Sénégal : vers une généralisation des dispositifs de pointage biométrique ?Par Mamadou Lamine N. DIA



Les dispositifs de pointage biométrique ne sont pas une nouveauté au Sénégal, étant déjà largement utilisés dans de nombreuses structures. En 2022, la mairie de Ziguinchor avait adopté cette technologie sur l’initiative d’Ousmane SONKO, maire de la commune, et actuellement premier ministre de la République du Sénégal. 
 
Aujourd’hui, des rumeurs suggèrent que le nouveau régime en place envisage d’étendre leur utilisation à tous les établissements publics. Mais que savons-nous réellement de ces outils ? Et surtout, que dit la législation sénégalaise à ce sujet ?
 
 
 Le dispositif de pointage biométrique ?
 
Dans notre cas, la pointeuse biométrique est un dispositif électronique permettant aux employés d’une structure de s’identifier à l’aide de leurs caractéristiques biométriques. Son objectif est d’assurer un meilleur suivi des temps de présence des travailleurs. 
 
Plus fiable que la feuille de présence ou encore le badge magnétique, la pointeuse biométrique est quasiment impossible à contourner, car elle requiert des caractéristiques biométriques spécifiques à chaque individu, telles que les empreintes digitales, le visage, la voix ou l’iris. Par conséquent, la loi encadre son utilisation, en particulier lorsqu’elle est implantée dans les lieux de travail.
 
  L’encadrement des dispositifs biométriques dans les lieux de travail
 
Le Sénégal s’est doté depuis 2008 d’une loi sur la protection des données personnelles, en l’occurrence la loi n° 2008-12 du 25 janvier 2008 sur la protection des données personnelles. 
 
La Commission de protection des Données Personnelles (CDP), en tant qu’ autorité administrative indépendante, veille au respect de cette loi. Ainsi, selon la nature des données collectées, elle détermine le régime de protection applicable, ainsi que les formalités à suivre.
 
 Les formalités préalables au traitement des données biométriques
 
La loi sur les données personnelles prévoit quatre (4) régimes de protection : le régime de dispense, le régime de déclaration, le régime d’autorisation, ainsi que le régime de demande d’avis. Conformément à l’article 20-5 de loi susvisée, le traitement des données à caractère personnel comportant des données biométriques requiert une autorisation de la Commission de protection des Données Personnelles (CDP). 

Par conséquent, toute organisation, qu’elle soit publique ou privée, désireuse de mettre en place un dispositif de collecte et de traitement de données biométriques, tel qu’une pointeuse biométrique, doit adresser une demande d’autorisation à la CDP. Cette demande est réputée favorable si l’autorité ne se prononce pas dans un délai de deux (2) mois à compter de la réception de ladite demande.
 
   Les données biométriques autorisées à la collecte 
 
Au Sénégal, la Commission de Protection des Données Personnelles (CDP) recommande l’utilisation de pointeuses biométriques à empreintes digitales. Conformément à sa délibération de portée générale du 13 avril 2023, seule la collecte de deux (02) empreintes digitales maximum par employé ou l’empreinte de la paume de la main est autorisée. Toutefois, sur présentation de motifs légitimes par le responsable du traitement, la CDP peut autoriser la collecte de trois (03) empreintes digitales maximum.
 
Le responsable du traitement de ces données est donc tenu, entre autres, à une obligation de sécurité et de confidentialité. De plus, il doit garantir que les personnes concernées puissent exercer leurs droits, notamment le droit d’accès, le droit d’opposition, ainsi que le droit de rectification et de suppression de leurs données soumises à un traitement.

Également, avant la mise en place d’un dispositif de collecte et de traitement de données biométriques dans les lieux de travail, la CDP exige que les personnes concernées soient informées par note de service, note d’information ou tout autre document dûment notifié.
 
Quant à la collecte des données biométriques issues du visage, de la voix ou encore de l’iris, la CDP peut exceptionnellement autoriser leur collecte, à condition que le dispositif soit implanté dans des établissements publics stratégiques ou sensibles.
 
   La durée de conservation des données biométriques 
 
En vertu de l’article 35 de la loi n° 2008-12 du 25 janvier 2008, les données personnelles ne peuvent pas être conservées de manière illimité. Elle doivent en effet être conservées pendant une durée n’excédant pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.  Ex : les données personnelles collectées à partir d’un système de géolocalisation de véhicules ne doivent pas être conservées au-delà de 2 ans. Cette durée est de 3 mois lorsque les données personnelles sont issues d’un système de vidéosurveillance. 
 
S’agissant des données biométriques, la loi ne fixe pas expressément de durée de conservation. Cela ne signifie toutefois pas que les données doivent être conservées de manière illimitée. En effet, conformément à la délibération de portée générale N°2021-558/CDP du 30 décembre 2021 de la CDP relative à la durée de conservation des données à caractère personnel, les données biométriques sont conservées durant le temps de présence des personnes concernées. Dit autrement, elles doivent être supprimées dès le départ des personnes concernées.
 
Par Mamadou Lamine N. DIA, juriste en droit du Numérique.

Fana CiSSE

Samedi 27 Avril 2024 14:11


Dans la même rubrique :