Rwanda’s law on the protection of personal data and privacy (DPP Law)

Aux fins de la présente loi, les termes suivants ont les significations suivantes : 

1. Données à caractère personnel: toute information se rapportant à une personne physique identifiée ou identifiable qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale; 

2. Données à caractère personnel sensibles: informations révélant la race d’une personne, son état de santé, son casier judiciaire, son dossier médical, son origine sociale, ses convictions religieuses ou philosophiques, son opinion politique, ses données génétiques ou biométriques, sa vie sexuelle ou détails sur sa famille; 

3. Chiffrement: méthode technique utilisée pour rendre le contenu des données illisibles pour toute personne qui n’est pas autorisée à y avoir accès; 

4. Traitement de données à caractère personnel: une opération ou un ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que l’accès, l’obtention, la collecte, l’enregistrement, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la reconstitution, la dissimulation, la consultation, l’utilisation, la communication par transmission, le partage, le transfert ou la mise à disposition, la vente, la limitation, l’effacement ou la destruction; 

5. Registre de responsables du traitement et de sous-traitants: système d’enregistrements physiques ou électroniques des responsables du traitement et des sous-traitants enregistrés; 

6. Vie privée: droit fondamental d’une personne de décider qui peut accéder à ses données à caractère personnel, quand, où, pourquoi et comment elles peuvent être accessibles; 

7. Conséquences significatifs: conséquences ayant un impact aussi significatif que les effets juridiques qui affectent négativement le comportement et les choix d’une personne concernée; 

8. Conséquences juridiques: conséquences qui affectent négativement le statut juridique d’une personne ou ses droits légaux; 

9. Tokenisation: processus de remplacement de données sensibles par des symboles d’identification uniques qui conservent toutes les informations essentielles sur les données sans compromettre leur sécurité; 

10. Intérêts vitaux: intérêts liés à la vie ou au décès de la personne concernée; 

11. Profilage: forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser et prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique; 

12. Enregistrement des données à caractère personnel: processus d’enregistrement des activités de traitement des données pendant une période donnée aux fins de contrôle et d’audit des événements dans un système de traitement automatisé; 

13. Violation de données à caractère personnel: violation de la sécurité de données à caractère personnel entraînant, de manière illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données; 

14. Pseudonymisation: traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires conservées séparément; 

15. Personne concernée: personne physique en provenance de laquelle ou au sujet de laquelle les données à caractère personnel ont été demandées et traitées; 

16. Destinataire: personne physique, personne morale publique ou privée ou entité juridique qui reçoit la communication de données à caractère personnel; 

17. Utilisateur: personne physique, personne morale publique ou privée ou entité juridique utilisant ou demandant un service de traitement de données à caractère personnel; 

18. Consentement de la personne concernée: manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte oralement, par écrit ou par voie électronique ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement; 

19. Responsable du traitement: personne physique ou morale ou entité juridique qui, seule ou conjointement avec d’autres, traite les données à caractère personnel et détermine les moyens de leur traitement; 

20. Personne: personne physique, personne morale ou entité juridique; 

21. Tiers: personne physique, personne morale publique ou privée ou entité juridique autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité du responsable du traitement, sont autorisées à traiter les données à caractère personnel; 

22. Autorité compétente: autorité sectorielle chargée de contrôler la conformité sectorielle spécifique conjointement avec l’autorité de contrôle; 

23. Autorité de contrôle: autorité publique ayant la cybersécurité dans ses attributions; 

24. Sous-traitant: personne physique, personne morale publique ou privée ou entité juridique autorisée à traiter des données à caractère personnel pour le compte du responsable du traitement.