PRÉSENTATION DE LA POLITIQUE
La Société des Postes du Togo (SPT) reconnaît que les technologies de l'information améliorent les activités financières, postales et doivent être au service de chaque citoyen. Dans le cadre de ses opérations quotidiennes dans le monde entier, la SPT doit recueillir, détenir, traiter et transférer des données personnelles concernant des personnes physiques telles que des membres du personnel, des clients, des sous-traitants et des fournisseurs (chacun étant considéré comme un propriétaire de données), provenant de diverses sources. Ces données personnelles peuvent également comprendre des informations personnelles sur les collaborateurs des clients institutionnels ou d’intermédiaires.
Les données personnelles de nos jours sont au cœur de l’économie numérique, elles sont partout mais tout d’abord, appartiennent à chaque citoyen. Chaque personne qui partage ses données à une entité, notamment la SPT doit pouvoir exercer un contrôle et maitriser le sort de ces données.
La SPT s’engage à respecter les lois internationales et notamment la loi togolaise sur la protection des données à caractère personnel.
1. FINALITE ET CHAMP D’APPLICATION
La Politique de protection des données de la SPT, rappelle l’obligation de traiter les données personnelles de manière sûre et d’en préserver la confidentialité conformément aux bonnes pratiques et aux règles à observer en la matière. Elle vise à garantir la permanence du respect de la réglementation sur la protection des données et d’aider les membres du personnel à remplir leurs obligations individuelles.
Les fonctions et attributions permettant de s’assurer de la mise en place des processus nécessaires au respect des obligations et de la réglementation y sont également rappelées.
La présente politique s’applique à l’ensemble des utilisateurs des données et systèmes d’information de la SPT : le personnel permanent, le personnel temporaire, les stagiaires, les sous-traitants, les consultants et les tiers autorisés à utiliser nos données et systèmes d’information.
Elle s’applique à toutes les données traitées sous la responsabilité de la Direction Générale pour la fourniture des produits et services proposés par la SPT.
2. ENVIRONNEMENT REGLEMENTAIRE
- Loi-cadre de 2010 de la BCEAO portant règlementation bancaire
- Loi 2018-03 du 23 février 2018 relative à la Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme,
- Loi n° 2018 – 026 sur la cybersécurité et la lutte contre la cybercriminalité du 07 décembre 2018,
- Loi n°2019-014 relative à la protection des données à caractère personnel du 29 octobre 2019.
3. DEFINITIONS
L’article 4 de la Loi n° 2019-014 du 29 Octobre 2019 relative à la protection des données à caractère personnel, définit :
Communications électroniques : les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images, de vidéos ou de sons, par voie électromagnétique ou optique ;
Consentement de la personne concernée : toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel, accepte que ses données à caractère personnel fassent l'objet d’un traitement manuel ou électronique ;
Destinataire d'un traitement des données à caractère personnel : toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités publiques légalement habilitées, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, peuvent demander au responsable du traitement de leur communiquer des données à caractère personnel ;
Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ;
Données sensibles : toutes les données à caractère personnel relatives à l’origine raciale ou ethnique, aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives ;
Fichier de données à caractère personnel : l’ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
Instance de protection des données à caractère personnel : l’instance compétente pour formuler toutes recommandations utiles en vue de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi relative à la protection des données à caractère personnel ;
Interconnexion des données à caractère personnel : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement ;
Personne concernée : toute personne physique qui fait l'objet d’un traitement des données à caractère personnel ;
Prospection directe : toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature notamment commerciale, politique ou caritative, destinée à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services ;
Responsable du traitement : toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d'autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités ; Sous-traitant : toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement ;
Service à distance : toute prestation de service à valeur ajoutée, s’appuyant sur les communications électroniques, visant à permettre, de manière interactive et à distance, à une personne physique ou morale, publique ou privée, la possibilité d’effectuer des activités, démarches ou formalités ;
Tiers : toute personne physique ou morale, publique ou privée, tout autre organisme ou association autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;
Traitement des données à caractère personnel: toute opération ou ensemble d’opérations prévues à l’article 2 de la loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l'enregistrement, l'organisation, la conservation, l’adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction des données à caractère personnel.
4. PRINCIPES DE PROTECTION DE DONNEES
La Société des Postes du Togo (SPT) dans ses activités recueille et traite les données dans le respect des lois et réglementations nationales en vigueur, notamment la loi n° 2019-014 relative à la protection des données à caractère personnel. Les données à caractère personnel sont traitées par la SPT de manière confidentielle et sont protégées.
4.1. Principes généraux de gestion des données
La présente politique s’appuie sur les principes généraux de recueil et de traitement des données ci-dessous :
La collecte, l’enregistrement, le traitement, le stockage et la transmission des données à caractère personnel se font de manière licite, loyale et non frauduleuse.
Le traitement des données est légitime lorsque le consentement exprès de la personne physique est requis avant le traitement des données. Le consentement verbal n’est pas retenu et n’est pas considéré comme valable.
Les données sont collectées pour des finalités déterminées, explicites, légitimes portées à la connaissance des personnes concernées. Aucune collecte n’est effectuée à l’insu des personnes, ni sans qu’elles en soient informées.
Ces données ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement.
Les données peuvent être utilisées pour proposer d’autres produits et services aux clients, uniquement en tenant compte de leur accord ou refus, de recevoir des communications commerciales.
Les données collectées doivent être exactes et, si nécessaire, mises à jour. Toute mesure raisonnable doit être prise pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement, soient effacées ou rectifiées.
Les données collectées sont strictement nécessaires à la réalisation des produits et services souscrits et des contrats signés avec la SPT. Dans le cas où des données facultatives seraient demandées, la SPT informe clairement les personnes concernées, sur les données nécessaires à la réalisation des contrats, produits ou services souscrits et celles volontairement fournies par ces personnes elles-mêmes.
Les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Au-delà de cette période requise, les données ne peuvent faire l’objet d’une conservation qu’en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques ou de recherches en vertu des dispositions légales.
Les données personnelles doivent en général être conservées dans des lieux autorisés par la Direction Générale. Rappelons que la durée de conservation selon la législation applicable est de dix (10) ans.
Par transparence, la SPT entend informer sa clientèle, son personnel et ses partenaires sur toutes les modalités de traitement des données, en particulier celles à caractère personnel. Dans ce contexte, la présente politique sera publiée partout où besoin sera.
4.2. Principes de confidentialité et de sécurité dans la gestion des informations et documents
Les données personnelles doivent être conservées et gérées de manière sûre conformément à la présente politique.
L’ensemble du personnel doit prendre des précautions pour prévenir la perte ou l’altération de données personnelles. Le traitement des données à caractère personnel est confidentiel. Tout collaborateur, dirigeant, administrateur ou partenaire d’affaires de la SPT est tenu à la discrétion professionnelle, pour un strict respect du secret professionnel.
La violation du principe de confidentialité constitue une faute grave et expose son auteur à des sanctions.
Il est important de veiller à ce que l’accès aux données personnelles et leur communication soient convenablement restreints.
La SPT a mis en place un dispositif de sécurité physique et logique approprié pour prévenir la perte accidentelle, l’utilisation des informations personnelles ou leur accès non autorisé, leur modification ou la divulgation de celles-ci. Le dispositif comprend notamment un système de sauvegarde, de contrôle d'accès et de cryptage si nécessaire.
Lorsqu’elle travaille avec un prestataire externe, la SPT doit s’assurer que celui-ci prend des mesures de sécurité d’ordre technique et organisationnel adaptées pour préserver les données personnelles des clients, et que ces mesures sont correctement mises en œuvre.
4.3. Autorisation de traitement de données personnelles
Aux termes de la présente Politique, tout traitement de données personnelles doit être licite, adéquat, utile et ne doit pas être excessif au regard de l’objet particulier pour lequel les données personnelles ont été obtenues. La présente politique donne des indications quant aux types de traitement qui sont autorisés en vertu de la législation sur la protection des données.
4.4. La collecte des informations
Les données sont collectées par la SPT directement auprès des personnes concernées, de leurs représentants dûment habilités, des bases de données publiques ou autorisées, ou d'administrations et autorités publiques dans le cadre de ses obligations légales et réglementaires.
La SPT peut être amenée à collecter différentes catégories de données personnelles de sa clientèle, à savoir les informations d’identification, de contact et tant d’autres.
4.5. Traitement de données personnelles sensibles
Sont considérées comme données sensibles aux termes de la loi, toutes les données à caractère personnel relatives à l’origine raciale ou ethnique, aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives.
4.6. Utilisation des données
Les informations de la clientèle sont utilisées pour les finalités suivantes :
- Assurer la conformité à des obligations légales et réglementaires
- Exécuter les contrats conclus avec les clients ou leur fournir des informations
- précontractuelles relatives aux produits et services
- Servir les intérêts légitimes de la SPT
- Garantir la sécurité des réseaux et des informations
- Faciliter l’accès à des fonctionnalités dont la navigation, la gestion du courrier et des colis, et l’accès aux services d’utilité publique
- Personnalisation des offres commerciales.
Avant d’envoyer des informations commerciales à une personne physique, il convient d’obtenir son accord préalable.
Pour certains traitements particuliers, la SPT peut être amenée à utiliser les données personnelles sous réserve du consentement explicite des clients. Les clients en sont alors informés et lesdits traitements ne seront effectués qu’après l’obtention formelle de leur consentement, qu’ils pourront retirer à tout moment.
Dans le cadre de ses activités, la SPT est susceptible de partager des informations personnelles avec les catégories de tiers suivantes :
- Les partenaires commerciaux et bancaires, prestataires de services et sous-traitants réalisant des prestations pour le compte la SPT, et avec qui un contrat incluant des clauses strictes de confidentialité a été dûment signé,
- Certaines professions réglementées telles que les avocats et commissaires aux comptes
- Les autorités financières judiciaires ou agences d’État, ainsi que les organismes publics, sur demande et dans la limite de leurs prérogatives
Les personnes concernées sont pleinement informées de ce partage de leur informations personnelles pour lequel elles donnent leur consentement.
5. DROITS DES CLIENTS
Conformément à la réglementation applicable en matière de protection des données contenue dans son chapitre III, les clients et tiers disposent d’un certain nombre de droits quant à l’usage de leurs données personnelles :
- - Le droit à l’information : droit d’accès à une information claire, transparente et facilement compréhensible concernant la manière dont la SPT utilise leurs informations ;
- - Le droit d’accès : disposer des informations concernant le traitement de leurs données personnelles ainsi qu’une copie de celles-ci ;
- - Le droit d’opposition : droit de s’opposer pour raison légitime au traitement de leurs données personnelles, en particulier à des fins de prospection commerciale, y compris le profilage lié à cette prospection ;
- - Le droit de rectification et de suppression : si la contrepartie estime que ses données personnelles sont inexactes ou incomplètes, elle peut exiger qu’elles soient corrigées en conséquence ou supprimer ;
- - Le droit à l’effacement, ou « droit à l’oubli numérique » : droit aux tiers de demander lorsqu’elles sont publiées par la SPT, que leurs données personnelles ou les liens y accédant soient effacées ou toute copie ou reproduction de celles-ci., sans préjudice aux obligations de la SPT en termes de conservation des données ;
- - Le droit à la mise à jour des données après la mort : Les ayants droit d’une personne décédée justifiant de leur identité peuvent exiger que la SPT prenne en considération le décès de la personne concernée et procède aux mises à jour nécessaires.
Conformément à la Loi n°2019-014 relative à la protection des données à caractère personnel, la clientèle peut saisir l’Instance de Protection des Données à Caractère Personnel (IPDCP) pour exercer ces droits.