Rwanda’s law on the protection of personal data and privacy (DPP Law)

Le responsable du traitement et le sous-traitant veillent à ce que les données à caractère personnel de la personne concernée: 

1. soient traitées de manière licite, loyale et transparente; 

2. soient collectées à des fins explicites, spécifiées et légitimes et ne soient pas traitées d’une manière incompatible avec ces objectifs; 

3. soient en rapport avec les finalités pour lesquelles leur traitement a été sollicité; 

4. soient exactes et, si nécessaire, tenues à jour, avec toutes les mesures raisonnables prises pour assurer que les données àcaractère personnel inexactes soient effacées ou rectifiées sans tarder; 

5. soient conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; 

6. soient traitées dans le respect des droits des personnes concernées.

Conformément aux principes de traitement des données à caractère personnel, le responsable du traitement et le sous-traitant ont des attributions suivantes: 

1. mettre en œuvre les mesures techniques et organisationnelles appropriées; 

2. tenir un registre des opérations de traitement des données à caractère personnel; 

3. mener une analyse d’impact relative à la protection des données personnelles à caractère personnel lorsque le traitement des données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits et les libertés d’une personne physique; 

4. s’acquitter de toute autre tâche qui pourrait lui être confiée par l’autorité de contrôle. 

L’analyse d’impact relative à la protection des données à caractère personnel visée au point 3 de l’alinéa premier du présent article est requise en cas: 

1. de l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé des données à caractère personnel, y compris le profilage, et sur la base de laquelle des décisions produisant des effets à l’égard de ces personnes sont prises; 

2. du traitement à grande échelle de données à caractère personnel sensibles; 

3. de la surveillance systématique à grande échelle d’une zone accessible au public; 

4. du traitement des données à caractère personnel identifié par l’autorité de contrôle comme susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques; 

5. de nouvelles technologies utilisées pour traiter les données à caractère personnel.

Le responsable du traitement ou le sous-traitant qui n’est ni établi ni résidant au Rwanda, mais qui traite des données à caractère personnel des personnes concernées situées au Rwanda, désigne par écrit un représentant au Rwanda pour respecter ses obligations prévues par la présente loi. 

L’autorité de contrôle établit un règlement régissant la désignation d’un représentant du responsable du traitement, du sous-traitant.

Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données lorsque: 

1. le traitement des données à caractère personnel est effectué par une personne morale publique ou privée ou entité juridique, à l'exception des juridictions; 

2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement des données à caractère personnel qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; 

3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 10 de la présente loi et de données à caractère personnel relatives à des condamnations pénales visées à l'article 12 de la présente loi. 

Un groupe d'entreprises peut désigner un seul délégué à la protection des données à caractère personnel à condition qu'un tel délégué soit facilement joignable à partir de chaque lieu d'établissement. 

Lorsque le responsable du traitement ou le sous traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

Dans les cas autres que ceux visés à l’alinéa premier du présent article, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous traitants peuvent désigner un délégué à la protection des données à caractère personnel en vertu des dispositions de la présente loi. 

Le délégué à la protection des données à caractère personnel est désigné sur la base de ses qualités professionnelles, ses connaissances spécialisées en matière de protection des données à caractère personnel, ses pratiques et sa capacité à accomplir ses attributions. 

Le délégué à la protection des données à caractère personnel peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou une personne qui exerce ses attributions sur la base d'un contrat de service. 

Le responsable du traitement ou le sous-traitant doivent publier les coordonnées du délégué à la protection des données à caractère personnel et les communiquer à l'autorité de contrôle.

Les attributions du délégué à la protection des données à caractère personnel sont les suivantes: 

1. informer et conseiller le responsable du traitement, le sous-traitant et les employés qui procèdent au traitement des données à caractère personnel sur les obligations qui leur incombent en vertu de la présente loi; 

2. contrôler, à son lieu de travail, le respect de la présente loi et des règles internes du responsable du traitement ou du sous traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement des données à caractère personnel et les audits s'y rapportant; 

3. dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci; 

4. coopérer avec l'autorité de contrôle et faire office de son point de contact sur les questions relatives au traitement des données à caractère personnel, y compris la consultation préalable à l’autorité de contrôle, et mener des consultations, le cas échéant, sur tout autre sujet.

Le délégué à la protection des données doit tenir dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement des données à caractère personnel compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Le responsable du traitement collecte les données à caractère personnel pour des fins licites liées à l’activité du responsable du traitement et lorsque les données sont nécessaires pour ces fins. 

Le responsable du traitement qui collecte les données à caractère personnel informe la personne concernée de ce qui suit: 

1. son identité et ses es coordonnées; 

2. les finalités pour lesquelles les données à caractère personnel sont collectées; 

3. les destinataires de ces données à caractère personnel; 

4. si la personne concernée a le droit de fournir les données à caractère personnel volontairement ou obligatoirement;

5. l’existence du droit de retirer le consentement à tout moment et que ce retrait n’affecte pas la licéité du traitement des données à caractère personnel basé sur le consentement avant son retrait; 

6. l’existence du droit de demander au responsable du traitement l’accès et la rectification, la restriction ou l’effacement des données à caractère personnel qui concernent la personne concernée ou de s’opposer au traitement des données; 

7. l’existence d’une prise de décision automatisée, y compris le profilage et des informations sur la logique impliquée ainsi que l’importance et les conséquences envisagées d’un tel traitement des données à caractère personnel à la personne concernée; 

8. la durée pour laquelle des données à caractère personnel seront conservées; 

9. le droit de faire recours auprès de l’autorité de contrôle; 

10. le cas échéant, s’il peut transférer les données à caractère personnel vers l’extérieur du Rwanda et s’il l’assure de leur sécurité;

11. toute autre information susceptible de garantir un traitement équitable des données à caractère personnel, compte tenu des circonstances spécifiques dans lesquelles les données sont collectées. 

Toutefois, le responsable du traitement n’est pas tenu de se conformer aux dispositions de l’alinéa 2 du présent article si : 

1. la personne concernée dispose déjà des informations visées à l’alinéa premier du présent article; 

2. la fourniture de ces informations s’avère impossible ou implique un effort disproportionné; 

3. l’enregistrement ou la divulgation des données à caractère personnel est prévu par la loi.

En cas de violation des données à caractère personnel, le responsable du traitement, dans les quarante-huit (48) heures après en avoir pris connaissance, doit en informer l’autorité de contrôle.

Lorsque le sous-traitant prend connaissance de la violation des données à caractère personnel, il en informe le responsable du traitement dans les quarante-huit (48) heures après en avoir pris connaissance.

Le responsable du traitement fait un rapport sur la violation des données à caractère personnel et le transmet à l’autorité de contrôle dans les soixante-douze (72) heures avec tous les faits disponibles. 

Le rapport indique au moins ce qui suit: 

1. la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; 

2. les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; 

3. les mesures prises pour remédier à la violation de données à caractère personnel, y compris les mesures pour en atténuer les éventuelles conséquences négatives; 

4. les actes relatifs à la violation de données à caractère personnel, les conséquences de la violation de données à caractère personnel et les mesures prises pour rectifier cette violation; 

5. sa proposition de communiquer la violation de données à caractère personnel à la personne concernée affectée et les délais de cette communication, pour approbation par l’autorité de contrôle.

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée par écrit ou par voie électronique après en avoir pris connaissance. 

Toutefois, le responsable du traitement ne communique pas la violation de données à caractère personnel à la personne concernée si: 

1. le responsable du traitement a mis en œuvreles mesures de protection techniques et organisationnelles appropriées relatives à la protection de données à caractère personnel violées de sorte que cette violation n’engendre pas un risque élevé pour les droits et libertés de la personne concernée; 

2. le responsable du traitement a pris des mesures qui garantissent que le risque élevé pour les droits et libertés de la personne concernée n’est plus susceptible de se matérialiser; 

3. le responsable du traitement a procédé à une communication publique permettant à la personne concernée d’être informée de manière tout aussi efficace. 

Si le responsable du traitement n’a pas communiqué à la personne concernée la violation de données à caractère personnel, et que cette violation est susceptible d’engendrer un risque élevé pour ses droits et libertés, l’autorité de contrôle peut exiger du responsable du traitement de communiquer à la personne concernée la violation de données à caractère personnel par écrit ou par voie électronique.

Le responsable du traitement ou le sous-traitant procède au traitement licite des données à caractère personnel si: 

1. la personne concernée a consenti au traitement de ses données à caractère personnel pour des finalités qui lui ont été expliquées; 

2. le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; 

3. le responsable du traitement exécute une obligation légale à laquelle il est soumis; 

4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou de toute autre personne; 

5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; 

6. il est mené à des fins d’exécution des tâches d’une entité publique; 

7. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers à qui les données à caractère personnel sont divulguées, à moins que le traitement de ces données à caractère personnel ne soit nécessaire dans un cas particulier eu égard au préjudice des droits et libertés ou des intérêts légitimes de la personne concernée; 

8. il est mené à des fins de recherche sur autorisation de l’institution concernée.