Décret En vigueur

Décret n°075/PR/2019 du 21 janvier 2019 fixant les dispositions d'application de la Loi N°007/PR/2015 du 10 Février 2015 portant sur la protection des données à caractère personnel

Décret 19-075

Décrète :

Chapitre 1 : Dispositions générales

Article 1 : Le présent décret fixe les dispositions d’application de la Loi N° 007/PR/2015 relative au dépôt des déclarations, de présentation des demandes, d’octroi des autorisations, de retrait de l’autorisation et, de recouvrement de la sanction pécuniaire pour le traitement des données à caractère personnel.

Article 2 : Au sens du présent décret les définitions ci-après sont appliquées :

1. Responsable du traitement : Personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités.

2. Données à caractère personnel : Toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Article 3 : Est soumis aux champs d’application du présent décret : le responsable du traitement.

Chapitre 2 : Dépôt des déclarations, demandes et octroi des autorisations

Article 4 : Le dépôt d’une déclaration et la présentation d’une demande d’autorisation pour le traitement des données à caractère personnel sont obligatoirement présentés par une personne physique résident au Tchad ou une personne morale de droit Tchadien.

Article 5 :

(1) Le dépôt d’une déclaration et la présentation d’une demande d’autorisation pour le traitement des données à caractère personnel donnent lieu à un payement de frais de dossier de dépôt de déclaration et de demande d’autorisation dont les montants sont fixés par l’Agence Nationale de Sécurité Informatique et des Certifications Electroniques du Tchad en abrégé ANSICE.

(2) Ces montants ne peuvent excéder 1000 000 francs CFA pour les personnes physiques et 250 000 francs CFA pour les personnes morales.

(3) Le dossier de dépôt de déclaration et de demande d’autorisation comprend les documents ci-après :

Un formulaire fourni par l’ANSICE, dûment rempli, signé par le demandeur et timbré au tarif de 1 0 000 FCFA.

Une copie certifiée conforme de la Carte Nationale d’Identité ou toute autre pièce en tenant lieu et un casier judiciaire datant de moins de trois (03) mois pour la personne physique et le représentant légal de la personne morale.

Une copie de l’extrait du Registre de Commerce et un dossier fiscal (Numéro d’Identification Fiscal) pour la personne morale.

Article 6 :

(1) L’ANSICE se prononce dans un délai d’un mois à compter de la réception de déclaration ou de la demande d’autorisation. Toutefois, ce délai peut être prorogé d’un mois supplémentaire sur décision motivée de l’ANSICE.

(2) L’ANSICE peut, avant toute décision portant sur la demande ou sur l’octroi ou non d’une autorisation pour le traitement des données à caractère personnel, faire appel à toute expertise jugée nécessaire.

(3) L’absence de réponse de l’ANSICE dans le délai imparti équivaut à un rejet de la déclaration ou de la demande d’autorisation. Dans ce cas, le responsable du traitement peut exercer un retour auprès de l’ANSICE.

Article 7 : Lors de l’examen des dépôts de déclaration ou des demandes d’autorisation, l’ANSICE s’assure que :

  • le traitement des données à caractère personnel envisagé est licite et loyal ;
  • les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement de manières incompatible avec les finalités ;
  • les données à traiter sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles leur traitement est envisagés ;
  • la durée de conservation des données à caractère personnel n’excède pas la période nécessaire aux finalités pour lesquelles leur traitement est envisagé ;
  • le responsable du traitement s’engage à fournir aux personnes concernées une information obligatoire et claire sur les données à collecter et à garantir le respect de leurs droits ;
  • le traitement des données à caractère personnel est confidentiel et protégé, notamment lorsque le traitement de ces données comporte des transmissions de données sur un réseau de communication électronique ;
  • lorsque le traitement des données à caractère personnel est mis en œuvre pour le compte du responsable de traitement celui-ci a choisi un sous-traitant qui apporte des garanties suffisantes pour la protection et la confidentialité de ces données ;
  • les données à caractère personnel traitées sont exploitables quel que soit !e support technique utilisé par le responsable du traitement.

Article 8 : Doivent faire l’objet d’une autorisation de l’ANSICE avant toute mise en œuvre :

  • le traitement des données à caractère personnel portant sur des données génétiques, médicales et sur la recherche scientifique dans ces domaines, y compris le traitement des données génétiques ou relatives à l’état de santé pour la sauvegarde des intérêts vitaux de la population concernée ou de toute personne dans le cas où celle-ci se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • le traitement des données à caractère personnel portant sur des données relatives aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les juridictions ;
  • le traitement des données génétiques nécessaire à la constatation, à 1’exercice ou à la défense d’un droit en justice de la personne concernée ;
  • le traitement des données à caractère personnel pour la constatation de faits ou pour la manifestation de la vérité dans le cadre d’une procédure judiciaire ou d’une enquête pénale ouvert;
  • le traitement portant sur un numéro national d’identification ou tout autre identification de la même nature, notamment les numéros de téléphone lorsque ledit traitement n’est pas déjà encadré par d’autres dispositions légales et réglementaires ;
  • le traitement des données à caractère personnel comportant des données biométriques ;
  • le traitement des données à caractère personnel ayant un motif d’intérêt public, notamment à des fins historiques, statistiques ou scientifiques ;
  • le traitement effectué dans le cadre des activités légitimes d’une fondation, d’une association ou de tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale;
  • le traitement des données à caractère personnel vers un pays tiers assurant un niveau de protection supérieur ou équivalent de la vie privée des libertés et droit fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet;
  • l’interconnexion des fichiers contenant des données à caractère personnel permettant d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements.

Chapitre 3 : Dispositions spécifiques au transfert transfrontalier et à l’interconnexion des données à caractère personnel

Article 9 : La demande d’autorisation pour le transfert des données à caractère personnel vers un pays tiers doit être présentée pur une personne morale de droit Tchadien. Cette demande contient des éléments suivants :

  • l’identité, le domicile, l’adresse postale ou géographique du responsable de traitement ou si celui-ci n’est pas établi sur le territoire national, celle de son représentant dument mandaté et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal ;
  • les extraits de casiers judiciaires des principaux dirigeants sociaux de la personne morale qui fait la demande, datant de moins de trois mois;
  • la nature des données en cause ;
  • le motif et les finalités du transfert ;
  • les garanties de protection, de conservation, de confidentialité de données à caractère personnel, de respect des droits des personnes concernées et les obligations légale du responsable du traitement ;
  • le nom du pays d’hébergement des données transférées et le cadre juridique relatif aux données à caractère personnel applicable dans ledit pays;
  • les modalités de transmission des données concernées ;
  • la garantie d’exploitation des fichiers contenant les données à caractère personnel quel que soit le support technique utilisé par le responsable du traitement.

Article 10 :

(1) Les transferts de données à caractère personnel vers les tiers font l’objet d’un contrôle régulier de l’ANSICE au regard de leurs finalités.

(2) L’ANSICE met en place des mécanismes de coopération avec les autorités de protection des données à caractère personnel des principaux pays d’hébergement des données à caractère personnel vers des pays tiers.

(3) L’ANSICE prononce des sanctions administratives et pécuniaires à l’encontre des responsables de traitement qui ne se conforment pas aux dispositions du présent article.

Article 11 : L’ANSICE doit déterminer par une décision la liste de pays assurant un niveau de protection suffisant de la vie privée, de libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.

Article 12 :

(1) L’interconnexion de fichiers contenant des données à caractère personnel n’est autorisée que dans les cas limitativement fixés par une décision de l’ANSICE.

(2) Lorsqu’elle autorise l’interconnexion de fichiers contenant des données à caractère personnel, l’ANSICE s’assure, par un contrôle régulier, que cette interconnexion n’entraîne pas de discrimination illégitime ou de réduction des droits, libertés et garanties pour les personnes concernées ni ne conduit à la mise en œuvre de mesures de sécurités inappropriées, et que le responsable du traitement tient compte du principe de pertinence des données faisant l’objet de l’interconnexion.

(3) L’ANSICE prononce des sanctions administratives et pécuniaires à l’encontre des responsables de traitement qui ne se conforment pas aux dispositions du présent article.

Chapitre 4 : Retrait de l’autorisation et recouvrement de la sanction pécuniaire

Article 13 : Lorsque le responsable du traitement ou son sous-traitant ne respectent pas les dispositions prévues par le présent décret et ne se conforment pas à la mise en demeure qui leur a été adressée, l’ANSICE peut, après les avoir entendus, prononcer à leur encontre, les sanctions suivantes :

  • le retrait provisoire de l’autorisation accordée;
  • le retrait définitif de l’autorisation ;
  • une sanction pécuniaire.

Ces sanctions administratives et pécuniaires sont appliquées sans préjudice de sanctions pénales.

Article 14 :

(1) le retrait provisoire ou définitif de l’autorisation est notifié au responsable du traitement dans les quarante-huit heures (48) qui suivent la décision de retrait de l’ANSICE.

(2) Les décisions de retrait dûment motivées sont rendues publiques, notamment sur le site internet de L’ANSICE.

(3) Les décisions de l’ANSICE sont exécutoires par provision nonobstant toutes voies d’opposition.

(4) En cas d’atteinte grave aux règles régissant la protection des données à caractère personnel, l’ANSICE peut d’office, après avoir entendu le responsable du traitement en cause, ordonner des mesures conservatoires en vue notamment d’assurer la protection des droits et libertés des personnes concernées..

Article 15 :

(1) Le montant de la sanction pécuniaire est proportionnel à la gravité des manquements commis et aux avantages tirés de ces manquements.

(2) Lors du premier manquement, le montant de la sanction pécuniaire ne peut excéder la somme de 10 000 000 francs CFA. En cas de manquement réitéré dans les cinq années suivantes, la sanction pécuniaire ne peut excéder 100 000 000 de francs CFA ou, lorsqu’il s’agit d’une entreprise, il ne peut excéder 5% du chiffre d’affaire hors taxe du dernier exercice clos dans la limite de 500 000 000 de francs CFA.

(3} La sanction pécuniaire est recouvrée par l’ANSICE.

Chapitre 5 : Dispositions diverses et finales.

Article 16 : Le présent Décret, qui prend effet pour compter de la date de sa signature, sera enregistré et publié ou Journal officiel de la République.

N’Djaména, le 21 janvier 2019