Décision ARTCI – II

DECISION N°2016-0206 DE L’AUTORITE DE PROTECTION DE LA REPUBLIQUE DE COTE D’IVOIRE EN DATE DU 22 NOVEMBRE 2016 PORTANT AUTORISATION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL PAR LA SOCIETE SOCOPRIM « IDENTIFICATION ET SUIVI DES ABONNES »

    Vu Ordonnance n°2012-293 du 21 mars 2012 relative aux Télécommunications et aux Technologies de l’Information et de la Communication TIC

    Vu la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à

    Vu la Loi n°2013-451 du 19 juin 2013 relative à la lutte contre la cybercriminalité ;

    Vu la Loi n°2013-546 du 30 juillet 2013 relative aux Transactions électroniques

    Vu le Décret n°2014-106 du 12 mars 2014 fixant les conditions d’établissement et de conservation de l’écrit et de la signature sous forme électronique ;

    Vu le e Décret n°2014-105 du 12 mars 2014 portant définition des conditions de fourniture des prestations de cryptologie ;

    Vu le Décret n°2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations, de présentation des demandes, d’octroi et de retrait des autorisations pour le traitement des données à caractère personnel ;

    Vu le Décret n°2012-934 du 19 septembre 2012 portant organisation et fonctionnement de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire (ARTCI) ;

    Vu le Décret n°2013-333 du 22 mai 2013 portant nomination des Membres du Conseil de Régulation de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire (ARTCI) ;

    Vu le Décret n° 2015-173 du 19 mars 2015 portant nomination d’un Membre du Conseil de Régulation de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire ;

    Vu le Décret n° 2016-483 du 07 juillet 2016 portant nomination des Membres du Conseil de Régulation de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire ;

    Vu le Décret n°2013-332 du 22 mai 2013 portant nomination du Directeur Général de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire (ARTCI) ;

    Vu l’Arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du correspondant à la protection des données à caractère personnel ;

    Vu la Décision n°2014-0021 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 03 septembre 2014 portant conditions et critères applicables à la limitation du traitement des données à caractère personnel ;

    Vu la Décision n°2014-0022 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 03 septembre 2014 portant conditions de la suppression des liens vers les données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication électronique accessibles au public ;

    Vu la Décision n°2013-0003 du Conseil de Régulation de l’Autorité de Régulation des TélécommunicationsfTIC de Côte d’Ivoire en date du 20 septembre 2013 portant règlement intérieur ;

    Par les motifs suivants :

    Considérant que le 07 mars 2016, la société Socoprim, Société Anonyme au capital social de dix-huit milliards trois cent soixante-six millions neuf cent mille (18 366 900
    000) de francs CFA, dont le siège social est sis à 22, rue des foreurs – Zone 3, 18 BP
    2436, Abidjan 18 Côte d’Ivoire, immatriculée au registre du commerce et du crédit mobilier sous le numéro R.C. Abidjan n°220760 – CC n°9801444 C, a introduit une demande d’autorisation de traitement de données à caractère personnel auprès de l’Autorité de protection ;
    Considérant que la société Socoprim est concessionnaire du pont autoroutier à péage, Henry Konan Bedié, reliant les communes de Cocody et de Marcory à Abidjan en Côte d’Ivoire ;
    Considérant que l’article 47 de la Loi n°2013-450 du 19juin 2013 relative à la protection des données à caractère personnel, dispose que l’Autorité de protection est chargée de recevoir les déclarations et d’octroyer les autorisations pour la mise en œuvre de traitement des données à caractère personnel ;
    L’Autorité de protection est compétente pour examiner la demande d’autorisation de traitement initiée par la société Socoprim :

    Sur la recevabilité de la demande d’autorisation

    Considérant qu’aux termes de l’article 7 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le traitement portant sur un numéro national d’identification ou tout autre identifiant de la même nature, notamment les numéros de téléphones, est soumis à autorisation préalable de l’Autorité de protection, avant toute mise en œuvre Considérant qu’en l’espèce, la demanderesse voudrait procéder à la collecte de données à caractère personnel de ses abonnés, dont le numéro de téléphone et le Numéro de la Carte Nationale d’identité ;
    En application des dispositions précitées, lesdits traitements doivent être autorisés par l’Autorité de protection, pour être mis en œuvre ;
    Considérant qu’aux termes de l’article 7 précité, la demande d’autorisation est présentée par le responsable du traitement ou son représentant légal ;
    Que l’article 1 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, définit le responsable du traitement comme étant la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités ;
    Considérant qu’en l’espèce, la demanderesse a décidé de procéder au suivi de ses abonnés, à leur identification et au profilage de leurs transactions ;
    Que pour ce faire, elle a décidé de collecter et d’organiser les données à caractère personnel de ses clients et abonnés ;
    Il convient de reconnaître à la société Socoprim, la qualité de responsable du traitement.
    Considérant qu’aux termes de l’article 9 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la demande d’autorisation doit contenir les mentions minimums relatives à la dénomination sociale de la personne morale, au responsable du traitement , à son siège social, à l’identité de son représentant légal, à son numéro d’immatriculation au registre du commerce et du crédit mobilier, à son numéro de déclaration fiscale, aux finalités du traitement, à la durée de conservation des données traitées dispositions prises pour assurer la sécurité des traitements, à la protection et à la confidentialité des données traitées ;
    Qu’en l’espèce, la demande d’autorisation de la société Socoprim contient les mentions minimums prescrites par l’article 9 précité ;
    Considérant qu’au regard de tout ce qui précède, la demande d’autorisation de traitement introduite par la société Socoprim réunit les conditions de formes exigées par les articles 7 et 9 de la Loi n°2013-450 relative à la protection des données à caractère personnel ; L’Autorité de protection déclare que la demande de la société Socoprim est recevable en la forme :

    Sur la légitimité et la licéité du traitement

    Considérant que conformément aux dispositions de l’article 14 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le traitement de données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement préalable ;
    Considérant que l’article 15 de la même Loi dispose que la collecte, l’enregistrement, le traitement, le stockage, la transmission et l’interconnexion des données à caractère personnel doivent se faire de manière licite et loyale ;
    Considérant qu’en l’espèce, la société Socoprim prec1se dans sa demande d’autorisation, que les personnes concernées sont essentiellement ses clients et abonnés ;
    Considérant que la demanderesse procède directement à la collecte des données auprès de ses abonnés ;
    Qu’il en découle que la collecte des données ne peut avoir lieu qu’avec le consentement préalable des personnes concernées ;
    Considérant que le formulaire d’abonnement à l’offre de service de péage de la société Socoprim offre la possibilité à l’abonné de manifester son consentement au traitement de ses données à caractère personnel ;
    L’Autorité de proteètion considère que le traitement est légitime, licite et loyal.

    Sur la finalité

    Considérant l’article 16 de la Loi relative à la protection des données à caractère personnel qui dispose que les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités ;
    Considérant qu’en l’espèce, la demanderesse a décidé de procéder au suivi de ses abonnés, à leur identification et au profilage de leurs transactions ; Que pour ce faire, elle a décidé de collecter et d’organiser les données à caractère personnel de ses clients et abonnés qui ont souhaité obtenir des badges de passage sur le pont Henri Konan Bédié ;
    L’Autorité de protection considère que cette finalité est déterminée, explicite et légitime.

    Sur la période de conservation des données traitées

    Considérant que l’article 16 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel dispose que, les données traitées doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ;
    Considérant qu’en l’espèce, la société Socoprim a indiqué qu’elle conservera les données traitées pendant la période de concession, soit une durée de trente (30) ans. L’Autorité de protection conclut que le délai de trente ans (30) ans proposé par la demanderesse est excessif, au regard de la finalité poursuivie.
    L’Autorité de protection prescrit la conservation des données pendant toute la durée de l’abonnement et en cas de désabonnement, pendant une période supplémentaire de trois (3) ans, à compter de la date de désabonnement.

    Sur la proportionnalité des données collectées

    Considérant que selon les dispositions de l’article 16 de la Loi n°2013-450 du 19 juin 2013, relative à la protection des données à caractère personnel, les données traitées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées.
    Considérant qu’en l’espèce, la société SOCOPRIM indique que le traitement concerne les données suivantes :

    • – Les données d’identification : Nom, prénom, date de naissance, numéro de CNI ;
    • – Les données de localisation : Adresse, commune, quartier ;
    • – Les données de connexion : Le numéro de téléphone mobile et fixe, email

    Considérant que la société SOCOPRIM n’indique aucun destinataire des données qu’elle envisage de traiter ; Considérant qu’en l’espèce, la demanderesse affirme qu’elle n’effectuera aucun transfert de données vers un pays tiers ; L’Autorité de protection prescrit que les données traitées soient communiquées aux Autorités publiques dans le cadre de leurs missions.

    Sur les destinataires ou catégories de destinataires habilités à recevoir communication des données

    Considérant les dispositions de l’article 9 de la Loi n°2013-450 relative à la protection des données à caractère personnel, selon lesquelles la demande d’autorisation adressée à l’Autorité de protection doit contenir les destinataires habilités à recevoir communication des données traitées ; finalités pour lesquelles elles sont collectées et traitées ;
    Considérant qu’en l’espèce, la société Socoprim indique que le traitement concerne les données suivantes :

    Considérant que la société Socoprim n’indique aucun destinataire des données qu’elle envisage de traiter ; Considérant qu’en l’espèce, la demanderesse affirme qu’elle n’effectuera aucun transfert de données vers un pays tiers ; L’Autorité de protection prescrit que les données traitées soient communiquées aux Autorités publiques dans le cadre de leurs missions.

    Sur la transparence des traitements

    Considérant qu’aux termes des articles 18 et 28 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la transparence implique l’information obligatoire et claire des personnes concernées par le responsable du traitement ; Qu’il s’agit en l’espèce pour la demanderesse de faire preuve de transparence vis à vis des personnes concernées qui devront notamment être informées :

    • de l’identité du responsable du traitement et le cas échéant, celle de son représentant dûment mandaté ;
    • de la finalité du traitement ;
    • des catégories de données concernées ;
    • des destinataires
    • de la possibilité de refuser de figurer sur le fichier en cause ;
    • de l’existence et des modalités d’exercice de leur droit d’accès et de rectification ;
    • de la durée de conservation des données ;
    • de l’éventualité de tout transfert de données à destination de pays tiers.

    Qu’à cette fin, la demanderesse indique que les informations du site internet permettront aux personnes concernées d’être informées de leurs droits, préalablement à toute collecte ; L’Autorité de protection prescrit à la société Socoprim de remplir cette formalité également par le biais d’affiches indiquant les droits des personnes concernées, dans ses locaux ou les lieux de traitement des données à caractère personnel.

    Sur les droits d’accès direct, d’opposition, de rectification et d’effacement des personnes concernées

    Considérant que les articles 9 et 29 à 34 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel prescrivent que le responsable du traitement doit indiquer dans sa demande, la fonction de la personne ou le service auprès duquel s’exercent les droits reconnus aux personnes concernées, notamment les droits d’accès, de rectification, d’effacement ;

    Considérant que la demanderesse déclare que les droits d’accès direct, d’opposition, de rectification et de suppression, pourront être exercés auprès d’elle-même, mais qu’elle n’a pas désigné de correspondant à la protection ;
    Considérant que l’Autorité de protection tient compte de l’engagement de conformité, signé par le responsable du traitement, et joint dans le dossier de demande d’autorisation ;
    L’Autorité de protection prescrit que la société Socoprim désigne un correspondant à la protection, et le lui notifie par courrier officiel.

    Sur les mesures de sécurité

    Considérant qu’en application de l’article 41 de la Loi n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, le responsable du traitement et le sous-traitant prennent toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu’elles soient détruites, déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance ;
    Considérant que les mesures de sécurité doivent couvrir les données stockées sur des supports papiers et celles qui le sont sur supports informatiques ;
    Qu’il ressort des documents communiqués par la société Socoprim, qu’elle a pris toutes les mesures nécessaires en vue d’assurer la sécurité des données, conformément aux dispositions de l’article 41 de la Loi susmentionnée ;
    L’Autorité de Protection considère que les mesures de sécurité logique et physique nécessaires sont garanties.

    Après en avoir délibéré, décide

    Article 1

    La société Socoprim est autorisée à effectuer la collecte, l’enregistrement, l’organisation et le stockage des données à caractère personnel ci-après :

    Article 2

    Les données stockées par la société Socoprim ne peuvent être utilisées à des fins autres que celles précisées dans la demande d’autorisation. Toute réutilisation de ces données à d’autres fins, doit faire l’objet d’une autorisation de l’Autorité de protection.

    Article 3

    La société Socoprim est autorisée à communiquer les données traitées, à ses agents habilités, ainsi qu’aux autorités publiques agissant dans le cadre de leurs missions. Il est interdit à la société Socoprim de transférer, sans autorisation préalable de l’Autorité de protection, les données collectées vers des pays tiers.

    Article 5

    La société Socoprim conserve les données collectées pendant toute la durée de l’abonnement et en cas de désabonnement, pendant une période supplémentaire de trois (3) ans, à compter de la date de désabonnement.

    Article 6

    La société Socoprim devra apporter à l’Autorité de protection, la preuve du recueil de consentement préalable des personnes concernées par les traitements autorisés par la présente décision.

    Article 7

    La société Socoprim informe les personnes concernées de leurs droits d’accès direct, d’opposition, de rectification et de suppression. Elle le fait par le biais de son site internet, et par des affiches dans ses locaux et dans tous les lieux de traitement

    Article 8

    La société Socoprim désigne un correspondant à la protection auprès de l’Autorité de protection. Elle notifie la désignation dudit correspondant à l’Autorité de protection par un courrier officiel. Le correspondant à la protection désigné par la société Socoprim tient une liste des traitements effectués, immédiatement accessible à toute personne concernée en faisant la demande.

    Article 9

    Conformément à l’article 42 de la Loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, la société Socoprim est tenue d’établir pour le compte de l’Autorité de protection un rapport annuel sur le respect des dispositions de l’article 41 de ladite Loi. La société Socoprim communique ce rapport à l’Autorité de protection au plus tard le 31 janvier de l’année suivant l’exercice écoulé.

    Article 10

    L’Autorité de protection procède à des contrôles auprès de la Société Socoprim, afin de vérifier le respect de la présente décision, dont la violation donnera lieu à des sanctions, conformément à la règlementation en vigueur.

    Article 11

    La présente décision entre en vigueur à compter de la date de sa notification à la Société Socoprim

    Article 12

    Le Directeur Général est chargé de l’exécution de la présente décision, qui sera publiée au Journal Officiel de la République de Côte d’Ivoire et sur le site internet de l’Autorité de Régulation des Télécommunications TIC de Côte d’Ivoire.

    signature-artci-2