CHAPITRE VII : L ‘AUTORITE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

ARTICLE 46

Les missions de l’Autorité de protection des données à caractère personnel sont confiées à l’Autorité administrative indépendante en charge de la Régulation des Télécommunications et des Technologies de l’Information et de la Communication.

A ce titre, l’Autorité de protection veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et de ses décrets d’application.

 

ARTICLE 47

l’Autorité de protection s’assure que l’usage des Technologies de l’Information et de la Communication ne porte pas atteinte ou ne comporte pas de menace pour les libertés et la vie privée pour les utilisateurs situés sur l’ensemble du territoire national.

A ce titre, elle est chargée :

  • d’informer les personnes concernées et les responsables de traitement de leurs droits et obligations;
  • de répondre à toute demande d’avis portant sur un traitement de données à caractère personnel;
  • d’établir un règlement intérieur qui précise, notamment, les règles relatives aux délibérations, à l’instruction et à la présentation des dossiers ;
  • de recevoir les déclarations et d’octroyer les autorisations pour la mise en œuvre de traitement des données à caractère personnel, ou de les retirer dans les cas prévus par la présente loi;
  • de recevoir les réclamations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informer les auteurs de la suite accordée à celles-ci;
  • d’informer, sans délai, l’autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions;
  • de déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel ;
  • de procéder, par le biais d’agents assermentés, à des vérifications portant sur tout traitement de données à caractère personnel ;
  • de prononcer des sanctions administratives et pécuniaires à l’égard des responsables de traitement qui ne se conforment pas aux dispositions de la présente loi ;
  • de mettre à jour et à la disposition du public pour consultation un répertoire des traitements de données à caractère personnel ;
  • de conseiller les personnes et organismes qui font les traitements de données à caractère personnel ou qui procèdent à des essais ou expériences en la matière ;
  • de donner son avis sur tout projet de texte juridique en rapport avec la protection des libertés et de la vie privée ;
  • d’élaborer des règles de conduite relatives au traitement et à la protection des données à caractère personnel;
  • de participer aux activités de recherche scientifique, de formation et d’étude en rapport avec la protection des données à caractère personnel, et d’une manière générale, les libertés et la vie privée;
  • d’autoriser à certaines conditions fixées par décret pris en Conseil des ministres les transferts transfrontaliers de données à caractère personnel ;
  • de faire des propositions susceptibles de simplifier et d’améliorer le cadre législatif et réglementaire concernant le traitement des données à caractère personnel ;
  • de mettre en place des mécanismes de coopération avec les autorités de protection des données à caractère personnel d’autres pays ;
  • de participer aux négociations internationales en matière de protection des données à caractère personnel;
  • d’établir et de remettre un rapport annuel d’activités au Président de la République et au Président de l’Assemblée Nationale.

 

ARTICLE 48

Le prestataire de service de cryptologie ne peut opposer à l’Autorité de protection, le secret professionnel auquel il est soumis conformément aux dispositions légales ou conventionnelles.

Le responsable du traitement agissant dans le cadre de l’accomplissement de ses missions ne peut opposer à l’Autorité de protection le secret professionnel auquel il est assujetti.

 

ARTICLE 49

L’Autorité de protection peut prononcer à l’égard des responsables de traitement les mesures suivantes :

  • un avertissement à l’égard du responsable du traitement qui ne respecte pas les obligations découlant de la présente loi ;
  • une mise en demeure de faire cesser les manquements observés dans le délai qu’elle fixe.

 

ARTICLE 50

Lorsque la mise en œuvre d’un traitement de données à caractère personnel entraîne une violation des droits et libertés, l’Autorité de protection après une procédure contradictoire, peut décider:

de l’interruption de la mise en œuvre du traitement ;

du verrouillage de certaines données à caractère personnel traitées;

de l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la présente loi.

ARTICLE 51

L’Autorité de protection peut, après avoir entendu le responsable du traitement ou son sous-traitant qui ne se conforme pas aux dispositions prévues de la présente loi et à la mise en demeure qui lui a été adressée, prononcer à son encontre, les sanctions suivantes :

  • le retrait provisoire de l’autorisation accordée ;
  • le retrait définitif de l’autorisation;
  • une sanction pécuniaire.

Le montant de la sanction pécuniaire est proportionnel à la gravité des manquements commis et aux avantages tirés de ce manquement.

Le montant de cette sanction ne peut excéder la somme de 10.000.000 de francs CFA.

En cas de manquement réitéré dans les cinq (5) années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 100.000.000 de francs CFA ou, s’agissant d’une entreprise, il ne peut excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 500.000.000 de francs CFA.

Ces sanctions administratives et pécuniaires sont appliquées sans préjudice de sanctions pénales.

 

ARTICLE 52

Les modalités de retrait de l’autorisation et de recouvrement de la sanction pécuniaire sont fixées par décret.