La Commission nationale pour la protection des données à caractère personnel est une autorité administrative indépendante, dotée d’une personnalité juridique et jouissant d’une autonomie de gestion, administrative et financière

Voir cnpdcp.ga

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Des sanctions prononcées par la Commission Nationale pour la Protection des Données à Caractère Personnel

Article 101 : La Commission nationale pour la protection des données à caractère personnel peut prononcer les mesures suivantes :

– un avertissement à l’égard du responsable du traitement ne respectant pas les obligations découlant de la présente loi ;

– une mise en demeure de faire cesser les manquements constatés dans le délai qu’elle fixe.

Article 102 : Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a été adressée, la Commission nationale pour la protection des données à caractère personnel peut prononcer à son encontre, après procédure contradictoire, les sanctions suivantes :

– le retrait provisoire pour une durée de trois (3) mois à l’expiration de laquelle, le retrait devient définitif ;

– une amende pécuniaire d’un (1) million à cent (100) millions de Francs CFA. Le recouvrement des pénalités se fait conformément à la législation relative au recouvrement des créances de l’Etat.

Article 103 : En cas d’urgence, lorsque la mise en oeuvre d’un traitement ou l’exploitation des données personnelles traitées entraîne une violation de droits et libertés, la Commission nationale pour la protection des données à caractère personnel, après procédure contradictoire, peut décider :

– l’interruption de la mise en oeuvre du traitement pour une durée maximale de trois (3) mois ;

– le verrouillage de certaines données à caractère personnel traitées pour une durée maximale de 3 mois ;

– l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la présente loi.

Article 104 : Les sanctions prévues à l’article 101 de la présente loi sont prononcées sur la base d’un rapport établi au nom de la Commission nationale pour la protection des données à caractère personnel, par la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister.

Le rapporteur peut présenter des observations orales à la Commission mais ne prend pas part à ses délibérations. La Commission peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information.

La Commission peut rendre publics les avertissements qu’elle prononce. Elle peut également, en cas de mauvaise foi du responsable du traitement, ordonner l’insertion des autres sanctions qu’elle prononce dans cette publication, journaux et supports qu’elle désigne. Les frais sont supportés par les personnes sanctionnées.

Article 105 : Le montant de la sanction pécuniaire prévue au présent article est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. Lors du premier manquement, il ne peut excéder 98.400.000 de francs CFA.

En cas de récidive dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300.000.000 de francs CFA ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 196.000. 000 de francs CFA.

Lorsque la Commission nationale pour la protection des données à caractère personnel a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce. Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat en matière d’impôt.

Article 106 : La Commission nationale pour la protection des données à caractère personnel peut exercer les pouvoirs prévus à l’article 102 ci-dessus et à l’article 112 ci-dessous à l’égard des traitements dont les opérations sont mises en oeuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat.

Article 107 : La Commission nationale pour la protection des données à caractère personnel peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à l’article 105 ci-dessus, sauf s’il s’agit d’un traitement mentionné à l’article 55.

La Commission est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d’autres Etats.

Article 108 : Les sanctions et décisions prises par la Commission nationale pour la protection des données à caractère personnel sont susceptibles de recours devant le Conseil d’Etat.

La législation sur la protection des données reconnaît un certain nombre de droits aux citoyens, tels que le droit à l’information, l’accès, la rectification, l’opposition et la suppression de données à caractère personnel. Son exercice est très personnel et doit donc être exercé directement par la personne concernée ou son représentant (mineur ou handicapé) devant le responsable du traitement. En cas de non-respect, il doit soumettre une plainte à la CNPDCP, mentionnant l’identification de l’auteur présumé et des documents ou autres preuves à l’appui des allégations.

Éléments à inclure:

• Nom de la personne ou de son représentant;
• Les faits sur lesquels la demande est fondée;
• Demande, qui doit être fait clairement;
• Lieu et date;
• Signature du demandeur.

“traitement de données à caractère personnel” ou “traitement”, toute opération ou ensemble d’opérations relatives à des données à caractère personnel effectuées en tout ou en partie, avec ou sans moyen autorisé, tels que la collecte, l’enregistrement, l’organisation, la conversion, l’adaptation ou la modification , récupération, consultation, utilisation, communication par transmission, diffusion ou toute autre mise à disposition, par comparaison ou interconnexion, ainsi que blocage, suppression ou destruction.