DECISION N°2016-0205 DE L’AUTORITE DE PROTECTION DE LA REPUBLIQUE DE COTE D’IVOIREEN DATE DU 22 NOVEMBRE 2016 PORTANT AUTORISATION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL PAR LA SOCIETE SOCOPRIM « VIDEOSURVEILLANCE »
Vu l’Ordonnance n°2012-293 du 21 mars 2012 relative aux Télécommunications et aux Technologies de l’Information et de la Communication / TIC
Vu la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel
Vu la Loi n°2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité;
Vu la Loi n°2013-546 du 30 juillet 2013 relative aux Transactions électroniques ;
Vu le Décret n°2014-106 du 12 mars 2014 fixant les conditions d’établissement et de conservation de l’écrit et de la signature sous forme électronique ;
Vu le Décret n°2014-105 du 12 mars 2014 portant définition des conditions de fourniture des prestations de cryptologie ;
Vu le Décret n°2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations, de présentation des demandes, d’octroi et de retrait des autorisations pour le traitement des données à caractère personnel ;
Vu le Décret n°2012-934 du 19 septembre 2012 portant organisation et fonctionnement de l’Autorité de Régulation des Télécommunications!TIC de Côte d’Ivoire (ARTCI);
Vu le Décret n°2013-333 du 22 mai 2013 portant nomination des Membres du Conseil de Régulation de l’Autorité de Régulation des Télécommunications!TIC de Côte d’Ivoire (ARTCI)
Vu le Décret n° 2015-173 du 19 mars 2015 portant nomination d’un Membre du Conseil de Régulation de l’Autorité de Régulation des Télécommunications!TIC de Côte d’Ivoire
Vu le Décret n° 2016-483 du 07 juillet 2016 portant nomination des Membres du Conseil de Régulation de l’Autorité de Régulation des Télécommunications!TIC de Côte d’Ivoire
Vu le Décret n°2013-332 du 22 mai 2013 portant nomination du Directeur Général de l’Autorité de Régulation des Télécommunications!TIC de Côte d’Ivoire (ARTCI);
Vu l’Arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du correspondant à la protection des données à caractère personnel
la Décision n°2014-0021 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 03 septembre 2014 portant conditions et critères applicables à la limitation du traitement des données à caractère personnel
Vu la Décision n°2014-0022 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 03 septembre 2014 portant conditions de la suppression des liens vers les données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication électronique accessibles au public ;
Vu la Décision n°2013-0003 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 20 septembre 2013 portant règlement intérieur.
Par les motifs suivants :
Considérant la · demande d’autorisation de traitement de données à caractère personnel introduite le 01 avril 2016 auprès de l’Autorité de protection par la société Socoprim, Société Anonyme au capital social de dix-huit milliards trois cent soixante-six millions neuf cent mille (18 366 900 000) de francs CFA, dont le siège social est sis à 22, rue des foreurs – Zone 3, 18 BP 2436, Abidjan 18 Côte d’Ivoire, immatriculée au registre du commerce et du crédit mobilier sous le numéro R.C. Abidjan n°220760 – CC n°9801444 C;
Considérant que la société Socoprim est concessionnaire du pont autoroutier à péage, Henry Konan Bedié, reliant les communes de Cocody et de Marcory à Abidjan en Côte d’Ivoire;
Considérant que l’article 47 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, dispose que l’Autorité de protection est chargée de recevoir les déclarations et d’octroyer les autorisations pour la mise en œuvre de traitement des données à caractère personnel;
L’Autorité de protection est compétente pour examiner la demande d’autorisation de traitement initiée par la société Socoprim:
Sur la recevabilité de la demande d’autorisation
Considérant qu’aux termes de l’article 7 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le traitement portant sur un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphone est soumis à autorisation préalable de l’Autorité de protection, avant toute mise en œuvre
Considérant qu’en l’espèce, la société Socoprim envisage de collecter et de stocker entre autres données à caractère personnel, les numéros de plaque d’immatriculation et l’image des usagers du pont Henri Konan Bédié dont elle assure l’exploitation En application des dispositions précitées, lesdits traitements doivent être autorisés par l’Autorité de protection, pour être mis en œuvre
Considérant qu’aux termes de l’article 7 précité, la demande d’autorisation est présentée par le responsable du traitement ou son représentant légal ;
Que l’article 1 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, définit le responsable du traitement comme étant la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités;
Considérant qu’en l’espèce, la demanderesse a décidé de mettre en place un système de vidéosurveillance qui permettra d’assurer la sécurité des biens et des personnes, à titre dissuasif, et d’identifier les auteurs de vols, de dégradations ou d’agressions
Qu’à cet effet, elle a décidé de collecter et de traiter les données à caractère personnel des usagers du pont Henry Konan Bédié ;
Il convient de reconnaître à la société Socoprim, la qualité de responsable du traitement.
Considérant qu’aux termes de l’article 9 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la demande d’autorisation doit contenir les mentions minimums relatives à la dénomination sociale de la personne morale, au responsable du traitement , à son siège social, à l’identité de son représentant légal, à son numéro d’immatriculation au registre du commerce et du crédit mobilier, à son numéro de déclaration fiscale, aux finalités du traitement, à la durée de conservation des données traitées, aux dispositions prises pour assurer la sécurité des traitements, à la protection et à la confidentialité des données traitées ;
Qu’en l’espèce, la demande d’autorisation de la société Socoprim contient les mentions minimums prescrites par l’article 9 précité. Considérant qu’au regard de tout ce qui précède, la demande d’autorisation de traitement introduite par la société Socoprim réunit les conditions de formes exigées par les articles 7 et 9 de la Loi n°2013-450 relative à la protection des données à caractère personnel.
L’Autorité de protection déclare que la demande de la société Socoprim est recevable en la forme:
Sur la légitimité et la licéité du traitement
Considérant que conformément aux dispositions de l’article 14 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le traitement de données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement préalable ;
Considérant que le système de vidéosurveillance mis en place dans le périmètre du pont Henry Konan Bédié enregistrera les données personnelles des usagers empruntant le pont ;
Considérant toutefois que la société Socoprim n’apporte pas de preuve que les dits usagers du pont ont exprimé leur consentement au traitement de leurs données ;
L’Autorité de protection prescrit à la société Socoprim de mettre à la disposition de ses usagers un formulaire de recueil du consentement ;
En conséquence l’Autorité de protection ne pourra considérer le traitement projeté comme légitime, que lorsque la demanderesse aura apporté la preuve du recueil du consentement des personnes concernées.
Sur la finalité
Considérant l’article 16 de la Loi relative à la protection des données à caractère personnel qui dispose que les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités
Considérant qu’en l’espèce, la vidéosurveillance a pour finalité d’assurer la sécurité des biens et des personnes et d’identifier les auteurs de vols, de dégradations ou d’agressions ; Que par ailleurs, elle est installé à titre dissuasifs.
L’Autorité de protection considère que les finalités du traitement sont déterminées, explicites et légitimes.
Sur la période de conservation des données traitées
Considérant que l’article 16 de la Loi n 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel dispose que, les données traitées doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ;
Considérant qu’en l’espèce, la société Socoprim n’a pas indiqué la durée de conservation des données traitées ;
L’Autorité de protection prescrit que les informations enregistrées soient conservées pendant une durée de 30 jours et en cas d’incidents, pendant une période d’un (1) an, à compter de la dernière sauvegarde mensuelle.
Sur la proportionnalité des données collectées
Considérant que selon les dispositions de l’article 16 de la Loi n 2013-450 du 19 juin 2013, relative à la protection des données à caractère personnel, les données traitées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ;
Considérant qu’en l’espèce, la société Socoprim indique que le traitement concerne les données suivantes :
- Les données d’identification : image des personnes ; numéro de la plaque d’immatriculation, modèle, marque et couleur des véhicules ;
- les données de localisation : date, horaires d’arrivée et de départ des usagers du pont, lieu d’enregistrement, les différents mouvements détectés par les caméras dans les lieux placés sous surveillance
Considérant qu’au regard des finalités du traitement, il y a lieu de constater que les données collectées, telles qu’elles sont décrites dans la demande d’autorisation sont adéquates et pertinentes.
Sur les destinataires ou catégories de destinataires habilités à recevoir communication des données
Considérant les dispositions de l’article 9 de la Loi n°2013-450 relative à la protection des données à caractère personnel, selon lesquelles la demande d’autorisation
Adressée à l’Autorité de protection doit contenir les destinataires habilités à recevoir communication des données traitées ;
Considérant que la demanderesse indique que les destinataires des données
Traitées sont les services internes habilités de la demanderesse et le Procureur de la République agissant dans le cadre de la recherche et de la constatation des
Infractions ;
Considérant qu’en l’espèce, la demanderesse indique qu’elle n’effectuera aucun
transfert de données vers un pays tiers ;
L’Autorité de protection prescrit que les données traitées soient communiquées à ses agents habilités, au Procureur de la République et aux officiers de police judiciaire munis d’une réquisition.
Sur la transparence des traitements
Considérant qu’aux termes des articles 18 et 28 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la transparence implique l’information obligatoire et claire des personnes concernées par le responsable du traitement ;
Qu’il s’agit en l’espèce pour la demanderesse de faire preuve de transparence vis à vis des personnes concernées qui devront notamment être informées :
- de l’identité du responsable du traitement et le cas échéant, celle de son représentant dûment mandaté.
- de la finalité du traitement.
- des catégories de données concernées.
- des destinataires auxquels les données sont susceptibles d’être communiquées.
- de l’existence et des modalités d’exercice de leur droit d’accès et de rectification.
- de la durée de conservation des données.
- de l’éventualité de tout transfert de données à destination de pays tiers.
Qu a cette fin, la demanderesse indique que lesdites information seront communiquées aux personnes concernées, préalablement à toute collecte, par l’envoi d’un courrier personnalisé et par appel téléphonique ;
L’Autorité de protection prescrit à la société Socoprim, d’informer les personnes concernées au moyen d’affiches ou d’un pictogramme placé de façon visible, à l’entrée du pont et dans les locaux sous surveillance, de l’existence du dispositif de vidéosurveillance.
L’affiche ou le pictogramme doit indiquer, d’une façon claire et visible, les
informations suivantes:
– Le nom du responsable de traitement;
– Le fait que le pont et ses locaux annexes sont placés sous vidéosurveillance ;
– La finalité de ce dispositif (la sécurité des biens et des personnes) ;
– Les coordonnées du correspondant pour l’exercice des droits d’accès, de
rectification et d’opposition par les personnes concernées,
– Le numéro de l’autorisation octroyée par l’Autorité de protection.
Sur les droits d’accès direct, d’opposition, de rectification et d’effacement des personnes concernées
Considérant que les articles 9 et 29 à 34 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel prescrivent que le responsable du traitement doit indiquer dans sa demande, la fonction de la personne ou le service auprès duquel s’exercent les droits reconnus aux personnes concernées, notamment les droits d’accès, de rectification, d’effacement ;
Considérant que la demanderesse indique que les droits d’accès direct, d’opposition, de rectification et de suppression, pourront être exercés auprès d’elle-même, mais qu’elle n’a pas désigné de correspondant à la protection ;
Considérant que l’Autorité de protection tient compte de l’engagement de conformité, signé par le responsable du traitement, et joint dans le dossier de demande d’autorisation ;
L’Autorité de protection prescrit que la société Socoprim désigne un correspondant à la protection, et le lui notifie par courrier officiel.
Sur les mesures de sécurité
Considérant qu’en application de l’article 41 de la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le responsable du traitement et le sous-traitant prennent toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu’elles soient détruites, déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance ;
Considérant que les mesures de sécurité doivent couvrir les données stockées sur des supports papiers et celles qui le sont sur supports informatiques ;
Qu’il ressort des documents communiqués par la société Socoprim, qu’elle a pris toutes les mesures nécessaires en vue d’assurer la sécurité des données, conformément aux dispositions de l’article 41 de la Loi susmentionnée ;
L’Autorité de Protection considère que les mesures de sécurité logique et physique nécessaires sont garanties.
Après en avoir délibéré,
DECIDE:
Article 1
La société Socoprim est autorisée à effectuer la collecte, l’enregistrement, l’organisation et le stockage des données à caractère personnel ci-après :
- – Les données d’identification : image des personnes ; numéro de la plaque d’immatriculation, modèle, marque et couleur des véhicules;
- – Les données de localisation : date, horaires d’arrivée et de départ des usagers du pont ; lieu d’enregistrement, les différents mouvements détectés par les caméras dans les lieux placés sous surveillance ;
Les données visées au présent article concernent les usagers du pont Henri Konan Bédié.
Article 2
Les données stockées par la société Socoprim ne peuvent être utilisées à des fins autres que celles précisées dans la demande d’autorisation. Toute réutilisation de ces données à d’autres fins, doit faire l’objet d’une autorisation préalable de l’Autorité de protection.
Article 3
La société Socoprim met en place un système de recueil du consentement préalable des clients concernés par les traitements autorisés par la présente décision. Elle apporte à l’Autorité de protection, la preuve du recueil de consentement préalable.
Article 4
La société Socoprim est autorisée à communiquer les données traitées, à ses agents habilités, ainsi qu’au procureur de la République et aux officiers de police judiciaire munis d’une réquisition.
Il est interdit à la société Soco’prim de transférer, sans autorisation préalable de l’Autorité de protection, les données collectées vers des pays tiers.
Article 5
La société Socoprim conserve les informations enregistrées pendant une durée de 30 jours et en cas d’incidents, pendant une période d’un (1) an, à compter de la dernière sauvegarde mensuelle.
Article 6
La société Socoprim informe les personnes concernées au moyen d’affiches ou d’un pictogramme placé de façon visible, à l’entrée du pont et dans les locaux sous surveillance, de l’existence du dispositif de vidéosurveillance.
L’affiche ou le pictogramme doit indiquer, d’une façon claire et visible, les informations suivantes:
- – Le nom du responsable de traitement
- – Le fait que le pont et ses locaux annexes sont placés sous vidéosurveillance
- – La finalité de ce dispositif (la sécurité des biens et des personnes)
- – Les coordonnées du correspondant pour l’exercice des droits d’accès, de rectification et d’opposition par les personnes concernées,
- – Le numéro de l’autorisation octroyée par l’Autorité de protection.
Article 7
La société Socoprim désigne un correspondant à la protection. Elle notifie la désignation dudit correspondant à l’Autorité de protection par un courrier officiel. Le correspondant à la protection désigné par la société Socoprim tient une liste des traitements effectués, immédiatement accessible à toute personne concernée en faisant la demande.
Article 8
Conformément à l’article 42 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la société Socoprim est tenue d’établir pour le compte de l’Autorité de protection un rapport annuel sur le respect des dispositions de l’article 41 de ladite Loi.
La société Socoprim communique ce rapport à l’Autorité de protection au plus tard le 31 janvier de l’année suivant l’exercice écoulé.
Article 9
L’Autorité de protection procède à des contrôles auprès de la Société Socoprim, afin de vérifier le respect de la présente décision, dont la violation donnera lieu à des sanctions, conformément à la règlementation en vigueur.
Article 10
La présente décision entre en vigueur à compter de la date de sa notification à la Société Socoprim.
Article 11
Le Directeur Général est chargé de l’exécution de la présente décision, qui sera publiée au Journal Officiel de la République de Côte d’Ivoire et sur le site internet de l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire.
Fait à Abidjan, le 22 novembre 2016 en deux.
