PROTECTION DES DONNEES PERSONNELLES: La Cdp épingle et met en demeure la Cbao et Expresso

Attijariwafa Bank (Cbao) et Expresso Telecom prises par la patrouille de la Commission des données personnelles (Cdp) ! Awa Ndiaye et son équipe ont mis en demeure les deux sociétés, coupables de manquements à la législation sur la protection des données personnelles.

Une descente des commissaires de la Cdp à la Cbao a révélé des manquements quant à la protection des données personnelles des salariés et des clients. Ce qui a conduit la session plénière de la structure, en application des dispositions de l’article 2008-1 de la loi n°2008-12, à «mettre en demeure la Cbao, Attijariwafa Bank, dans un délai d’un mois. (…). Et sous réserve des mesures à adopter». Et si la banque ne prend pas les mesures correctives idoines, la commission de sanction de la Cdp sera saisie et pourra, après une procédure contradictoire, prendre des «sanctions pécuniaires» contre la banque.

Les injonctions faites à la banque et les manquements constatés

Dans sa lettre de mise en demeure, la Cdp donne trois directives à la Cbao. Elle demande à la banque, dans un délai d’un mois, de respecter les obligations de sécurité, de définir des procédures formelles de conservation des dossiers des demandeurs d’emplois et de stages et de finaliser le processus de la migration des postes Windows XP vers un système d’exploitation supporté par l’éditeur. Ces trois directives résultent de la constatation d’autant de manquements. En effet, lors de leurs descentes à la Cbao, les contrôleurs de la Cdp ont constaté qu’il n’existe pas une durée définie de conservation des données des demandeurs d’emplois ou de stage. Or, la loi dit que la conservation de ces données ne doit pas excéder la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées. Le second manquement est relatif à l’obligation de sécurité et de confidentialité. La mission de contrôle de la Cdp a révélé la possibilité, pour des personnes non habilitées, à partir d’un ordinateur distant, d’accéder à des informations confidentielles (situation de compte, documents privés…). Or, précise la Cdp, chaque utilisateur (salarié ou stagiaire de la banque) doit en principe disposer d’un compte Windows qui lui permet d’accéder au système d’information de la banque. De même, la mission de contrôle a constaté qu’un stagiaire a utilisé les données de connexion (login et mot de passe) d’un agent permissionnaire, alors que la communication de ces données entre agents et formellement interdite. Le dernier manquement collé à la Cbao porte sur l’utilisation encore de Windows XP par quatre postes dans la banque. Ce qui pourrait rendre vulnérable le système d’information de la société aux cyberattaques. Surtout que, rappelle la Cdp, Microsoft a déclaré que «les Pc qui exécutent Windows XP après le 8 avril 2014 ne sont pas considérés comme sûrs».

Expresso pris pour non-respect du principe de consentement, des droits à l’information préalable et d’opposition

En dehors de la Cbao, la Cdp a aussi contrôlé la société de téléphonie Expresso. Un contrôle qui a décelé des failles par rapport aux données personnelles postées sur le site web de la société. En effet, les contrôleurs de la commission de la Cdp ont débusqué «un désengagement» de l’opérateur par rapport à la sécurité et à la confidentialité des communications sur le site. Ce qui est à l’origine de manquements constatés concernant le principe de consentement. Awa Ndiaye et son équipe fustigent le fait qu’aucune procédure formelle n’est prévue par l’opérateur pour recueillir le consentement spécifique des personnes concernées dans le cadre des opérations de prospection. Pire, la Cdp souligne que la société ne respecte ni les droits à l’information préalable des personnes concernées, ni le droit d’opposition aux prospections. «Expresso envoie des SMS de prospection sans information préalable sur la finalité poursuivie par le traitement. L’exercice du droit d’opposition avec la fonction STOP imposait un code pour chaque message de prospection et certaines fonctions « STOP-codes » n’étaient pas valides le jour du contrôle», révèle la Commission de protection des données personnelles. Dès lors, tout comme la Cbao, Expresso a un mois pour rectifier le tir. Sans quoi, la Cdp va actionner son comité de sanction.
Mbaye THIANDOUM