ARTICLE 39
Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions.
ARTICLE 40
Le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement, celui-ci choisi un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer. Il incombe au responsable du traitement ainsi qu’au sous-traitant de veiller au respect de ces mesures.
ARTICLE 41
Le responsable du traitement est tenu :
- d’empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
- d’empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
- d’empêcher l’introduction non autorisée de toute donnée dans le système d’information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées;
- d’empêcher que des systèmes de traitement de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données;
- d’empêcher que des systèmes de traitement de données soient utilisés à des fins de blanchiment de capitaux et de financement du terrorisme ;
- de garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
- de garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises par des installations de transmission ;
- de garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu accès au système d’information contenant des données à caractère personnel, la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans le système, le moment auquel ces données ont été manipulées ;
- d’empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon non autorisée;
- de sauvegarder les données par la constitution de copies de sécurité protégées. Le responsable du traitement doit mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
ARTICLE 42
Le responsable du traitement est tenu d’établir un rapport annuel pour le compte de l’Autorité de protection des données sur le respect des dispositions annoncées à l’article 41 de la présente loi.
ARTICLE 43
Les données à caractère personnel sont conservées pendant une durée fixée par l’Autorité de protection des données en fonction des finalités de chaque type de traitement pour lesquelles elles ont été recueillies, conformément aux textes en vigueur.
ARTICLE 44
Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé.
ARTICLE 45
Est puni d’une peine d’emprisonnement d’un mois à deux ans et de 1.000.000 à 10.000.000 de francs CFA d’amende qui conque entrave l’action de l’Autorité de protection des données :
- soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en application des dispositions de la présente loi ;
- soit en refusant de communiquer à ses membres ou aux agents habilités, les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître;
- soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Le procureur de la République ou le juge d’instruction compétent est informé, sans délai, des entraves aux actions de l’Autorité de protection des données et prend toutes les mesures appropriées en vue de les lever et de poursuivre l’auteur ou le complice.