Décret n° 2008-721 du 30 juin 2008 portant application de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel
lundi 30 juin 2008
Décret n° 2008-721 du 30 juin 2008 portant application de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel
RAPPORT DE PRESENTATION
Le présent projet de décret est pris en application des dispositions de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel.
Les précisions apportées ont trait notamment :
1) à l’organisation, aux modalités de fonctionnement ainsi qu’aux attributions de la Commission des données personnelles ;
2) aux régimes juridiques applicables au traitement des données à caractère personnel ;
3) aux conditions de protection minimales exigées pour tout traitement des données à caractère personnel ;
4) aux droits conférés à la personne dont les données à caractère personnel font l’objet d’un traitement ;
5) aux obligations qui pèsent sur le responsable du traitement des données à caractère personnel ;
6) enfin, aux différentes sanctions prévues en cas de non respect de la législation en vigueur sur les données à caractère personnel.
Telle est l’économie du présent projet de décret.
Le Président de la République :
Vu la Constitution, notamment en ses articles 43 et 76 ;
Vu la loi n° 90-07 du 26 juin 1990 relative à l’organisation et au contrôle des entreprises du secteur parapublic et au contrôle des personnes morales de droit privé bénéficiant du concours financier de la puissance publique ;
Vu la loi n° 96-06 du 22 mars 1996, modifiée, portant code des Collectivités locales ;
Vu la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel ;
Vu le décret n° 2004-1038 du 23 juillet 2004 fixant les règles d’organisation et de fonctionnement de l’Agence de l’Informatique de l’Etat (ADIE) ;
Vu le décret 2007-826 du 19 juin 2007 portant nomination du Premier Ministre ;
Vu le décret n° 2008-362 du 7 avril 2008 portant répartition des services de l’Etat et du contrôle des établissements publics, des sociétés nationales et des sociétés à participation publique entre la présidence de la république, la primature et les ministères.
Sur le rapport du Premier Ministre,
Décrète :
Chapitre premier. - Dispositions générales.
Article premier. - Au sens du présent décret, on entend par :
1) Chartes d’utilisation : tout document définissant les conditions générales de traitement des données à caractère personnel ainsi que les droits et les obligations du responsable du traitement et de l’utilisateur de celui-ci.
2) Commission des données personnelles : la dénomination de la Commission de Protection des Données à Caractère Personnel (CDP) prévue par l’article 5 de la loi sur les données à caractère personnel ;
3) Données à Caractère personnel anonymes : les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable ;
4) Données à caractère personnel codées : les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que l’intermédiaire d’un code prédéfini ;
5) Données à caractère personnel traitées à des fins historiques, statistiques ou scientifiques : toute opération de collecte et de traitement des données à caractère personnel à des fins scientifiques, d’information générale, d’aide à la planification et à la décision ;
6) Droit d’accès : le droit pour toute personne d’obtenir des informations sur des données la concernant et d’en obtenir une copie ;
7) Droit à l’information : le droit pour toute personne de savoir si des données la concernant font l’objet d’un traitement et d’obtenir du responsable du traitement des informations sur celui-ci ;
8) Droit de rectification : le droit pour toute personne d’exiger du responsable d’un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données la concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ;
9) Traitement ultérieur de données à caractère personnel : l’hypothèse où le responsable d’un traitement des données à caractère personnel, dans le cadre de ses activités habituelles et légitimes, souhaite réutiliser lui-même ces dites données ou les communiquer.
Chapitre II. - Commission des données personnelles
Section première. - Organisation et Fonctionnement de la Commission des Données personnelles.
Art. 2. - Le Président de la Commission des données personnelles assume la gestion quotidienne de ladite Commission, dirige le secrétariat, préside les réunions en ses différentes formations ou délègue un autre membre à cette fin.
Il est chargé d’organiser, dans les meilleurs délais, en application des dispositions de l’article 11 de la loi sur les données à caractère personnel, la prestation de serment des membres et agents choisis par la Commission des données personnelles.
Art. 3. - Les membres de la Commission des données personnelles se réunissent en séance plénière sur convocation du Président.
A défaut, la convocation est de droit à la demande de la majorité des membres de la Commission des données personnelles ;
La convocation, précisant l’ordre du jour, peut être faite par voie électronique. Les séances de la Commission des données personnelles ne sont pas publiques.
Art. 4. - L’élection du vice-président doit avoir lieu lors de la première réunion de la Commission des données personnelles.
Le Président de la Commission des données personnelles peut déléguer certains de ses pouvoirs au vice-président ou à ses collaborateurs, membres de ladite Commission.
Art. 5. - La Commission des données personnelles établit son règlement intérieur, conformément à l’alinéa 4 de l’article 8 de la loi sur les données à caractère personnel dans un délai d’un mois après son installation.
Art. 6. - La Commission des données personnelles ne peut valablement délibérer que si la majorité de ses membres au moins est présente.
Les votes ont lieu à main levée et toutes les décisions sont adoptées à la majorité absolue des membres présents.
En cas de parité des voix, celle du Président ou, s’il est empêché, de son suppléant, est prépondérante.
Chaque séance de la Commission des données personnelles donne lieu à un procès-verbal signé par les membres de la Commission ayant siégé.
Section II. - Composition de la Commission des Données personnelles.
Art. 7. - En application de l’alinéa 3 de l’article 6 de la loi sur les données à caractère personnel, un Commissaire du Gouvernement siège auprès de la Commission des données personnelles notamment pour :
1) recevoir une copie de la demande d’avis ou d’autorisation présentée pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public ;
2) disposer, à sa demande, d’une copie de toute autre déclaration, demande d’avis ou d’autorisation ;
3) présenter, à sa demande, ses observations écrites ou orales sur toute déclaration, demande d’avis ou d’autorisation ;
4) établir annuellement, avant le 31 décembre, un rapport destiné au Premier ministre sur les traitements des données à caractère personnel effectués pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public.
En cas d’absence ou d’empêchement, le Commissaire du gouvernement est remplacé par un suppléant désigné conformément aux dispositions de l’article 6 de la loi sur les données à caractère personnel. Convoqué dans les mêmes conditions que les autres membres de la Commission des données personnelles, son absence ne peut pas empêcher la tenue des travaux de ladite Commission.
Le Commissaire du gouvernement est nommé pour une durée de deux (2) ans, renouvelable une seule fois.
Art. 8. - Les propositions de désignation des membres de la Commission des données personnelles, mentionnées aux articles 6 et suivants de la loi sur les données à caractère personnel, en vue de la nomination des nouveaux membres ou du renouvellement du mandat des membres en fonction, doivent être adressées dans les six mois qui précèdent l’expiration du mandat de ces derniers.
Art. 9. - Le Président de la Commission des données personnelles peut faire appel à un ou plusieurs experts en application de l’article 27 de la loi sur les données à caractère personnel.
Les experts dont le concours est requis par la Commission des données personnelles sont rétribués selon les dispositions du code des marchés.
Lorsque les opérations de contrôle nécessitent l’accès à des données médicales individuelles, la Commission des données personnelles désigne un médecin inscrit sur une liste fournie chaque année par l’ordre des médecins du Sénégal pour requérir la communication de ces données.
Le rapport d’expertise est remis au Président de la Commission des données personnelles qui en adresse une copie au responsable du traitement.
Section III. - Attributions de la Commission des données personnelles.
Art. 10. - La Commission des données personnelles est compétente pour formuler toutes recommandations utiles en vue de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi susmentionnée ainsi que celles du présent décret.
Art. 11. - A l’exception des informations intéressant la sûreté de l’Etat, la défense ou la sécurité publique, le répertoire des traitements de données à caractère personnel, est accessible au public selon les modalités suivantes :
1) la consultation dans des locaux de la Commission des données personnelles selon des jours et des heures fixés par le Président de ladite Commission ;
2) la consultation par le biais d’une demande, sous forme d’extrait, adressée à la Commission des données personnelles ; 3) la consultation sur tout autre support prévu par la Commission des données personnelles. La consultation du répertoire des traitements des données à caractère personnel est gratuite.
Art. 12. - La Commission des données personnelles fixe la liste des personnes chargées de procéder aux contrôles prévus par l’article 25 de la loi sur les données à caractère personnel.
Cette liste peut être réaménagée à tout moment par la Commission des données personnelles.
Art. 13. - L’opération de contrôle, qu’elle soit sur place ou sur convocation, est décidée par une décision de la Commission des données personnelles qui précise :
1) le nom et l’adresse du responsable du traitement concerné ;
2) le nom du rapporteur et des autres contrôleurs chargés de l’opération ;
3) l’objet ainsi que la durée de l’opération.
Art. 14. - Aucun contrôleur ne peut être désigné pour effectuer un contrôle auprès d’un organisme au sein duquel il a, au cours des 5 années précédant le contrôle, détenu un intérêt direct ou indirect, exercé des fonctions, une activité professionnelle ou un mandat électif.
Art. 15. - En cas d’opération de contrôle, le Procureur de la République territorialement compétent en est préalablement informé au plus tard vingt-quatre (24) heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l’heure, le lieu et l’objet du contrôle.
Les personnes chargées du contrôle doivent présenter leur ordre de mission et, le cas échéant, leur habilitation à procéder auxdits contrôles.
Art. 16. - Chaque contrôle, qu’il soit sur place ou sur convocation, doit faire l’objet d’un procès-verbal qui énonce la nature, le jour, l’heure et le lieu des contrôles effectués.
Le procès-verbal indique l’objet de l’opération, les membres de la Commission des données personnelles ayant participé à celle-ci, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les contrôleurs ainsi que les éventuelles difficultés rencontrées.
L’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie est annexé au procès-verbal signé par les personnes chargées du contrôle et par le responsable soit des lieux, soit des traitements, soit par toute personne désignée par celui-ci.
En cas de refus ou d’absence du responsable des lieux ou des traitements, il en est fait mention dans le procès-verbal de carence établi par les contrôleurs.
Lorsque la visite n’a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son déroulement.
Lorsque la visite a lieu avec l’autorisation et sous le contrôle du juge conformément à l’article 26 de la loi sur les données à caractère personnel, une copie du procès-verbal de la visite lui est adressée par le Président de la commission des données personnelles.
Art. 17. - Lorsque la Commission des données personnelles procède à des contrôles, à la demande d’une autorité d’un pays tiers exerçant des compétences analogues aux siennes, elle en informe le responsable du traitement.
Art. 18. - Les personnes chargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toute information ou justification utiles pour l’accomplissement de leur mission.
La convocation, adressée par lettre recommandée ou remise en main propre contre décharge, doit parvenir au moins sept jours avant la date de l’audition.
La convocation rappelle à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.
Le refus de répondre à une convocation des personnes chargées du contrôle doit être mentionné sur procès-verbal.
Art. 19. - Lorsqu’une personne interrogée dans le cadre des contrôles fait par la Commission des données personnelles oppose le secret professionnel, il est fait mention de cette opposition sur le procès-verbal établi. Le procès-verbal doit faire mention des dispositions législatives ou réglementaires régissant le secret professionnel invoqué.
Chapitre III. - Régimes juridiques applicables au traitement des données à caractère personnel.
Art. 20. - La finalité du traitement envisagé et la nature des données collectées déterminent le régime applicable à tout traitement.
Section première. - Régime de déclaration.
Art. 21. - Le responsable du traitement s’engage à réaliser une déclaration conforme à la réalité du traitement envisagé.
Art. 22. - La dispense de formalités préalables prévue par l’article 17 de la loi sur les données à caractère personnel n’exonère pas le responsable du traitement de respecter les principes posés par la loi susmentionnée pour garantir les droits des personnes concernées.
Art. 23. - Peuvent faite l’objet d’une déclaration simplifiée les traitements de données à caractère personnel mis en œuvre :
1) par les organismes publics et privés pour la gestion de leurs personnels ;
2) sur les lieux de travail pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration ;
3) dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail.
Art. 24. - Lorsque la déclaration satisfait aux prescriptions de la loi sur les données à caractère personnel, la Commission des données personnelles délivre le récépissé prévu à l’article 18 de la loi susvisée.
Les formalités déclaratives sont réputées accomplies à compter de la délivrance du récépissé visé à l’alinéa précédent du présent article. Le traitement peut alors être mis en œuvre par le déclarant sous sa responsabilité.
Lorsque le récépissé est délivré par voie électronique, le responsable du traitement peut en demander une copie sur support papier.
Section II. - Régime d’autorisation.
Art. 25. - Les demandes d’autorisation, présentées en application des articles 20 ou 21 de la loi sur les données à caractère personnel, doivent comporter, le cas échéant, en annexe, l’acte réglementaire autorisant le traitement envisagé.
Section III. - Dispositions communes aux différents régimes.
Art. 26. - La Commission des données personnelles peut définir des modèles de formulaires simplifiés pour les demandes d’avis, d’homologation des chartes d’utilisation, de déclarations et d’autorisation, assortis, le cas échéant, des annexes destinées à compléter les informations.
Les normes destinées à simplifier ou à exonérer l’obligation de déclaration établie par la Commission des données personnelles en application de l’article 19 de la loi sur les données à caractère personnel sont publiées au Journal officiel.
Sauf dispositions contraires, les formulaires peuvent être retirés gratuitement auprès de la Commission des données personnelles.
Art. 27. - Les demandes d’avis, d’homologation des chartes d’utilisation, de déclarations et d’autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter.
Lorsque le responsable du traitement est une personne physique mais agissant pour le compte d’une personne morale, l’autorité dont il relève doit être mentionnée.
Art. 28. - Les demandes d’avis, d’homologation des chartes d’utilisation, de déclaration et d’autorisation sont adressées à la Commission des données personnelles, soit par lettre recommandée, soit par voie électronique mais avec accusé de réception qui peut être adressé par la même voie.
A défaut, elles peuvent être déposées directement auprès de la Commission contre décharge.
Art. 29. - La date de l’avis de réception, de la signature de la décharge ou de l’accusé de réception électronique fixe le point de départ du délai dont dispose la Commission des données personnelles pour notifier ses avis et autorisations en application de l’article 23 de la loi sur les données à caractère personnel.
En cas de prorogation de ce délai, la Commission des données personnelles le notifie au responsable du traitement.
Art. 30. - Toute décision de la Commission des données personnelles est motivée et notifiée au responsable du traitement ainsi qu’à toutes les autres personnes concernées, conformément aux modalités définies à l’article 28 du présent décret.
Les délibérations de la Commission des données personnelles sont publiées au Journal officiel.
Art. 31. - Le responsable du traitement informe la Commission des données personnelles dans un délai d’un mois et selon les modalités définies à l’article 28 du présent décret de toute suppression du traitement.
En cas de modification, affectant les informations mentionnées à l’article 22 de la loi sur les données à caractère personnel, le responsable du traitement informe la Commission des données personnelles dans un délai de quinze jours ouvrables.
Chapitre IV. - Obligations relatives aux conditions de traitement des données à caractère personnel.
Section première. - Principes de base gouvernant le traitement des données à caractère personnel.
Art. 32. - Tout traitement de données à caractère personnel est interdit lorsque le consentement de la personne concernée n’est pas obtenu.
Section II. - Principes spécifiques relatifs au traitement de certaines catégories de données à caractère personnel.
I. - Traitement des données à caractère personnel portant sur les données génétiques et sur la recherche dans le domaine médical.
Art. 33. - Le dossier des demandes d’avis ou d’autorisation de traitements de données à caractère personnel portant sur les données génétiques et sur la recherche dans le domaine médical comprend :
1) l’identité et l’adresse du responsable du traitement et de la personne responsable de la recherche, leurs titres, expériences et fonctions, les catégories de personnes qui seront appelées à mettre en œuvre le traitement ainsi que celles qui auront accès aux données collectées ;
2) le protocole de recherche ou ses éléments utiles, indiquant notamment l’objectif de la recherche, les catégories de personnes intéressées, la méthode d’observation ou d’investigation retenue, l’origine et la nature des données à caractère personnel recueillies et la justification du recours à celles-ci, la durée et les modalités d’organisation de la recherche, la méthode d’analyse des données ;
3) le cas échéant, les avis rendus antérieurement par des instances scientifiques ou éthiques ;
4) les caractéristiques du traitement envisagé ;
5) le cas échéant, la justification scientifique et technique de toute demande de dérogation à l’obligation de codage des données permettant l’identification des personnes intéressées et la justification de toute demande de dérogation à l’interdiction de conservation desdites données au-delà de la durée nécessaire à la recherche.
Toute modification de ces éléments est portée à la connaissance de la Commission des données personnelles.
Art. 34. - Le point de départ du délai fixé par cette disposition est reporté à la date de réception des informations complémentaires demandées par la Commission des données personnelles lorsque le dossier est incomplet.
Art. 35. - Sauf dérogation accordée par la Commission des données personnelles, la collecte des informations prévues par l’article 44 de la loi sur les données à caractère personnel, a lieu dans les conditions suivantes :
1) lorsque les données à caractère personnel sont recueillies directement auprès des personnes intéressées par questionnaire écrit, celui-ci ou à défaut la lettre qui l’accompagne porte la mention lisible de ces informations ;
2) lorsque les données à caractère personnel sont recueillies oralement, la personne chargée de mener l’enquête remet ou fait préalablement parvenir aux personnes intéressées un document contenant ces informations ;
3) dans le cas où les données à caractère personnel ont été initialement recueillies pour un autre objet que le traitement envisagé, le professionnel de santé en charge de sa thérapeutique informe la personne intéressée par écrit.
Art. 36. - Les personnes accueillies dans les établissements ou les centres où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d’un traitement ayant pour fin la recherche médicale sont informées des mentions prescrites par les articles 58 et suivants de la loi sur les données à caractère personnel par la remise d’un document ou par tout autre moyen approprié.
Toutefois, ces informations peuvent ne pas être délivrées si, pour des raisons légitimes que le médecin traitant apprécie, le malade est laissé dans l’ignorance d’un diagnostic ou d’un pronostic grave.
Les dérogations à l’obligation d’informer les personnes de l’utilisation des données les concernant à des fins de recherche médicale sont mentionnées dans le dossier de demande d’autorisation adressé à la Commission des données personnelles.
II. - Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Art. 37. - Lorsque le responsable d’un traitement des données à caractère personnel collectées pour des finalités déterminées, explicites et légitimes, communique ces dites données à un tiers en vue d’un traitement ultérieur notamment à des fins historiques, statistiques ou scientifiques, lesdites données sont, préalablement à leur communication, rendues anonymes ou codées par ledit responsable ou par tout organisme compétent.
Art. 38. - Les résultats du traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l’identification de la personne concernée, sauf si :
1) la personne concernée a donné expressément son consentement ;
2) la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée.
Art. 39. - La Commission des données personnelles est compétente pour se prononcer sur le caractère historique, statistique ou scientifique des données à caractère personnel.
Art. 40 . - Les articles 37 et 38 du présent décret ne sont pas applicables à tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat.
III. - Traitement des données à caractère personnel intéressant la sûreté de l’Etat, la défense ou la sécurité publique.
Art. 41. - En application de l’article 67 de la loi sur les données personnelles, lorsque le responsable du traitement s’oppose à la communication au demandeur de tout ou partie des informations le concernant, à la rectification ou à la suppression desdites informations, la Commission des données personnelles informe la personne concernée des vérifications effectuées.
La Commission des données personnelles mentionne cette opposition dans son rapport annuel.
IV. - Traitement des données à caractère personnel susceptibles d’être transférées vers un pays tiers
Art. 42. - En application de l’article 49 de la loi sur les données à caractère personnel, le responsable du traitement saisit, selon les modalités définies à l’article 28 du présent décret, la Commission des données personnelles, avant le premier transfert des données vers un pays tiers.
La déclaration du responsable du traitement doit préciser :
1) les nom et adresse de la personne communiquant les données ; 2) les nom et adresse du destinataire des données ;
3) le nom et la description complète du fichier ;
4) les catégories de données personnelles transférées ;
5) les personnes concernées et leur nombre approximatif ;
6) le but du traitement des données effectué par le destinataire ;
7) le mode et la fréquence des transferts envisagés ;
8) la date du premier transfert ;
Toute modification des informations déclarées par le responsable du traitement doit faire l’objet d’une déclaration auprès de la Commission des données personnelles dans un délai de quinze jours ouvrables.
Art. 43. - Le transfert, prévu au sein d’un groupe d’entreprises ou à l’adresse de plusieurs destinataires pour les mêmes catégories de données et les mêmes finalités, peut faire l’objet d’une déclaration commune.
Art. 44. - La Commission des données personnelles établit une liste des Etats qui ont une législation sur les données à caractère personnel équivalente et la met à disposition de quiconque souhaite transférer des données personnelles vers des pays tiers.
Cette publication n’exonère pas le responsable du traitement d’aucune de ses responsabilités.
Chapitre V. - Droits conférés à la personne dont les données font l’objet d’un traitement.
Section première. - Droit à l’information.
Art. 45. - Les informations à fournir par le responsable du traitement, en application de l’article 58 de la loi sur les données à caractère personnel, peuvent être délivrées par tous moyens notamment par :
1) courrier électronique ou sur support papier ;
2) affichage ou formulaire électronique ;
3) annonce dans un support approprié ;
4) ou bien, au cours d’un entretien individuel.
Art. 46. - Si les données sont recueillies par voie de questionnaire, les informations ci-dessous doivent être mentionnées sur le questionnaire :
1) l’identité du responsable du traitement ou de celle de son représentant ;
2) la finalité poursuivie par le traitement ;
3) le caractère obligatoire ou facultatif des réponses ;
4) les droits d’accès, d’opposition, de rectification et de suppression.
Art. 47. - Lorsque les données ont été initialement recueillies pour une autre finalité, le responsable du traitement doit en informer la personne concernée, sauf si cette dernière est déjà informée. Lorsque le responsable du traitement se trouve dans l’impossibilité de le faire, il doit le justifier auprès de la Commission des données personnelles.
Section II. - Droit d’accès.
Art. 48. - Toute personne a le droit d’être informée, sur les données la concernant, en adressant une demande écrite d’accès aux informations, signée et datée, quel que soit le support :
1) soit au responsable du traitement ou à son représentant au Sénégal ou à l’un de ses mandataires ou préposés ;
2) soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées au point 1 du présent article.
Toutefois, toute demande abusive sera jugée comme irrecevable, soit par le responsable du traitement, soit par la Commission des données personnelles ;
conformément aux dispositions de l’article 66 de la loi sur les données à caractère personnel.
Art. 49. - La demande prévue à l’article 48 du présent décret doit contenir : le nom, le prénom, la date de naissance, la nationalité de la personne concernée, ainsi qu’une photocopie de la carte d’identité, du passeport ou du document qui en tient lieu.
La demande d’accès aux informations contient en outre et dans la mesure où le demandeur dispose de ces informations :
1) tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances oul’origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées ;
2) la désignation de l’autorité ou du service concerné.
La commission des données personnelles peut demander à la personne concernée toutes les informations complémentaires qu’elle estime utile.
Art. 50. - A défaut des éléments mentionnés à l’article 49 du présent décret, la demande d’accès aux informations pourra être considérée comme irrecevable.
La réponse du responsable de traitement des données doit être faite par écrit.
Art. 51. - Si plusieurs responsables de traitement des données gèrent en commun un ou plusieurs fichiers, le droit d’accès aux informations peut être exercé auprès de chacun d’eux, à moins que l’un d’eux soit considéré comme responsable de l’ensemble des traitements.
Si la personne sollicitée n’est pas autorisée à communiquer les informations demandées, elle doit transmettre la requête à qui de droit dans les meilleurs délais.
Art. 52. - Les demandes de rectification, de suppression ou d’interdiction des données à caractère personnel ou la communication d’une opposition fondée sur les dispositions de la loi sur les données à caractère personnel, sont introduites auprès des mêmes personnes mentionnées à l’article 48 du présent décret.
Les demandes visées au présent article sont adressées aux personnes concernées conformément aux dispositions de l’article 28 du présent décret.
Art. 53. - Une participation équitable aux frais, au profit de la Commission des données personnelles, peut exceptionnellement être demandée lorsque :
1) les informations demandées ont déjà été communiquées au requérant dans les six mois précédant la demande, et que ce dernier ne peut justifier d’un intérêt légitime, telle la modification des dites données ;
2) la communication des informations demandées occasionne un volume de travail considérable pour la Commission des données personnelles.
Les modalités d’application relatives à la participation aux frais sont fixées par décision de la Commission des données personnelles.
Art. 54. - En application de l’article 65 de la loi sur les données à caractère personnel, la consultation des données d’une personne décédée est accordée lorsque le requérant justifie d’un intérêt à la consultation et qu’aucun intérêt prépondérant de proches de la personne décédée ou de tiers ne s’y oppose. Un intérêt est établi en cas de proche parenté ou de mariage avec la personne décédée.
Art. 55. - A l’issue de toute vérification, la Commission des données personnelles peut faire rectifier, effacer des données à caractère personnel déjà traitées ou insérer d’autres. Elle peut également interdire la communication des données à caractère personnel ou formuler des recommandations qu’elle estime nécessaire.
Art. 56. - Le procès-verbal rédigé par la Commission des données personnelles fixe le délai au terme duquel le responsable du traitement est tenu d’avoir fait cesser le ou les manquements constatés. A l’expiration de ce délai, le responsable du traitement concerné notifie par écrit à ladite Commission les suites réservées aux décisions qui ont été prises.
Art. 57. - La Commission des données personnelles dispose d’un délai de quatre mois à compter de la notification pour se prononcer sur toute demande d’accès aux informations.
En cas de demande d’information complémentaire adressée au requérant, le délai défini au présent article court à compter de la date de réception par la Commission des données personnelles de ces dites informations.
Lorsque la Commission des données personnelles sollicite l’avis d’une autorité exerçant des compétences analogues aux siennes dans un pays tiers, le même délai court à compter de la réception par la dite Commission des informations demandées.
Section III. - Droit d’opposition.
Art. 58. - Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document grâce auquel il collecte les données, si elle souhaite exercer le droit d’opposition prévu à l’article 68 de la loi sur les données à caractère personnel.
Art. 59. - Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci si elle souhaite exercer le droit d’opposition. Dans cette hypothèse, la demande doit se réaliser, au plus tard un mois après la collecte desdites données, par tout moyen technique, qui permet de conserver la preuve que la personne concernée a eu la possibilité d’exercer son droit d’opposition.
A défaut de la communication de ce document, le droit d’opposition s’applique de plein droit.
Art. 60. - Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement lui demande, quel que soit le support, si elle souhaite exercer le droit d’opposition.
Art. 61. - Lorsque des données à caractère personnel sont destinées à être utilisées par le responsable du traitement à des fins de prospection, notamment commerciales, le droit d’opposition peut être exercé sans aucune justification.
Section IV. - Droit de rectification et de suppression.
Art. 62. - Lorsqu’une personne fait une demande en vue de rectifier ou de supprimer des données la concernant, le responsable du traitement ou la Commission des données personnelles doit l’informer par écrit des dispositions prises.
Chapitre VI. - Obligations du responsable de traitement des données à caractère personnel.
Section première. - Obligation de confidentialité.
Art. 63. - Le responsable du traitement des données à caractère personnel assure la confidentialité, la disponibilité et l’exactitude des données collectées afin de garantir de manière appropriée la protection des données traitées.
Art. 64. - Un responsable de traitement peut faire traiter des données à caractère personnel par un sous-traitant lorsque la protection des dites données est garantie.
Toutefois, il demeure responsable et doit veiller à ce que les données soient traitées conformément aux dispositions en vigueur, notamment quant à leur utilisation et à leur communication.
Section II. - Obligation de sécurité.
Art. 65. - Le responsable du traitement des données à caractère personnel prend des mesures de sécurité pour protéger les systèmes et réseaux informatiques notamment contre les risques :
1) de destruction accidentelle ou non autorisée des données à caractère personnel ;
2) d’erreurs techniques ;
3) de falsification, de vol ou d’utilisation illicite de données à caractère personnel.
Section III. - Obligation de conservation.
Art. 66. - A l’expiration de la durée de conservation prévue pour un traitement portant sur des données à caractère personnel, lesdites données doivent donc être détruites, effacées, supprimées ou archivées dans les conditions prévues par les textes en vigueur en matière d’archivages des documents administratifs.
Chapitre VII. - Sanctions.
Section première. - Sanctions administratives.
Art. 67. - La mise en demeure, prévue par l’article 29 de la loi sur les données à caractère personnel, précise le ou les manquements constatés, fixe le délai au terme duquel le responsable du traitement est tenu d’avoir fait cesser le ou les manquements constatés.
Si le responsable du traitement a son domicile dans un pays tiers, la Commission en tiendra compte et devra saisir les autorités administratives compétentes. Ce délai court à compter du jour de la réception, par lettre recommandée, par le responsable du traitement, de la mise en demeure.
Section II. - Sanctions pécuniaires.
Art. 68. - La Commission des données personnelles peut prononcer, à l’égard de tout responsable d’un traitement n’ayant pas respecté ses obligations, une sanction pécuniaire, dans les conditions prévues par l’article 30 de la loi sur les données à caractère personnel, à l’exception des cas où le traitement est mis en œuvre par l’Etat, par une personne morale de droit privé gérant un service public.
Art. 69. - La sanction pécuniaire prononcée par la Commission des données personnelles au titre de l’article 68 du présent décret est motivée et notifiée au responsable du traitement.
Art. 70. - Lorsque la Commission des données personnelles prononce une sanction pécuniaire devenue définitive avant que le juge pénal statue définitivement sur les mêmes faits, celui-ci peut ordonner que la sanction pécuniaire prononcée s’ajoute ou s’impute sur l’amende qu’il prononce.
Section III. - Dispositions communes relatives aux sanctions.
Art. 71. - Lorsque la Commission des données personnelles constate que la mise en œuvre d’un traitement de données à caractère personnel, entraîne une violation des droits et libertés fondamentaux mentionnés à l’article 1er de la loi sur les données à caractère personnel, son Président peut interpeller, par tout moyen, le responsable dudit traitement.
Art. 72. - Lorsqu’un traitement est effectué pour le compte de l’Etat, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, le Président de la Commission des données personnelles informe, dans les meilleurs délais, le Premier ministre de la violation constatée.
Art. 73. - La Commission des données personnelles peut demander aux juridictions compétentes d’ordonner toute mesure de sécurité nécessaire.
En cas d’urgence, conformément à l’article 31 de la loi sur les données à caractère personnel, le Président de la Commission des données personnelles peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde des droits et libertés protégés.
Art. 74. - En cas de risque de sanctions autre que l’avertissement, le responsable du traitement est informé de la date de la séance de la Commission des données personnelles à l’ordre du jour de laquelle est inscrite l’affaire le concernant et de la faculté qui lui est offerte d’y être entendu, lui-même ou son représentant.
La convocation du responsable du traitement, effectuée selon les modalités de l’article 28 du présent décret, doit lui parvenir au moins quinze jours avant la date mentionnée à l’alinéa précédent.
En cas d’urgence, la convocation du responsable du traitement doit lui être parvenue au plus tard huit jours avant la date de son audition devant la Commission des données personnelles.
Art. 75. - Toute décision de sanction prononcée par la Commission des données personnelles énonce les considérations de droit, de fait sur lesquels elle est fondée ainsi que les voies et délais de recours.
La publication au Journal officiel de la décision de sanction intervient dans le délai d’un mois à compter du jour où la sanction est devenue définitive.
Chapitre VIII. - Dispositions finales
Art. 76. - Le Premier Ministre et les ministres sont chargés de l’application du présent décret qui sera publié au Journal officiel.
Fait à Dakar, le 30 juin 2008.
Par le Président de la République : Abdoulaye WADE.
Le Premier Ministre, Cheikh Hadjibou SOUMARE.