé des employés sous la supervision d’un professionnel soumis au secret médical.
Dans cet avis dont copie a été transmise à l’APS, vendredi la CDP dit avoir ‘’relevé la banalisation de la collecte et du traitement des données médicales par des non professionnels de santé qui, par conséquent, ne sont pas soumis au secret médical’’.
Ainsi, elle recommande de ‘’traiter les données de santé des employés sous la supervision d’un professionnel soumis au secret médical’’ et d’informer et sensibiliser ‘’les personnes qui traitent les données sur les mesures de sécurité prises lors du traitement’’.
La CDP fait état de ‘’manquements à la législation sur les données personnelles’’ notamment ‘’l’absence de consentement des personnes sollicitées dans le cadre des activités de prospection directe (commerciale ou sociale), le non-respect des droits des personnes consacrés par la loi (droit à l’information préalable, d’accès, d’opposition et de rectification)’’.
Elle cite aussi ‘’le caractère disproportionné des données collectées par rapport aux finalités de certains traitements et la durée excessive de conservation desdites données’’.
Au plan technique, la CDP dit avoir ‘’constaté que l’installation et la maintenance des plateformes assurées par des prestataires de service externes à l’entreprise ou à l’administration et se trouvant le plus souvent à l’étranger’’. Cela constitue, estime t-elle, ‘’un défi supplémentaire pour le contrôle des aspects techniques des déclarations’’.
La CDP déplore en outre ‘’la pratique, de plus en plus fréquente, consistant à publier dans la presse la photo d’un ancien employé pour décliner toute responsabilité en cas d’agissement de ce dernier’’.
‘’Or, souligne t-elle, cette pratique viole la loi sur les données personnelles, notamment le principe du consentement de la personne concernée avant la publication d’une donnée personnelle la concernant’’.
Dans son avis, la CDP recommande de ‘’conserver les données personnelles pour une durée nécessaire aux finalités du traitement, de pratiquer une veille technologique en vue d’améliorer la gestion et la sécurité des données’’.
Il y a par ailleurs lieu d’informer ‘’les personnes concernées par un traitement des moyens d’exercice de leurs droits consacrés par la législation en vigueur’’ et d’intégrer ‘’les principes de la protection des données personnelles dans les conditions générales de vente, d’abonnement et de souscription à des services destinés au public’’.
Le document suggère également de soumettre ‘’pour avis à la CDP les dispositions sur les données personnelles contenues dans les contrats (travail, prestations de services, vente, etc.)’’.
La CDP rappelle qu’elle a pris plusieurs décisions notamment ‘’l’interdiction aux responsables de traitement de collecter plus de deux empreintes digitales pour tout système de pointage, de gestion des accès et du temps de présence des salariés’’.
Il est également interdit de ‘’collecter les données des utilisateurs de plateformes web to SMS sans le consentement préalable des personnes qui ont été recommandées, la date de naissance, l’âge et le statut matrimonial pour une base de données clients, les noms des ascendants par les sociétés de transfert d’argent, etc’’.
La CDP interdit en même temps la collecte ‘’par un non professionnel les données médicales des salariés’’.
A cela s’ajoute l’interdiction de collecter ‘’dans le cadre d’un service de géolocalisation, des images représentant des zones sensibles, notamment tout ce qui peut présenter un intérêt stratégique pour l’Etat du Sénégal, ainsi que les images des personnes physiques et des lieux privés prises en l’absence du consentement des intéressés’’.