TITRE III – DES DONNÉES PERSONNELLES
———
CHAPITRE I – Dispositions générales
———–
Article 183.
Les catégories suivantes sont considérées comme données personnelles. Il s’agit notamment de :
- des données d’identification personnelle notamment : prénom, nom, post-nom, date et lieu de naissance, âge, état civil, numéro d’identification nationale, document officiel d’identité en cours de validité et toute autre donnée biométrique notamment photographie, enregistrement sonore, image, empreintes digitales et iris.
- des données de correspondance : coordonnées téléphoniques, adresses physique, postale et électronique ;
- des données professionnelles : statut, emploi occupé, employeur, rémunération ;
- des données de facturation et de paiement : montant et historique des factures, état de paiement, relances, soldes de paiement, date de prélèvement ;
- des coordonnées bancaires : code banque, numéro de compte et de la carte bancaire, nom/adresse/coordonnées de la banque, références de transactions ;
- des données sur des personnes morales de droit public ou privé faisant apparaître les données personnelles ;
- des données sur la situation familiale ;
- des données concernant des décisions de justice.
Article 184.
Sont soumis aux dispositions du présent Titre :
- la collecte, le traitement, la transmission, le stockage et l’utilisation des données à caractère personnel par l’État, la Province, les Entités Territoriales Décentralisées et Déconcentrées, les personnes morales de droit public ou de droit privé et les personnes physiques,
- le traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier ;
- le traitement de données mis en œuvre sur le territoire national ou à l’étranger ;
- le traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’État, sous réserve des dérogations définies par des dispositions spécifiques fixées par d’autres textes de loi en vigueur.
Article 185.
Sont exclus du champ d’application du présent titre :
- le traitement des données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ;
- les copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau informatique, en vue du stockage automatique, intermédiaire et transitoire des données et à la seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ;
- les traitements des données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre des menaces ou la sécurité publique et la prévention de telles menaces.
CHAPITRE II – Conditions de traitement des données personnelles
——————–
Article 186.
Le traitement des données personnelles est soumis à une déclaration préalable auprès de l’Autorité de protection des données.
La déclaration est effectuée par le responsable de traitement ou son représentant.
La déclaration comporte l’engagement que le traitement satisfait aux exigences de la présente ordonnance-loi.
L’Autorité de protection des données délivre un récépissé en réponse à la déclaration, le cas échéant par voie électronique. Le demandeur met en œuvre le traitement dès réception de son récépissé ; il n’est exonéré d’aucune de ses responsabilités.
Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique. Les informations requises au titre de la déclaration ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.
Les conditions et la procédure de la déclaration sont fixées par l’Autorité de protection des données.
Article 187.
Sont soumis à une autorisation préalable de l’Autorité de protection des données avant toute mise en œuvre :
- le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines ;
- le traitement des données à caractère personnel portant sur des données relatives aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les juridictions ;
- le traitement portant sur un numéro national d’identification ou tout autre identifiant de même nature, notamment les numéros de téléphone ;
- le traitement des données à caractère personnel comportant des données biométriques ;
- le traitement des données à caractère personnel ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques ;
- le transfert de données à caractère personnel envisagé à destination d’un pays tiers.
La demande d’autorisation est présentée par le responsable du traitement ou son représentant.
L’autorisation n’exonère pas de la responsabilité à l’égard des tiers. Les conditions et la procédure d’autorisation sont fixées par l’Autorité de protection des données.
Article 188.
Les demandes de déclaration et d’autorisation contiennent :
- l’identité ou la dénomination sociale, l’adresse complète du responsable du traitement ou, si celui-ci n’est pas établi sur le territoire de la République Démocratique du Congo, les coordonnées de son représentant dûment mandaté ;
- la ou les finalités du traitement ainsi que la description générale de ses fonctions ;
- les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements ;
- les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
- le ou les service(s) chargé(s) de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
- les destinataires ou catégories de destinataires habilités à recevoir la communication des données ;
- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les dispositions prises pour assurer la sécurité des traitements et des données dont les garanties entourent la communication aux tiers ;
- l’indication du recours à un sous-traitant ;
- les transferts de données à caractère personnel envisagés à destination d’un État tiers, sous réserve de réciprocité ;
- l’engagement que les traitements sont conformes aux dispositions du présent titre.
L’Autorité de protection des données définit d’autres informations devant être contenues dans les demandes de déclaration et d’autorisation.
Article 189.
Sont dispensés des formalités de déclaration préalable :
- le traitement de données utilisées par une personne physique dans le cadre exclusif de ses activités personnelles, domestiques ou familiales ;
- le traitement de données concernant une personne physique dont la publication est prescrite par une disposition légale ou réglementaire ;
- le traitement de données ayant pour seul objet la tenue d’un registre qui est destiné à un usage exclusivement privé ;
- le traitement pour lequel le responsable de traitement a désigné un délégué à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans le présent titre, sauf lorsqu’un transfert de données à caractère personnel à destination d’un pays tiers est envisagé ;
- le traitement des données à caractère personnel mis en œuvre par les organismes et entreprises publics ou privés pour la tenue de leur comptabilité générale ;
- le traitement des données personnelles mis en œuvre par les organismes et entreprises publics ou privés relatifs à la gestion des rémunérations de leur personnel ;
- le traitement des données personnelles mis en œuvre par les organismes publics ou privés pour la gestion de leurs fournisseurs ;
- le traitement mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dès lors que ces données correspondent à l’objet de cette association ou de cet organisme, qu’elles ne concernent que leurs membres et qu’elles ne doivent pas être communiquées à des tiers.
Article 190.
L’Autorité de protection des données se prononce dans un délai de trente (30) jours à compter de la réception de la demande de déclaration ou d’autorisation.
Toutefois, ce délai peut être prorogé une fois, de trente (30) jours sur décision motivée de l’Autorité de protection des données.
Si la déclaration ou l’autorisation demandée à l’Autorité de protection des données n’est pas rendue dans le délai prévu, le silence de l’Autorité de protection des données vaut acceptation.
En cas de refus de l’Autorité de protection des données, il est accordé au responsable du traitement le droit de recours gracieux dans un délai de quinze jours à partir de la notification de la décision du refus.
Article 191.
La demande de déclaration ou d’autorisation peut être adressée à l’Autorité de protection des données par voie électronique, par voie postale ou par tout autre moyen contre remise d’un accusé de réception par ladite Autorité.
CHAPITRE III – Du traitement des données personnelles
—————
Article 192.
Le traitement des données personnelles n’est licite que dans la mesure où la personne concernée a consenti au traitement de ses données à caractère personnel ou si le traitement est nécessaire à l’exécution d’une obligation légale à laquelle le responsable du traitement est soumis.
Le traitement de données personnelles se fait dans le cadre du respect de la dignité humaine, de la vie privée et des libertés publiques.
Le traitement des données personnelles, quel que soit son origine ou sa forme, ne doit pas porter atteinte aux droits des personnes protégées par les lois et règlements en vigueur et il est, dans tous les cas, interdit d’utiliser ces données pour porter atteinte aux personnes ou à leur réputation.
Article 193.
Les données personnelles sont :
- traitées de manière licite, loyale et transparente :
- la personne concernée donne son consentement préalable, Si la personne concernée est incapable, le consentement est régi selon le principe de droit commun ;
- la collecte de données est faite pour des finalités déterminées, explicites et légitimes ;
- les données collectées ne sont pas traitées ultérieurement de manière incompatible avec les finalités visées au point précédent, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables.
- le principe de transparence implique une information obligatoire et claire ainsi qu’intelligible de la part du responsable du traitement portant sur les données à caractère personnel.
- traitées de manière confidentielle et protégée, notamment lorsque le traitement comporte des transmissions des données dans un réseau ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées. Les données personnelles peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par les dispositions du présent titre afin de garantir les droits et libertés de la personne concernée sous réserve des dispositions de la Loi n°78-013 du 11 juillet 1978 portant régime général des archives ;
- traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Article 194.
Les données à caractère personnel collectées doivent être fiables, adéquates, pertinentes, exactes, intègres et non excessives.
Toutes les mesures appropriées doivent être prises afin que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.
Article 195.
Est interdit de traitement des données à caractère personnel ayant trait aux informations raciales, ethniques, aux opinions politiques, aux convictions religieuses ou philosophiques, aux statuts de réfugiés et des apatrides, à l’appartenance syndicale, à la vie sexuelle ou plus généralement celles relatives à l’état de santé de la personne concernée.
L’interdiction de traiter des données à caractère personnel visées à l’alinéa 1 du présent article ne s’applique pas dans les cas suivants :
- Le traitement des données à caractère personnel portant sur des données manifestement rendues publiques par la personne concernée ;
- La personne concernée a donné son consentement explicite au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque la législation en vigueur en République Démocratique du Congo prévoit que l’interdiction visée à l’alinéa 1 ne peut pas être levée par la personne concernée. Le consentement peut être retiré à tout moment sans frais par la personne concernée ;
- Le traitement des données à caractère personnel est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- Le traitement des données à caractère personnel s’avère nécessaire pour un motif d’intérêt public ;
- Le traitement nécessaire à l’exécution d’une mission d’intérêt public ou effectué par une autorité publique ou est assigné par une autorité publique au responsable du traitement ou à un tiers, auquel les données sont communiquées ;
- Le traitement effectué en exécution de lois relatives aux statistiques publiques ;
- Le traitement nécessaire aux fins de médecine préventive ou de médecine du travail, de diagnostics médicaux, de l’administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la gestion de services de santé agissant dans l’intérêt de la personne concernée et le traitement est effectué sous la surveillance d’un professionnel de santé ;
- Le traitement nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tel que la protection contre les menaces transfrontalières graves pesant sur la santé, aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux sur la base du droit en vigueur, qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;
- Le traitement nécessaire à la réalisation d’une finalité fixée par ou en vertu des dispositions du présent Livre, en vue de l’application de la sécurité sociale ;
- Le traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci pendant la période précontractuelle ;
- Le traitement nécessaire au respect d’une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis ;
- Le traitement nécessaire afin d’exécuter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail ;
- Le traitement effectué par des associations dotées de la personnalité juridique ou par des établissements d’utilité publique qui ont pour objet social principal la défense et la promotion des droits de l’homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par l’Autorité de protection des données et que les données ne soient pas communiquées à des tiers sans le consentement écrit des personnes concernées, que ce soit sur un papier, un support électronique ou tout autre support équivalent ;
- Le traitement effectué dans le cadre des activités légitimes et moyennant les garanties appropriées d’une fondation, d’une association ou de tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale. Toutefois, le traitement doit se rapporter exclusivement aux membres ou anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à ses objectifs et à sa finalité, et que les données ne soient pas communiquées à un tiers extérieur sans le consentement des personnes concernées ;
- Le traitement nécessaire à des fins archivistiques, dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les données à caractère personnel visées à l’alinéa 1 font l’objet d’un traitement aux fins prévues à l’alinéa 2, point 8, si ces données sont traitées par un professionnel de santé soumis à une obligation de secret professionnel conformément au droit en République Démocratique du Congo ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément aux droits en vigueur en République Démocratique du Congo ou aux règles arrêtées par les organismes nationaux compétents.
Article 196.
Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Au cas où le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, le formulaire sur la demande de consentement est rempli sous une forme qui le distingue clairement de ces autres questions, de façon compréhensible et aisément accessible, et formulée en des termes clairs et simples.
Aucune partie de cette déclaration qui constitue une violation du présent Livre n’est contraignante.
La personne concernée a le droit de retirer son consentement à tout moment, à travers le même moyen utilisé pour le donner. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il doit être aussi simple de retirer que de donner son consentement.
Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.
CHAPITRE IV – De la transmission et du transfert des données personnelles
———————
Section 1 – De la transmission des données personnelles
Article 197.
La transmission de données personnelles est licite et légale. Elle se fait entre les responsables de traitement de droit privé et/ou de droit public.
Article 198.
Le responsable de traitement transmet à un ou plusieurs autres responsables de traitement des données personnelles pour des besoins de prospection ou tout autre besoin licite et légal avec le consentement de la personne concernée.
Le responsable de traitement qui transmet, veille à ce que les données communiquées ne soient altérées par quoi que ce soit.
Il s’assure de l’identité et de la qualité du responsable du traitement ou de son représentant qui reçoit les données.
Le responsable de traitement qui reçoit les données est tenu de les utiliser que pour de raisons pour lesquelles elles lui ont été communiquées.
Un accord de confidentialité est conclu entre les deux responsables de traitement.
Article 199.
Pour des raisons d’enquête judiciaire, le Ministère public ou le juge adresse une réquisition d’information ou une requête au responsable de traitement aux fins de lui communiquer les données personnelles dont il a besoin. Celui-ci en informe l’Autorité de protection des données. Après s’être assuré de l’authenticité et de la régularité de la demande ou de la réquisition, le responsable de traitement y donne une réponse dans un délai qui ne peut dépasser deux jours.
Toutefois, dans le cas où il se trouve dans l’incapacité de répondre à la demande ou à la réquisition de l’autorité, le responsable de traitement en informe l’auteur de la demande ou de la réquisition au lendemain du délai fixé à l’alinéa 2 et prend toutes les dispositions pour y répondre dans un délai qui ne peut dépasser huit (8) jours.
Pour des raisons d’enquête judiciaire et de sécurité nationale, l’Autorité de protection des données formule une correspondance au responsable de traitement pour que lui soient transmises toutes les informations nécessaires.
Article 200.
Lors de la communication des données à caractère personnel, cette opération comporte notamment l’identité du responsable qui a transmis les données au partenaire et/ou sous-traitant, les droits de la personne concernée et notamment son droit de s’opposer à la prospection.
Section 2 – Du transfert des données personnelles
Article 201.
Les données personnelles sont stockées et/ou hébergées en République Démocratique du Congo.
Toutefois, pour des besoins de souveraineté numérique et de sécurité, les données à caractère personnel peuvent être transférées vers une ambassade digitale, un hébergeur se trouvant dans un État tiers ou une organisation internationale lorsque l’Autorité de protection des données constate que l’État ou l’Organisation Internationale en question assure un niveau de protection adéquat et suffisant à celui mis en place par les dispositions du présent Livre.
Le caractère équivalent et suffisant du niveau de protection s’apprécie au regard de toutes les circonstances relatives à un transfert de données. Afin de déterminer ce caractère équivalent et suffisant, il est notamment tenu compte de :
- L’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées.
- L’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits.
- Les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en ce qui concerne la protection des données à caractère personnel.
Avant tout transfert effectif de données à caractère personnel vers un État tiers ou une organisation internationale, le responsable du traitement doit préalablement obtenir l’autorisation de l’Autorité de protection des données à caractère personnel. Le transfert de données à caractère personnel vers des États tiers ou une organisation internationale fait l’objet d’un contrôle régulier de l’Autorité de protection des données à caractère personnel.
Article 202.
Le transfert de données personnelles vers un État tiers ou une organisation internationale n’assurant pas un niveau de protection adéquat, est effectué dans un des cas suivants :
- La personne concernée a expressément donné son consentement au transfert envisagé après avoir été informée des risques que ce transfert pouvait comporter pour elle, notamment de l’absence de niveau de protection adéquat ;
- Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée ;
- Le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale ;
- Le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice.
- Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.
- Le transfert intervient au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
Les points 1, 2 et 3 de ce paragraphe ne sont pas applicables aux activités des autorités publiques dans l’exercice de leurs prérogatives de puissance publique.
Sans préjudice des dispositions de cet article, le Conseil des Ministres peut, et après avis conforme de l’Autorité de protection des données, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un État tiers ou une organisation internationale assurant un niveau de protection adéquat et suffisant, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droit correspondants.
CHAPITRE V – Des données personnelles soumises à des régimes particuliers
————————
Article 203.
Le traitement de données personnelles relatives aux infractions, aux condamnations pénales et aux mesures de sûreté connexes est interdit. Il peut être mis en œuvre par :
- les autorités publiques et ou judiciaires, les personnes morales gérant un service public dans le cadre de leurs attributions légales, notamment leurs missions de police judiciaire ou administrative ;
- les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par les dispositions légales et réglementaires notamment par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige ;
- les autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d’une disposition légale ou réglementaire ;
- les personnes physiques ou par des personnelles morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige.
Le registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’Autorité de protection des données.
Les personnes visées susceptibles de traiter les données à caractère personnel relatives aux condamnations pénales et aux mesures de sûreté connexes sont soumises au secret professionnel.
Article 204.
Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques est interdit.
L’interdiction de traiter les données à caractère personnel visées à l’alinéa 1er ne s’applique pas dans les cas suivants :
- l’objectif de la recherche ne peut être raisonnablement atteint sans que ces informations soient fournies sous une forme permettant d’identifier l’individu ;
- les informations sont divulguées à la condition qu’elles ne soient pas utilisées afin de contacter une personne pour participer à une étude ;
- le lien enregistré ne porte pas préjudice à la personne concernée et les avantages découlant du lien enregistré relèvent clairement de l’intérêt public ;
- le responsable du traitement concerné a approuve l’ensemble des conditions relatives à la sécurité et à la confidentialité, au retrait ou à la destruction des identifiants individuels le plus tôt possible, à l’interdiction de toute utilisation ou divulgation ultérieure de ces informations sous une forme permettant d’identifier les individus sans l’autorisation expresse du responsable du traitement ;
- la personne à laquelle ces informations sont communiquées a signé un contrat l’engageant à respecter les conditions approuvées, les dispositions du présent Livre, les politiques et les procédures du responsable du traitement relatives à la confidentialité des informations à caractère personnel.
Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques effectué à l’aide de données anonymes est admis.
Article 205.
Dans le cas où les finalités pour lesquelles des données personnelles sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter les dispositions du présent titre.
Lorsque, dans les cas visés à l’alinéa 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareil cas, les articles 224, 225, 226 et 227 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.
Article 206.
Lors du traitement de données à caractère personnel visées aux articles du chapitre V du présent titre, le responsable du traitement doit prendre les mesures supplémentaires suivantes :
- les catégories de personnes, ayant accès aux données personnelles, doivent être désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées ;
- la liste des catégories des personnes ainsi désignées doit être tenue à la disposition de l’Autorité de protection des données par le responsable du traitement ou, le cas échéant, par le sous-traitant ;
- il doit veiller à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées ;
- lorsque l’information, due en vertu de la présente ordonnance-loi, est communiquée à la personne concernée ou lors de la déclaration, le responsable du traitement doit mentionner la base légale ou réglementaire autorisant le traitement de données à caractère personnel visées aux articles du chapitre V du présent titre.
Article 207.
Lorsque le traitement de données personnelles est exclusivement autorisé par le consentement écrit que ce soit sur papier, support électronique ou tout autre support équivalent, de la personne concernée, le responsable du traitement doit préalablement communiqué, à la personne concernée, en sus des informations en vertu des dispositions du présent livre, les motifs pour lesquels ces données sont traitées, ainsi que la liste des catégories de personnes ayant accès aux données personnelles.
Article 208.
Le responsable du traitement ou le sous-traitant informe la personne concernée de la possibilité de définir les modalités de la gestion de ses données personnelles après sa mort.
A cet effet, la personne concernée indique les modalités relatives à la conservation, à l’effacement, la communication et, s’il échet, à la transmission à une personne de son choix.
La personne concernée formule soit les directives d’ordre général qui concernent l’ensemble de ses données à caractère personnel soit les directives d’ordre spécial qui ne concernent qu’une partie de ses données à caractère personnel.
En cas d’absence des directives de la personne concernée, les héritiers de la personne concernée peuvent à tout moment entamer les processus de se faire communiquer les droits y afférents et, le cas échéant, se faire transmettre les données concernant le de cujus et ce, conformément à la législation en la matière.
CHAPITRE VI – Des droits de la personne concernée, des obligations et du contrôle du responsable de traitement, du sous-traitant et de leur préposé dans le traitement de données personnelles
———-
Section 1 – Des droits de la personne concernée
Article 209.
La personne physique dont les données à caractère personnel fait l’objet d’un traitement peut demander au responsable de ce traitement :
- les informations permettant de connaître et de contester le traitement de ses données à caractère personnel ;
- la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de traitement, ainsi que des informations portant sur :
- les finalités du traitement ;
- les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées ;
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, lorsque cela est possible ;
- l’existence d’une prise de décision automatisée, y compris un profilage, et, au moins dans pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
- la communication sous forme intelligible des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
- le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État tiers, après avis de l’Autorité en charge de la Protection des données ;
- lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
- le droit d’introduire une réclamation auprès de l’Autorité compétente ;
- toute information disponible quant à leur source, lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée.
Article 210.
Dans le cas prévu à l’article précédent, une copie des renseignements lui est communiquée au plus tard dans les soixante jours de la réception de la demande.
Le paiement des frais pour toute copie supplémentaire demandée par la personne concernée devra être fixé par note de service de la structure responsable du traitement sur la base des coûts administratifs conséquents.
Toutefois, l’Autorité de protection des données saisie contradictoirement par le responsable du fichier peut lui accorder :
- des délais de réponse ;
- l’autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.
Lorsque les données relatives à la santé de la personne concernée sont traitées aux fins de recherches médico-scientifiques, qu’il est manifeste qu’il n’existe aucun risque qu’il soit porté atteinte à la vie privée de cette personne et que les données ne sont pas utilisées pour prendre des mesures à l’égard d’une personne concernée individuelle, la communication peut, pour autant qu’elle soit susceptible de nuire gravement auxdites recherches, être différée au plus tard jusqu’à l’achèvement des recherches. Dans ce cas, la personne concernée donne préalablement son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et la communication de ces données peut dès lors être différée.
Article 211.
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par un support numérique ou autre format lisible, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque :
- le traitement est fondé sur le consentement ou sur un contrat ;
- le traitement est effectué à l’aide de procédés automatisés.
Lorsque la personne concernée exerce son droit à la portabilité des données en application de l’alinéa premier du présent article, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le droit visé à l’alinéa 1 du présent article ne porte pas atteinte aux droits et libertés de tiers.
Article 212.
La personne justifiant de son identité a le droit de contacter l’Autorité de protection des données en vue de savoir si les différents traitements effectués par les organes ou services compétents, portent sur des informations nominatives la concernant et, le cas échéant, d’en obtenir communication.
Article 213.
La personne physique a le droit de s’opposer, à tout moment, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit, d’une part, d’être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins d’exploitation notamment commerciale, caritative ou politique et, d’autre part, de se voir expressément offrir le droit de s’opposer, gratuitement à ladite communication ou utilisation.
Ce droit doit être explicitement proposé à la personne concernée d’une façon intelligible et doit pouvoir être clairement distingué d’autres informations.
Lorsqu’il est fait droit à une opposition conformément à cet article, le responsable du traitement n’utilise ni ne traite plus les données à caractère personnel concernées.
Pour exercer son droit d’opposition, l’intéressé adresse une demande datée et signée, par voie postale ou électronique, au responsable du traitement ou à son représentant. Le responsable du traitement doit communiquer dans les trente (30) jours qui suivent la réception de la demande prévue à l’alinéa précédent, quelle suite il a donnée à la demande de la personne concernée.
Lorsque des données à caractère personnel sont collectées par écrit, soit sur un papier, support numérique auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d’opposition.
En cas de contestation, la charge de la preuve incombe au responsable du traitement auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, autrement que par écrit, le responsable du traitement demande à celle-ci si elle souhaite exercer le droit d’opposition, soit sur un document qu’il lui communique à cette fin au plus tard soixante (60) jours après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d’exercer son droit.
Article 214.
La personne physique peut exiger du responsable du traitement que soient, selon les cas, et dans les meilleurs délais, mises à jour ou verrouillées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, non pertinentes ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Pour exercer son droit de rectification ou de suppression, l’intéressé adresse une demande, par voie postale, par voie électronique ou par porteur, datée et signée au responsable du traitement ou à son représentant.
Dans les trente (30) jours qui suivent la réception de la demande prévue à l’alinéa précédent, le responsable du traitement communique les rectifications ou effacements des données effectués à la personne concernée elle-même ainsi qu’aux personnes à qui les données inexactes, incomplètes, équivoques, périmées, non pertinentes ou dont la collecte, l’utilisation, la communication ou la conservation est interdite, ont été communiquées. Quand le responsable du traitement n’a pas connaissance des destinataires de la communication et que la notification à ces destinataires ne paraît pas possible ou implique des efforts disproportionnés, il le leur notifie dans le délai imparti.
En cas de non-respect du délai prévu à l’alinéa précédent, une plainte est adressée à l’autorité ayant en charge la protection des données à caractère personnel par l’auteur de la demande.
Dans le cas où une information a été transmise à un tiers, sa rectification ou son annulation est notifiée à ce tiers, sauf dispense accordée par l’autorité ayant en charge la protection des données à caractère personnel.
Les ayants droit d’un de cujus justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel les concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
Lorsque les ayants droit en font la demande, le responsable du traitement justifie, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
Article 215.
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans un délai de trente (30) jours, des données à caractère personnel la concernant. Le responsable du traitement a l’obligation de les effacer lorsque l’un des motifs suivants s’applique :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
- pour respecter une obligation légale à laquelle le responsable du traitement est soumis ;
- pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- les données à caractère personnel ont fait l’objet d’un traitement illicite ;
- la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autres fondements juridiques au traitement.
Article 216.
Lorsque le responsable du traitement a rendu publiques les données à caractère personnel de la personne concernée, il prend toutes les mesures appropriées, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d’informer les tiers qui traitent lesdites données qu’une personne concernée leur demande d’effacer tout lien vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.
Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel de la personne concernée, il est réputé responsable de cette publication et prend toutes les mesures appropriées pour mettre en œuvre le droit à l’oubli numérique et à l’effacement des données à caractère personnel.
Le responsable du traitement met en place des mécanismes appropriés assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement des données à caractère personnel ou examine périodiquement la nécessité de conserver ces données, conformément aux dispositions du présent Titre.
Lorsque l’effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel. Les alinéas 1, 2, 3 et 4 ci-dessus ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
- à l’exercice du droit à la liberté d’expression et d’information ;
- au respect d’une obligation légale qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- à des motifs d’intérêt public dans le domaine de la santé publique ;
- à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques dans la mesure où le droit visé à l’alinéa 1er est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
- à la constatation, à l’exercice ou à la défense de droits en justice.
Article 217.
L’Autorité de protection des données adopte, sans préjudice des dispositions du présent Livre, des mesures ou des lignes directrices aux fins de préciser :
- les conditions de la suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communications électroniques accessibles au public ;
- les conditions et les critères applicables à la limitation du traitement des données à caractère personnel.
Article 218.
En ce qui concerne les traitements relatifs à la sûreté de l’État, la défense et la sécurité publique, la demande est adressée à l’Autorité de protection des données qui désigne l’un de ses membres pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d’un autre membre de ladite autorité. L’Autorité de protection des données transmet le rapport de vérification aux services requérants qu’il a été procédé aux vérifications.
Lorsque l’Autorité de protection des données constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause les finalités, la sûreté de l’Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.
Lorsque le traitement est susceptible de comprendre des informations dont la communication ne met pas en cause les fins qui lui sont assignées, l’Autorité de protection des données prévoit que ces informations sont communiquées au requérant par le gestionnaire du fichier directement saisi dans un délai de trente jours suivant la réception de la demande.
Section 2 – Des obligations de responsables du traitement de données personnelles
Article 219.
Le responsable du traitement ou son représentant est tenu notamment de :
- Tenir à jour les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent Livre ;
- Veiller à ce que, pour les personnes agissant sous son autorité, l’accès aux données et les possibilités de traitement soient limités à ce dont ces personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service ;
- Informer les personnes agissant sous son autorité des dispositions du présent Livre et de ses mesures d’application, ainsi que de toute prescription pertinente relative à la protection de la vie privée à l’égard des traitements des données à caractère personnel ;
- S’assurer de la conformité des logiciels servant au traitement automatisé des données à caractère personnel avec les termes de la déclaration visée à l’article 186 ainsi que de la régularité de leur application ;
- Mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ;
- Assurer la formation des agents qui s’occupent au quotidien du traitement de données à caractère personnel ;
- Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
- Empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
- Empêcher l’introduction non autorisée de toute donnée dans le système informatique, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;
- Empêcher que des systèmes de traitement de données soient utilisés à des fins de blanchiment de capitaux et de financement du terrorisme ;
- Empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon non autorisée ;
- Garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
- Garantir que soit vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises par des installations de transmission ;
- Garantir que soit vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système informatique contenant des données à caractère personnel, la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans le système, le moment auquel ces données ont été manipulées ;
- Sauvegarder les données par la constitution de copies de sécurité protégées.
Article 220.
Le responsable du traitement ou son représentant doit fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, notamment les informations suivantes :
- Identité et coordonnées du responsable du traitement ou du délégué à la protection des données et, le cas échéant, du représentant du responsable du traitement ;
- Les finalités déterminées du traitement auquel les données sont destinées lorsque le traitement est fondé sur des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
- Les catégories de données concernées ;
- Les destinataires auxquels les données sont susceptibles d’être communiquées ;
- Le fait de pouvoir demander à ne plus figurer sur le fichier ;
- L’existence d’un droit de s’opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de prospection, notamment commerciale, caritative ou politique ;
- Le caractère obligatoire ou non de la réponse, le caractère réglementaire ou contractuel ainsi que les conséquences éventuelles d’un défaut de réponse ;
- L’existence d’un droit d’accès à l’information aux données la concernant et de demande de mise à jour de ses données ;
- Lorsque le traitement est fondé sur l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- Le droit d’introduire une réclamation auprès de l’Autorité ;
- La durée de conservation des données ;
- L’existence d’une prise de décision automatisée, y compris un profilage et, en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que !’importance et les conséquences prévues de ce traitement pour la personne concernée ;
- l’éventualité de tout transfert de données a destination d’Etats tiers.
Article 221.
Le responsable de traitement met en œuvre les moyens nécessaires pour garantir la sécurité des données personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, le backup et la restauration. Il est également civilement responsable sur les préposés traitant ces données.
Il met également en œuvre tous les moyens appropriés pour garantir que, par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement soient traitées.
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives afin d’assurer le respect des exigences de la présente ordonnance-loi, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives par voie d’accord entre eux. Un point de contact pour les personnes concernées peut être désigné dans cet accord.
L’accord visé à l’alinéa 3 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
Indépendamment des termes de l’accord visé à l’alinéa 1, la personne concernée peut exercer les droits que lui confère la présente ordonnance-loi à l’égard et contre chacun des responsables du traitement.
Article 222.
Le responsable du traitement désigne un délégué à la protection des données à caractère personnel pour garantir que les traitements ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. Le délégué est chargé notamment de :
- Assurer, d’une manière indépendante, l’application interne des dispositions de la présente ordonnance-loi ;
- Tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 168 de la présente ordonnance-loi.
Article 223.
Les données personnelles sont traitées et stockées de manière confidentielle et protégée, notamment lorsque le traitement comporte des transmissions de données dans un réseau.
Article 224.
Lorsque le traitement est confié à un sous-traitant, le responsable du traitement ou, le cas échéant, son représentant en République Démocratique du Congo :
- S’assure que le sous-traitant sélectionné remplit toutes les conditions requises par la loi en vigueur sur la sous-traitance ;
- S’assure que le sous-traitant sélectionné, remplit les garanties suffisantes au regard des mesures de sécurité, éthiques et d’organisation relatives aux traitements ainsi que les mesures techniques et opérationnelles conformément aux lois en vigueur, notamment pour la mise en œuvre des mesures de sécurité et de confidentialité, de manière à ce que le traitement réponde aux exigences du présent Livre et garantisse la protection des droits des personnes concernées ;
- Veille au respect des mesures du point 1, ci-dessus, notamment par la stipulation de mentions spécifiques dans les contrats passés avec des sous-traitants ;
- Fixe dans le contrat, la responsabilité du sous-traitant à l’égard du responsable du traitement et les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données ;
- Convient avec le sous-traitant que celui-ci n’agit que sur la seule instruction du responsable du traitement et est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu ;
- Consigne par écrit ou sur un support électronique les éléments du contrat visés dans le présent article.
Article 225.
Le responsable du traitement veille et aide à ce que le délégué à la protection des données soit associé, de manière appropriée et en temps utile, à toutes les questions relatives à la protection des données personnelles et exerce les missions qui lui sont dévolues.
Le responsable du traitement veille à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions.
Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère les dispositions du présent Livre.
Le délégué à la protection des données est soumis au secret professionnel en ce qui concerne l’exercice de ses missions.
Le délégué à la protection des données exécute d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêt.
Article 226.
Les missions du délégué à la protection des données sont les suivantes :
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu des dispositions du présent Livre en matière de protection des données ;
- Contrôler le respect des dispositions du présent Livre en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci conformément aux dispositions du présent Livre ;
- Coopérer avec l’autorité ayant en charge la protection des données à caractère personnel ;
- Faire office de point focal pour l’autorité ayant en charge la protection des données à caractère personnel sur les questions relatives au traitement, y compris la consultation préalable conformément aux dispositions du présent Livre, et mener des consultations, le cas échéant, sur tout autre sujet.
Le délégué à la protection des données tient compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Article 227.
Le responsable du traitement tient un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
- Les finalités du traitement.
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel.
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales.
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale.
- Les délais prévus pour l’effacement des différentes catégories de données.
- Une description générale des mesures de sécurité techniques et organisationnelles.
Article 228.
Le responsable du traitement et, le cas échéant, son représentant met le registre à la disposition de l’Autorité de protection des données.
Les obligations de tenir un registre et de désigner un délégué ne s’appliquent pas aux petites et moyennes entreprises ainsi que aux startups, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données ou sur des données à caractère personnel relatives à des condamnations pénales.
Section 3 – Des obligations du sous-traitant
Article 229.
Le sous-traitant est tenu de ne traiter les données que dans la limite du contrat qui le lie avec le Responsable de traitement.
Le traitement par un sous-traitant est régi par un contrat qui lie le sous-traitant au responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
Ce contrat prévoit, notamment, que le sous-traitant :
- ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
- veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au présent titre ;
- aide le responsable du traitement à garantir le respect des obligations prévues par le présent titre compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribue à ces audits.
Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
Article 230.
Le sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :
- le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Les registres peuvent être sous forme matérialisée ou dématérialisée.
Article 231.
Le sous-traitant ou son représentant, le cas échéant, met le registre à la disposition de l’Autorité de protection des données à caractère personnel sur demande.
Les obligations de tenir un registre et de désigner un délégué ne s’appliquent pas aux petites, moyennes entreprises et startups sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des catégories particulières ou des données à caractère personnel relatives à des condamnations pénales.
Article 232.
Sans préjudice du Livre III, les prestataires de services de confiance visés par le Livre précité sont soumis aux exigences de protection des données à caractère personnel prévues par les dispositions du présent livre.
Section 4 – Des obligations du préposé
Article 233.
La personne ayant accès aux données à caractère personnel et agissant sous l’autorité et le contrôle du responsable du traitement, est tenue de suivre les instructions de ce dernier pour traiter les données à caractère personnel.
Section 5 – Du contrôle du traitement des données personnelles
Article 234.
Le contrôle du traitement des données à caractère personnel effectué par un responsable de traitement ou son délégué, le sous-traitant ainsi que les sanctions administratives de leur non-conformité au présent Livre, sont de la compétence exclusive de l’Autorité de protection des données à caractère personnel.
Cette prérogative ne peut être déléguée à un organe tiers, sauf si l’organe remplit les conditions ci-après :
- démontre, à la satisfaction de l’autorité de protection des données à caractère personnel, son indépendance et son expertise ;
- établit des procédures lui permettant d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions de contrôle du respect des dispositions et d’examiner périodiquement son fonctionnement ;
- établit des procédures et des structures pour traiter les réclamations relatives aux violations par un responsable du traitement ou un sous-traitant ;
- démontre, à la satisfaction de l’autorité ayant en charge de la protection des données à caractère personnel, que ses tâches et ses missions n’entraînent pas de conflit d’intérêt.
L’Autorité de protection des données révoque l’agrément de l’organe si les conditions d’agrément ne sont plus réunies ou si les mesures prises par l’organe constituent une violation des dispositions du présent Livre.
Article 235.
Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement ou son représentant fournit, à la personne concernée, sauf si elle en est déjà informée, les informations ci-après :
- L’identité et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données ;
- Les finalités du traitement ;
- L’existence d’un droit de s’opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant à des fins de prospection directe notamment commerciale, caritative ou politique. Dans ce cas, la personne concernée est informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection ;
- D’autres informations supplémentaires suivantes :
- Les catégories de données concernées ;
- Les destinataires ou les catégories de destinataires ;
- La durée de conservation des données ;
- L’éventualité de tout transfert de données à destination d’États tiers, lorsque le traitement est fondé sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
- L’existence d’un droit d’accès aux données la concernant et de rectification ou d’effacement de ces données ;
- L’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- Le droit d’introduire une réclamation auprès de l’Autorité ;
- La source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues de sources accessibles au public ;
- L’existence d’une prise de décision automatisée, y compris un profilage, et, au moins dans pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Les informations mentionnées ci-dessus doivent être fournies lors de l’enregistrement des données ou, si la communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données.
Le responsable du traitement fournit les informations visées au premier alinéa :
- dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas trente (30) jours, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;
- si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne ; ou
- s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations sur cette autre finalité et toute autre information pertinente visée à l’alinéa 1er.
Article 236.
Conformément aux dispositions du présent Livre, le responsable du traitement est dispensé de fournir les informations lorsque :
- L’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés pour un traitement à des fins statistiques, historiques ou scientifiques ou pour le dépistage motivé par la protection et la promotion de la santé publique ;
- La personne concernée dispose déjà de ces informations ;
- L’enregistrement ou la communication des données à caractère personnel est effectué en vue de l’application d’une disposition légale ou réglementaire.
Article 237.
Le responsable du traitement prend des mesures appropriées pour fournir toute information requise pour procéder à la communication, en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pout toute information concernant un mineur.
Les informations sont fournies par écrit ou par d’autres moyens, y compris, lorsque c’est approprié, par voie électronique.
Toutefois, la personne concernée peut faire une demande écrite ; dans ce cas les informations lui seront fournies par écrit également, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
Article 238.
Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée. Dans ce cas, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent le présent Livre, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
Article 239.
Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulé dans les meilleurs délais et en tout état de cause dans un délai de trente jours à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de soixante jours, compte tenu de la complexité et du nombre de demandes.
Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai de trente jours à compter de la réception de la demande.
Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai de trente jours à compter de la réception de la demande des motifs de son inaction.
La personne concernée a la possibilité d’introduire une réclamation auprès de l’autorité ayant en charge de la protection des données à caractère personnel et de former un recours juridictionnel.
Article 240.
Aucun paiement n’est exigé pour fournir les informations en vue de procéder à toute communication.
Article 241.
Sans préjudice des dispositions relatives à la protection des données personnelles, des condamnations pénales, et aux mesures de sécurité connexes, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande particulière, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
Article 242.
Les informations à communiquer aux personnes peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
Article 243.
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, tels que la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent Livre et de protéger les droits de la personne concernée.
Le responsable du traitement met en place des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Ces mesures s’appliquent à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
Article 244.
Le responsable du traitement doit notifier, sans délai, à l’Autorité de protection des données et à la personne concernée toute violation des données à caractère personnel ayant affecté les données à caractère personnel de la personne concernée.
Le sous-traitant doit avertir, sans délai, le responsable du traitement de toute rupture de la sécurité ayant affecté les données à caractère personnel qu’il traite pour le compte et au nom du responsable du traitement.
La notification visée à l’alinéa 1 doit, à la limite :
- Décrire la nature de la rupture de sécurité ayant affecté des données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la rupture et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- Décrire les conséquences probables de la rupture de sécurité ;
- Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la rupture de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
La communication à la personne concernée visée à l’alinéa 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie :
- Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite rupture, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
- Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé à l’alinéa 1er n’est plus susceptible de se matérialiser ;
- Elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
Article 245.
Lorsqu’un traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
L’analyse d’impact relative à la protection des données visée à l’alinéa 1 est, en particulier, requise dans les cas suivants :
- l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- le traitement à grande échelle des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que du traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ;
- le traitement à grande échelle des données relatives à des condamnations pénales et à des infractions ;
- la surveillance systématique à grande échelle d’une zone accessible au public.
L’Autorité de protection des données établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément à l’alinéa 1.
Elle établit et publie une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.
Article 246.
Le responsable du traitement consulte l’Autorité de protection des données préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article précédent indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
Lorsque l’Autorité de protection des données est d’avis que le traitement envisagé visé à l’alinéa 1, constituerait une violation des dispositions du présent Livre, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’Autorité de protection des données fournit par écrit, dans un délai maximum de huit (8) semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage de ses pouvoirs. Ce délai peut être prolongé de quatre semaines, en fonction de la complexité du traitement envisagé. L’Autorité de protection des données informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai de quinze jours à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’Autorité de protection des données ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.
Article 247.
En ce qui concerne l’offre directe de services de la société de l’information aux mineurs, le traitement des données à caractère personnel relatives à un mineur n’est licite que dans la mesure où, le consentement est donné par le titulaire de la responsabilité parentale à l’égard du mineur.
Le responsable du traitement vérifie, dans pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
Article 248.
En cas d’incapacité d’un majeur au sens du code de la famille dûment attestée par un professionnel des soins de santé, les droits, tels que fixés par les dispositions du présent Livre, d’une personne concernée majeure, sont exercés par le conjoint(e) ou toute personne commise à la protection des intérêts de ce majeur conformément au code de la famille.
La personne concernée est associée à l’exercice de ses droits autant qu’il est possible et compte tenu de sa capacité de compréhension.
Article 249.
Sans préjudice de tout autre recours administratif ou juridictionnel, la personne concernée a le droit d’introduire une réclamation auprès de l’Autorité de protection des données, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions du présent Livre.
L’Autorité de protection des données informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article suivant.
Article 250.
La personne concernée a le droit de former un recours effectif devant la juridiction administrative compétente lorsque l’autorité en charge de la protection des données à caractère personnel ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de soixante jours (60), de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article précédent.
Article 251.
La personne concernée a, contre le responsable de traitement des données ou son sous-traitant, droit à un recours juridictionnel effectif devant le tribunal de paix de son ressort si elle considère que les droits que lui confèrent les dispositions du présent Livre ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation des dispositions du présent livre.
Article 252.
La personne ayant subi un dommage matériel ou moral du fait d’une violation des dispositions du présent Livre a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Le responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation des dispositions du présent Livre. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par les dispositions du présent Livre qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
Le responsable du traitement ou le sous-traitant est exonéré de responsabilité, au titre de l’alinéa 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
Lorsque plusieurs responsables de traitement ou sous-traitants ou lorsque, à la fois, un responsable de traitement et un sous-traitant participent au même traitement et, lorsque, au titre des alinéas 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu solidairement responsable du dommage (dans sa totalité) afin de garantir à la personne concernée une réparation effective.
Lorsque le responsable du traitement ou le sous-traitant a, conformément à l’alinéa 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées à l’alinéa 2.
Article 253.
Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent Livre, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations, par voie d’accord entre eux.
Un point de contact pour les personnes concernées peut être désigné dans l’accord.
L’accord visé à l’alinéa 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
Article 254.
L’interconnexion des fichiers de données personnelles permet d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements. Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité inappropriées et doit en outre tenir compte du principe de pertinence des données faisant l’objet de l’interconnexion.
CHAPITRE VII – Des mesures administratives
————
Article 255.
Constituent notamment des manquements, au titre du présent Livre, le fait de :
- procéder à une collecte déloyale de données à caractère personnel;
- communiquer à un tiers non autorisé des données à caractère personnel;
- procéder à la collecte de données sensibles, de données stratégiques, de données relatives à des infractions ou à un numéro national d’identification sans respecter les conditions légales;
- procéder à la collecte ou à l’utilisation de données à caractère personnel ayant pour conséquence de provoquer une atteinte grave aux droits fondamentaux ou à l’intimité de la vie privée de la personne physique concernée;
- empêcher les services de l’Autorité de protection des données d’effectuer une mission de contrôle sur place ou faire preuve d’obstruction lors de la réalisation d’une telle mission.
Article 256.
L’Autorité de protection des données peut prononcer un avertissement à l’encontre du responsable du traitement qui ne respecte pas les obligations découlant des dispositions du présent Livre.
Elle peut également mettre en demeure le responsable du traitement de faire cesser le manquement constaté dans un délai fixé qui ne peut excéder huit jours.
Article 257.
Lorsque le responsable du traitement ne se conforme pas aux dispositions relatives à la mise en demeure du présent Livre, l’Autorité de protection des données peut prononcer à son encontre, dans le respect du principe du contradictoire, les sanctions suivantes :
- paiement de huit millions à deux cents millions de francs congolais si la violation n’a eu aucun impact grave sur l’État et/ou les personnes concernées;
- paiement de 5% de son chiffre d’affaires annuel hors taxe de l’exercice écoulé, si la violation a conduit à la mort ou à la tentative de meurtre d’une ou plusieurs personnes;
- injonction de cesser le traitement des données à caractère personnel, si la violation a mis en danger la sécurité et la sûreté nationale et/ou a conduit à un crime de masse ou à un génocide.
L’État se garde le droit d’intenter une action pénale contre le responsable de traitement et de réclamer des dommages et intérêts contre lui et les personnes concernées.
Article 258.
La sanction prononcée par l’Autorité de protection des données peut être assortie d’une injonction de procéder, dans un délai qui ne peut excéder huit (8) jours, à toute modification ou suppression utile dans le fonctionnement des traitements de données à caractère personnel, objet de la sanction.
Article 259.
Les sanctions prévues dans les dispositions du présent Livre sont prononcées sur la base d’un rapport établi par l’Autorité de protection des données. Ce rapport est notifié au responsable du traitement, qui peut faire des observations écrites ou orales dans un délai de quinze (15) jours dès la réception de la notification de l’Autorité de protection des données et qui peut être assisté ou se faire représenter aux séances de travail à l’issue desquelles l’Autorité de protection des données statue.
Les décisions prises par l’Autorité de protection des données sont motivées et notifiées au responsable du traitement.
Article 260.
Les décisions prononçant une sanction peuvent faire l’objet d’un recours devant la juridiction administrative compétente.
Article 261.
Les sanctions prononcées sont rendues publiques par l’Autorité de protection des données.