Rwanda’s law on the protection of personal data and privacy (DPP Law)

Le responsable du traitement ou le sous-traitant peut partager ou transférer les données à caractère personnel vers un tiers en dehors du Rwanda si: 

1. il a obtenu l’autorisation de l’autorité de contrôle après avoir fourni des garanties appropriées au regard de la protection des données à caractère personnel; 

2. la personne concernée a donné son consentement; 

3. le transfert est nécessaire: 

   a. à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée; 

   b. à l’exécution d’un contrat conclu, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers; 

   c. pour des motifs d’intérêt public; 

   d. pour la constatation, l’exercice ou la défense d’un droit en justice; 

  e. à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son              consentement;

   f. aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement ou par le sous-traitant sur lesquels ne prévalent pas les intérêts, les droits et libertés de la personne concernée, et lorsque: 

    i. le transfert ne revêt pas de caractère répétitif et ne touche qu’un nombre limité de personnes concernées;

   ii. le responsable du traitement ou le sous traitant a évalué toutes les circonstances entourant le transfert de données à caractère personnel et a offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel; 

  g. à l’exécution des instruments internationaux ratifiés par le Rwanda. 

L’autorité de contrôle peut établir un règlement déterminant une autre raison de partage et de transfert à un tiers des données à caractère personnel en dehors du Rwanda.

Le responsable du traitement ou le sous traitant qui autorise à une personne d’obtenir les données à caractère personnel, de les partager et de les transférer vers un tiers en dehors du Rwanda, conclut un contrat écrit avec cette personne définissant les rôles et les responsabilités de chaque partie pour assurer le respect des dispositions de la présente loi. 

L’autorité de contrôle peut, par voie de règlement, déterminer le format du contrat devant être utilisé pour le transfert des données à caractère personnel en dehors du Rwanda. 

Les dispositions des points 1o et 3° a), b) et d) de l’article 48 de la présente loi ne s’appliquent pas aux activités exercées par un organisme public dans le cadre de l’exercice de ses fonctions. 

L’autorité de contrôle peut demander au responsable du traitement ou au sous-traitant transférant les données à caractère personnel vers l’extérieur du Rwanda de prouver qu’il se conforme aux dispositions du présent article, plus particulièrement de fournir des garanties de protection des données à caractère personnel et des intérêts visés au point 3o f) de l’article 48 de la présente loi.

L’autorité de contrôle peut, afin de protéger les droits et les libertés de la personne concernée, interdire ou suspendre le transfert de données à caractère personnel vers l’extérieur du Rwanda.