La loi rwandaise relative à la protection des données à caractère personnel et de la vie privée (LPDVP)
[Itegeko ryerekeye kurinda amakuru bwite n’imibereho bwite by’umuntu]
Les traitements de données à caractère personnel en Europe sont encadrés strictement depuis une trentaine d’années et plus encore depuis l’entrée en vigueur du RGPD.
C’est de plus en plus le cas en Afrique où a été adoptée la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, à Malabo, le 27 juin 2014.
Le Rwanda a transposé cette convention en se dotant d’une loi n° 058/2021 du 13 octobre 2021 relative à la protection des données à caractère personnel et de la vie privée (LPDVP).
Elle est entrée en vigueur le 15 octobre 2021, toutefois le responsable du traitement ou le sous-traitant qui est déjà en exploitation, dispose d’un délai ne dépassant pas deux ans à partir de cette date (15 octobre 2023) pour conformer ses opérations aux dispositions de la loi.
Notre équipe et son desk rwandais sont là pour vous aider dans le cadre de votre démarche de conformité et contentieux relatif à cette législation en évolution.
Dans l’attente, consultez les orientations de l’Autorité de contrôle sur l’inventaire des données personnelles et les outils de la liste de contrôle de l’état de préparation.
Pourquoi s’en préoccuper si vous n’êtes pas établi au Rwanda ?
Parce qu’elle s’exporte, à l’instar du RGPD, en dehors du territoire rwandais et s’applique au responsable du traitement qui n’est ni établi ni résidant au Rwanda, mais qui traite des données à caractère personnel de personnes concernées situées au Rwanda
Notre équipe et son desk rwandais sont là pour vous aider dans le cadre de votre démarche de conformité et contentieux relatif à cette législation en évolution.
Quelles en sont les dispositions ?
La LPDVP comprend des droits et obligations comparables à ceux du RGPD et se montre même plus exigeantes à certains égards :
Objet de la loi
La loi vise à protéger les données à caractère personnel et la vie privée et détermine leur traitement.
Champ d’application de la loi
La loi s’applique :
1° au traitement de données à caractère personnel par voie électronique ou autre en utilisant des données à caractère personnel à travers une plate-forme automatisée ou non automatisée ;
2° au responsable du traitement, au sous-traitant ou à un tiers :
a) qui est établi ou installé au Rwanda et qui traite des données à caractère personnel au Rwanda ;
b) qui n’est ni établi ni résidant au Rwanda, mais qui traite des données à caractère personnel des personnes concernées situées au Rwanda.
Définitions
Aux fins de la loi, les termes suivants ont les significations (fort proches de celles du RGPD) suivantes :
- La donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale ;
- Les données sensibles réunissent, comme auparavant en Europe, les données particulières (raciales, politiques, médicales …) et pénales ;
- Le traitement de données à caractère personnel : une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que l’accès, l’obtention, la collecte, l’enregistrement, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la reconstitution, la dissimulation, la consultation, l’utilisation, la communication par transmission, le partage, le transfert ou la mise à disposition, la vente, la limitation, l’effacement ou la destruction ;
- La personne concernée : personne physique en provenance de laquelle ou au sujet de laquelle les données à caractère personnel ont été demandées et traitées ;
- Le responsable du traitement : personne physique ou morale ou entité juridique qui, seule ou conjointement avec d’autres, traite les données à caractère personnel et détermine les moyens de leur traitement ;
- Le sous-traitant : personne physique, personne morale publique ou privée ou entité juridique autorisée à traiter des données à caractère personnel pour le compte du responsable du traitement ;
- Le tiers : personne physique, personne morale publique ou privée ou entité juridique autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité du responsable du traitement, sont autorisées à traiter les données à caractère personnel.
On note toutefois les définitions originales de deux mesures techniques :
- Le chiffrement : méthode technique utilisée pour rendre le contenu des données illisibles pour toute personne qui n’est pas autorisée à y avoir accès ;
- La tokenisation : processus de remplacement de données sensibles par des symboles d’identification uniques qui conservent toutes les informations essentielles sur les données sans compromettre leur sécurité.
Autorisation de traitement de données à caractère personnel
Sous-traitance
Comme en Europe, le responsable du traitement porte son choix sur un sous-traitant sérieux et règle leurs relations dans un contrat écrit.
Consentement de la personne concernée
Le consentement est libre, informé et pour une finalité spécifique. Il peut être oral, écrit ou électronique.
Il doit être spécifique et pas général, dans une langue officielle que la personne concernée comprend
Le consentement peut naturellement être retiré et ce retrait par la personne concernée se fait de la manière aussi simple que celle utilisée lors de l’expression de son consentement.
Consentement d’un enfant
La loi rwandaise ne se limite pas à fixer des conditions au consentement des enfants pour ce qui concerne les services de la société de l’information, mais en général.
Lorsque les données concernent un enfant de moins de seize ans, il faut obtenir le consentement d’un titulaire de la responsabilité parentale à l’égard de l’enfant.
Traitement de données à caractère personnel sensibles
Le traitement de ces données est interdit, sauf s’il rentre dans les exceptions limitativement énumérées par la loi et s’il répond aux garanties exigées par la loi.
Traitement de données à caractère personnel d’un condamné
La loi précise que pour ces données sensibles, le traitement est en outre effectué sous la supervision de l’autorité de contrôle.
Traitement de données ne nécessitant pas l’identification de la personne concernée
Si les finalités pour lesquelles des données sont traitées n’imposent pas ou n’imposent plus au responsable du traitement ou au sous-traitant d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter la loi.
Source des données à caractère personnel
Le responsable du traitement ou le sous-traitant demande les données directement ou indirectement à la personne concernée.
La source indirecte est autorisée si la personne concernée y consent, a rendu publiques les données à cette fin ou autorisée par la loi
Qualité et documents de données à caractère personnel
Qualité de données à caractère personnel
Le responsable du traitement ou le sous-traitant veille à ce que les données soient complètes, exactes, tenues à jour et non trompeuses eu égard aux finalités pour lesquelles elles sont traitées.
Enregistrement de données à caractère personnel
Le responsable du traitement ou le sous-traitant enregistre les données à caractère personnel au moins dans les opérations suivantes :
1° les données collectées ;
2° les données altérées ;
3° les données pour lesquelles l’accès a été réalisé ;
4° les données divulguées, y compris le partage et le transfert ;
5° les données combinées ;
6° les données effacées.
L’enregistrement des données à caractère personnel doit indiquer la justification, la date et l’heure des opérations …
L’autorité de contrôle peut demander au responsable du traitement ou au sous-traitant de lui donner accès à l’enregistrement des données
Tenue des documents des données à caractère personnel traitées
Malgré le régime déclaratoire de la loi (abandonné en Europe), le responsable du traitement ou le sous-traitant doit tenir un document des activités de traitement de données à caractère personnel, aussi appelé « registre des opérations de traitement ».
Droit aux données à caractère personnel
Le responsable du traitement ou le sous-traitant doivent donner suite au droit d’accès de la personne concernée appelé « droit aux données à caractère personnel ». Le droit à la copie des données connaît néanmoins certaines exceptions.
La disposition ne prévoit pas de délai pour ladite réponse contrairement aux autres droits de la personne concernée. Nous conseillons néanmoins de respecter le délai maximum de 30 jours prévu pour les autres droits. Si la personne concernée n’est pas satisfaite de la réponse, elle peut faire recours auprès de l’autorité de contrôle dans les 30 jours à compter du jour de réception de la réponse, qui traitera ce recours dans les 60 jours.
Droit d’opposition
La loi ouvre un droit d’opposition au traitement qui cause ou est susceptible de causer de la perte, de la tristesse ou de l’anxiété à la personne concernée ! Toutefois, ce droit ne s’applique pas si le responsable du traitement ou le sous-traitant démontre qu’il existe des motifs légitimes et impérieux pour le traitement.
Le responsable du traitement ou le sous-traitant doit donner suite dans un délai de 30 jours. Si la personne concernée n’est pas satisfaite de la réponse, elle peut faire recours auprès de l’autorité de contrôle dans les 30 jours à compter du jour de réception de la réponse, qui traitera ce recours dans les 60 jours.
Cependant, la personne concernée peut demander au responsable du traitement ou au sous-traitant de cesser de traiter ses données à caractère personnel si les données à caractère personnel sont traitées à des fins de prospection, y compris au profilage.
Droit à la portabilité des données à caractère personnel
La personne concernée a le droit de demander au responsable du traitement de lui renvoyer ses données comme il les lui avait fournies dans un format structuré et lisible.
Elle a également le droit de lui demander que ses données soient transmises à un autre responsable du traitement.
Le responsable du traitement doit donner suite dans un délai de 30 jours. Si la personne concernée n’est pas satisfaite de la réponse, elle peut faire recours auprès de l’autorité de contrôle dans les 30 jours à compter du jour de réception de la réponse, qui traitera ce recours dans les 60 jours.
Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé des données
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé de données à caractère personnel, y compris le profilage, pouvant produire des conséquences juridiques ou des conséquences significatives sur lui. Ce droit connaît certaines exceptions, dont le consentement de la personne concernée.
Tout traitement automatisé des données à caractère personnel destiné à évaluer certains aspects personnels relatifs à une personne physique ne s’appuie pas sur des données à caractère personnel sensibles, sauf si l’un des fondements prévus par la loi est rempli.
Droit à la limitation du traitement de données à caractère personnel
La personne concernée ou l’autorité de contrôle a le droit d’obtenir du responsable du traitement la limitation du traitement des données à caractère personnel pendant une période donnée si l’exactitude des données est contestée, le traitement est illicite ou la personne concernée s’est opposée au traitement pendant la vérification portant sur le point de savoir si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée.
L’exercice du droit à la limitation du traitement ne s’applique pas si le traitement est nécessaire pour la protection des droits d’une autre personne (mais le responsable du traitement doit, avant de lever la limitation du traitement, informer la personne concernée) ou des motifs d’intérêt public.
Droit à l’effacement de données à caractère personnel
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement de ses données lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, la personne concernée retire son consentement et il n’existe pas d’autre fondement juridique au traitement, elle s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ou les données ont fait l’objet d’un traitement illicite.
Le responsable du traitement doit informer un tiers traitant ces données que la personne concernée a demandé l’effacement
Toutefois, le droit de demander l’effacement ne s’applique pas dans la mesure où ce traitement est nécessaire pour des motifs d’intérêt public, à des fins de recherche historique ou scientifique ou à des fins statistiques, pour respecter une obligation légale ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ou à la constatation, à l’exercice ou à la défense de droits en justice dans l’intérêt du responsable du traitement.
Le responsable du traitement doit donner suite dans un délai de 30 jours. Si la personne concernée n’est pas satisfaite de la réponse, elle peut faire recours auprès de l’autorité de contrôle dans les 30 jours à compter du jour de réception de la réponse, qui traitera ce recours dans les 60 jours.
Droit de rectification
La personne concernée a le droit d’obtenir du responsable du traitement la rectification de ses données ou que ses données incomplètes soient complétées
Le responsable du traitement doit donner suite dans un délai de 30 jours. Si la personne concernée n’est pas satisfaite de la réponse, elle peut faire recours auprès de l’autorité de contrôle dans les 30 jours à compter du jour de réception de la réponse, qui traitera ce recours dans les 60 jours.
Droit de désigner un héritier des données à caractère personnel
Lorsqu’elle a laissé un testament, la personne concernée donne à son héritier le droit absolu ou limité relatif au traitement des données à caractère personnel détenues par le responsable du traitement ou le sous-traitant, si ces données à caractère personnel doivent encore être utilisées.
Droit à une représentation
Le droit de la personne concernée à une représentation est exercé lorsque la personne concernée n’a pas atteint l’âge de 16 ans, elle a une invalidité physique et n’est pas en mesure de se représenter elle-même, elle a une invalidité mentale, voire une autre raison.
L’autorité de contrôle est l’autorité publique ayant la cybersécurité dans ses attributions (National Cyber Security Authority (NCSA)).
Le 31 mars 2022, l’Autorité nationale de cybersécurité a officiellement lancé son bureau de protection des données (Data Protection Office), qui sera le fer de lance de toutes les activités liées à la protection données personnelles de personnes au Rwanda.
Attributions de l’autorité de contrôle
L’autorité de contrôle est chargée du contrôle de la mise en application de la loi, de donner un avis à la personne qui le lui demande légitimement, à la personne concernée, au responsable du traitement, au sous-traitant et au tiers, et traite les plaintes dans un délai raisonnable.
Pouvoirs de l’autorité de contrôle
L’autorité de contrôle octroie un certificat d’enregistrement et impose des sanctions administratives.
Enregistrement à titre de responsable du traitement ou sous-traitant
Une personne qui désire être responsable du traitement ou sous-traitant doit se faire enregistrer auprès de l’autorité de contrôle.
Elle suivra utilement le guide de l’autorité du contrôle sur l’enregistrement du responsable du traitement des données et l’enregistrement du sous-traitant des données
et téléchargera un formulaire de demande d’enregistrement pour responsable du traitement ou sous-traitant.
Conditions d’enregistrement au titre de responsable du traitement ou de sous-traitant
Les renseignements à communiquer sont énoncés par loi, mais l’autorité de contrôle peut établir un règlement déterminant les conditions additionnelles à être remplies par une personne faisant une demande d’enregistrement.
Octroi du certificat d’enregistrement
L’autorité de contrôle octroie un certificat d’enregistrement dans les 30 jours ouvrables.
Elle met en place un règlement qui détermine la durée de validité du certificat d’enregistrement.
Signaler un changement après obtention du certificat d’enregistrement
Lorsqu’il survient un changement dans les motifs pour lesquels un certificat d’enregistrement a été octroyé, le responsable du traitement ou le sous-traitant en informe l’autorité de contrôle dans les 15 jours ouvrables
Renouvellement, modification et annulation d’un certificat d’enregistrement
L’autorité de contrôle établit un règlement fixant les conditions pour le renouvellement d’un certificat d’enregistrement.
Registre de responsables du traitement et de sous-traitants
L’autorité de contrôle met en place un registre de responsables du traitement et de sous-traitants. Ce registre est tenu et conservé par l’autorité de contrôle qui détermine également sa forme et la manière dont il est utilisé.
Elle met en place un règlement qui détermine les modalités selon lesquelles des personnes ayant des motifs justifiés peuvent avoir le droit d’accès au registre de responsables du traitement et de sous-traitants pour la consultation, ou obtenir une copie certifiée ou un extrait d’un écrit dans ce registre.
Principes relatifs au traitement des données à caractère personnel
Le responsable du traitement et le sous-traitant veillent à ce que les données à caractère personnel de la personne concernée :
1° soient traitées de manière licite, loyale et transparente ;
2° soient collectées à des fins explicites, spécifiées et légitimes et ne soient pas traitées d’une manière incompatible avec ces objectifs ;
3° soient en rapport avec les finalités pour lesquelles leur traitement a été sollicité ;
4° soient exactes et, si nécessaire, tenues à jour, avec toutes les mesures raisonnables prises pour assurer que les données inexactes soient effacées ou rectifiées sans tarder ;
5° soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
6° soient traitées dans le respect des droits des personnes concernées.
Attributions du responsable du traitement et du sous-traitant
Le responsable du traitement et le sous-traitant ont les attributions suivantes :
1° mettre en œuvre les mesures techniques et organisationnelles appropriées ;
2° tenir un registre des opérations de traitement des données à caractère personnel (aussi appelé à l’article 17 « document des activités de traitement de données à caractère personnel ») ;
3° mener une analyse d’impact relative à la protection des données personnelles à caractère personnel lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et les libertés d’une personne
Une analyse d’impact relative à la protection des données à caractère personnel est requise en cas :
1° de l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé des données à caractère personnel, y compris le profilage, et sur la base de laquelle des décisions produisant des effets à l’égard de ces personnes sont prises ;
2° du traitement à grande échelle de données à caractère personnel sensibles ;
3° de la surveillance systématique à grande échelle d’une zone accessible au public ;
4° du traitement des données à caractère personnel que l’autorité de contrôle identifiera comme susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;
5° de nouvelles technologies utilisées pour traiter les données à caractère personnel.
Désignation d’un représentant du responsable du traitement ou du sous-traitant
Le responsable du traitement ou le sous-traitant qui n’est ni établi ni résidant au Rwanda, mais qui traite des données à caractère personnel des personnes concernées situées au Rwanda, désigne un représentant au Rwanda pour respecter ses obligations prévues par la loi.
L’autorité de contrôle établit un règlement régissant la désignation d’un représentant du responsable du traitement ou du sous-traitant.
Désignation du délégué à la protection des données à caractère personnel
Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données lorsque :
1° le traitement des données à caractère personnel est effectué par une personne morale publique ou privée ou entité juridique, à l’exception des juridictions ;
2° les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement des données à caractère personnel qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
3° les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 10 de la loi et de données à caractère personnel relatives à des condamnations pénales visées à l’article 12 de la loi.
Dans les autres cas, le responsable du traitement ou le sous-traitant peuvent désigner volontairement un délégué à la protection des données (en tout cas une personne de contact pour document)
Il est désigné sur la base de ses qualités professionnelles, ses connaissances spécialisées en matière de protection des données à caractère personnel, ses pratiques et sa capacité à accomplir ses attributions.
Il peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou une personne qui exerce ses attributions sur la base d’un contrat de service.
Le responsable du traitement ou le sous-traitant doivent publier les coordonnées du délégué à la protection des données et les communiquer à l’autorité de contrôle.
Un groupe d’entreprises peut désigner un seul délégué à la protection des données.
Attributions du délégué à la protection des données à caractère personnel
Les attributions du délégué à la protection des données à caractère personnel sont les suivantes :
1° informer et conseiller le responsable du traitement, le sous-traitant et leurs employés sur les obligations ;
2° contrôler, à son lieu de travail, le respect de la loi et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant ;
3° dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
4° coopérer avec l’autorité de contrôle et faire office de son point de contact sur les questions relatives au traitement des données, y compris la consultation préalable à l’autorité de contrôle, et mener des consultations sur tout autre sujet.
Informations à fournir lors de la collecte des données à caractère personnel
Le responsable du traitement qui collecte les données à caractère personnel informe la personne concernée de ce qui suit :
1° son identité et ses coordonnées ;
2° les finalités pour lesquelles les données à caractère personnel sont collectées ;
3° les destinataires de ces données à caractère personnel ;
4° si la personne concernée a le droit de fournir les données à caractère personnel volontairement ou obligatoirement ;
5° l’existence du droit de retirer le consentement à tout moment et que ce retrait n’affecte pas la licéité du traitement des données à caractère personnel basé sur le consentement avant son retrait ;
6° l’existence du droit de demander au responsable du traitement l’accès et la rectification, la restriction ou l’effacement des données à caractère personnel qui concernent la personne concernée ou de s’opposer au traitement des données ;
7° l’existence d’une prise de décision automatisée, y compris le profilage et des informations sur la logique impliquée ainsi que l’importance et les conséquences envisagées d’un tel traitement des données à caractère personnel à la personne concernée ;
8° la durée pour laquelle des données à caractère personnel seront conservées ;
9° le droit de faire recours auprès de l’autorité de contrôle ;
10° le cas échéant, s’il peut transférer les données à caractère personnel vers l’extérieur du Rwanda et s’il l’assure de leur sécurité ;
11° toute autre information susceptible de garantir un traitement équitable des données à caractère personnel, compte tenu des circonstances spécifiques dans lesquelles les données sont collectées.
Toutefois, le responsable du traitement n’est pas tenu de se conformer aux dispositions de l’alinéa 2 du présent article si :
1° la personne concernée dispose déjà des informations visées à l’alinéa premier du présent article ;
2° la fourniture de ces informations s’avère impossible ou implique un effort disproportionné ;
3° l’enregistrement ou la divulgation des données à caractère personnel est prévu par la loi.
Notification de la violation des données à caractère personnel
En cas de violation des données à caractère personnel, le responsable du traitement, dans les 48 heures après en avoir pris connaissance, doit en informer l’autorité de contrôle sur cette page : https://cyber.gov.rw/report-incident/
Lorsque le sous-traitant prend connaissance de la violation des données à caractère personnel, il en informe le responsable du traitement dans les quarante-huit (48) heures après en avoir pris connaissance.
Rapport sur la violation des données à caractère personnel
Le responsable du traitement fait un rapport sur la violation des données à caractère personnel et le transmet à l’autorité de contrôle dans les 72 heures avec tous les faits disponibles.
Communication à la personne concernée d’une violation de données à caractère personnel
Sauf exception, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement communique la violation à la personne concernée après en avoir pris connaissance (étonnamment, la loi ne fixe pas de délai).
Licéité du traitement de données à caractère personnel
Le responsable du traitement ou le sous-traitant procède au traitement licite des données si :
1° la personne concernée a consenti au traitement ;
2° le traitement est nécessaire à l’exécution d’un contrat ou à l’exécution de mesures précontractuelles ;
3° le responsable du traitement exécute une obligation légale à laquelle il est soumis ;
4° le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou de toute autre personne ;
5° le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique du responsable du traitement ;
6° il est mené à des fins d’exécution des tâches d’une entité publique ;
7° le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers à qui les données à caractère personnel sont divulguées, à moins que le traitement de ces données à caractère personnel ne soit nécessaire dans un cas particulier eu égard au préjudice des droits et libertés ou des intérêts légitimes de la personne concernée ;
8° il est mené à des fins de recherche sur autorisation de l’institution concernée.
Mesures pour assurer la sécurité des données à caractère personnel
Le responsable du traitement ou le sous-traitant doit assurer la sécurité des données à caractère personnel en sa possession en adoptant des mesures appropriées, raisonnables d’ordre technique pour éviter la perte, le dommage ou la destruction des données.
> Directives on Cybersecurity for Network and Information Systems
Partage et transfert des données à caractère personnel en dehors du Rwanda
Le responsable du traitement ou le sous-traitant peut partager ou transférer les données à caractère personnel vers un tiers en dehors du Rwanda dans un certain nombre d’hypothèses énumérées par la loi (dont certaines ne s’appliquent pas aux activités exercées par un organisme public dans le cadre de l’exercice de ses fonctions), parmi lesquelles le consentement de la personne concernée ou l’autorisation de l’autorité de contrôle après avoir fourni des garanties appropriées.
L’autorité de contrôle peut établir un règlement déterminant une autre raison de partage et de transfert à un tiers des données à caractère personnel en dehors du Rwanda.
Contrat de transfert des données à caractère personnel
Le responsable du traitement ou le sous-traitant qui autorise à une personne d’obtenir les données à caractère personnel, de les partager et de les transférer vers un tiers en dehors du Rwanda, conclut un contrat écrit avec cette personne définissant les rôles et les responsabilités de chaque partie pour assurer le respect des dispositions de la loi.
L’autorité de contrôle peut, par voie de règlement, déterminer le format du contrat devant être utilisé pour le transfert des données à caractère personnel en dehors du Rwanda.
Stockage des données à caractère personnel
Le responsable du traitement ou le sous-traitant stocke les données à caractère personnel au Rwanda.
Toutefois, le stockage de données à caractère personnel en dehors du Rwanda n’est autorisé que si le responsable du traitement ou le sous-traitant détient un certificat d’enregistrement délivré par l’autorité de contrôle, qui l’autorise à stocker les données à caractère personnel en dehors du Rwanda.
Migration et gestion de données à caractère personnel après le changement ou la fermeture des activités
L’autorité de contrôle met en place un règlement déterminant les modalités de migration et de gestion de données à caractère personnel en cas de changement ou de fermeture des activités du responsable du traitement ou du sous-traitant.
Rétention de données à caractère personnel
Le responsable du traitement ou le sous-traitant retient les données à caractère personnel jusqu’à ce que les finalités de leur traitement sont atteintes.
Toutefois, le responsable du traitement ou le sous-traitant peut retenir les données à caractère personnel pendant une longue période pour des raisons énoncées dans la loi.
L’autorité de contrôle peut établir un règlement déterminant une autre raison de rétention des données à caractère personnel pendant une longue période.
À la fin de la période de rétention des données à caractère personnel, le responsable du traitement ou le sous-traitant doit détruire les données de manière à empêcher leur reconstruction sous une forme intelligible.
Le Bureau de la protection des données et de la vie privée a rédigé une note d’orientation contenant des conseils pratiques sur la manière de déposer une plainte auprès du bureau.
ET REGLEMENT DES CONFLITS
Sanctions administratives
Le responsable du traitement, le sous-traitant ou un tiers qui commet l’une des fautes énoncées par la loi est passible d’une amende administrative d’au moins 2.000.000 FRW, mais ne dépassant pas 5.000.000 FRW ou d’un montant équivalant à 1% du chiffre d’affaires global de l’exercice précédent.
En cas de personne morale ou d’entité juridique, elle est passible d’un montant équivalant à 1% du chiffre d’affaires global de l’exercice précédent.
L’autorité de contrôle peut mettre en place un règlement déterminant d’autres fautes et sanctions administratives qui ne sont pas prévues par la loi.
Le responsable du traitement, le sous-traitant ou un tiers qui n’est pas satisfait d’une sanction administrative prise à son égard a le droit de saisir la juridiction compétente.
Sanctions pénales
Les faits suivants sont constitutifs d’une infraction pénale susceptible d’emprisonnement et/ou d’une amende pénale :
- Obtention, collecte, utilisation, offre, partage, transfert ou divulgation illicite des données à caractère personnel d’une manière contraire à la loi.
- Réidentification des données à caractère personnel anonymisées d’une manière contraire à la loi
- Destruction, effacement, dissimulation ou altération des données à caractère personnel d’une manière contraire à la loi
- Vente des données à caractère personnel d’une manière contraire à la loi
Une personne morale ou une entité juridique qui commet l’une des infractions pénales précitées est passible d’une amende d’un montant de francs rwandais équivalant à 5% de son chiffre d’affaires annuel de l’exercice précédent.
En plus des peines prévues par la loi, le tribunal, dans tous les cas, peut ordonner la saisie ou la confiscation des objets utilisés pour la commission de l’une des infractions prévues par la loi et des produits gagnés.
La juridiction peut également ordonner la fermeture permanente ou temporaire de l’entité juridique ou d’un organisme, ou du local dans lequel une infraction prévue par la loi a été commise.
Organe chargé du règlement des conflits
L’autorité de contrôle est l’organe chargé du règlement des conflits qui peuvent surgir en rapport avec la loi.
Toutefois, une personne qui n’est pas satisfaite du règlement des conflits visés à l’alinéa premier du présent article peut saisir la juridiction compétente.
Droit à la compensation
Une personne qui subit un dommage grave en raison des actes du responsable du traitement ou du sous-traitant en violation de la loi peut introduire une demande en compensation devant la juridiction compétente.