Accéder à la navigation principale Accéder au contenu principal Accéder au pied de page
Bureau de protection des données

Pourquoi dois-je m'enregistrer?

Conformément à la Loi n° 058/2021 du 13/10/2021 relative à la protection des données à caractère personnel et de la vie privée, officiellement publiée le 15 octobre 2021, toute organisation traitant les données personnelles de résidents rwandais est tenue de s’enregistrer auprès de l’Office National de Cybersécurité (NCSA), en qualité de responsable du traitement ou de sous-traitant.

Quelle est la différence entre les Responsables du traitement et les Sous-traitants ?

La loi sur la Protection des Données Personnelles et de la Vie Privée stipule que ces deux rôles diffèrent dans leur mandat.

  • Responsable de traitement: Selon la loi, un responsable de traitement est " personne physique ou morale ou une entité juridique qui, seule ou conjointement avec d’autres, traite les données à caractère personnel et détermine les moyens de leur traitement."
  • Sous-traitant: Un sous-traitant est "une personne physique, personne morale publique ou privée ou entité juridique autorisée à traiter des données à caractère personnel pour le compte du responsible de traitement.

Comment déterminer votre rôle?

Pour déterminer le rôle applicable à votre organisation en matière de traitement des données personnelles, il convient d'examiner les indicateurs suivants :

Vous êtes considéré comme un responsable du traitement si:

  • Vous prenez l’initiative de collecter ou de traiter des données à caractère personnel.

  • Vous définissez les finalités poursuivies par le traitement des données.

  • Vous déterminez les catégories de données personnelles à collecter.

  • Vous choisissez les individus dont les données personnelles doivent être collectées.

Vous êtes un sous-traitant de données si:

  • Vous agissez conformément aux directives émises par un responsable de traitement ou par l'autorité de contrôle en matière de traitement des données à caractère personnel.
  • Vous recevez les données personnelles d’un client ou d’un tiers comparable, ou vous êtes informé des données à collecter.
  • Vous ne prenez pas l’initiative de collecter des données personnelles auprès des individus.
  • Vous ne déterminez pas les catégories de données personnelles à recueillir.

Il convient de souligner que lorsqu’une entité détermine les finalités et les moyens du traitement tout en exécutant elle-même ce traitement, elle assume simultanément les rôles de responsable du traitement et de sous-traitant. Toute personne physique, entité juridique, organisme public ou privé peut ainsi cumuler ces deux fonctions, dès lors qu’elle exerce les activités relevant de chacun de ces rôles

You are a data controller if:

  • You decided to collect or process the personal data
  • You decided the purpose of outcome of the data processing
  • You decided what personal data should be collected

  • You decided which individuals to collect personal data about

     

You are a data processor if:

  • You are following instructions from a data controller or the supervisory authority regarding the processing of personal data
  • You were given the personal data by a customer or similar third party, or told what data to collect
  • You do not decide to collect personal data from individuals
  • You do not decide what personal data should be collected from individuals

It is important to note that in situations where an institution both determines the means of processing and processes the data itself, this entity becomes both a data controller and data processor.

Any natural person, public or private corporate body or legal entity, can be both a controller and processor of personal data when they are carrying out the activities of both roles.