Rwanda’s law on the protection of personal data and privacy (DPP Law)

Le traitement de données à caractère personnel effectué par le sous-traitant est régi par un contrat écrit conclu entre le sous-traitant et le responsable du traitement. 

Le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement conformément au contrat écrit visé à l’alinéa premier du présent article. 

Le responsable du traitement autorise le sous traitant qui offre des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de telle manière que ce traitement réponde aux conditions de la présente loi.

Le responsable de traitement, le sous-traitant ou un tiers traite les données à caractère personnel d’une manière qui ne porte pas atteinte à la vie privée de la personne concernée.

Lorsque le traitement de données à caractère personnel se fonde sur le consentement de la personne concernée, cette personne démontre qu’elle a donné son consentement au traitement de données à caractère personnel la concernant dans un but spécifié. 

Le consentement de la personne concernée n’est valable que s’il est basé sur sa décision libre après avoir été informée des conséquences de son consentement. 

Le consentement de la personne concernée peut être donné oralement, par écrit ou par voie électronique.

La déclaration de consentement par la personne concernée qui contient d’autres questions, doit indiquer clairement ces autres questions auxquelles elle consent dans l’une des langues officielles qu’elle comprend.

Aucune partie de la déclaration visée à l’alinéa premier du présent article qui constitue une violation des dispositions de la présente loi ne peut être contraignante.

La personne concernée a le droit de retirer son consentement à tout moment. 

Le retrait de consentement par la personne concernée ne compromet pas la licéité du traitement de données personnelles fondé sur le consentement effectué avant ce retrait. 

Le retrait de consentement par la personne concernée se fait de la manière aussi simple que celle utilisée lors de l’expression de son consentement. 

Le retrait de consentement par la personne concernée prend effet à la date à laquelle la personne concernée en a fait la demande.

Lorsque le responsable du traitement, le sous traitant ou un tiers sait que les données à caractère personnel concernent un enfant de moins de seize (16) ans, il doit obtenir le consentement d’un titulaire de la responsabilité parentale à l’égard de l’enfant conformément à la législation en la matière. 

Sous réserve des dispositions d’autres lois, le consentement obtenu au nom de l’enfant n’est acceptable que s’il est donné dans son intérêt. 

Toutefois, le consentement n’est pas requis pour traiter les données à caractère personnel d’un enfant si cela est nécessaire pour protéger des intérêts vitaux de l’enfant.

Le responsable du traitement ou le sous-traitant de données à caractère personnel sensibles ne peut les traiter que si: 

1. le traitement est basé sur le consentement de la personne concernée; 

2. le traitement est nécessaire aux fins de l’exécution des obligations du responsable du traitement, du sous-traitant ou de l’exercice des droits spécifiques de la personne concernée conformément à la législation en la matière; 

3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou de toute autre personne; 

4. le traitement est nécessaire à des fins de médecine préventive ou du travail, de santé publique comme la protection contre les menaces transfrontières graves pour la santé ou la garantie des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou dispositifs médicaux; 

5. le traitement est nécessaire à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique et historique ou à des fins statistiques.

Lors du traitement de données à caractère personnel sensibles, le responsable du traitement ou le sous-traitant doit: 

1. respecter les exigences applicables à la protection de données à caractère personnel ou au contrôle de données à caractère personnel telles que prévues par la présente loi; 

2. respecter les délais de rétention de données à caractère personnel sensibles fixés par la présente loi; 

3. mettre en place des mesures de renforcement de capacités du personnel participant au traitement de données à caractère personnel sensibles; 

4. mettre en place des mesures d’accès aux données à caractère personnel sensibles traitées par le responsable du traitement ou le sous-traitant; 

5. mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque posé à la personne concernée, y compris, selon les besoins, le stockage de données à caractère personnel sensibles séparément des autres types de données et l’application de la tokenisation, la pseudonymisation ou le chiffrement.

Le traitement de données à caractère personnel d’un condamné est effectué sous la supervision de l’autorité de contrôle conformément aux dispositions de la présente loi. 

Le responsable du traitement ou le sous traitant met en place des garanties appropriées pour assurer le respect des droits et des libertés de la personne concernée.

Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement ou au sous-traitant d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter la présente loi. 

Lorsque le responsable du traitement ou le sous-traitant n’est pas en mesure d’identifier la personne concernée à cause de l’altération de ses données à caractère personnel, il en informe la personne concernée par écrit ou par voie électronique, si nécessaire. 

Toutefois, la personne concernée, dans le respect de ses droits, fournit des informations complémentaires qui permettent de l’identifier.

Le responsable du traitement ou le sous-traitant demande les données à caractère personnel directement à la personne concernée. 

Toutefois, une personne peut collecter les données à caractère personnel auprès d’une autre personne, d’une autre source ou d’une institution publique si: 

1. les données à caractère personnel sont ouvertes au public; 

2. la personne concernée a délibérément rendu publiques les données à caractère personnel; 

3. la personne concernée a consenti à la collecte des données à caractère personnel auprès d’une autre source; 

4. la collecte des données à caractère personnel auprès d’une autre source est conforme aux dispositions de la présente loi.

Le responsable du traitement ou le sous-traitant veille à ce que les données à caractère personnel soient complètes, exactes, tenues à jour et non trompeuses eu égard aux finalités pour lesquelles elles sont traitées.

Le responsable du traitement ou le sous-traitant enregistre les données à caractère personnel au moins dans les opérations suivantes: 

1. les données collectées; 

2. les données altérées; 

3. les données pour lesquelles l’accès a été réalisé; 

4. les données divulguées, y compris le partage et le transfert; 

5. les données combinées; 

6. les données effacées. L’enregistrement des données à caractère personnel doit indiquer la justification, la date et l’heure des opérations et, dans la mesure du possible, les coordonnées de la personne qui a consulté ou divulgué les données à caractère personnel, ainsi que les coordonnées des destinataires des données. L’autorité de contrôle peut demander au responsable du traitement ou au sous-traitant de lui donner accès à l’enregistrement des données à caractère personnel afin de vérifier la licéité du traitement des données à caractère personnel.