About Intellectual Property IP Training Respect for IP IP Outreach IP for… IP and... IP in... Patent & Technology Information Trademark Information Industrial Design Information Geographical Indication Information Plant Variety Information (UPOV) IP Laws, Treaties & Judgments IP Resources IP Reports Patent Protection Trademark Protection Industrial Design Protection Geographical Indication Protection Plant Variety Protection (UPOV) IP Dispute Resolution IP Office Business Solutions Paying for IP Services Negotiation & Decision-Making Development Cooperation Innovation Support Public-Private Partnerships AI Tools & Services The Organization Working with WIPO Accountability Patents Trademarks Industrial Designs Geographical Indications Copyright Trade Secrets WIPO Academy Workshops & Seminars IP Enforcement WIPO ALERT Raising Awareness World IP Day WIPO Magazine Case Studies & Success Stories IP News WIPO Awards Business Universities Indigenous Peoples Judiciaries Genetic Resources, Traditional Knowledge and Traditional Cultural Expressions Economics Finance Intangible Assets Gender Equality Global Health Climate Change Competition Policy Sustainable Development Goals Frontier Technologies Mobile Applications Sports Tourism PATENTSCOPE Patent Analytics International Patent Classification ARDI – Research for Innovation ASPI – Specialized Patent Information Global Brand Database Madrid Monitor Article 6ter Express Database Nice Classification Vienna Classification Global Design Database International Designs Bulletin Hague Express Database Locarno Classification Lisbon Express Database Global Brand Database for GIs PLUTO Plant Variety Database GENIE Database WIPO-Administered Treaties WIPO Lex - IP Laws, Treaties & Judgments WIPO Standards IP Statistics WIPO Pearl (Terminology) WIPO Publications Country IP Profiles WIPO Knowledge Center WIPO Technology Trends Global Innovation Index World Intellectual Property Report PCT – The International Patent System ePCT Budapest – The International Microorganism Deposit System Madrid – The International Trademark System eMadrid Article 6ter (armorial bearings, flags, state emblems) Hague – The International Design System eHague Lisbon – The International System of Appellations of Origin and Geographical Indications eLisbon UPOV PRISMA UPOV e-PVP Administration UPOV e-PVP DUS Exchange Mediation Arbitration Expert Determination Domain Name Disputes Centralized Access to Search and Examination (CASE) Digital Access Service (DAS) WIPO Pay Current Account at WIPO WIPO Assemblies Standing Committees Calendar of Meetings WIPO Webcast WIPO Official Documents Development Agenda Technical Assistance IP Training Institutions COVID-19 Support National IP Strategies Policy & Legislative Advice Cooperation Hub Technology and Innovation Support Centers (TISC) Technology Transfer Inventor Assistance Program WIPO GREEN WIPO's Pat-INFORMED Accessible Books Consortium WIPO for Creators WIPO Translate Speech-to-Text Classification Assistant Member States Observers Director General Activities by Unit External Offices Job Vacancies Procurement Results & Budget Financial Reporting Oversight
Arabic English Spanish French Russian Chinese
Laws Treaties Judgments Browse By Jurisdiction

Law No. 2008-12 on the Protection of Personal Data, Senegal

Back
Latest Version in WIPO Lex
Details Details Year of Version 2008 Dates Entry into force: January 15, 2008 Adopted: November 30, 2007 Type of Text IP-related Laws Subject Matter Copyright and Related Rights (Neighboring Rights), Enforcement of IP and Related Laws Notes Law No. 2008-12 of January 25, 2008 on the Protection of Personal Data makes provision for the protection of individuals against the violation of their privacy by the processing of personal data that identifies directly or indirectly person.

Available Materials

Main Text(s) Related Text(s)
Main text(s) Main text(s) French Loi n° 2008-12 sur la Protection des données à caractère personnel        
 
Download PDF open_in_new
 Loi n° 2008 – 12 sur la Protection des données à caractère personnel

1

LOI SUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

EXPOSE DES MOTIFS

Avec le développement de l'informatique et de ses applications, le domaine

traditionnel de la vie privée s'enrichit chaque jour de nouveaux éléments. Partie

intégrante de ces éléments, les données à caractère personnel se révèlent être des

ressources très convoitées. Leur traitement doit se dérouler « dans le respect des

droits, des libertés fondamentales, de la dignité des personnes physiques ». De ce

fait, la législation sur les données à caractère personnel s'avère être un instrument

de protection générale à l'égard des droits et libertés fondamentaux de la

personne.

Malgré le démarrage de l'Intranet gouvernemental, le développement du recours

à l'informatique dans l'administration, dans les entreprises privées et son

utilisation par les personnes, la numérisation du fichier électoral et de la carte

d'identité nationale, entraînant ainsi la génération, la collecte et le traitement des

données à caractère personnel, le droit positif sénégalais ne fixe pas le cadre et le

régime juridique de ces opérations.

L'ambition du présent projet de loi est de combler ce vide juridique.

Prenant pour base les principes directeurs pour la réglementation des fichiers

informatisés contenant des données à caractère personnel édictés par l'Assemblée

Générale de l'ONU en 1990, les exigences européennes en matière de transfert de

données vers des pays tiers et les principes fondamentaux consacrés par la loi

d’orientation sur la société de l’information, le présent projet de loi sur la

protection des données à caractère personnel désignée en abrégé (LDCP) offre un

autre niveau élevé de protection.

Le projet de loi sur la protection des données à caractère Personnel organise divers

régimes de protection et règle la question de l’ancrage institutionnel en créant une

autorité administrative indépendante chargée de la mise en œuvre des régimes de

protection.

Le présent projet de loi comprend sept (7) chapitres.

Le chapitre premier, sur les dispositions générales relatives à la protection des données à caractère personnel, fixe l'objet de la loi, circonscrit son champ

d'application et définit les différents termes utilisés.

2

Le chapitre II institue une autorité administrative indépendante dénommée « Commission des Données Personnelles » (CDP). Elle est le garant du respect de

la vie privée dans le traitement des données personnelles.

Le chapitre III fixe les différentes modalités de traitement des données à caractère personnel.

Le chapitre IV porte sur les droits de la personne dont les données à caractère personnel font l’objet d’un traitement.

Le chapitre V est relatif aux obligations du responsable de traitement des données à caractère personnel.

Le chapitre VI est relatif aux dispositions pénales. Sauf disposition contraire, le présent projet de loi renvoie au code pénal pour l’incrimination et la répression

des infractions à ses dispositions.

Le chapitre VII pose les dispositions transitoires et finales. Par celles-ci, des dérogations sont posées pour certains fichiers existants et la date d’entrée en

vigueur de la loi sur la protection des données à caractère personnel est indiquée

en fonction du type de données considérées.

Telle est l’économie du présent projet de loi.

3

REPUBLIQUE DU SENEGAL Un Peuple – Un But - Une Foi

Loi n° 2008 – 12

sur la Protection des données à

caractère personnel

L’Assemblée nationale a adopté, en sa séance du vendredi 30 novembre 2007 ;

Le Sénat a adopté, en sa séance du mardi 15 janvier 2008 ;

Le Président de la République promulgue la loi sont la teneur suit :

CHAPITRE PREMIER : DISPOSITIONS GENERALES

SECTION PREMIERE : OBJET DE LA LOI SUR LES DONNEES A CARACTERE PERSONNEL

Article Premier : La présente loi a pour objet de mettre en place un dispositif permettant de lutter

contre les atteintes à la vie privée susceptibles d’être engendrées par la collecte, le

traitement, la transmission, le stockage et l’usage des données à caractère

personnel.

Elle garantit que tout traitement, sous quelque forme que ce soit, respecte les

libertés et droits fondamentaux des personnes physiques ; elle prend également en

compte les prérogatives de l’Etat, les droits des collectivités locales, les intérêts des

entreprises et de la société civile.

Elle veille à ce que les Technologies de l’Information et de la Communication (TIC)

ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie

privée.

SECTION II : CHAMP D’APPLICATION DE LA LOI SUR LES DONNEES A CARACTERE

PERSONNEL

Article 2 : Sont soumis à la présente loi :

1) Toute collecte, tout traitement, toute transmission, tout stockage et toute

utilisation des données à caractère personnel par une personne physique,

par l’Etat, les collectivités locales, les personnes morales de droit public ou

de droit privé ;

2) Tout traitement automatisé ou non de données contenues ou appelées à

figurer dans un fichier, à l’exception des traitements mentionnés à l’article

3 de la présente loi ;

3) Tout traitement mis en oeuvre par un responsable tel que défini à l’article

4.14 de la présente loi sur le territoire sénégalais ou en tout lieu où la loi

4

sénégalaise s’applique ;

4) Tout traitement mis en oeuvre par un responsable, établi ou non sur le

territoire sénégalais, qui recourt à des moyens de traitement situés sur le

territoire sénégalais, à l'exclusion des moyens qui ne sont utilisés qu'à des

fins de transit sur ce territoire. Dans les cas visés à l’alinéa précédent, le

responsable du traitement doit désigner un représentant établi sur le

territoire sénégalais, sans préjudice d’actions qui peuvent être introduites à

son encontre ;

5) Tout traitement des données concernant la sécurité publique, la défense, la

recherche et la poursuite d'infractions pénales ou la sûreté de l'Etat, même

liées à un intérêt économique ou financier important de l'Etat, sous réserve

des dérogations que définit la présente loi et des dispositions spécifiques en

la matière fixées par d’autres lois.

Article 3 : La présente loi ne s'applique pas :

1) aux traitements de données mis en oeuvre par une personne physique dans

le cadre exclusif de ses activités personnelles ou domestiques, à condition

toutefois que les données ne soient pas destinées à une communication

systématique à des tiers ou à la diffusion ;

2) aux copies temporaires faites dans le cadre des activités techniques de

transmission et de fourniture d'accès à un réseau numérique, en vue du

stockage automatique, intermédiaire et transitoire des données et à seule fin

de permettre à d'autres destinataires du service le meilleur accès possible

aux informations transmises.

SECTION III : DEFINITIONS

Article 4 : Au sens de la présente loi, on entend par :

1) Code de conduite : tout projet de règles, notamment les chartes d’utilisation,

élaboré par le responsable du traitement, en conformité avec la présente loi,

afin d’instaurer un usage correct des ressources informatiques, de l’Internet

et des communications électroniques de la structure concernée et

homologué par la Commission des Données Personnelles ;

2) Communications électroniques : les émissions, transmissions ou réceptions de

signes, de signaux, d'écrits, d'images ou de sons, par voie électronique ou

magnétique ;

3) Copies temporaires : données copiées temporairement dans un espace dédié,

pour une durée limitée dans le temps, pour les besoins du fonctionnement

du logiciel de traitement ;

4) Consentement de la personne concernée : toute manifestation de volonté

5

expresse, non équivoque, libre, spécifique et informée par laquelle la

personne concernée ou son représentant légal, judiciaire ou conventionnel,

accepte que ses données à caractère personnel fassent l'objet d’un

traitement manuel ou électronique ;

5) Destinataire d'un traitement des données à caractère personnel : toute personne

habilitée à recevoir communication de ces données autre que la personne

concernée, le responsable du traitement, le sous-traitant et les personnes

qui, en raison de leurs fonctions, sont chargés de traiter les données.

Toutefois, les autorités publiques légalement habilitées, dans le cadre d'une

mission particulière ou de l'exercice d'un droit de communication, peuvent

demander au responsable du traitement de leur communiquer des données

à caractère personnel ;

6) Données à caractère personnel : toute information relative à une personne

physique identifiée ou identifiable directement ou indirectement, par

référence à un numéro d'identification ou à un ou plusieurs éléments,

propres à son identité physique, physiologique, génétique, psychique,

culturelle, sociale ou économique ;

7) Donnée génétique : toute donnée concernant les caractères héréditaires d'un

individu ou d'un groupe d'individus apparentés ;

8) Données sensibles : toutes les données à caractère personnel relatives aux

opinions ou activités religieuse, philosophique, politique, syndicale, à la vie

sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites,

aux sanctions pénales ou administratives ;

9) Données dans le domaine de la santé : toute information concernant l'état

physique et mental d'une personne concernée, y compris les données

génétiques précitées ;

10) Fichier de données à caractère personnel : tout ensemble structuré de données

accessibles selon des critères déterminés, que cet ensemble soit centralisé,

décentralisé ou réparti de manière fonctionnelle ou géographique ;

11) Interconnexion des données à caractère personnel : tout mécanisme de

connexion consistant en la mise en relation de données traitées pour une

finalité déterminée avec d’autres données traitées pour des finalités

identiques ou non, ou liées par un ou plusieurs responsables de traitement ;

12) Pays tiers : tout Etat autre que le Sénégal ;

13) Personne concernée : toute personne physique qui fait l'objet d’un traitement

des données à caractère personnel ;

14) Prospection directe : toute sollicitation effectuée au moyen de l’envoi de

message, quel qu’en soit le support ou la nature notamment commerciale,

politique ou caritative, destinée à promouvoir, directement ou

indirectement, des biens, des services ou l'image d'une personne vendant

des biens ou fournissant des services ;

15) Responsable du traitement : la personne physique ou morale, publique ou

privée, tout autre organisme ou association qui, seul ou conjointement avec

6

d'autres, prend la décision de collecter et de traiter des données à caractère

personnel et en détermine les finalités ;

16) Sous-traitant : toute personne physique ou morale, publique ou privée, tout

autre organisme ou association qui traite des données pour le compte du

responsable du traitement ;

17) Service à distance : toute prestation de service à valeur ajoutée, s’appuyant

sur les télécommunications et/ou sur l’informatique, visant à permettre, de

manière interactive et à distance, à une personne physique ou morale,

publique ou privée, la possibilité d’effectuer des activités, démarches ou

formalités, etc. ;

18) Tiers : toute personne physique ou morale, publique ou privée, tout autre

organisme ou association autre que la personne concernée, le responsable

du traitement, le sous-traitant et les personnes qui, placés sous l’autorité

directe du responsable du traitement ou du sous-traitant, sont habilités à

traiter les données ;

19) Traitement des données à caractère personnel : toute opération ou ensemble

d’opérations prévues à l’article 2 de la présente loi effectuées ou non à

l’aide de procédés automatisés ou non, et appliquées à des données, telles

que la collecte, l’exploitation, l'enregistrement, l'organisation, la

conservation, l’adaptation, la modification, l'extraction, la sauvegarde, la

copie, la consultation, l’utilisation, la communication par transmission, la

diffusion ou toute autre forme de mise à disposition, le rapprochement ou

l’interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la

destruction des données à caractère personnel.

CHAPITRE II : COMMISSION DE PROTECTION DES DONNÉES A CARACTERE PERSONNEL

SECTION PREMIERE : STATUT, COMPOSITION ET ORGANISATION

Article 5 : Il est créé une Commission de Protection des Données à Caractère Personnel dite «

Commission des Données Personnelles » en abrégé la « CDP ».

La Commission des Données Personnelles est une autorité administrative

indépendante chargée de veiller à ce que les traitements des données à caractère

personnel soient mis en œuvre conformément aux dispositions de la présente loi.

Elle informe les personnes concernées et les responsables de traitement de leurs

droits et obligations et s’assure que les TIC ne comportent pas de menace au

regard des libertés publiques et de la vie privée.

Article 6 : La Commission des Données Personnelles est composée de onze (11) membres

choisis, en raison de leur compétence juridique et/ou technique, ainsi qu’il suit :

7

1) trois (3) personnalités désignées par le Président de la République ;

2) un (1) député désigné par le Président de l’Assemblée nationale ;

3) un (1) sénateur désigné par le Président du Sénat ;

4) un (1) représentant des organisations patronales désigné par le Ministre

chargé des organisations professionnelles, sous réserve des dispositions de

l’article 9 de la présente loi ;

5) un magistrat membre du Conseil d’Etat désigné sur proposition du

Président du Conseil d’Etat ;

6) un magistrat membre de la Cour de Cassation désigné sur proposition du

Premier Président de la Cour de Cassation ;

7) un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal ;

8) un représentant des organisations de défense des droits de

l’homme désigné par le Ministre de la Justice, Garde des sceaux, sur

proposition du Haut Commissariat aux droits de l’Homme et à la

Promotion de la Paix ; 9) le Directeur de l’Agence De l’Informatique de l’Etat (ADIE).

Les membres de la Commission des Données Personnelles sont nommés par

décret.

Un Commissaire du Gouvernement, désigné par le Premier ministre, siège auprès

de la Commission des Données Personnelles. Le Commissaire du Gouvernement

est convoqué à toutes les séances de la Commission, dans les mêmes conditions

que les membres de celle-ci. Il informe la Commission sur les orientations du

gouvernement et sur les motivations de l’administration concernant la mise en

œuvre des traitements mais ne prend pas part au vote.

Article 7 : Le Président de la République nomme parmi les membres de la Commission des

Données Personnelles, le Président de ladite Commission. Le Président est

secondé par un vice-président élu par la Commission des Données Personnelles.

La Commission des Données Personnelles dispose de services placés sous

l’autorité de son Président. Elle dispose, en outre, d’un personnel mis à sa

disposition par l’Etat et peut pourvoir au recrutement d’agents conformément aux

dispositions du Code du Travail.

Les agents assermentés, conformément à l’alinéa 2 de l’article 11 de la présente loi

et qui peuvent être appelés à participer à la mise en oeuvre des missions de

vérification mentionnées à l'article 25 de la présente loi doivent y être habilités par

la Commission. Cette habilitation ne dispense pas de l'application des dispositions

définissant les procédures autorisant l'accès aux secrets protégés par la loi.

8

Article 8 : Le mandat des membres de la Commission des Données Personnelles est de

quatre (4) ans renouvelable une fois. A l’exception du Président, les membres de la

Commission des Données Personnelles n’exercent pas leur fonction à titre exclusif.

Les membres de la Commission des Données Personnelles sont inamovibles

pendant la durée de leur mandat.

Il ne peut être mis fin aux fonctions de membre, qu’en cas de démission ou

d’empêchement constaté par la Commission des Données Personnelles dans les

conditions prévues par décret.

Les membres de la Commission des Données Personnelles sont soumis au secret

professionnel conformément aux textes en vigueur.

La Commission des Données Personnelles établit un règlement intérieur qui

précise, notamment, les règles relatives aux délibérations, à l’instruction et à la

présentation des dossiers.

Les règles relatives à l’organisation et au fonctionnement de la Commission sont

fixées par décret.

Article 9 : La qualité de membre de la Commission des Données Personnelles est

incompatible avec la qualité de membre du Gouvernement, de l’exercice des fonctions de dirigeants d’entreprise, de la détention de participation dans les

entreprises du secteur de l’informatique ou des télécommunications.

Tout membre de la Commission des Données Personnelles doit informer celle-ci

des intérêts directs ou indirects qu’il détient ou vient à détenir, des fonctions qu’il

exerce ou vient à exercer et de tout mandat qu’il détient ou vient à détenir au sein

d’une personne morale.

Le cas échéant, la commission prend toutes les dispositions utiles pour assurer

l’indépendance et l’impartialité de ses membres. Un code de conduite est mis en

place par la commission à cet effet.

Article 10 : Si en cours de mandat le président ou un membre de la Commission des Données

Personnelles cesse d’exercer ses fonctions, il est procédé à son remplacement dans

les conditions prévues par les articles 6 à 8 de la présente loi.

Le mandat du successeur ainsi désigné est limité à la période restant à courir. Ce

dernier peut être désigné pour un seul mandat.

Article 11 :

9

Les membres de la Commission des Données Personnelles, avant leur entrée en

fonction, prêtent devant la Cour d’Appel de Dakar siégeant en audience solennelle

le serment dont la teneur suit : « Je jure solennellement de bien et fidèlement remplir

ma fonction de membre de la Commission de Protection des Données à Caractère

Personnel, en toute indépendance et impartialité de façon digne et loyale et de garder le

secret des délibérations ».

Les autres agents choisis par la Commission des Données Personnelles prêtent

serment devant le tribunal régional de Dakar en ces termes : « Je jure de bien et

loyalement remplir mes fonctions d’agent de la« Commission des Données Personnelles »

en toute indépendance et impartialité, et de garder le secret des délibérations.

Article 12 : Les membres de la Commission des Données Personnelles jouissent d’une

immunité totale pour les opinions émises dans l’exercice ou à l’occasion de

l’exercice de leur fonction.

Dans l’exercice de leur attribution, les membres de la Commission des Données

Personnelles ne reçoivent d’instruction d’aucune autorité.

Article 13 : Les membres de la Commission des Données Personnelles perçoivent des

indemnités fixées par décret.

Article 14 : La Commission des Données Personnelles jouit de l’autonomie de gestion. Le

budget est préparé par le Président et adopté par la Commission des Données

Personnelles.

Le Président de la Commission des Données Personnelles est l’ordonnateur du

budget, il applique les règles de la comptabilité publique.

Article 15 : Pour l’accomplissement de ses missions, la Commission des Données

Personnelles reçoit une dotation budgétaire de l’Etat.

La Commission des Données Personnelles ne peut recevoir de don ou subvention

d’un individu, d’un organisme ou d’un Etat étranger que par l’intermédiaire d’une

structure de coopération de l’Etat du Sénégal.

SECTION II : ATTRIBUTIONS DE LA «COMMISSION DES DONNEES PERSONNELLES »

Article 16 : La Commission des Données Personnelles exerce les missions suivantes :

1) elle veille à ce que les traitements des données à caractère personnel soient

10

mis en œuvre conformément aux dispositions de la présente loi.

2) elle informe les personnes concernées et les responsables de traitement de

leurs droits et obligations. A cet effet,

a) elle reçoit les formalités préalables à la création de traitements des

données à caractère personnel ;

b) elle reçoit les réclamations, les pétitions et les plaintes relatives à la

mise en œuvre des traitements des données à caractère personnel et

informe leurs auteurs des suites données à celles-ci ;

c) elle informe sans délai le procureur de la République des infractions

dont elle a connaissance ;

d) elle peut, par décision particulière, charger un ou plusieurs de ses

membres ou des agents de ses services de procéder à des

vérifications portant sur tout traitement et, le cas échéant, d’obtenir

des copies de tout document ou support d’information utile à sa

mission ;

e) elle peut, dans les conditions définies aux articles 29 à 32 de la

présente loi prononcer une sanction à l’égard d’un responsable de

traitement ;

f) elle répond à toute demande d’avis.

3) elle homologue les chartes d’utilisation qui lui sont présentées ;

4) elle tient un répertoire des traitements des données à caractère personnel à

la disposition du public ;

5) elle conseille les personnes et organismes qui ont recours aux traitements

des données à caractère personnel ou qui procèdent à des essais ou

expériences de nature à aboutir à de tels traitements ;

6) elle autorise, dans les conditions prévues par la présente loi, les transferts

transfrontaliers de données à caractère personnel ;

7) elle présente au gouvernement toute suggestion susceptible de simplifier et

d’améliorer le cadre législatif et réglementaire à l’égard du traitement des

données ;

8) elle coopère avec les autorités de protection des données à caractère

personnel des pays tiers, participe aux négociations internationales en

matière de protection des données à caractère personnel ;

9) elle publie les autorisations accordées et les avis émis dans le répertoire des

traitements des données à caractère personnel ;

10) elle établit chaque année un rapport d’activités remis au Président de la

République et au Président de l’Assemblée nationale.

SECTION III : FORMALITES PREALABLES A LA MISE EN ŒUVRE DU TRAITEMENT DES

DONNEES A CARACTERE PERSONNEL

Article 17 : Sont dispensés des formalités préalables prévues aux articles suivants :

11

1) les traitements mentionnés à l’article 3 de la présente loi ;

2) les traitements ayant pour seul objet la tenue d’un registre qui, en vertu de

dispositions législatives ou réglementaires, est destiné exclusivement à

l’information du public et est ouvert à la consultation de celui-ci ou de toute

personne justifiant d’un intérêt légitime ;

3) les traitements mis en œuvre par une association ou tout organisme à but

non lucratif et à caractère religieux, philosophique, politique ou syndical

dès lors que ces données correspondent à l’objet de cette association ou de

cet organisme, qu’elles ne concernent que leurs membres et qu’elles ne

doivent pas être communiquées à des tiers.

Article 18 : En dehors des cas prévus aux articles 17, 20 et 21 de la présente loi, les traitements

de données à caractère personnel font l’objet d’une déclaration auprès de la

Commission des Données Personnelles. La Commission atteste par un accusé de

réception toute déclaration. Elle délivre, dans un délai d’un (1) mois, un récépissé

qui permet au demandeur de mettre en œuvre le traitement sans toutefois

l’exonérer d’aucune de ses responsabilités. Ce délai peut être prorogé une fois sur

décision motivée de la Commission.

La déclaration, conforme à un modèle établi par la Commission, comporte

l’engagement que le traitement satisfait aux exigences de la loi. Toutefois, seule la

réception du récépissé donne droit à la mise en œuvre d’un traitement.

Article 19 : Pour les catégories les plus courantes de traitement des données à caractère

personnel dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie

privée ou aux libertés, la Commission des Données Personnelles établit et publie

des normes destinées à simplifier ou à exonérer l’obligation de déclaration.

Ces normes peuvent prendre en compte les codes de conduite homologués par la

Commission des Données Personnelles.

Article 20 : Sont mis en œuvre après autorisation de la Commission des Données

Personnelles :

1) les traitements des données à caractère personnel portant sur des données

génétiques et sur la recherche dans le domaine de la santé ;

2) les traitements des données à caractère personnel portant sur des données

relatives aux infractions, condamnations ou mesures de sûreté ;

3) les traitements des données à caractère personnel ayant pour objet une

interconnexion de fichiers, telle que définie à l’article 54 de la présente loi ;

4) les traitements portant sur un numéro national d’identification ou tout

autre identifiant de portée générale ;

12

5) les traitements des données à caractère personnel comportant des données

biométriques ;

6) les traitements des données à caractère personnel ayant un motif d’intérêt

public notamment à des fins historiques, statistiques ou scientifiques.

Article 21 : Hormis les cas où ils doivent être autorisés par la loi et par dérogation aux articles

précédents, les traitements automatisés d’informations nominatives opérés pour le

compte de l’Etat, d’un établissement public ou d’une collectivité locale ou d’une

personne morale de droit privé gérant un service public sont décidés par acte

réglementaire pris après avis motivé de la Commission des Données Personnelles.

Ces traitements portent sur :

1) la sûreté de l’Etat, la défense ou la sécurité publique ;

2) la prévention, la recherche, la constatation ou la poursuite des infractions

pénales ou l’exécution des condamnations pénales ou des mesures de

sûreté ;

3) le recensement de la population ;

4) les données à caractère personnel faisant apparaître, directement ou

indirectement, les origines raciales, ethniques ou régionales, la filiation, les

opinions politiques, philosophiques ou religieuses ou l’appartenance

syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle

de celles-ci lorsqu’elles ne relèvent pas de l’article 22.3 de la présente loi ;

5) le traitement de salaires, pensions, impôts, taxes et autres liquidations.

SECTION IV : DISPOSITIONS COMMUNES

Article 22 : Les demandes d’avis, les déclarations et les demandes d’autorisations doivent

préciser :

1) l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas

établi sur le territoire national, celles de son représentant dûment mandaté ;

2) la ou les finalités du traitement ainsi que la description générale de ses

fonctions ;

3) les interconnexions envisagées ou toutes autres formes de mise en relation

avec d'autres traitements ;

4) les données à caractère personnel traitées, leur origine et les catégories de

personnes concernées par le traitement ;

5) la durée de conservation des informations traitées ;

6) le ou les services chargés de mettre en oeuvre le traitement ainsi que les

catégories de personnes qui, en raison de leurs fonctions ou pour les

besoins du service, ont directement accès aux données enregistrées ;

13

7) les destinataires habilités à recevoir communication des données ;

8) la fonction de la personne ou le service auprès duquel s'exerce le droit

d'accès ;

9) les dispositions prises pour assurer la sécurité des traitements et des

données ;

10) l'indication du recours à un sous-traitant ;

11) les transferts de données à caractère personnel envisagés à destination d'un

pays tiers, sous réserve de réciprocité.

Le responsable d'un traitement déjà déclaré ou autorisé introduit une nouvelle

demande auprès de la Commission des Données Personnelles en cas de

changement affectant les informations mentionnées à l’alinéa précédent. En outre,

il doit informer la Commission des Données Personnelles en cas de suppression

du traitement.

Article 23 : La Commission des Données Personnelles se prononce dans un délai de deux (2)

mois à compter de la réception de la demande d’avis ou d’autorisation. Toutefois,

ce délai peut être prorogé une fois sur décision motivée de la Commission.

Lorsque la Commission des Données Personnelles ne s’est pas prononcée dans ces

délais, l’autorisation est réputée favorable.

Article 24 : L’avis, la déclaration ou la demande d’autorisation peut être adressé à la

Commission des Données Personnelles par voie électronique ou par voie postale.

La Commission des Données Personnelles délivre un récépissé de réception, le cas

échéant par voie électronique.

La Commission des Données Personnelles peut être saisie par toute personne,

agissant par elle-même, par l’entremise de son avocat ou par toute autre personne

physique ou morale dûment mandatée.

SECTION V : CONTROLES ET SANCTIONS ADMINISTRATIVES ET PECUNIAIRES

Article 25 : Les membres de la Commission des Données Personnelles ainsi que les agents de

service assermentés ont accès, dans les conditions prévues par l’article 45 et

suivants du Code de Procédure Pénale, pour l'exercice de leurs missions, aux

lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre

d'un traitement des données à caractère personnel et qui sont à usage

professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Le Procureur de la République territorialement compétent en est préalablement

informé.

14

Article 26 : En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec

l'autorisation du Président du Tribunal Régional dans le ressort duquel sont situés

les locaux à visiter ou du juge délégué par lui.

Ce magistrat est saisi à la requête du Président de la Commission des Données

Personnelles. Il statue par une ordonnance motivée, conformément aux

dispositions prévues aux articles 820-1 à 820-9 du code de procédure civile. La

procédure est sans représentation obligatoire.

Article 27 : Les membres de la Commission des Données Personnelles et les agents

mentionnés à l’article 25 de la présente loi peuvent demander communication de

tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le

support, et en prendre copie. Ils peuvent recueillir, sur place ou sur convocation,

tout renseignement et toute justification utiles. Ils peuvent accéder aux

programmes informatiques et aux données, demander la transcription de tout

traitement dans des documents appropriés directement utilisables pour les besoins

du contrôle. Ils peuvent être assistés par des experts choisis par la Commission des

Données Personnelles.

Article 28 : Il est dressé contradictoirement procès-verbal des vérifications et visites menées en

application des articles précédents.

Article 29 : La Commission des Données Personnelles peut prononcer les mesures suivantes :

1) un avertissement à l’égard du responsable du traitement ne respectant pas

les obligations découlant de la présente loi.

2) une mise en demeure de faire cesser les manquements concernés dans le

délai qu’elle fixe.

Article 30 : Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a

été adressée, la Commission des Données Personnelles peut prononcer à son

encontre, après procédure contradictoire, les sanctions suivantes :

1) un retrait provisoire de l’autorisation accordée pour une durée de trois (3)

mois à l’expiration de laquelle, le retrait devient définitif ;

2) une amende pécuniaire d’un (1) million à cent (100) millions de Franc CFA ;

Le recouvrement des pénalités se fait conformément à la législation relative au

recouvrement des créances de l’Etat.

Article 31 :

15

En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation de

données personnelles entraîne une violation de droits et libertés, la Commission

des Données Personnelles, après procédure contradictoire, peut décider :

1) l’interruption de la mise en œuvre du traitement pour une durée maximale

de trois (3) mois ;

2) le verrouillage de certaines données à caractère personnel traitées pour une

durée maximale de 3 mois ;

3) l’interdiction temporaire ou définitive d’un traitement contraire aux

dispositions de la présente loi.

Article 32 : Les sanctions et décisions prises par la Commission des Données Personnelles sont

susceptibles de recours devant le Conseil d’Etat.

CHAPITRE III : OBLIGATIONS RELATIVES AUX CONDITIONS DE TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL

SECTION PREMIERE : PRINCIPES DE BASE GOUVERNANT LE TRAITEMENT DES DONNEES A

CARACTERE PERSONNEL

Article 33 : Le traitement des données à caractère personnel est considéré comme légitime si la

personne concernée donne son consentement.

Toutefois, il peut être dérogé à cette exigence du consentement lorsque le

traitement est nécessaire :

1) au respect d'une obligation légale à laquelle le responsable du traitement

est soumis ;

2) à l'exécution d’une mission d’intérêt public ou relevant de l'exercice de

l’autorité publique, dont est investi le responsable du traitement ou le tiers

auquel les données sont communiquées ;

3) à l’exécution d’un contrat auquel la personne concernée est partie ou à

l’exécution de mesures précontractuelles prises à sa demande ;

4) à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la

personne concernée.

Article 34 : La collecte, l’enregistrement, le traitement, le stockage et la transmission des

données à caractère personnel doivent se faire de manière licite, loyale et non

frauduleuse.

Article 35 :

16

Les données doivent être collectées pour des finalités déterminées, explicites et

légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible

avec ces finalités.

Elles doivent être adéquates, pertinentes et non excessives au regard des finalités

pour lesquelles elles sont collectées et traitées ultérieurement.

Elles doivent être conservées pendant une durée qui n’excède pas la période

nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées. Au-delà

de cette période requise, les données ne peuvent faire l’objet d’une conservation

qu’en vue de répondre spécifiquement à un traitement à des fins historiques,

statistiques ou de recherches en vertu des dispositions légales.

Article 36 : Les données collectées doivent être exactes et, si nécessaire, mises à jour. Toute

mesure raisonnable doit être prise pour que les données inexactes ou incomplètes,

au regard des finalités pour lesquelles elles sont collectées et traitées

ultérieurement, soient effacées ou rectifiées.

Article 37 : Le principe de transparence implique une information obligatoire de la part du

responsable du traitement portant sur les données à caractère personnel.

Article 38 : Les données à caractère personnel doivent être traitées de manière confidentielle

et être protégées conformément aux dispositions de l’article 71 de la présente loi,

notamment lorsque le traitement comporte des transmissions de données dans un

réseau.

Article 39 : Lorsque le traitement est mis en oeuvre pour le compte du responsable du

traitement, celui-ci doit choisir un sous-traitant qui apporte des garanties

suffisantes. Il incombe au responsable du traitement ainsi qu'au sous-traitant de

veiller au respect des mesures de sécurité définies par l’article 71 de la présente loi.

Tout traitement effectué pour le compte du responsable du traitement doit être

régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant

au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit

que sur la seule instruction du responsable du traitement et que les obligations

visées au présent article incombent également à celui-ci.

17

SECTION II : PRINCIPES SPECIFIQUES RELATIFS AU TRAITEMENT DE CERTAINES

CATEGORIES DE DONNEES A CARACTERE PERSONNEL

Article 40 : Il est interdit de procéder à la collecte et à tout traitement qui révèlent l’origine

raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions

religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les

données génétiques ou plus généralement celles relatives à l’état de santé de la

personne concernée.

Article 41 : L’interdiction fixée à l’article précédent ne s’applique pas pour les catégories de

traitements suivantes lorsque :

1) le traitement des données à caractère personnel porte sur des données

manifestement rendues publiques par la personne concernée ;

2) la personne concernée a donné son consentement par écrit, quel que soit le

support, à un tel traitement et en conformité avec les textes en vigueur ;

3) le traitement des données à caractère personnel est nécessaire à la

sauvegarde des intérêts vitaux de la personne concernée ou d'une autre

personne dans le cas où la personne concernée se trouve dans l’incapacité

physique ou juridique de donner son consentement ;

4) le traitement est nécessaire à la constatation, à l'exercice ou à la défense

d'un droit en justice. Toutefois les données génétiques ne peuvent être

traitées que pour vérifier l’existence d’un lien génétique dans le cadre de

l’administration de la preuve en justice, pour l'identification d'une

personne, la prévention ou la répression d’une infraction pénale

déterminée ;

5) une procédure judiciaire ou une enquête pénale est ouverte ;

6) le traitement des données à caractère personnel s’avère nécessaire pour un

motif d’intérêt public notamment à des fins historiques, statistiques ou

scientifiques ;

7) le traitement est nécessaire à l’exécution d’un contrat auquel la personne

concernée est partie ou à l’exécution de mesures précontractuelles prises à

la demande de la personne concernée pendant la période précontractuelle ;

8) le traitement est nécessaire au respect d’une obligation légale ou

réglementaire à laquelle le responsable du traitement est soumis ;

9) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou

est effectué par une autorité publique ou est assigné par une autorité

publique au responsable du traitement ou à un tiers, auquel les données

sont communiquées ;

10) le traitement est effectué dans le cadre des activités légitimes d'une

fondation, d’une association ou de tout autre organisme à but non lucratif

18

et à finalité politique, philosophique, religieuse, mutualiste ou syndicale.

Toutefois, le traitement doit se rapporter aux seuls membres de cet

organisme ou aux personnes entretenant avec lui des contacts réguliers liés

à sa finalité et que les données ne soient pas communiquées à des tiers sans

le consentement des personnes concernées.

Article 42 : Le traitement des données relatives aux infractions, aux condamnations pénales

ou aux mesures de sûreté ne peut être mis en oeuvre que par :

1) les juridictions, les autorités publiques et les personnes morales gérant un

service public, agissant dans le cadre de leurs attributions légales ;

2) les auxiliaires de justice pour les stricts besoins de l’exercice des missions

qui leur sont confiées par la loi.

Article 43 : Le traitement des données à caractère personnel à des fins de santé n’est légitime

que :

1) lorsque la personne concernée a donné son consentement ;

2) lorsqu’il porte sur des données manifestement rendues publiques par la

personne concernée ;

3) lorsqu’il est nécessaire à la défense des intérêts vitaux de la personne

concernée ou d'une autre personne dans le cas où celle-ci se trouve dans

l'incapacité physique ou juridique de donner son consentement ;

4) lorsqu’il est nécessaire à la réalisation d'une finalité fixée par ou en vertu de

la loi ;

5) lorsqu’il est nécessaire à la promotion et à la protection de la santé publique

y compris le dépistage ;

6) lorsqu’il est nécessaire pour la prévention d'un danger concret ou la

répression d'une infraction pénale déterminée ;

7) lorsqu’il est nécessaire à la constatation, à l'exercice ou à la défense d'un

droit en justice ;

8) lorsqu’il est nécessaire aux fins de médecine préventive, de diagnostics

médicaux, de l'administration de soins ou de traitements soit à la personne

concernée, soit de son parent ou lorsque les services de santé agissent dans

l'intérêt de la personne concernée. Les données sont traitées sous la

surveillance d'un professionnel des soins de santé qui est soumis au secret

professionnel.

Article 44 : Les données à caractère personnel relatives à la santé sont collectées auprès de la

personne concernée. Elles ne peuvent être collectées auprès d'autres sources qu'à

condition que la collecte soit nécessaire aux fins du traitement ou que la personne

concernée ne soit pas en mesure de fournir les données elle-même.

19

Article 45 : Le traitement des données à caractère personnel réalisé aux fins de journalisme, de recherche ou d’expression artistique ou littéraire est admis lorsqu’il est mis en

oeuvre aux seules fins d’expression littéraire et artistique ou d’exercice, à titre

professionnel, de l’activité de journaliste ou chercheur, dans le respect des règles

déontologiques de ces professions.

Article 46 : Les dispositions de la présente loi ne font pas obstacle à l’application des

dispositions des lois relatives à la presse écrite ou audiovisuelle et du code pénal

qui prévoient les conditions d’exercice du droit de réponse et qui préviennent,

limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la

réputation des personnes physiques.

Article 47 : Il est interdit de procéder à la prospection directe à l’aide de tout moyen de

communication utilisant, sous quelque forme que ce soit, les données à caractère

personnel d'une personne physique qui n'a pas exprimé son consentement

préalable à recevoir de telles prospections.

Article 48 : Aucune décision de justice impliquant une appréciation sur le comportement

d’une personne ne peut avoir pour fondement un traitement automatisé des

données à caractère personnel destiné à évaluer certains aspects de sa

personnalité.

Aucune décision produisant des effets juridiques à l’égard d’une personne ne peut

être prise sur le seul fondement d’un traitement automatisé des données à

caractère personnel destiné à définir le profil de l’intéressé ou à évaluer certains

aspects de sa personnalité.

Ne sont pas regardées comme prises sur le seul fondement d’un traitement

automatisé des données à caractère personnel, les décisions prises dans le cadre de

la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne

concernée a été mise à même de présenter ses observations ni celles satisfaisant les

demandes de la personne concernée.

Article 49 : Le responsable d'un traitement ne peut transférer des données à caractère

personnel vers un pays tiers que si cet Etat assure un niveau de protection

suffisant de la vie privée, des libertés et droits fondamentaux des personnes à

l'égard du traitement dont ces données font ou peuvent faire l'objet.

20

Avant tout transfert des données à caractère personnel vers un pays tiers, le

responsable du traitement doit préalablement informer la Commission des

Données Personnelles.

Avant tout traitement des données à caractère personnel provenant de l’étranger,

la Commission des Données Personnelles doit préalablement, vérifier que le

responsable du traitement assure un niveau de protection suffisant de la vie

privée, des libertés et droits fondamentaux des personnes à l’égard du traitement

en vertu de la présente loi.

Le caractère suffisant du niveau de protection assuré par un responsable du

traitement s’apprécie en fonction notamment des mesures de sécurité qui y sont

appliquées conformément à la présente loi, des caractéristiques propres du

traitement, telles que ses finalités, sa durée ainsi que de la nature, de l’origine et de

la destination des données traitées.

Article 50 : Le responsable d'un traitement peut transférer des données à caractère personnel

vers un pays tiers ne répondant pas aux conditions prévues à l'article précédent si

le transfert est ponctuel, non massif et que la personne à laquelle se rapportent les

données a consenti expressément à leur transfert ou si le transfert est nécessaire à

l'une des conditions suivantes :

1) à la sauvegarde de la vie de cette personne ;

2) à la sauvegarde de l'intérêt public ;

3) au respect d'obligations permettant d'assurer la constatation, l'exercice ou la

défense d'un droit en justice ;

4) à l'exécution d'un contrat entre le responsable du traitement et l'intéressé,

ou de mesures précontractuelles prises à la demande de celui-ci.

Article 51 : La Commission des Données Personnelles peut autoriser, sur la base d’une

demande dûment motivée, un transfert ou un ensemble de transferts de données

vers un pays tiers et n’assurant pas un niveau de protection adéquat, ceci lorsque

le responsable du traitement offre des garanties suffisantes au regard de la

protection de la vie privée, des libertés et droits fondamentaux des personnes

concernées ainsi qu’à l’exercice des droits correspondants.

Article 52 : Toute personne qui agit sous l’autorité du responsable du traitement ou sous celle

du sous-traitant, ainsi que le sous-traitant lui-même, et qui accède à des données à

caractère personnel ne peut les traiter que sur instruction du responsable du

traitement.

21

SECTION III : INTERCONNEXION DES FICHIERS COMPORTANT DES DONNEES A CARACTERE

PERSONNEL

Article 53 : L’interconnexion de fichiers visés à l’article 22.3 de la présente loi relevant d’une

ou de plusieurs personnes morales gérant un service public et dont les finalités

correspondent à des intérêts publics différents doit faire l’objet d’une autorisation

de la Commission de Données Personnelles.

Il en est de même pour les traitements mis en œuvre par l’Etat aux fins de mettre à

la disposition des usagers de l’administration un ou plusieurs services à distance

dans le cadre de l’administration électronique.

L’interconnexion de fichiers relevant de personnes privées et dont les finalités

principales sont différentes est également soumise à autorisation de la

Commission des Données Personnelles.

Article 54 : L’interconnexion des fichiers doit permettre d’atteindre des objectifs légaux ou

statutaires présentant un intérêt légitime pour les responsables des traitements.

Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et

garanties pour les personnes concernées ni être assortie de mesures de sécurité

appropriées et doit tenir compte du principe de pertinence des données faisant

l’objet de l’interconnexion.

Article 55 : La demande d’autorisation d’interconnexion prévue à l’article 22.3 de la présente

loi comprend toute information sur :

1) la nature des données à caractère personnel relative à l’interconnexion ;

2) la finalité pour laquelle l’interconnexion est considérée nécessaire ;

3) la durée pour laquelle l’interconnexion est permise ;

4) le cas échéant, les conditions et les termes au regard de la protection la plus

efficace des droits et des libertés et notamment du droit à la vie privée des

personnes concernées ou des tiers.

Article 56 : L’autorisation peut être renouvelée après une demande des responsables du

traitement.

Article 57 : La demande d’autorisation d’interconnexion ainsi que les autorisations

d’interconnexion sont inscrites sur le répertoire des traitements mentionnés à

l’article 16-4 de la présente loi.

22

CHAPITRE IV : DROITS CONFERES A LA PERSONNE DONT LES DONNEES FONT L’OBJET D’UN TRAITEMENT

SECTION PREMIERE : DROIT A L’INFORMATION

Article 58 : Lorsque des données à caractère personnel sont collectées directement auprès de

la personne concernée, le responsable du traitement doit fournir à celle-ci, au plus

tard, lors de la collecte et quels que soient les moyens et supports employés, les

informations suivantes :

1) l’identité du responsable du traitement et, le cas échéant, de son

représentant;

2) la ou les finalités déterminées du traitement auquel les données sont

destinées ;

3) les catégories de données concernées ;

4) le ou les destinataires ou les catégories de destinataires auxquels les

données sont susceptibles d’être communiquées ;

5) le fait de savoir si la réponse aux questions est obligatoire ou facultative

ainsi que les conséquences éventuelles d’un défaut de réponse ;

6) le fait de pouvoir demander à ne plus figurer sur le fichier ;

7) l’existence d’un droit d’accès aux données la concernant et de rectification

de ces données ;

8) la durée de conservation des données ;

9) le cas échéant, des transferts de données à caractère personnel envisagés à

destination de l’étranger.

Article 59 : Lorsque les données à caractère personnel ne sont pas collectées auprès de la

personne concernée, les informations visées à l’article 58 de la présente loi sont

transmises à ladite personne au moment de l’enregistrement des données ou, si

leur communication est prévue, au plus tard lors de la première communication.

Article 60 : Les dispositions de l’article 58 de la présente loi ne s'appliquent pas :

1) aux données recueillies et utilisées lors d'un traitement mis en oeuvre pour

le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité

publique ou ayant pour objet l'exécution de condamnations pénales ou de

mesures de sûreté, dans la mesure où une telle limitation est nécessaire au

respect des fins poursuivies par le traitement ;

2) lorsque le traitement est nécessaire à la prévention, la recherche, la

constatation et la poursuite de toute infraction ;

3) lorsque le traitement est nécessaire à la prise en compte d’un intérêt

économique ou financier important de l’Etat, y compris dans les domaines

monétaire, budgétaire, douanier et fiscal.

23

Article 61 : Toute personne utilisatrice des réseaux de communication électronique doit être

informée de manière claire et complète par le responsable du traitement ou son

représentant :

1) de la finalité de toute action tendant à accéder, par voie de transmission

électronique, à des informations stockées dans son équipement terminal de

connexion, ou à inscrire, par la même voie, des informations dans son

équipement terminal de connexion ;

2) des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans

l’équipement terminal de l’utilisateur ou l’inscription d’informations dans

l’équipement de l’utilisateur :

1) soit a pour finalité exclusive de permettre ou faciliter la communication par

voie électronique ;

2) soit est strictement nécessaire à la fourniture d’un service de

communication en ligne à la demande expresse de l’utilisateur.

SECTION II : DROIT D’ACCES

Article 62 : Toute personne physique justifiant de son identité a le droit de demander, par

écrit, quel que soit le support, au responsable d'un traitement des données à

caractère personnel, de lui fournir :

1) les informations permettant de connaître et de contester le traitement ;

2) la confirmation que des données à caractère personnel la concernant font ou

ne font pas l'objet de ce traitement ;

3) la communication, sous une forme accessible, des données à caractère

personnel qui la concernent ainsi que de toute information disponible quant

à l'origine de celles-ci ;

4) des informations relatives aux finalités du traitement, aux catégories de

données à caractère personnel traitées et aux destinataires ou aux catégories

de destinataires auxquels les données sont communiquées ;

5) le cas échéant, des informations relatives aux transferts de données à

caractère personnel envisagés à destination d’un pays tiers.

Article 63 : Une copie des données à caractère personnel la concernant est délivrée à la

personne concernée à sa demande. Le responsable du traitement peut

subordonner la délivrance de cette copie au paiement d'une somme qui ne peut

excéder le coût de la reproduction.

En cas de risque de dissimulation ou de disparition des données à caractère

personnel, la personne concernée peut en informer la Commission des Données

24

Personnelles qui prend toute mesure de nature à éviter cette dissimulation ou cette

disparition.

Article 64 : Toute personne qui dans l’exercice de son droit d’accès a des raisons sérieuses

d’admettre que les données qui lui ont été communiquées ne sont pas conformes

aux données traitées, peut en informer la Commission des Données

Personnelles qui procède aux vérifications nécessaires.

Article 65 : Le droit d'accès d’un patient est exercé par le patient lui-même ou par

l'intermédiaire d'un médecin qu'il désigne. En cas de décès du patient, son

conjoint non séparé de corps et ses enfants, s'il s'agit d'un mineur, ses père et mère,

peuvent exercer, par l'intermédiaire d'un médecin qu'ils désignent, le droit d'accès.

Article 66 : Le responsable du traitement peut s'opposer aux demandes manifestement

abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En

cas de contestation, la charge de la preuve du caractère manifestement abusif des

demandes incombe au responsable du traitement auprès duquel elles sont

adressées.

Article 67 : Par dérogation aux articles 62 et suivants de la présente loi, lorsqu’un traitement

intéresse la sûreté de l’Etat, la défense ou la sécurité publique, le droit d’accès

s’exerce dans les conditions suivantes :

1) la demande est adressée à la Commission des Données Personnelles qui

désigne l’un de ses membres appartenant ou ayant appartenu au Conseil

d’Etat ou à la Cour de Cassation pour mener les investigations nécessaires.

Celui-ci peut se faire assister d’un autre agent de la Commission des

Données Personnelles. Il est notifié au requérant qu’il a été procédé aux

vérifications ;

2) lorsque la Commission des Données Personnelles constate, en accord avec

le responsable du traitement, que la communication des données qui y sont

contenues ne met pas en cause ses finalités, la sûreté de l’Etat, la défense ou

la sécurité publique, ces données peuvent être communiquées au

requérant ;

3) lorsque le traitement est susceptible de comprendre des informations dont

la communication ne mettrait pas en cause les fins qui lui sont assignées,

l’acte réglementaire portant création du fichier peut prévoir que ces

informations peuvent être communiquées au requérant par le gestionnaire

du fichier directement saisi.

SECTION III : DROIT D’OPPOSITION

25

Article 68 : Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce

que des données à caractère personnel la concernant fassent l'objet d'un

traitement.

Elle a le droit, d’une part, d’être informée avant que des données la concernant ne

soient pour la première fois communiquées à des tiers ou utilisées pour le compte

de tiers à des fins de prospection et, d’autre part, de se voir expressément offrir le

droit de s’opposer, gratuitement, à ladite communication ou utilisation.

Les dispositions du premier alinéa du présent article ne s'appliquent pas lorsque le

traitement répond à une obligation légale.

SECTION IV : DROIT DE RECTIFICATION ET SUPPRESSION

Article 69 : Toute personne physique justifiant de son identité peut exiger du responsable

d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour,

verrouillées ou supprimées les données à caractère personnel la concernant, qui

sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation,

la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande par écrit, quel que soit le support, le

responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a

procédé aux opérations exigées en vertu de l'alinéa précédent dans un délai d’un

(1) mois après l’enregistrement de la demande.

En cas de contestation, la charge de la preuve incombe au responsable du

traitement auprès duquel est exercé le droit d'accès.

Si une donnée a été transmise à un tiers, le responsable du traitement doit

accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées

conformément au premier alinéa.

CHAPITRE V : OBLIGATIONS DU RESPONSABLE DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

SECTION PREMIERE : OBLIGATION DE CONFIDENTIALITE

Article 70 : Le traitement des données à caractère personnel est confidentiel. Il est effectué

exclusivement par des personnes qui agissent sous l’autorité du responsable du

traitement et seulement sur ses instructions.

Pour la réalisation du traitement, le responsable doit choisir des personnes

présentant, au regard de la préservation de la confidentialité des données, toutes

les garanties tant de connaissances techniques et juridiques que d’intégrité

personnelle. Un engagement écrit des personnes amenées à traiter de telles

données à respecter la présente loi doit être signé.

26

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication

des obligations incombant au sous-traitent en matière de protection de la sécurité

et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que

sur instruction du responsable du traitement.

SECTION II : OBLIGATION DE SECURITE

Article 71 : Le responsable du traitement est tenu de prendre toute précaution utile au regard

de la nature des données et, notamment, pour empêcher qu’elles soient déformées,

endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier,

toute mesure visant à :

1) garantir que, pour l’utilisation d’un système de traitement automatisé de

données, les personnes autorisées ne puissent accéder qu’aux données à

caractère personnel relevant de leur compétence ;

2) garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des

données à caractère personnel peuvent être transmises ;

3) garantir que puisse être vérifiée et constatée à posteriori l’identité des

personnes ayant eu accès au système d’information et quelles données ont

été lues ou introduites dans le système, à quel moment et par quelle

personne ;

4) empêcher toute personne non autorisée d’accéder aux locaux et aux

équipements utilisés pour le traitement des données ;

5) empêcher que des supports de données puissent être lus, copiés, modifiés,

détruits ou déplacés par une personne non autorisée ;

6) empêcher l’introduction non autorisée de toute donnée dans le système

d’information ainsi que toute prise de connaissance, toute modification ou

tout effacement non autorisés de données enregistrées ;

7) empêcher que des systèmes de traitements de données puissent être utilisés

par des personnes non autorisées à l’aide d’installations de transmission de

données ;

8) empêcher que, lors de la communication de données et du transport de

supports de données, les données puissent être lues, copiées, modifiées ou

effacées de façon non autorisée ;

9) sauvegarder les données par la constitution de copies de sécurité ;

10) rafraîchir et si nécessaire convertir les données pour un stockage pérenne.

SECTION III : OBLIGATION DE CONSERVATION

Article 72 : Les données à caractère personnel ne peuvent être conservées au-delà de la durée

nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou

scientifiques.

27

Article 73 : Sauf consentement exprès de la personne concernée, les données à caractère

personnel recueillies par les prestataires de services de certification électronique

pour les besoins de la délivrance et de la conservation des certificats liée aux

signatures électroniques doivent l’être directement auprès de la personne

concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont

été recueillies.

SECTION IV : OBLIGATION DE PERENNITE

Article 74 : Le responsable du traitement est tenu de prendre toute mesure utile pour assurer

que les données à caractère personnel traitées pourront être exploitées quel que

soit le support technique utilisé. Il doit particulièrement s’assurer que l’évolution

de la technologie ne sera pas un obstacle à cette exploitation.

CHAPITRE VI : DISPOSITIONS PENALES

Article 75 : Les infractions aux dispositions de la présente loi sont prévues et réprimées par le

Code pénal ainsi que par la loi relative à la cybercriminalité.

CHAPITRE VII DISPOSITIONS TRANSITOIRES ET FINALES

Article 76 : A titre transitoire, les traitements de données opérés pour le compte de l’Etat, d’un

établissement public, d’une collectivité locale ou d’une personne morale de droit

privé gérant un service public et déjà créés, ne sont soumis qu’à une déclaration

auprès de la Commission des Données Personnelles dans les conditions prévues à

l’article 18 de la présente loi.

Article 77 : A compter de la date d’entrée en vigueur de la présente loi, tous les traitements de

données doivent répondre aux prescriptions de celle-ci, dans les délais ci-après :

1) deux (2) ans pour les traitements de données opérés pour le compte de

l’Etat, d’un établissement public, d’une collectivité locale ou d’une

personne morale de droit privé gérant un service public

2) un (1) an pour les traitements de données à caractère personnel effectuées

pour le compte de personnes autres que celles soumises aux dispositions de

l’alinéa précédent.

28

Article 78 : En raison de la spécificité de la matière, les mesures d’application de la présente

loi à la loi instituant la carte nationale d’identité sénégalaise numérisée feront

l’objet d’une disposition réglementaire particulière.

La présente loi sera exécutée comme loi de l’Etat.

Fait à Dakar, le 25 Janvier 2008

Par le Président de la République Abdoulaye WADE

Le Premier Ministre

Cheikh Hadjibou SOUMARE


No data available.

WIPO Lex No. SN009