Le formulaire utilisé par le responsable du traitement des résultats du Baccalauréat 2020 communiqués cette année par SMS à cause de la Covid-19, présente de ‘’graves failles’’ de sécurité pour les données personnelles des citoyens sénégalais inscrits, en raison des risques associés à l’usage de la solution Googleforms. C’est ce que révèle la Commission de protection des données personnelles (CDP) dans son avis trimestriel transmis hier à ‘’EnQuête’’.

Cette année, et pour la première fois, l’Office du Baccalauréat a ordonné aux présidents de jury de l’examen du Bac, de communiquer les résultats par SMS, pour éviter les rassemblements, à cause de la propagation de la Covid-19. Cependant, dans son avis trimestriel transmis hier à ‘’EnQuête’’, la Commission de protection des données personnelles (CDP) informe qu’elle a reçu plusieurs signalements d’internautes dénonçant le dispositif mis en place par l’Office du Baccalauréat relatif aux résultats du Bac 2020.

‘’Le formulaire utilisé par le responsable du traitement présente de graves failles de sécurité pour les données personnelles des citoyens sénégalais inscrits, en raison des risques associés à l’usage de la solution Googleforms. La CDP a saisi l’Office du Bac aux fins d’explications sur l’inobservation de la procédure déclarative et plus particulièrement sur la faiblesse des mesures prises pour garantir la sécurité des données’’, rapporte la CDP. 

Selon la même source, à la suite de la réponse à l’Office du Baccalauréat, en application de la circulaire n°0004 PM/CAB/INFO du 12 février 2015 sur l’obligation de déclaration de tous les traitements mis en œuvre par les organismes publics, la CDP a invité le ministère de l’Enseignement supérieur à engager l’ensemble de ses services et des organismes sous sa tutelle à accomplir les formalités déclaratives prévues par la loi n°2008-12. En même temps, d’élaborer des politiques de conformité propices à un environnement numérique de confiance, de sensibiliser les structures d’enseignement supérieur et de recherche sur l’importance de la sécurité des données. Et aussi, de prendre toutes les mesures utiles pour assurer la sécurité et la confidentialité des données, et de mettre en œuvre un programme d’éducation au numérique au profit des composantes du milieu universitaire. 

Par rapport à la sécurité des usagers de l’autoroute, il convient de souligner que le ministère des Infrastructures, des Transports terrestres et du Désenclavement a demandé l’avis de la CDP sur le projet de décret portant règlement de police et d’exploitation des autoroutes à péage. ‘’L’avis demandé par le ministère porte essentiellement sur la conformité avec la loi 2008-12 portant sur la protection des données à caractère personnel, de l’installation sur les autoroutes à péage d’un dispositif de vidéosurveillance ou de tout système de prise automatique d’images et de mouvements, notamment à des fins de sécurité. La CDP a donné un avis favorable, considérant que la finalité d’un tel dispositif est légitime. Toutefois, elle a rappelé au ministère que les exploitants des autoroutes devront se conformer aux formalités déclaratives des systèmes de vidéosurveillance auprès de la CDP’’, lit-on dans le document.

66 dossiers traités

Au cours de ce troisième trimestre 2020, la CDP renseigne également qu’elle a accueilli 11 structures venues s’imprégner de la législation sur les données à caractère personnel.  ‘’La commission a traité 66 dossiers dont 54 déclarations et 12 demandes d’autorisation. A l’issue des deux sessions plénières tenues à la CDP, 54 récépissés de déclaration et 12 autorisations ont été délivrés.  La commission a, en outre, émis des appels à déclaration, reçu des plaintes, signalements et demandes d’avis ; nombre d’appels à déclaration : 5 ; plaintes et signalements reçus : 24 et demande d’avis : 09’’, renchérit notre source.

Elle précise que les plaintes sont relatives aux collectes frauduleuses de données personnelles, aux publications ou menaces de publication de photos ou de vidéos intimes de citoyens, à des fins de cyberchantage et d’extorsion de fonds.  ‘’Ces procédés ne sont pas toujours directement liés aux traitements de données à caractère personnel mis en œuvre par des organismes publics ou privés. Il s’agit plutôt de pratiques relevant de la cybercriminalité (escroquerie, tentative d’extorsion de fonds, piratage de compte…) dont les auteurs ne sont pas souvent localisés sur le territoire national. Le mode opératoire est quasiment identique : la victime se rend sur un site de rencontre où il entre en relation avec un cyber-escroc qui se fait passer pour une femme ou un jeune homme’’, poursuit la CDP.

Après un échange et des questions sur la vie privée de la victime, la commission en charge de la protection des données personnelles indique que le cybercriminel l’invite à ‘’approfondir la relation par une conversation vidéo plus intime’’. Plus tard, un mail ou un message sur le réseau social va apprendre à la victime que la conversation vidéo a été enregistrée. ‘’Le cyber-escroc menace, ensuite, de diffuser la vidéo compromettante sur le compte Facebook, WhatsApp, Twitter d’un proche ou sur un site de partage de vidéos, si la victime ne lui remet pas une somme plus ou moins importante, dans un délai très court. Ainsi, face à de telles situations, la CDP informe le parquet ou les forces de défense et de sécurité, conformément aux articles 16-2-c et 75 de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel’’, renseigne-t-elle. 

En cas d’urgence, et pour éviter les lenteurs procédurales, la CDP relève qu’elle communique directement au plaignant ou l’auteur du signalement la procédure à suivre auprès de la Division spéciale de la cybersécurité (DSC) de la police et de la Plateforme nationale de lutte contre la cybercriminalité (PNLC) de la gendarmerie.

Par ailleurs, elle invite les utilisateurs de ces plateformes à plus de prudence et de responsabilité. Et recommande aux victimes de ‘’porter plainte directement auprès du parquet ou des forces de défense et de sécurité : DSC de la police sise à l’avenue Malick Sy x corniche-Ouest en face de la mosquée de la famille Omarienne ; PNLC de la gendarmerie sise à la caserne Samba Déry Diallo de Colobane ; ne pas verser d'argent quelle que soit la somme demandée ; effectuer des captures d'écran justifiant la situation litigieuse (messages reçus, contenus à effacer...)’’.

Il convient que noter que le troisième trimestre de l’année 2020 a été marqué par la multiplication du volet contentieux lié au traitement des données à caractère personnel. ‘’Les phénomènes de divulgation et les comportements cybercriminels tendent à augmenter, malgré les campagnes de sensibilisation menées par les acteurs du numérique. A ce titre, la CDP va entreprendre une vaste campagne d’éducation au numérique avec des partenaires stratégiques, afin d’instaurer une vraie culture du respect de la vie privée et des données personnelles.

 Relativement à la conformité, la Covid-19 a ralenti le rythme des dépôts de dossiers et a permis à la CDP de participer à de nombreuses activités scientifiques au plan national et international’’, conclut le document. 

MARIAMA DIEME