Questions fréquemment posées par les institutions
Objectif de la loi relative à la protection des données à caractère personnel et de la vie privée
Renforcer le contrôle et l'autonomie des personnes concernées sur leurs données à caractère personnel, contribuant ainsi au respect de leurs droits humains et de leurs libertés fondamentales. Cela concerne notamment leur droit à la vie privée, conforme aux normes internationales de protection des données, et essentiel à l'économie numérique moderne, facilitant des services tels que le commerce électronique, les transactions financières internationales et divers services en ligne.
Les principaux objectifs de cette loi sont les suivants:
Donner aux citoyens les moyens de gérer leurs données à caractère personnel
Permettre des flux de données fiables et sécurisés, au niveau national et international
Offrir une sécurité réglementaire aux entreprises existantes et aux investisseurs potentiels, ainsi qu'un environnement propice à la croissance des petites et moyennes entreprises
Accélérer les ambitions du Rwanda vers une économie axée sur la technologie et les données
À qui s'applique cette loi?
Les personnes et institutions établies ou résidant au Rwanda, qui traitent les données à caractère personnel des personnes au Rwanda (pas seulement des citoyens).
Les personnes et les institutions établies ou résidant hors du Rwanda, qui traitent les données à caractère personnel des personnes au Rwanda
Qui est la personne concernée?
Une personne concernée est une personne physique identifiée ou identifiable, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Que signifient les données à caractère personnel
Une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable, qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychique, génétique, psychique, économique, culturelle ou sociale.
Que signifie les données à caractère personnel sensibles?
Les données à caractère personnel sensibles désignent toute information révélant une révélant la race d’une personne, son état de santé, son casier judiciaire, son dossier médical, son origine sociale, ses convictions religieuses ou philosophiques, son opinion politique, ses données génétiques ou biométriques, sa vie sexuelle ou détails sur sa famille.
Qu'est-ce que l'information génétique?
Les données génétiques désignent les données à caractère personnel relatives aux caractéristiques générales d'un individu, héréditaires ou acquises, qui fournissent des informations uniques sur la physiologie ou la santé de cet individu et qui résultent notamment de l'analyse d'un échantillon biologique de cet individu.
Qu'est-ce que l'information biométrique?
Les données biométriques désignent toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'un individu qui permettent son identification unique, y compris la cartographie des empreintes digitales, la reconnaissance faciale et la rétine.
Quelles sont les catégories particulières de données à caractère personnel
Les catégories particulières de données à caractère personnel désignent les données personnelles relatives à:
L’origine ethnique de la personne
Les convictions religieuses ou philosophiques
L’origine sociale
L’état de santé
La vie sexuelle ou les informations familiales
Les informations génétiques ou biométriques
Le casier judiciaire
Le dossier médical
Que signifie le Traitement?
C’est une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que l’accès, l’obtention, la collecte, l’enregistrement, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la reconstitution, la dissimulation, la consultation, l’utilisation, la communication par transmission, le partage, le transfert ou la mise à disposition, la vente, la limitation, l’effacement ou la destruction.
Qui est le responsable du traitement?
La personne physique ou l’organisme public ou privé, ou l’entité juridique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel et dispose du pouvoir de décision à l’égard de ce traitement.
Comment déterminer si vous êtes un responsable du traitement ou un sous-traitant?
Il est important de se rappeler qu’une organisation n’est pas, par nature, un responsable du traitement ou un sous-traitant. Il faut plutôt examiner les données à caractère personnel et l’activité de traitement en cours, et déterminer qui fixe les finalités et la manière de ce traitement spécifique.
Vous devez vous demander: est-ce moi qui decide:
Collecter des données à caractère personnel en premier lieu
la base légale pour le faire
quels types de données à caractère personnel collecter
la ou les finalités pour lesquelles les données doivent être utilisées
sur quelles personnes collecter des données
s’il faut divulguer les données et, le cas échéant, à qui
ce qu’il faut dire aux individus concernant le traitement
comment répondre aux demandes formulées conformément aux droits des personnes concernées
combien de temps conserver les données ou s'il convient d'apporter des modifications non routinières aux données
Ces décisions relèvent exclusivement du responsable du traitement et sont prises dans le cadre de son contrôle global des opérations de traitement des données. Si vous prenez l'une de ces décisions déterminant les finalités et les moyens du traitement, vous êtes responsable du traitement.
Si vous vous trouvez dans la situation suivante: suivre les instructions d’une autre personne concernant le traitement de données à caractère personnel, recevoir des données à caractère personnel d’un client ou d’un tiers similaire, ou recevoir des instructions sur les données à collecter, ne pas décider de collecter des données à caractère personnel auprès d’individus ni des données à caractère personnel à collecter auprès d’individus, vous êtes un sous-traitant.
Est-il possible d’être à la fois responsable du traitement et sous-traitant?
Oui. Dans les contextes où le sous-traitant est autorisé à traiter des données à caractère personnel à des fins distinctes de celles initialement prévues par le responsable du traitement, il devient responsable du traitement à part entière pour cet élément du traitement de données.
De plus, dans les situations où une institution détermine à la fois les moyens de traitement et traite elle-même les données, cette entité devient à la fois responsable du traitement et sous-traitant des données.
Toute personne physique, tout organisme public ou privé, toute entité juridique peut être à la fois responsable du traitement et sous-traitant de données à caractère personnel lorsqu'elle exerce les activités liées à ces deux rôles.
Quels sont les pouvoirs d'une autorité de contrôle?
L’article 28 de la loi relative à la protection des données à caractère personnel et de la vie privée traite des pouvoirs de l’autorité de contrôle dans l’exercice de ses fonctions en vertu de cette loi. Ces pouvoirs comprennent notamment la délivrance de certificats d’enregistrement et l’imposition de sanctions administratives.
Les responsables du traitement des données et les sous-traitants doivent-ils s'enregistrer auprès d'une autorité de contrôle?
Oui. L’article 29 de la loi relative à la protection des données à caractère personnel et de la vie privée traite de l’enregistrement des responsables du traitement et des sous-traitants. Toute personne souhaitant exercer ces fonctions doit s’enregistrer auprès de l’autorité de contrôle.
L'autorité de de contrôle délivre un certificat d'enregistrement à un demandeur d'enregistrement en tant que responsable du traitement des données ou sous-traitant de données qui remplit les conditions requises pour l'enregistrement dans un délai de trente (30) jours ouvrables à compter de la date de réception de la demande d'enregistrement.
Le responsable du traitement des données ou le sous-traitant qui détient un certificat d'enregistrement peut demander son renouvellement dans les quarante-cinq (45) jours ouvrables précédant la date d'expiration du certificat existant.
Qu'est-ce que le consentement?
Le consentement de la personne concernée est une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle elle accepte, par une déclaration orale, écrite ou électronique ou par une action positive claire, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Comment s'assurer que le consentement répond aux exigences légales?
Le consentement doit être spécifique, éclairé et sans ambiguïté, en précisant la finalité des différentes phases du traitement.
Le consentement doit pouvoir être facilement retiré sans que cela n'affecte la licéité du traitement.
Le consentement doit être donné oralement, par écrit ou sous forme électronique.
Le consentement doit être formulé dans l'une des langues officielles compréhensibles par la personne concernée.
Au moment de la collecte des données, les personnes concernées doivent être informées de leur droit de retirer leur consentement à tout moment.
Cette loi comporte-t-elle des dispositions particulières pour les enfants?
Oui, c'est le cas, la loi stipule, dans son article 9, que lorsque le responsable du traitement des données, le sous-traitant des données ou un tiers sait que des données à caractère personnel et de la vie privée appartiennent à un enfant de moins de seize (16) ans, il doit obtenir le consentement d'un titulaire de l'autorité parentale sur l'enfant conformément aux lois pertinentes.
Pourquoi votre institution a-t-elle besoin d’un délégué à la protection des données et à la vie privée?
L’une des dispositions de la loi sur la protection des données à caractère personnel et de la vie privée indique la nécessité de désigner un délégué à la protection des données (DPO) pour tout traitement de données personnelles (Article 40).
Que votre institution agisse en tant que responsable du traitement, sous-traitant ou cumule ces deux rôles, cette loi rend obligatoire la désignation d’un délégué à la protection des données (DPO). Le défaut de désigner un délégué à la protection des données à caractère personnel constitue une faute administrative (Article 53).
Quelles sont les missions d’un délégué à la protection des données et à la vie privée?
Les principales missions qu’un délégué à la protection des données exerce conformément à l’article 40 sont :
Informer et conseiller le responsable du traitement, le sous-traitant ainsi que les employés qui effectuent le traitement de données à caractère personnel, sur leurs obligations conformément à la présente loi.
Surveiller, dans son domaine de travail, le respect de la présente loi ainsi que des politiques du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel impliqué dans les opérations de traitement des données à caractère personnel, ainsi que les audits correspondants.
Fournir des conseils, lorsqu’ils sont demandés, concernant l’analyse d’impact relative à la protection des données et en surveiller la réalisation.
Coopérer avec l’autorité de contrôle et servir de point de contact pour les questions relatives au traitement des données à caractère personnel, y compris la consultation préalable de l’autorité de contrôle, et la consulter, le cas échéant, sur toute autre question.
Comment cette loi prend-elle en compte les droits des personnes concernées?
Le chapitre II de la loi relative à la protection des données à caractère personnel et de la vie privée énonce les droits des personnes concernées. Cette loi a renforcé ces droits en leur conférant des droits substantiels, notamment:
Droit de la personne concernée de retirer son consentement (Article 8)
Droit aux données à caractère personnel (Article 18)
Droit d’opposition (Article 19)
Droit à la portabilité des données à caractère personnel (Article 20)
Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé de données (Article 21)
Droit à la limitation du traitement des données à caractère personnel (Article 22)
Droit à l’effacement des données à caractère personnel (Article 23)
Droit de rectification (Article 24)
Droit de désigner un héritier des données à caractère personnel
Droit à la représentation (Article 26)
Lorsque les responsables du traitement ou les sous-traitants savent que des données à caractère personnel concernent un enfant de moins de seize (16) ans, ils doivent obtenir le consentement du titulaire de l’autorité parentale conformément à la législation applicable. D’autres exceptions sont prévues à l’article 9.
Quelles sont les obligations des responsables du traitement des données et des sous-traitants?
Le chapitre VI de la loi relative à la protection des données à caractère personnel et à la vie privée porte sur un certain nombre d'obligations imposées aux responsables du traitement et aux sous-traitants des données afin de garantir que le traitement des données à caractère personnel soit effectué de manière loyale et licite, telles que:
Principes relatifs au traitement des données à caractère personnel
Les responsables du traitement et les sous-traitants des données doivent s'assurer que le traitement des données à caractère personnel est licite, loyal, transparent, adéquat, pertinent, exact, conservé pendant la durée nécessaire et proportionné aux finalités pour lesquelles il est traité, et qu'il est effectué dans le respect des droits des personnes concernées.
Obligations du responsable du traitement des données et du sous-traitant
Le responsable du traitement et le sous-traitant doivent s'assurer que toutes les données à caractère personnel sont traitées conformément à la loi et être en mesure de démontrer cette conformité par une série de mesures, notamment la mise en œuvre de mesures techniques et organisationnelles appropriées, la tenue d'un registre des opérations de traitement des données à caractère personnel et la désignation d'un délégué à la protection des données.
Informations à fournir lors de la collecte de données à caractère personnel
Le responsable du traitement collecte les données à caractère personnel à des fins légitimes liées à son activité et lorsque ces données sont nécessaires à la réalisation de cette finalité. Les informations à communiquer à la personne concernée lors de la collecte des données sont précisées à l'article 42.
Notification de violation de données à caractère personnel
Dès que le responsable du traitement a connaissance d'une violation de données, il doit la notifier à l'autorité de contrôle compétente dans un délai de quarante-huit (48) heures. Lorsqu'un sous-traitant a connaissance d'une violation de données à caractère personnel, il doit en informer le responsable du traitement dans un délai de quarante-huit (48) heures.
Signalement d'une violation de données à caractère personnel
Le responsable du traitement établit un rapport sur la violation de données à caractère personnel et le soumet à l'autorité de contrôle dans un délai maximal de soixante-douze (72) heures, en y incluant tous les éléments de preuve disponibles. Le format du rapport est décrit à l'article 44.
Communication d'une violation de données à caractère personnel à la personne concernée
Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement communique cette violation à la personne concernée par écrit ou par voie électronique, dès qu'il en a connaissance. Toutefois, certaines exceptions sont prévues à l'article 45.
Traitement licite des données à caractère personnel
La loi énonce les conditions de base juridique requises pour le traitement dans l'article 46.
Mesures visant à garantir la sécurité des données à caractère personnel
Le responsable du traitement ou le sous-traitant doit assurer la sécurité des données à caractère personnel dont il détient les données en adoptant des mesures techniques appropriées et raisonnables pour prévenir leur perte, leur altération ou leur destruction. Ces mesures sont décrites à l’article 47.
Que dit la loi concernant le stockage, le transfert et la conservation des données à caractère personnel?
Le chapitre VII de la loi relative à la protection des données à caractère personnel et à la vie privée traite du stockage, du transfert et de la conservation des données à caractère personnel.
Stockage des données à caractère personnel
Le responsable du traitement ou le sous-traitant stocke les données à caractère personnel au Rwanda.
Toutefois, le stockage de données à caractère personnel hors du Rwanda n'est autorisé que si le responsable du traitement ou le sous-traitant détient une autorisation valide délivrée par l'autorité de contrôle compétente.
Partage et transfert de données à caractère personnel en dehors du Rwanda
Le responsable du traitement ou le sous-traitant peut partager ou transférer des données à caractère personnel à un tiers situé hors du Rwanda après avoir obtenu l'autorisation de l'autorité de contrôle compétente. D'autres conditions sont décrites aux articles 48 et 49.
Migration et gestion des données à caractère personnel suite à un changement ou une fermeture d'entreprise
En cas de changement ou de cessation d'activité du responsable du traitement ou du sous-traitant, l'autorité de contrôle met en place un règlement déterminant les modalités de migration et de gestion des données à caractère personnel.
Conservation des données à caractère personnel
Le responsable du traitement ou le sous-traitant conserve les données à caractère personnel jusqu'à ce que les finalités du traitement soient atteintes. Toutefois, certaines exceptions sont prévues à l'article 52.
Le non-respect de la protection des données à caractère personnel et du respect de la vie privée constitue-t-il une infraction?
Oui. Les infractions, les manquements administratifs et les sanctions qui en découlent sont indiqués ci-dessous:
Infractions:
L’accès, la collecte, l’utilisation, la mise à disposition, le partage, le transfert ou la divulgation de données à caractère personnel en violation de la présente loi; la réidentification de données à caractère personnel anonymisées en violation de la présente loi; la destruction, l’effacement, la dissimulation ou l’altération de données à caractère personnel en violation de la présente loi ; la vente de données à caractère personnel en violation de la présente loi; la collecte ou le traitement de données à caractère personnel sensibles en violation de la présente loi; la fourniture de fausses informations (Article 56).
Réidentification de données à caractère personnel dépersonnalisées d'une manière contraire à la présente loi (Article 57)
L’accès, la collecte, l’utilisation, la mise à disposition, le partage, le transfert ou la divulgation de données à caractère personnel en violation de la présente loi; la réidentification de données à caractère personnel anonymisées en violation de la présente loi; la destruction, l’effacement, la dissimulation ou l’altération de données à caractère personnel en violation de la présente loi; la vente de données à caractère personnel en violation de la présente loi; la collecte ou le traitement de données à caractère personnel sensibles en violation de la présente loi; la fourniture de fausses informations (Article 58).
Vente de données à caractère personnel d'une manière contraire à la présente loi (Article 59)
Collecte ou traitement de données à caractère personnel sensibles d'une manière contraire à la présente loi (Article 60)
Fournir de fausses informations (Article. 61)
Sanctions:
Le responsable du traitement ou le sous-traitant qui commet l'une des infractions visées aux articles 56, 57, 58, 59, 60 et 61 ci-dessus commet une infraction. En cas de condamnation, il est passible d'une amende en francs rwandais égale à cinq pour cent (5 %) de son chiffre d'affaires annuel de l'exercice précédent.
Le tribunal peut également ordonner la fermeture permanente ou temporaire de la personne morale ou de l'organisme, ou des locaux dans lesquels l'une des infractions prévues par la présente loi a été commise.
Fautes administratives:
le défaut de tenir des registres des données à caractère personnel traitées
défaut d'enregistrement des données à caractère personnel
exercer une activité sans certificat d'immatriculation
défaut de déclaration de changement après réception d'un certificat d'enregistrement
utiliser un certificat dont la durée de validité a expiré
défaut de désignation d'un délégué à la protection des données à caractère personnel
défaut de notification d'une violation de données à caractère personnel
défaut de signalement d'une violation de données à caractère personnel
défaut de communication d'une violation de données à caractère personnel à la personne concernée
Sanctions:
Un responsable du traitement des données ou un sous-traitant de données est redevable d'un pour cent (1%) du chiffre d'affaires mondial de l'exercice financier précédent.
L’autorité de surveillance peut mettre en place un règlement déterminant d’autres manquements administratifs et sanctions qui ne sont pas prévus par la présente loi.
Quels sont les documents requis?
Documents | Article pertinent dans la loi |
|---|---|
Formulaire de consentement de la personne concernée | Articles 6 et 7 |
Formulaire de retrait du consentement de la personne concernée | Article 8 |
Formulaire de consentement parental et formulaire de retrait du consentement parental | Articles 9 et 8 |
Inventaire des activités de traitement | Article 17 |
Avis de confidentialité | Article 42 |
Politique de confidentialité du site web | Article 42 |
Politique relative aux cookies | Article 42 |
Politique de protection des données à caractère personnel | Articles 42, 46 et 47 |
Registre d'évaluation d'impact sur la protection des données | Article 38 |
Politique et calendrier de conservation des données | Article 52 |
Accord de traitement des données fournisseur/tiers | Articles 4, 5, 48 et 49 |
Procédure de réponse et de notification en cas de violation de données | Articles 43, 44 et 45 |
Registre des violations de données | Article 44 |
Formulaire de notification de violation de données aux personnes concernées | Article 45 |
Formulaire de notification de violation de données à l’autorité de contrôle | Articles 43 et 44 |
Quelles sont les implications de cette loi pour les différents secteurs?
Sur les données déjà collectées
Sur les nouvelles données collectées
Stockage des données à caractère personnel
Partage/Transfert de données à caractère personnel
Processus internes d'une institution
Organismes de bienfaisance et entités religieuses
Entreprises de sécurité (y compris celles exploitant des systèmes de vidéosurveillance CCTV)
Jeux de hasard
Exploitation d'un établissement d'enseignement
Administration des soins de santé et prestation de soins aux patients
Les entreprises du secteur de l'hôtellerie, à l'exclusion des guides touristiques
Gestion immobilière, y compris la vente de terrains
Prestation de services financiers
Fournisseurs de réseaux ou de services de télécommunications
Entreprises dont l’activité est entièrement ou principalement axée sur le marketing direct
Entreprises de services de transport (y compris les applications de réservation de passagers en ligne)
Les entreprises qui traitent des données génétiques et/ou biométriques
Toute entreprise qui traite des données à caractère personnel
Le responsable du traitement et le sous-traitant disposent d'une période transitoire allant jusqu'au 15 octobre 2023 pour se conformer aux dispositions de la loi sur le traitement des données à caractère personnel (article 67).
Le responsable du traitement des données est tenu de s'enregistrer auprès de l'autorité de contrôle. Le sous-traitant, quant à lui, doit obtenir l'autorisation du responsable du traitement et s'enregistrer auprès de l'autorité de contrôle. (Articles 4, 29 et 30)
Le responsable du traitement et le sous-traitant stockent les données à caractère personnel au Rwanda. Un certificat d'enregistrement valide est requis pour autoriser le stockage de données à caractère personnel hors du Rwanda (article 50).
Un certificat d'enregistrement valide est requis pour autoriser le partage et le transfert de données à caractère personnel hors du Rwanda. (Article 48)
Désignation d’un délégué à la protection des données et mise en œuvre de mesures techniques appropriées et raisonnables pour prévenir la perte, l’endommagement ou la destruction des données à caractère personnel. (Articles 40 et 47)
Si vous êtes une personne physique, un organisme public ou privé ou une entité juridique traitant des données à caractère personnel aux fins suivantes, vous devez vous enregistrer en tant que responsable du traitement ou sous-traitant auprès de l’Office National pour la Cyber-Sécurité (NCSA).
La loi sur la protection des données à caractère personnel et le respect de la vie privée entre-t-elle en vigueur immédiatement?
Oui, la loi sur la protection des données à caractère personnel et le respect de la vie privée entre en vigueur immédiatement. Cependant, les entreprises et les particuliers au Rwanda qui traitent déjà des données à caractère personnel disposent d'une période transitoire jusqu'au 15 octobre 2023 pour se conformer pleinement à la nouvelle loi.
Que signifie le consentement dans la loi sur la protection des données à caractère personnel et le respect de la vie privée?
En vertu de la loi sur la protection des données à caractère personnel et le respect de la vie privée, le consentement doit être libre, spécifique, éclairé et univoque, et exprimer la volonté de la personne concernée par laquelle celle-ci, par une déclaration orale, écrite ou électronique ou par une action positive claire, marque son accord pour le traitement des données à caractère personnel la concernant.
Le processus de demande d’autorisation est‑il inclus dans la procédure d’enregistrement en tant que Responsable du traitement, ou faut‑il suivre une procédure distincte ?
Il existe deux solutions possibles, notamment en ce qui concerne les exigences de traitement et d'enregistrement des données pour le transfert de données hors du Rwanda:
L’autorisation de transfert de données à caractère personnel hors du Rwanda, prévue à l’article 48, paragraphe 1, de la loi sur la protection des données à caractère personnel (DPP), est accordée lors de l’enregistrement en tant que responsable du traitement ou sous-traitant. Cette disposition complète l’article 30, paragraphe 7, de la DPP, qui exige du demandeur qu’il indique le pays vers lequel il entend transférer, directement ou indirectement, les données à caractère personnel.
Une demande de transfert de données à caractère personnel hors du Rwanda peut également être soumise après l'enregistrement pour des raisons spécifiques de traitement de données à caractère personnel hors du Rwanda, en fonction de l'évolution de l'activité/des opérations et des autres raisons décrites à l'article 48 (2-3), et sous réserve des garanties appropriées requises par la loi. Remarque: Si le deuxième cas de figure (2) se présente après l'enregistrement, la personne concernée devra alors demander une modification de son certificat d'enregistrement.
Who is supposed to register and does the size of the organization matter?
Toute personne qui traite ou souhaite traiter des données à caractère personnel/toute personne qui traite déjà des données à caractère personnel ou qui souhaite agir en tant que responsable du traitement ou sous-traitant de données.
Les données désidentifiées ne sont‑elles plus considérées comme des données à caractère personnel?
Elles demeurent des données à caractère personnel entre la personne concernée et les responsables ou sous‑traitants du traitement; autrement dit, la désidentification doit être comprise comme une technique utilisée pour protéger la vie privée des individus.
Quelle est la procédure à suivre si les données à caractère personnel ne proviennent pas d'une personne physique et qu'est-ce qu'une personne physique?
La loi s'applique à toute personne physique ou morale qui traite des données à caractère personnel, que celles-ci soient reçues directement de la personne concernée par le responsable du traitement ou indirectement du responsable du traitement par un sous-traitant. Une personne physique est un être humain, par opposition à une personne morale.
Questions fréquemment posées par les individus
La plupart d’entre nous fournissent des données à caractère personnel à des organismes tels que les institutions gouvernementales, les banques, les compagnies d’assurance, les hôpitaux et les entreprises de télécommunications afin d’utiliser leurs services ou de satisfaire certaines conditions. Ils peuvent également obtenir des informations nous concernant auprès d’autres sources.
Nous appelons “responsables du traitement” les organisations ou les personnes qui contrôlent le contenu et l’utilisation de nos données à caractère personnel.
En vertu de la loi n° 058/2021 du 13/10/2021 relative à la protection des données à caractère personnel et à la vie privée, vous disposez de droits concernant l'utilisation de ces données à caractère personnel et les responsables du traitement des données ont certaines responsabilités quant à la manière dont ils les traitent.
Que sont les données à caractère personnel?
Les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale.
Quand dois-je contacter le Bureau de la Protection des Données et de la Vie Privée?
Si vous n’êtes pas satisfait de la manière dont vos données à caractère personnel sont utilisées, vous devez contacter l’organisation ou la personne concernée. Si vous estimez que l’organisation ou la personne ne respecte toujours pas vos droits en matière de protection des données, vous devez contacter l’Office de protection des données et de la vie privée pour demander de l’aide.
Quels sont mes droits?
Vous disposez de divers droits lorsque l'organisation ou la personne collecte et enregistre vos données à caractère personnel.
Droit à ce que vos données à caractère personnel soient utilisées conformément à la loi
Un responsable du traitement des données qui détient des informations vous concernant doit:
obtenir et utiliser les informations de manière equitable;
de les conserver uniquement pour une ou plusieurs finalités clairement définies et légales;
utiliser et diffuser ces informations uniquement de manière conforme à ces finalités;
conserver les informations en toute sécurité;
nous assurer que les informations sont exactes, complètes et à jour;
conserver les informations pendant une durée n'excédant pas celle nécessaire pour la raison indiquée; et
vous fournir une copie de vos informations personnelles lorsque vous le demandez.
Right to personal data
Les responsables du traitement des données qui obtiennent vos données à caractère personnel doivent vous communiquer:
le nom de l'organisation ou de la personne qui collecte les informations ou pour le compte de qui elles les collectent;
la raison pour laquelle ils souhaitent accéder à vos données à caractère personnel; et
toute autre information dont vous pourriez avoir besoin pour garantir un traitement équitable de vos données, par exemple les coordonnées d'autres organisations ou personnes auxquelles elles pourraient communiquer vos données à caractère personnel.
Si une organisation ou une personne obtient vos données à caractère personnel auprès d'une autre personne et non directement de vous, elle doit vous indiquer les données qu'elle détient et vous communiquer le nom du responsable initial du traitement.
Ce droit ne s’applique toutefois pas dans un petit nombre de cas où il pourrait nuire à certains intérêts – par exemple lorsqu’une personne enquête sur une infraction.
Droit de savoir si vos données à caractère personnel sont conservées:
Si vous pensez qu'une organisation ou une personne détient certaines de vos données à caractère personnel, vous pouvez lui demander de confirmer. Si elle détient effectivement des données à caractère personnel vous concernant, elle doit vous indiquer lesquelles, la raison pour laquelle elle les détient et leur source.
Vous pouvez demander ces informations gratuitement
Droit de savoir si vos données personnelles ont été transférées vers un pays tiers ou à une organisation internationale
Dans tous les cas susmentionnés, le responsable du traitement ou le sous-traitant doit vous répondre dans un délai de trente (30) jours à compter de la date de réception de la demande.
Si vous n'êtes pas satisfait de la réponse du responsable du traitement ou du sous-traitant, vous pouvez faire appel au Bureau de la Protection des Données et de la Vie Privée dans un délai de trente (30) jours à compter de la date de réception de la réponse.
Droit de rectification de vos données
Si vous découvrez qu'un responsable du traitement des données détient des informations vous concernant qui sont erronées, vous pouvez lui demander de les corriger si nécessaire.
Vous pouvez écrire à l'organisation ou à la personne concernée pour lui exposer vos préoccupations ou préciser les informations erronées. Dans un délai de 30 jours, l'organisation doit répondre à vos demandes ou expliquer pourquoi elle refuse de le faire.
Droit d’opposition.
Un responsable du traitement peut avoir l'intention d'utiliser vos données à des fins officielles, dans l'intérêt public ou pour ses propres intérêts. Si vous estimez que cela pourrait vous causer une perte, une tristesse ou une anxiété, vous pouvez demander au responsable du traitement de cesser d'utiliser vos données à caractère personnel.
Toutefois, ce droit ne s’applique pas si le responsable du traitement ou le sous-traitant démontre des motifs légitimes et impérieux pour le traitement des données à caractère personnel.
Par exemple
vous avez déjà accepté que le responsable du traitement puisse utiliser vos données;
un responsable du traitement des données a besoin de vos données en vertu des termes d’un contrat que vous avez accepté;
un responsable du traitement des données a besoin de vos données pour des raisons juridiques.
Vous avez le droit de demander au responsable du traitement ou au sous-traitant de cesser de traiter ses données à caractère personnel si les données à caractère personnel sont traitées à des fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
Il n’y a aucun frais pour s’opposer.
Droit à la limitation du traitement de données à caractère personnel
Vous avez le droit d’obtenir du responsable du traitement la limitation du traitement des données à caractère personnel pendant une période donnée si:
Vous avez contesté l'exactitude de vos données à caractère personnel
Le traitement est illicite et vous demandez l'effacement
Vous vous opposez au traitement des données à caractère personnel
Le droit n'est pas exercé si le traitement des données à caractère personnel:
est nécessaire à la protection des droits d'une autre personne
est nécessaire pour des raisons d'intérêt public
Droit à la portabilité des données à caractère personnel
Vous avez le droit de demander au responsable du traitement de vous renvoyer les données à caractère personnel vous concernant telles qu'elles ont été fournies.
Vous avez également le droit de demander au responsable du traitement que vos données à caractère personnel soient transmises à un autre responsable du traitement, lorsque cela est techniquement possible, sans entrave..
Dans tous les cas ci-dessus, le responsable du traitement doit vous répondre dans un délai de trente (30) jours à compter de la date de réception de la demande.
Si vous n'êtes pas satisfait de la réponse du responsable du traitement des données, vous pouvez faire appel au Bureau de la Protection des Données et de la Vie Privée dans un délai de trente (30) jours à compter de la date de réception de la réponse.
Droit à l’effacement de données à caractère personnel
Vous avez le droit de demander au responsable du traitement l'effacement de vos données à caractère personnel lorsque:
Vos données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées;
Vous retirez le consentement sur lequel est fondé le traitement des données à caractère personnel et lorsqu'il n'existe aucun autre fondement juridique au traitement;
Vous vous opposez au traitement des données à caractère personnel et il n'existe aucun motif légitime impérieux pour le traitement
Vos données à caractère personnel ont été traitées illégalement
Toutefois, le droit de demander l’effacement des données à caractère personnel ne s’applique pas dans la mesure où le traitement est nécessaire au sens de la présente loi, par exemple pour des raisons d’intérêt public.
Droit de désigner un héritier des données à caractère personnel
Vos données à caractère personnel ne font pas l'objet en premier lieu d'une succession mais, vous lorsque vous avez laissé un testament, vous donnez à votre héritier le droit absolu ou limité relatif au traitement de vos données à caractère personnel détenues par le responsable du traitement ou le sous-traitant, si ces données à caractère personnel doivent encore être utilisées.
Droit à une représentation
Vous avez le droit d’être représenté lorsque:
Vous avez moins de seize (16) ans
Vous avez une déficience physique et êtes incapable de vous représenter vous-même
Vous souffrez d’une déficience mentale médicalement déterminable et vous êtes incapable de vous représenter vous-même.
Vous avez une autre raison, auquel cas vous êtes représenté par une autre personne
Dans tous les cas ci-dessus, vous devez fournir une autorisation de représentation conformément aux lois en vigueur.
Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé des données
Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé de données à caractère personnel, y compris le profilage, pouvant produire des conséquences juridiques ou des conséquences significatives sur vous.
Par exemple, de telles décisions peuvent concerner votre rendement au travail.
Toutefois, ce droit n’est pas exercé lorsque le traitement:
est fondée sur votre consentement explicite
est nécessaire à la conclusion ou à l’exécution d'un contrat entre vous et le responsable du traitement;
est autorisé par d'autres lois
Quand ces droits s’appliquent-ils?
Vous avez droit à la protection des données lorsque vos données sont::
conservées sur un ordinateur;
conservées sur papier ou sous une autre forme manuelle dans le cadre d'un système de classement; et
constituées de photographies ou d'enregistrements vidéo de votre image ou d'enregistrements de votre voix.
Comment puis-je demander l'accès à mes données?
Pour demander l'accès à vos données, envoyez un courrier ou un courriel à l'organisation ou à la personne détenant vos données à caractère personnel et de la vie privée et demandez-lui une copie de ces informations.
Ces informations doivent être faciles à comprendre. Dans votre demande, vous devez
fournir tous les détails permettant à la personne de vous identifier et de retrouver vos données, par exemple un numéro de compte client, une adresse précédente ou votre date de naissance;
etindiquer clairement les informations que vous recherchez si vous ne souhaitez obtenir que certaines informations. Cela permettra à l'organisation ou à la personne de vous répondre plus rapidement.
Vous trouverez ci-dessous un exemple de formulation à titre indicatif.
Cher Délégué à la protection des données et à la vie privée,
Conformément à la loi Nº 058/2021 du 13/10/2021 relative à la protection des données à caractère personnel et de la vie privée, je souhaite demander l'accès à une copie de toute information que vous détenez à mon sujet, que ce soit sur support informatique ou sous forme manuscrite.
[Mon numéro de compte client est ...]
[Ma date de naissance est ...]
[Mon adresse précédente était ...]
Sincèrement,
[Nom]
Quel est le rôle du Bureau de la Protection des Données et de la Vie Privée?
Le Bureau de la Protection des Données et de la Vie Privée veille au respect de vos droits et au respect des règles de protection des données par les responsables du traitement et les sous-traitants. Si vous pensez qu'une organisation ou une personne enfreint ces règles et que vous n'êtes pas satisfait de sa réponse, vous pouvez déposer une plainte auprès du Bureau de la Protection des Données et de la Vie Privée.
Comment contacter le Bureau de la Protection des Données et de la Vie Privée?
Pour plus d'informations sur vos droits, vous pouvez nous contacter par téléphone ou par email.
Adresse: 18KG Ave, A&P Building, Rez-de-chaussée, Kacyiru
Email: dpp@dpo.gov.rw
Numéro gratuit: 9080
Quelle est la différence entre les données les données à caractère personnel et les données données à caractère personnel sensibles?
Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale.
Données à caractère personnel sensibles sont des informations révélant la race d’une personne, son état de santé, son casier judiciaire, son dossier médical, son origine sociale, ses convictions religieuses ou philosophiques, son opinion politique, ses données génétiques ou biométriques, sa vie sexuelle ou détails sur sa famille.
Cette loi comporte-t-elle des dispositions particulières pour les enfants?
Oui. La loi stipule, dans son article 9, que, lorsque le responsable du traitement, le sous traitant ou un tiers sait que les données à caractère personnel concernent un enfant de moins de seize (16) ans, il doit obtenir le consentement d’un titulaire de la responsabilité parentale à l’égard de l’enfant conformément à la législation en la matière.
Que signifie le consentement dans la Loi relative à la protection des données à caractère personnel et de la vie privée?
Dans la Loi relative à la protection des données à caractère personnel et de la vie privée, le consentement de la personne concernée doit être une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte oralement, par écrit ou par voie électronique ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement