ARTICLE 14
Le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne expressément son consentement préalable.
Toutefois, il peut être dérogé à cette exigence du consentement préalable lorsque le responsable du traitement est dûment autorisé et que le traitement est nécessaire ;
- soit au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- soit à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;
- soit à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande ;
- soit à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée ;
ARTICLE 15
La collecte, l’enregistrement, le traitement, le stockage, la transmission et l’interconnexion de fichiers des données à caractère personnel doivent se faire de manière licite et loyale.
ARTICLE 16
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement.
Elles doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées.
Au-delà de cette période requise, les données ne peuvent faire l’objet d’une conservation qu’en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques ou de recherches en vertu des dispositions légales.
ARTICLE 17
Les données collectées doivent être exactes et, si nécessaire, mises à jour.
Toute mesure raisonnable doit être prise pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement, soient effacées ou rectifiées.
ARTICLE 18
Le principe de transparence implique une information obligatoire et claire de la part du responsable du traitement portant sur les données à caractère personnel.
ARTICLE 19
Les données à caractère personnel doivent être traitées de manière confidentielle et être protégées, notamment lorsque le traitement de ces données comporte des transmissions de données dans un réseau.
ARTICLE 20
Lorsque le traitement des données à caractère personnel est mis en œuvre pour le compte du responsable du traitement, celui-ci doit choisir un sous-traitant qui apporte des garanties suffisantes pour la protection et la confidentialité de ces données.
Il incombe au responsable du traitement ainsi qu’au sous-traitant de veiller au respect des dispositions de la présente loi.
ARTICLE 21
Est interdit et puni d’une peine d’emprisonnement de dix à vingt ans et d’une amende de 20.000.000 à 40.000.000 de francs CFA, le fait de procéder à la collecte et à tout traitement de données qui révèlent l’origine raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l’état de santé de la personne concernée.
Cette interdiction ne s’applique pas :
- lorsque le traitement des données à caractère personnel porte sur des données manifestement rendues publiques par la personne concernée ;
- lorsque le traitement des données génétiques ou relatives à l’état de santé est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- lorsque le traitement, notamment des données génétiques, est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice de [a personne concernée ;
- lorsqu’une procédure judiciaire ou une enquête pénale est ouverte. Dans ce cas, le traitement des données à caractère personnel n’est poursuivi que pour la constatation des faits ou pour la manifestation de la vérité;
- lorsque le traitement est effectué dans le cadre des activités légitimes d’une fondation, d’une association ou de tout autre organisme à but non lucratif et finalité politique, philosophique, religieuse, mutualiste ou syndicale. Toutefois, le traitement doit se rapporter aux seuls membres de cet organisme ou aux personnes entretenant avec celui-ci des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées.
Tous ces cas de traitement de données à caractère personnel sont autorisés et contrôlés dans leur conception et leur mise en œuvre par l’Autorité de protection.
ARTICLE 22
Est interdite et punie d’une peine d’emprisonnement de un à cinq ans et d’une amende de 1.000.000 à 10.000.000 de francs CFA, la prospection directe à l’aide de tout moyen de communication utilisant, sous quelque forme que ce soit, les données à caractère personnel d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir de telles prospections.
ARTICLE 23
Le traitement des données à caractère personnel réalisé aux fins de journalisme, de recherche, d’expression artistique ou littéraire est admis lorsqu’il est mis en œuvre aux seules fins d’expression littéraire et artistique ou d’exercice, à titre professionnel, de l’activité de journaliste ou de chercheur, dans le respect des règles déontologiques de ces professions.
ARTICLE 24
Les dispositions de la présente loi ne font pas obstacle à l’application des dispositions des lois relatives à la presse écrite ou au secteur de l’audiovisuel et du code pénal qui prévoient les conditions d’exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant répriment les atteintes à la vie privée et à la réputation des personnes physiques.
ARTICLE 25
Aucune décision de justice impliquant une appréciation sur le comportement d’une personne physique ne peut avoir pour fondement un traitement automatisé des données A caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé des données à caractère personnel donnant une définition du profil ou de la personnalité de l’intéressé.
ARTICLE 26
Le responsable d’un traitement ne peut être autorisé à transférer des données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de protection supérieur ou équivalent de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.
Avant tout transfert effectif des données à caractère personnel vers ce pays tiers, le responsable du traitement doit préalablement obtenir l’autorisation de l’Autorité de protection.
Le transfert de données à caractère personnel vers les pays tiers fait l’objet d’un contrôle régulier de l’Autorité de protection au regard de leur finalité.
ARTICLE 27
L’interconnexion des fichiers n’est autorisée que si elle permet d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements.
Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées ni être assortie de mesures de sécurité inappropriées et doit tenir compte du principe de pertinence des données faisant l’objet de l’interconnexion.