Conditions générales d'utilisation

LOI n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel

EXPOSE DES MOTIFS

Avec le développement de l’informatique et de ses applications, le domaine traditionnel de la vie privée s’enrichit chaque jour de nouveaux éléments. Partie intégrante de ces éléments, les données à caractère personnel se révèlent être des ressources très convoitées. Leur traitement doit se dérouler « dans le respect des droits, des libertés fondamentales, de la dignité des personnes physiques ». De ce fait, la législation sur les données à caractère personnel s’avère être un instrument de protection générale à l’égard des droits et libertés fondamentaux de la personne.

Malgré le démarrage de l’Intranet gouvernemental, le développement du recours à l’informatique dans l’administration, dans les entreprises privées et son utilisation par les personnes, la numérisation du fichier électoral et de la carte d’identité nationale, entraînant ainsi la génération, la collecte et le traitement des données à caractère personnel, le droit positif sénégalais ne fixe pas le cadre et le régime juridique de ces opérations.

L’ambition du présent projet de loi est de combler ce vide juridique.

Prenant pour base les principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel édictés par l’Assemblée Générale de l’ONU en 1990, les exigences européennes en matière de transfert de données vers des pays tiers et les principes fondamentaux consacrés par la loi d’orientation sur la société de l’information, le présent projet de loi sur la protection des données à caractère Personnel désignée en abrégé (LDCP) offre un autre niveau élevé de protection.

Le projet de loi sur la protection des données à caractère Personnel organise divers régimes de protection et règle la question de l’ancrage institutionnel en créant une autorité administrative indépendante chargée de la mise en œuvre des régimes de protection.

Le présent projet de loi comprend sept (7) chapitres.

Le chapitre premier, sur les dispositions générales relatives à la protection des données à caractère personnel, fixe l’objet de la loi, circonscrit son champ d’application et définit les différents termes utilisés.

Le chapitre II institue une autorité administrative indépendante dénommée « Commission des Données Personnelles » (CDP). Elle est le garant du respect de la vie privée dans le traitement des données personnelles.

Le chapitre III fixe les différentes modalités de traitement des données à caractère personnel.

Le chapitre IV porte sur les droits de la personne dont les données à caractère personnel font l’objet d’un traitement.

Le chapitre V est relatif aux obligations du responsable de traitement des données à caractère personnel.

Le chapitre VI est relatif aux dispositions pénales. Sauf disposition contraire, le présent projet de loi renvoie au code pénal pour l’incrimination et la répression des infractions à ses dispositions.

Le chapitre VII pose les dispositions transitoires et finales. Par celles-ci, des dérogations sont posées pour certains fichiers existants et la date d’entrée en vigueur de la loi sur la protection des données à caractère personnel est indiquée en fonction du type de données considérées.

Telle est l’économie du présent projet de loi.

L’Assemblée nationale a adopté, en sa séance du vendredi 30 novembre 2007 ;

Le Sénat a adopté, en sa séance du mardi 15 janvier 2008 ; Le Président de la République promulgue la loi sont la teneur suit :

Chapitre premier. - Dispositions générales. Section première.

- Objet de la loi sur les données à caractère personnel.

Article Premier.

La présente loi a pour objet de mettre en place un dispositif permettant de lutter contre les atteintes à la vie privée susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données à caractère personnel. Elle garantit que tout traitement, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques ; elle prend également en compte les prérogatives de l’Etat, les droits des collectivités locales, les intérêts des entreprises et de la société civile. Elle veille à ce que les Technologies de l’Information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée. Section II. - Champ d’application de la loi sur les données à caractère personnel

Article 2. Sont soumis à la présente loi :

1) Toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, les collectivités locales, les personnes morales de droit public ou de droit privé ;

2) Tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier, à l’exception des traitements mentionnés à l’article 3 de la présente loi ;

3) Tout traitement mis en œuvre par un responsable tel que défini à l’article 4.14 de la présente loi sur le territoire sénégalais ou en tout lieu où la loi sénégalaise s’applique ;

4) Tout traitement mis en œuvre par un responsable, établi ou non sur le territoire sénégalais, qui recourt à des moyens de traitement situés sur le territoire sénégalais, à l’exclusion des moyens qui ne sont utilisés qu’à des fins de transit sur ce territoire.

Dans les cas visés à l’alinéa précédent, le responsable du traitement doit désigner un représentant établi sur le territoire sénégalais, sans préjudice d’actions qui peuvent être introduites à son encontre ;

5) Tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat, même liées à un intérêt économique ou financier important de l’Etat, sous réserve des dérogations que définit la présente loi et des dispositions spécifiques en la matière fixées par d’autres lois.

Article 3.

La présente loi ne s’applique pas :

1) aux traitements de données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ;

2) aux copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

Section III.

- Définitions

Article 4.

Au sens de la présente loi, on entend par :

1) Code de conduite : tout projet de règles, notamment les chartes d’utilisation, élaboré par le responsable du traitement, en conformité avec la présente loi, afin d’instaurer un usage correct des ressources informatiques, de l’Internet et des communications électroniques de la structure concernée et homologué par la Commission des Données Personnelles ;

2) Communications électroniques : les émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par voie électronique ou magnétique ;

3) Copies temporaires : données copiées temporairement dans un espace dédié, pour une durée limitée dans le temps, pour les besoins du fonctionnement du logiciel de traitement ;

4) Consentement de la personne concernée : toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel, accepte que ses données à caractère personnel fassent l’objet d’un traitement manuel ou électronique ;

5) Destinataire d’un traitement des données à caractère personnel : toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargés de traiter les données. Toutefois, les autorités publiques légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, peuvent demander au responsable du traitement de leur communiquer des données à caractère personnel ;

6) Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ;

7) Donnée génétique : toute donnée concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés ;

8) Données sensibles : toutes les données à caractère personnel relatives aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives ;

9) Données dans le domaine de la santé : toute information concernant l’état physique et mental d’une personne concernée, y compris les données génétiques précitées ;

10) Fichier de données à caractère personnel : tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

11) Interconnexion des données à caractère personnel : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement ;

12) Pays tiers : tout Etat autre que le Sénégal ;

13) Personne concernée : toute personne physique qui fait l’objet d’un traitement des données à caractère personnel ;

14) Prospection directe : toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature notamment commerciale, politique ou caritative, destinée à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services ;

15) Responsable du traitement : la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités ;

16) Sous-traitant : toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement ;

17) Service à distance : toute prestation de service à valeur ajoutée, s’appuyant sur les télécommunications et/ou sur l’informatique, visant à permettre, de manière interactive et à distance, à une personne physique ou morale, publique ou privée, la possibilité d’effectuer des activités, démarches ou formalités, etc. ;

18) Tiers : toute personne physique ou morale, publique ou privée, tout autre organisme ou association autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du responsable du traitement ou du soustraitant, sont habilités à traiter les données ;

19) Traitement des données à caractère personnel : toute opération ou ensemble d’opérations prévues à l’article 2 de la présente loi effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.

CHAPITRE II.- Commission de protection aux Données à caractère personnelles.

Section première. - Statut, composition et organisation.

Article 5.

Il est créé une Commission de Protection des Données à Caractère Personnel dite « Commission des Données Personnelles » en abrégé la « CDP ». La Commission des Données Personnelles est une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi. Elle informe les personnes concernées et les responsables de traitement de leurs droits et obligations et s’assure que les TIC ne comportent pas de menace au regard des libertés publiques et de la vie privée.

Article 6. La Commission des Données Personnelles est composée de onze (11) membres choisis, en raison de leur compétence juridique et/ou technique, ainsi qu’il suit :

1) trois (3) personnalités désignées par le Président de la République ;

2) un (1) député désigné par le Président de l’Assemblée nationale ;

3) un (1) sénateur désigné par le Président du Sénat ;

4) un (1) représentant des organisations patronales désigné par le Ministre chargé des organisations professionnelles, sous réserve des dispositions de l’article 9 de la présente loi ;

5) un magistrat membre du Conseil d’Etat désigné sur proposition du Président du Conseil d’Etat ;

6) un magistrat membre de la Cour de Cassation désigné sur proposition du Premier Président de la Cour de Cassation ;

7) un avocat désigné par le Bâtonnier de l’Ordre des avocats du Sénégal ;

8) un représentant des organisations de défense des droits de l’homme désigné par le Ministre de la Justice, Garde des sceaux, sur proposition du Haut Commissariat aux droits de l’Homme et à la Promotion de la Paix ;

9) le Directeur de l’Agence De l’Informatique de l’Etat (ADIE). Les membres de la Commission des Données Personnelles sont nommés par décret. Un Commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la Commission des Données Personnelles. Le Commissaire du Gouvernement est convoqué à toutes les séances de la Commission, dans les mêmes conditions que les membres de celle-ci. Il informe la Commission sur les orientations du gouvernement et sur les motivations de l’administration concernant la mise en œuvre des traitements mais ne prend pas part au vote.

Article 7.

Le Président de la République nomme parmi les membres de la Commission des Données Personnelles, le Président de ladite Commission.

Le Président est secondé par un viceprésident élu par la Commission des Données Personnelles. La Commission des Données Personnelles dispose de services placés sous l’autorité de son Président. Elle dispose, en outre, d’un personnel mis à sa disposition par l’Etat et peut pourvoir au recrutement d’agents conformément aux dispositions du Code du Travail.

Les agents assermentés, conformément à l’alinéa 2 de l’article 11 de la présente loi et qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées à l’article 25 de la présente loi doivent y être habilités par la Commission.

Cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi. Article 8.

Le mandat des membres de la Commission des Données Personnelles est de quatre (4) ans renouvelable une fois. A l’exception du Président, les membres de la Commission des Données Personnelles n’exercent pas leur fonction à titre exclusif.