Loi En vigueur

Loi portant protection des données à caractère personnel

Loi 15-007

L’Assemblée nationale a délibéré et adopté en sa séance du mardi 25 novembre 2014 ; Le Président de la République promulgue la loi dont la teneur suit :

Titre I: Des dispositions générales

Chapitre 1: De l’objet et du champ d’application

Article 1er: La présente loi a pour objet de mettre en place un dispositif de protection de la vie privée et professionnelle consécutive à la collecte, au traitement, à la transmission, au stockage et à l’usage des données à caractère personnel, sous réserve de la protection de l’ordre public.

Elle garantit que tout traitement, sous quelque forme que ce suit, respecte les libertés et droits fondamentaux des personnes physiques. Elle prend également en compte les prérogatives de l’Etat, les droits des collectivités territoriales décentralisées, les intérêts des entreprises et de la société civile et veille à ce que les Technologies de l’information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

Elle garantit que tout traitement, sous quelque forme que ce suit, respecte les libertés et droits fondamentaux des personnes physiques. Elle prend également en compte les prérogatives de l’Etat, les droits des collectivités territoriales décentralisées, les intérêts des entreprises et de la société civile et veille à ce que les Technologies de l’information et de la Communication (TIC) ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée.

Article 2 : Sont soumises aux dispositions de la présente loi :

  1. Toute collecte, tout traitement, toute  transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’Etat, par les collectivités locales, par les personnes morales de droit public ou de droit privé ;
  2. Tout traitement automatisé ou non de données ‘contenues ou appelées à figurer dans un fichier, à  l’exception des traitements mentionnés à l’article 3 ci-dessous ;
  3. Tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat, sous réserve des dérogations définies par des dispositions spécifiques fixées par d’autres textes de loi en vigueur.

Article 3 : Sont exclus du champ d’application de la présente loi, les traitements de données utilisées par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion.

Article 4: La présente loi ne peut limiter :

  1. les modes de production d’informations disponibles en vertu d’une loi pour une partie dans quelque procédure judiciaire que ce soit ;
  2. le pouvoir des Cours et tribunaux judiciaires de contraindre un témoin de témoigner ou de contraindre la production de preuves.

Chapitre 2 : Des définitions

Article 5 : Aux fins de la présente loi, les termes et expressions suivants, s’entendent comme il est précisé ci-après :

ANSICE : Agence Nationale de Sécurité Informatique et de Certification Electronique, Autorité nationale administrative indépendante chargée de veiller au respect, sur le territoire national, des dispositions de la présente loi.

CEEAC : Communauté Economique des Etats de l’Afrique Centrale ;

CEMAC : Communauté Economique et Monétaire de l’Afrique Centrale ;

Code de conduite : chartes d’utilisation élaborées par le responsable du traitement afin d’instaurer un usage correct des ressources informatiques, de l’internet et des communications électroniques de la structure concernée et homologuée par l’ANSICE.

Consentement de la personne concernée : toute manifestation de volonté expresse, non équivoque, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel accepte que ses données à caractère à personnel fassent l’objet d’un traitement manuel ou électronique.

Destinataire : toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et , les personnes qui, en raison de leurs fonctions, sont chargés de traiter les données.

Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Données génétiques : toutes données concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés.

Données sensibles : toutes les données à caractère personnel relatives aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux   poursuites, aux sanctions pénales ou administratives.

Données dans le domaine de la santé : toute information concernant l’état physique et mental d’une personne concernée, y compris les données génétiques précitées.

Fichier de données à caractère personnel : tout ensemble structuré de données accessibles salon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Interconnexion des données à caractère personnel : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement.

Mineur: toute personne physique qui n’a pas le statut de majeur en vertu du code pénal tchadien.

Personne concernée : toute personne physique qui fait l’objet d’un traitement des données à caractère personnel.

Prospection directe : toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature notamment commerciale, politique ou caritative, destinée à promouvoir, directement nu indirectement, des biens, des services ou l’image d’une personne vendant des biens nu fournissant des services.

Professionnel des soins de la santé : toute personne définie comme telle par les textes nationaux.

Responsable du traitement : Personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter Et de traiter des données à caractère personnel et en détermine les finalités.

Service à distance : toute prestation de service à valeur ajoutée s’appuyant sur les télécommunications et/ou sur l’informatique et visant à permettre, de manière interactive et à distance, à une personne physique ou morale, publique ou privée, la possibilité d’effectuer des activités, démarches nu formalités, etc ;

Sous-traitant : toute personne physique nu morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement et sous ses instructions.

Système d’alerte professionnelle : disposition permettant à des individus de signaler un comportement d’un membre de leur organisation, contraire, selon eux, à une règlementation ou aux règles primordiales établies par leur organisation.

Technologies de l’Information et de la Communication (TIC) : technologies employée pour recueillir, stocker, utiliser et envoyer des informations ainsi que celles qui impliquent l’utilisation des ordinateurs ou de tout système de communication y compris de télécommunication.

Tiers : toute personne physique ou morale, publique ou privée, tout autre organisme ou association autre que  la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilités à traiter les données.

Traitement des données à caractère personnel: toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’Enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.

Article 6 : Pour les termes et expressions qui ne sont pas définis dans la présente loi, il convient en tant que de besoin, de se référer aux définitions données par les conventions, décisions et documents de l’Union Internationale des Télécommunications (UIT) ou à ceux de l’Union Africaine (UA), de la Communauté Economique des Etats de l’Afrique Centrale (CEEAC), ou à ceux de la Communauté Economique et Monétaire de l’Afrique Centrale (CEMAC).

Titre II : Des principes directeurs ou traitement des données à caractère personnel

Chapitre 1 : Du consentement,  de la légitimité, de l a licéité et de la loyauté

Article 7: Le traitement des données à caractère personnel est considéré comme légitime si la personne concernée donne son consentement.

Toutefois, il peut être dérogé à cette exigence du consentement lorsque le traitement est indispensable :

  1. au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  2. à l’exécution d’une mission d’intérêt public relevant de l’exercice de l’autorité publique  dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
  3. à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande ;
  4. à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la personne concernée.

Article 8 : La collecte, l’enregistrement, le traitement, le stockage et la transmission des données à caractère personnel doivent se faire de manière licite, loyale et non frauduleuse.

Chapitre 2 : De la finalité, de la pertinence et de la conservation

Article 9 : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Article 10 : Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement.

Article 11 : Les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées et/ou traitées.

Au-delà de cette période requise, les données ne peuvent faire l’objet d’une conservation qu’à des fins historiques, statistiques ou de recherches en vertu des  dispositions légales.

Les modalités d’application de l’alinéa ci-dessus seront précisées par voie règlementaire.

Chapitre 3 : De l’exactitude et la transparence

Article 12 : Les données collectées doivent être exactes et, si nécessaire, mises à jour chaque fois que nécessaire. Toute mesure raisonnable doit être prise pour que les données inexactes nu incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées ultérieurement, soient effacées ou rectifiées.

Article 13 : Le principe de transparence implique une information obligatoire de la part du responsable du traitement portant sur les données à caractère personnel à l’endroit de la personne concernée.

Chapitre 4 : De la confidentialité, de la sécurité et du choix du sous-traitant

Article 14 : Les données à caractère personnel doivent être traitées de manière confidentielle et être protégées, notamment lorsque le traitement comporte des transmissions de données dans un réseau.

Article 15 : Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement par un sous-traitent, celui-ci doit justifier des garanties suffisantes. Il incombe au responsable du traitement ainsi qu’au sous-traitant de veiller au respect des mesures de sécurité définies par la présente loi.

Chapitre 5 : Du traitement portant sur des catégories particulières des données

Article 16 : Le traitement de données biométriques et de données à caractère personnel qui, si elles sont traitées pour ce qu’elles révèlent ou contiennent, révèlent l’origine raciale ou ethnique, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, le sexe ainsi que le traitement des données relatives à la santé et à la vie sexuelle est interdit sauf si :

  1. la personne concernée a donné son consentement explicite écrit, que ce soit sur un support papier, support électronique ou tout autre support équivalent, à un tel traitement sauf dans le cas où la loi prévoit que l’interdiction visée à l’alinéa 1er ne peut être levée par la consentement écrit de la personne concernée ;
  2. Le consentement peut être retiré à tout moment sans frais par la personne concernée ;
  3. le traitement est nécessaire en vue de respecte les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail ;
  4. le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique u juridique de donner son consentement ou n’est pas représentée ;
  5. le traitement est effectué par des associations dotées de la personnalité juridique ou par des établissements d’utilité publique qui ont pour objet social principal la défense et la promotion des droits de l’homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par l’ANSICE et que les données ne soient pas communiquées à des tiers sans le consentement écrit des personnes concernées, que ce soit sur un support papier, support électronique ou tout autre support équivalent ;
  6. le traitement est nécessaire à la réalisation d’une finalité fixée par ou en vertu de la loi, en vue de l’application de la sécurité sociale ;
  7. le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou  dans une procédure judiciaire où une enquête pénale est ouverte moyennant des garanties appropriées ;
  8. le traitement porte sur des données manifestement rendues publiques par la personne concernée ;
  9. le traitement est nécessaire à des recherches à des fins historiques, statistiques ou scientifiques. L’ANSICE déterminera les conditions régissant de tels traitements :
  10. le traitement est effectué en exécution des lois relatives à la statistique publique ou d’une décision judiciaire lorsque le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements soit à la personne concernée, suit à un parent, ou de la gestion de services de santé agissant dans l’intérêt de la personne concernée et le traitement est effectué sous la surveillance d’un professionnel des soins de santé ; lorsque le traitement des données à caractère personnel visé au premier alinéa est permis par une loi pour un autre motif important d’intérêt public.

Article 17 : Le traitement des données à caractère personnel visés à l’article 16 ci-dessus ne peut être effectué que sur consentement écrit de la personne concernée ou lorsque le traitement est nécessaire pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée, et ce uniquement sous la responsabilité d’un professionnel des soins de santé. Lors d’un traitement de données à caractère personnel visé au présent article, le professionnel des soins de la santé et ses préposés ou mandataires sont soumis au secret professionnel.

Article 18 : Le traitement de données génétiques ou de données à caractère personnel qui, si elles sont traitées pour ce qu’elles révèlent ou contiennent, sont relatives à la santé est interdit sauf si :

  1. la personne concernée a donné son consentement explicite écrit, que ce soit sur un support papier, support électronique nu tout autre support équivalent, à un tel traitement sauf dans le cas où la loi prévoit que l’interdiction visée à l’alinéa 1erne peut être levée par le consentement écrit de la personne concernée. Ce consentement peut être retiré à tout moment sans frais et sans motivation à moins que cela ne porte atteinte à la personne concernée ou, de manière disproportionnée, aux intérêts du responsable de traitement ;
  2. le traitement est nécessaire à fin d’exécuter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail ;
  3. le traitement est nécessaire à la réalisation d’une finalité fixée par nu en vertu de la loi, eu vue de l’application de la sécurité sociale ;
  4. le traitement est nécessaire à la promotion et à la protection de la santé publique y compris le dépistage ;
  5. le traitement est rendu obligatoire par ou en vertu d’une loi ou tout acte législatif équivalent pour des motifs d’intérêt public importants ;
  6. le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée nu d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ou n’est pas représentée ;
  7. le traitement est nécessaire pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée ;
  8. le traitement porte sur des données manifestement  rendues publiques par la personne concernée ;
  9. le traitement est nécessaire à la constatation, à  l’exercice et/ou à la défense d’un droit en justice ;
  10. le traitement est nécessaire à des recherches à des fins historiques, statistiques ou scientifiques dans les conditions déterminées par l’ANSICE ;
  11. le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements soit à la personne concernée, sait à son conjoint ou ses enfants, ou de la gestion de services de santé agissant sans l’intérêt de la personne concernée et les données sont traitées sous la surveillance d’un professionnel des soins de santé.

Article 19 : Le traitement des données à caractère personnel visées à l’article 18 ci-dessus ne peut, sauf dans le cas d’un consentement écrit de la personne  concernée ou lorsque le traitement est nécessaire pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée, être effectué uniquement sous la responsabilité d’un professionnel des soins de santé.

Article 20 : En application des articles 16 alinéa j et 18 alinéa d et k, le traitement de données génétiques et de données à caractère personnel qui, si elles sont traitées pour ce qu’elles révèlent ou contiennent, sont relatives à la santé ne peuvent être traitées que moyennant l’octroi à la personne concernée d’un identifiant patient unique différent de tout autre numéro d’identification par l’autorité publique désignée par lui pour ce faire.

L’interconnexion de ce numéro avec tout autre numéro identifiant ou permettant d’identifier la personne concernée ne pourra être possible que moyennant l’autorisation expresse de l’ANSICE.

Article 21 : Le traitement de données à caractère personnel relatives à des litiges soumis aux cours et tribunaux ainsi qu’aux juridictions administratives, aux fins des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté, est interdit sauf si le traitement est effectué :

  1. sous le contrôle d’une autorité publique ou d’un officier ministériel au sens de la lui ou lorsque le traitement est nécessaire à l’exercice de leurs tâches ;
  2. par d’autres personnes lorsque le  traitement est nécessaire à la réalisation  des finalités fixées par ou en vertu d’une loi ;
  3. par des personnes physiques au morales  de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige ;
  4. par des avocats ou d’autres conseils  juridiques, lorsque la défense de leurs clients l’exige.

Article 22 : Le traitement de données à caractère personnel relatives à des litiges soumis aux tribunaux et aux cours, ainsi qu’aux juridictions administratives, en cas de suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté est interdit, sauf si le traitement est nécessaire à des recherches à des fins historiques, statistiques ou scientifiques.

Les conditions régissant de tels traitements sont déterminées par voie règlementaire.

Article 23 : les personnes qui, en vertu de l’article 21 ci-dessus sont autorisées à traiter les données à caractère personnel, sont soumises au secret professionnel.

L’alinéa 1 ci-dessus ne s’applique cependant pas à l’égard du client de l’avocat.

Article 24: Les données à caractère personnel relatives aux mineurs ne pourront être traitées que dans le respect des règles de représentation et à l’association du mineur à l’exercice de ses droits tels que prévus à l’article 48 de la présente loi.

Article 25 : L’ANSICE peut prévoir des exceptions aux dispositions se rapportant aux mesures de sécurité technique, ainsi qu’à celles liées aux droits de la personne concernée lorsque le traitement est effectué par un avocat, ou toute personne assimilée en vertu du droit national, dans l’exercice de sa mission dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant l’exercice de sa mission.

Chapitre 6 : Du traitement portant sur des catégories non particulières des données

Article 26: Le traitement de données à caractère personnel non sensibles est, sans le consentement indubitable de la personne concernée, autorisé s’il est nécessaire :

  • à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution des mesures précontractuelles prises à sa demande ;
  • au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • la sauvegarde de l’intérêt vital de la personne concernée ;
  • à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
  • à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt nu les droits et libertés fondamentaux de la personne concernée, qui peut prétendre à une protection au titre de la présente loi.

Article 27 : L’ANSICE peut préciser les cas où la condition mentionnée à l’article 26, alinéa e) ci-dessus est considérée n’être pas remplie.

Article 28 : Le responsable de traitement s’assure que, à tout instant du traitement, ledit traitement est légitime tant dans son chef que dans celui de son sous- traitant.

Chapitre 7 : Du transfert des données à caractère personnel vers un pays non membre de la CEEAC

Article 29 : Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un autre pays non membre de la CEMAC et de la CEEAC que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet.

Article 30 : Avant tout transfert des données à caractère personnel vers ce pays tiers, le responsable du traitement doit préalablement en informer l’ANSICI.

Article 31 : Par dérogation à l’article 29 ci-dessus, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de la CEMAC et de la CEEAC et n’assurant pas un niveau de protection adéquat peut être effectué dans un des cas suivants :

  1. la personne concernée a indubitablement donné son consentement au transfert envisagé ;
  2. le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée ;
  3. le transfert est nécessaire à Ia conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ;
  4. le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice ;
  5. le transfert est nécessaire à la sauvegarde d’un intérêt vital de la personne concernée ;
  6. le transfert intervient au départ d’un registre public qui, en vertu des dispositions législatives et règlementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

Article 32 : Sans préjudice des dispositions de l’alinéa 1er de l’article 31 ci-dessus, l’ANSICE peut autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la CEMAC ou de la CEEAE et n’assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

Chapitre 8 : De l’interconnexion des fichiers comportant des données à caractère personnel

Article 33 : L’interconnexion des fichiers relevant  d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents doit faire l’objet d’une autorisation de l’ANSICE, Il en est de même pour les traitements mis en œuvre par l’Etat aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs services à distance dans le cadre de l’administration électronique.

L’interconnexion de fichiers relevant de personnes privées et dont les finalités sont différentes est également soumise à l’autorisation préalable de l’ANSICE.

L’interconnexion doit permettre d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les responsables des traitements et/ou des personnes concernées, Elle ne doit pas entraîner de discrimination ou de réduction des droits, libertés et garanties pour les personnes concernées et doit tenir compte du principe de pertinence des données faisant l’objet de l’interconnexion.

Titre III: Des droits de la personne dont les données font l’objet d’un traitement.

Chapitre 1: Du droit à l’information et du droit d’accès

Section 1: Du droit à l’information

Article 34 : La demande d’autorisation d’interconnexion comprend toute information sur:

  1. la nature des données à caractère personnel  objet de l’interconnexion ;
  2. la finalité pour laquelle l’interconnexion est  considérée nécessaire ;
  3. la durée pour laquelle l’interconnexion est  permise ;
  4. le cas échéant, les conditions et les termes au regard de la protection la plus efficace des droits et des libertés et notamment du droit à la vie privée des personnes concernées ou des tiers ;
  5. l’autorisation peut être renouvelée après  demande des responsables du traitement.

Article 35 : Lorsque des données à personnel sont collectées directement auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci, au moment de la collecte et quels que soient les moyens et supports employés, les informations suivantes :

  1. l’identité du responsable du traitement et, le cas échéant, celle de son représentant ou sous-traitant ;
  2. la ou les finalités déterminées du traitement auquel les données sont destinées ;
  3. les catégories de données concernées ;
  4. le ou les destinataires auxquels les données sont susceptibles d’être communiquées ;
  5. le fait de pouvoir demander à ne plus figurer sur le fichier ;
  6. l’existence du droit d’accès aux données la concernant et du droit de rectification de ces données ;
  7. la durée de conservation desdites données ;
  8. l’éventualité de transfert de données à destination de pays tiers.

Article 36 : Dans le cas où les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations visées à l’article 35 ci-dessus doivent lui être transmises au moment de l’enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication à un tiers.

Article 37 : Le responsable du traitement ou son sous- traitant Est tenu de faire connaitre à tout utilisateur des réseaux de communications électroniques de manière claire et complète :

  1. la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, nu à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
  2. les moyens dont il dispose pour s’y opposer. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement de l’utilisateur ;
  3. pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  4. est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Section 2 : Du droit d’accès

Article 38 : Toute personne physique dont les données à caractère personnel font l’objet d’un traitement a le droit de demander par quel que support que soit au responsable de ce traitement, de lui fournir gratuitement :

  1. les informations permettant de connaître et de contester éventuellement le traitement ;
  2. la confirmation que des données à caractère personnel la concernant font ou non l’objet de ce traitement ;
  3. la communication des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
  4. des informations relatives aux finalités du traitement, à la base juridique du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination de pays tiers.

Article 39 : La personne concernée a droit à la délivrance d’une copie des données à caractère personnel la concernant, Le responsable du traitement peut subordonner la délivrance de cette copie du paiement d’une somme qui ne peut excéder le coût de la reproduction. En cas de risque de dissimulation nu de disparition des données à caractère personnel, la personne concernée peut en informer l’ANSICE qui prend toutes mesures nécessaires de nature à éviter cette dissimulation ou cette disparition.

Article 40 : Toute personne qui, dans l’exercice de son droit d’accès, a des raisons sérieuses d’alléguer que les données qui lui ont été communiquées ne sont pas conformes aux données traitées, peut en informer l’ANSICE qui procède aux vérifications nécessaires.

Article 41 : Toute personne physique dont les données à caractère personnel relatives à sa santé font l’objet d’un traitement, a le droit d’obtenir, soit directement, soit par l’intermédiaire d’un professionnel de santé, la communication de ces données ;

Article 42 : Le droit d’accès d’un patient est exercé par le patient lui-même nu par l’intermédiaire d’un professionnel de santé qu’il désigne. En cas de décès du patient, son conjoint non séparé de corps et/ou ses  enfants.

S’il s’agit d’un mineur, ses père et mère, peuvent exercer, par l’intermédiaire d’un professionnel de santé qu’ils désignent, le droit d’accès.

Article 43 : La responsable du traitement peut refuser d’accéder aux demandes d’accès aux données à caractère personnel si elles sont manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable du traitement auprès duquel elles sont adressées.

Article 44 : Par dérogation aux articles 38 et suivants 38 de la présente loi, lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, le droit d’accès s’exerce dans les conditions suivantes :

  1. la demande est adressée à l’ANSICE qui désigne l’un de ses membres appartenant ou ayant appartenu à la Cour Suprême pour mener les investigations nécessaires. Celui-ci peut se faire assister d’un autre agent de l’ANSICE et le requérant est notifié des résultats des vérifications auxquelles il a été procédé ;

  2. lorsque l’ANSICE constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l’Etat, la défense ou la sécurité.

  3. publique, ces données peuvent être communiquées au requérant,

    c) lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l’acte réglementaire portant création du fichier peut prévoir que ces informations peuvent Être communiquées au requérant par le gestionnaire du fichier directement saisi.

    Chapitre 2: Du droit d’opposition

    Article 45 : Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

     La personne concernée a le droit, d’une part, d’être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et, d’autre part, de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation.

    Les dispositions de l’alinéa 1 du présent article ne s’appliquent pas lorsque le traitement répond à une obligation légale.

    Chapitre 3 : Du droit de rectification et de suppression

    Article 46: Toute personne physique peut exiger du responsable d’un traitement que soient gratuitement, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant et qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation sont interdites.

     Lorsque l’intéressé En fait la demande par écrit, quel que soit le support, la responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent dans un délai d’un (1) mois après J’enregistrement de la demande sous peine de plainte de l’intéressé auprès de l’ANSICE.

Article 47 : Le responsable du traitement a l’obligation de notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou toute limitation temporaire ou définitive d’accès auxdites données conformément à l’alinéa ci-dessus, si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

Chapitre 2 : De la représentation de la personne concernée

Article 48 : Si la personne concernée est mineure, les droits fixés par la présente loi sont exercés par le parent exerçant l’autorité parentale sur le mineur ou par son tuteur.

Suivant son âge et se maturité, le mineur doit être associé à l’exercice de ses droits.

Article 49 : En cas d’incapacité physique ou mentale dûment attestée par un professionnel de la santé, les droits d’une personne concernée majeure, tels que fixés par la présente loi, sont exercés par l’époux cohabitant, le partenaire cohabitant légal ou le partenaire cohabitant de fait.

Dans le cas où cette personne ne souhaite pas intervenir ou si elle fait défaut, les droits sont exercés.

En ordre subséquent, par un enfant majeur, un parent, un frère ou une sœur majeure de la personne concernée.

S’il s’avère que le représentant cité dans l’alinéa précédent ne souhaite pas intervenir ou s’il fait défaut, c’est un tuteur désigné par le Tribunal compétent qui veille aux intérêts de la personne concernée.

La disposition de l’alinéa précèdent s’applique également en cas de conflit entre deux ou plusieurs des personnes mentionnées dans le présent article.

Article 50 : La personne concernée est associée à l’exercice de ses droits autant qu’il est possible et compte tenu de sa capacité de compréhension.

Titre IV : Des formalités nécessaires au traitement des données à caractère personnel

Chapitre 1 : Des actes nécessaires

Article 51 : Les traitements des données à caractère personnel opérés pour le compte de l’Etat, d’un établissement public nu d’une collectivité locale ou d’une personne morale de droit privé gérant un service public sont décidés par acte législatif ou réglementaire pris après avis motivé de l’ANSICE. Ces traitements portent sur :

  1. la sûreté de l’Etat, la défense nu la sécurité publique ;
  2. la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
  3. le recensement de la population ;
  4. les données à caractère personnel faisant  apparaître, directement ou indirectement, les origines raciales, ethniques ou régionales, la filiation, les opinions  politiques, philosophiques ou religieuses ou l’appartenance syndicale des  personnes, ou qui sont relatives à leur  santé ou à leur vie sexuelle ;
  5. le traitement de salaires, pensions,  impôts, taxés et autres liquidations.

Article 52 : Le traitement des données ci-après sont soumis à l’obtention préalable d’une autorisation de l’ANSICE.

  1. le traitement des données à caractère  personnel portant sur des données  génétiques, biométriques et sur la recherche  du domaine de la santé ;
  2. le traitement des données à caractère  personnel sur des données relatives  aux infractions, condamnations ou mesures de sûreté ;
  3. le traitement des données à caractère personnel ayant pour objet une interconnexion de fichiers, telle que définie aux articles 33 et 34 de la présente loi ;
  4. le traitement portant sur un numéro national d’identification ou sur tout autre identifiant de la même nature ;
  5. la traitement des données à caractère personnel ayant un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques.

Article 53 : En dehors des cas prévus à l’article 52 ci-dessus, les traitements de données à caractère personnel font l’objet d’une déclaration écrite par quel que support que ce soit, auprès de l’ANSICE.

Chapitre 2 : Des formalités de demandes d’avis, des déclarations et des autorisations

Article 54 : Les demandes d’avis, les déclarations et les demandes d’autorisation doivent préciser :

  • l’identité et l’adresse du responsable du traitement ou, si celui-ci n’est pas établi sur le territoire d’un pays membre de la CEEAC et de la CEMAC, celles de son représentant dûment mandaté ;
  • la ou les finalité(s) du traitement ainsi que la description générale de ses fonctions ;
  • les interconnexions envisagées ou toutes autres formes de mise en relation avec d’autres traitements ;
  • les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
  • la durée de conservation des données traitées ;
  • le ou les services chargés de mettre en œuvre le traitement ainsi que les  catégories de personnes qui, en raison de  leurs fonctions ou pour les besoins du  service, ont directement accès aux  données enregistrées ;
  • es destinataires habilités à recevoir  communication des données ;
  • la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
  • les dispositions prises pour assurer la sécurité des traitements et des données ; l’indication du recours à un sous-traitant, son identité et son adresse complète ;
  • les transferts de données à caractère personnel envisagés à destination d’un pays tiers non membre de la CEEAE ou de la CEMAC, sous réserve de réciprocité.

Article 55 : L’avis, la déclaration ou la demande d’autorisation peut être adressé(e) à l’ANSICE par voie électronique ou par voie postale.

L’ANSICE peut être saisie par toute personne, agissant par elle-même, par l’entremise de son avocat ou par toute autre personne physique ou morale -dûment mandatée.

Article 56 : L’ANSICE se prononce dans un délai d’un (1) mois à compter de la réception de la demande d’avis ou d’autorisation. Toutefois, ce délai peut être prorogé ou non sur décision motivée de l’ANSICE.

Article 57: Pour les catégories les plus courantes de traitement des données à caractère personnel dont la mise en œuvre n’est pas susceptible dB porter atteinte à la vie privée ou aux libertés, il peut être établi par voie règlementaire et publié les normes destinées à simplifier ou à exonérer l’obligation de déclaration.

Article 58 : Sont dispensés des formalités préalables prévues aux articles ci-dessus :

  1. les traitements mentionnés à l’article 3 de la présente loi ;
  2. les traitements ayant pour seul objet la tenue d’un registre qui est destiné à un usage exclusivement privé,
  3. les traitements mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical dès lors que ces données correspondent à l’objet social de cette association ou de cet organisme, qu’elles ne concernant que leurs membres et qu’elles ne doivent pas être communiquées à des tiers.

Titre V: Des obligations du responsable de traitement et du sous-traitant

Chapitre 1: De l’obligation de confidentialité et de sécurité

Article 59 : Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement  des personnes qui agissent sous l’autorité du responsable du traitement ou sous celle de son sous- traitant et seulement sur ses instructions.

En vue du traitement des données à caractère personnel, le responsable de traitement ou son sous-traitant doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Un engagement écrit des personnes amenées à traiter de telles données à respecter la présente loi doit être signé.

Article 60 : le responsable du traitement et/ou son sous-traitent sont tenus de mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel,  notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il entend en particulier toute mesure visant à :

  1. garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder  qu’aux données à caractère personnel relevant  de leur compétence ;
  2. garantir que puisse être vérifiée et constatée  l’identité des tiers auxquels des données à  caractère personnel peuvent être transmises ;
  3. garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu  accès au système d’information et quelles  données ont été lues ou introduites dans le  système, à quel moment et par quelle  personne ;
  4. empêcher toute personne non autorisée  d’accéder aux locaux et aux équipements  utilisés pour le traitement des données ;
  5. empêcher que des supports de données  puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;
  6. empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute  modification ou tout effacement non autorisés  de données enregistrées ;
  7. empêcher que des systèmes de traitements de  données puissent être utilisés par des  personnes non autorisées à l’aide  d’installations de transmission de données ;
  8. empêcher que, lors de la communication de  données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non  autorisée ;
  9. sauvegarder les données par la constitution  de copies de sécurité ;
  10. rafraîchir et si nécessaire convertir les données pour un stockage pérenne.

Article 61: Le responsable de traitement et/ou son sous-traitant doivent notifier, sans délai, à l’ANSICE et à ayant affecté les données à caractère personnel de la personne concernée.

Article 62 : Le contrat liant le sous-traitant au responsable du traitement doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instructions du responsable du traitement.

Chapitre 2: De l’obligation de conservation et de perennité

Article 63 : Les données à caractère personnel doivent être conservées pendant une durée fixée par un texte réglementaire et uniquement pour les fins en vue desquelles elles ont été recueillies.

Article 64 : Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Il doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

Chapitre 3: De l’obligation de notification et d’information

Section 1 : De l’obligation de notification

Article 65 : Le responsable du traitement, ou le cas échéant son représentant légal, doit adresser une notification à l’ANSICE préalablement à la mise en œuvre d’un traitement ou d’un ensemble de tels traitements ayant’ une même finalité ou des finalités liées.

Tout changement affectant les informations visées à l’article 70 ci-dessous doit également être notifié à l’ANSICE.

Article 65 : L’article précédent ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, par ou en vertu d’une loi ou d’un acte législatif équivalent, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

Article 67: L’ANSICE peut exempter certaines catégories de données à caractère personnel de la déclaration visée au présent article lorsque :

  1. compte tenu des données traitées, il n’y a manifestement pas de risque d’atteinte aux droits et libertés individuelles des personnes concernées et que sont précisées les finalités du traitement, les catégories de données traitées, les catégories de personnes concernées, les catégories de destinataires et la durée de conservation des données ;
  2. lorsque le responsable du traitement désigne un délégué à la protection des données à caractère personnel pour garantir que les traitements ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées qui est chargé notamment ;
  3. d’assurer, d’une manière indépendante, l’application interne des dispositions de la présente loi ;
  4. de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 70 ci-dessous.

Article 72 : L’ANSICE détermine les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés fondamentaux des personnes concernées et qui requièrent son autorisation.

Section 2 : De l’obligation d’information

Article 73 : L’.ANSICE prend les mesures nécessaires pour porter à la connaissance du public les traitements qui lui ont été notifiés ou acceptés par elle.

Article 74 : Afin de remplir l’obligation prévue à l’article 73 ci-dessus, l’ANSICE tient un répertoire des traitements notifiés tel que cela est fixé par l’article 0, alinéa i) de la loi portant création de l’ANSICE.

Le répertoire doit contenir au minimum les informations énumérées à l’article 70 ci-dessus. Le répertoire peut être consulté par toute personne.

Article 75 : Dans le cas des traitements exonérés de notification en vertu de l’article 6 de la présente loi, le responsable du traitement ou son sous-traitant communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l’article 79 ci-dessus.

Cette obligation ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

Titre VI : Des systèmes d’alerte professionnelle, du code de conduite, des sanctions et des recours

Chapitre 1 : Des systèmes d’alerte professionnelle

Article 76 : Les règles régissant les systèmes d’alerte professionnelle dans le cadre de la protection des données à  personnel sont établies par

Article 77: La personne mise en cause dans le cadre d’un traitement des données à caractère personnel doit être informée la plus rapidement possible par l’ANSICE de l’existence d’un signalement et des faits qui lui sont reprochés afin de lui permettre d’exécuter ses droits prévus par la présente loi.

L’information de la personne mise en cause peut être reportée dans des circonstances exceptionnelles telles que le risque de destruction de preuves.

Chapitre 2 : Du Code de conduite

Article 78 : L’ANSICE doit encourager à l’élaboration de codes de conduites destinées à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions de la présente loi.

Article 79 : Les associations professionnelles et les autres organisations d’autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l’intention de modifier ou de proroger des codes nationaux existants doivent les soumettre à l’autorisation de l’ANSIGE. L’ANSICE doit s’assurer, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions de la présente loi. Elle recueille, si elle estime nécessaire, les observations des personnes concernées ou celles de leurs représentants.

Chapitre 3 : Des sanctions

Section 1 : Des sanctions administratives

Article 80 : L’ANSICE peut prononcer les mesures suivantes :

  1. un avertissement à l’égard du responsable du traitement qui né respecte pas les obligations découlant de la présente loi ;
  2. une mise en demeure de faire cesser les manquements concernés dans le délai qu’elle fixe ;
  3. des pénalités en conformités avec les  manquements constatés ;

Le montant des pénalités est fixé par voie règlementaire et leur recouvrement est effectué conformément à la législation relative au recouvrement des créances de l’Etat.

Article 81: En cas d’urgence, et lorsque la mise en œuvre d’un traitement ou l’exploitation de données personnelles entraîne une violation de droits et libertés, l’ANSICE, après procédure contradictoire, peut décider :

  1. de l’interruption de la mise en œuvre du traitement pour une durée maximale de trois (3) mois du verrouillage pour une durée maximale de trois (3) mois de certaines données à caractère personnel traitées ;
  2. de l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la présente loi.

Section 2 : Des sanctions pénales

Article 82 : Est puni d’une peine d’emprisonnement de trois (3) mois à un (1) an et d’une amende d’un (1) million à dix (10) millions de francs, ou de l’une de ces deux peines seulement, tout membre de l’ANSICE ou tout membre du personnel de l’ANSICE, ou tout expert requis par elle et qui a violé l’obligation de confidentialité à laquelle il est astreint aux termes de l’article 21 de la loi portant création de l’ANSICE.

Article 83 : Est puni d’une peine d’emprisonnement de trois (3) mois à un (1) an et d’une amende d’un (1) million à dix,(10) millions de francs, ou de l’une de ces deux peines seulement, le responsable du traitement, son représentant, son préposé ou mandataire qui n’a pas respecté une des obligations prévues aux articles 59, 60, et 01 de la présente loi.

Article 84 : Est puni d’une peine d’emprisonnement de trois (3) mois à un (1) an et d’une amende d’un (1) million à dix (10) millions de francs, ou de l’une de ces deux peines seulement:

  1. le responsable du traitement, son représentant, son préposé ou mandataire qui traite des données à caractère personnel en infraction aux conditions imposées par les articles 8, 9, 10, 11 et 12 de la présente loi ;
  2. le responsable du traitement, son représentant, son préposé ou mandataire qui a traité des données en violation des articles 16,  17, 18, 19, 20, 21, 22, et 24 de la présente loi ;
  3. le responsable du traitement, son représentant, son préposé ou mandataire qui  n’a pas respecté les obligations prévues à l’article 35 de la présente loi ;
  4. le responsable du traitement, son représentant, son préposé ou mandataire, qui  n’a pas donné communication, dans le délai ;
  5. d’un (1) mois à compter de la réception de la demande, des renseignements visés à l’article 38 de la présente loi ou donné sciemment des renseignements inexacts ou incomplets ;
  6. toute personne qui, pour contraindre une personne à lui communiquer les renseignements obtenus par l’exercice du droit consacré par l’article 38 de la présente loi, ou à donner son autorisation au traitement de données à caractère personnel la concernant, a usé à son égard de voies de fait, de violence ou menaces, de dons ou promesses
  7. le responsable du traitement, son représentant, son préposé ou mandataire qui met en œuvre ou gère, continue de gérer ou supprime un traitement automatisé de données à caractère personnel sans avoir satisfait aux exigences imposées par l’article 65 de la présente loi ;
  8. g) le responsable du traitement, son représentant, son préposé ou mandataire, qui fournit des informations incomplètes ou inexactes dans les déclarations prescrites par l’article 70 de la présente loi ;
  9. h) toute personne qui a transféré, fait ou laissé transférer des données à caractère personnel vers un pays non membre de la CEMAC ou de la CEEAC en violation de l’article 29 de présente loi, et sans qu’il ait été satisfait à l’une des exigences prévues à l’article 31 de la présente loi ;
  10. toute personne qui a empêché l’ANSICE, ses membres ou les experts requis par elle de procéder aux vérifications en vertu des  pouvoirs qui leur sont conférées.

Article 86 : En condamnation du chef d’infraction au présent article, la juge peut prononcer la confiscation des supports matériels des données à caractère personnel formant l’objet de l’infraction, tels que les fichiers manuels, disques et bandes magnétiques, à l’exclusion des ordinateurs ou de tout autre matériel, ou ordonner le traitement de ces données.

La Confiscation ou l’effacement peuvent être ordonnés même si les supports matériels des données à caractère personnel n’appartiennent pas au condamné. Les objets confisqués doivent être détruits lorsque la décision a acquiert l’autorité de la chose jugée.

Article 87 : L’application des dispositions de l”article 84 ci-dessus ne fait pas obstacle aux mesures de prévues par les lois telles que la Suspension ou la sursis à exécution à l’exception des peines prévues aux articles 85 et ci-dessus.

Article 88 : Sans préjudice des interdictions énoncées par des dispositions particulières, le tribunal peut, lorsqu’il condamne du chef d’infraction au présent article, interdire au contrevenant de gérer, personnellement ou par personne interposée, et pour deux (2) ans au maximum, tout traitement de données à caractère personnel.

Article 89 : Toute infraction à l’interdiction édictée par l’article 88 ci-dessus ou toute récidive relative aux infractions visées au même article sont punies d’un emprisonnement de six (6) mois à deux (2) ans et d’une amende d’un (1) million à cinq (5) millions de francs.

Article 90 : La responsable du traitement ou son représentant en République du Tchad est civilement responsable du paiement des amendes auxquelles son préposé ou mandataire a été condamné de l’une de ces deux peines seulement.

Chapitre 4 : Des recours

Section 1 : Du recours auprès de l’ANSICE

Article 91 : L’ANSICE peut être saisie par toute personne agissant par elle-même ou par représentant au sens des articles 48, 49, et 50 de la présente loi, par l’entremise de son avocat ou par toute autre personne physique ou morale mandatée. Les modalités de saisine de l’ANSICE seront précisées par voie règlementaire.

Section 2 : Du recours à l’Autorité judiciaire

Article 92 : Sans préjudice du recours administratif qui peut être organisé, notamment devant l’ANSIGE, et antérieurement à la saisine de l’Autorité judiciaire, toute personne dispose d’un droit de recours juridictionnel En cas de violation des droits qui lui sont garantis par les dispositions de la présente loi.

Article 93 : Toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions de la présente loi a le droit d’obtenir du responsable du traitement la réparation du préjudice subi.

Article 94 : le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 95 : Tous les traitements de données en cours pour le compte de l’Etat, d’un établissement public, d’une collectivité locale ou d’une personne morale opérés pour le compte de l’Etat, d’un  établissement public, d’une collectivité locale  ou d’une personne morale de droit privé  gérant un service public, seront soumis à une déclaration auprès de l’ANSICE dans des conditions prévues à l’article 54 de la présente loi.

Article 96 : A compter de la date d’entrée en vigueur de la présente loi, tous les traitements de données doivent répondre aux prescriptions de celle-ci, dans les délais ci-après :

  1. Deux (2) ans pour les traitements de données opérées pour le compte de l’Etat, d’un établissement public, d’une collectivité locale ou d’une personne morale de droit privé gérant un service public ;
  2. (1) an pour les traitements de données à caractère personnel effectuées pour le compte de personnes morales autres que celles visées à l’alinéa ci-dessus.

Article 97 : En tant que de besoin, les autres conditions d’application de la présente loi seront précisées par voie réglementaire.

Article 98 : La présente loi sera enregistrée, publiée au Journal officiel de la République et exécutée comme loi de l’Etat.