La loi rwandaise sur la protection des données et de la vie privée met désormais le pays en conformité avec les normes internationales de protection des données, essentielles aux économies numériques modernes, portées par le commerce électronique, les transactions financières internationales et divers services en ligne. Êtes-vous prêt à vous y conformer ?
La loi rwandaise sur la protection des données et de la vie privée (loi n° 058/2021 du 13 octobre 2021) établit un cadre juridique complet régissant la collecte, le traitement, le transfert et la protection des données personnelles. L'un des principes de cette loi est l'obligation d'obtenir le consentement clair et sans ambiguïté d'une personne pour la collecte, le stockage et le traitement de ses données personnelles, ce qui constitue un droit fondamental.
Les entreprises doivent suivre un certain nombre de procédures pour se conformer à la loi rwandaise. Parmi celles-ci, on peut citer :
Registre:
Enregistrement auprès de la NCSA en tant que responsable du traitement ou du traitement des données dans un délai de 30 jours ouvrables
Nommer un DPD :
Désignation d'un délégué à la protection des données (DPD) si le traitement est à grande échelle ou implique des données sensibles
Tenir des registres :
Tenir à jour les registres de traitement, effectuer des analyses d'impact sur la protection des données pour les activités à haut risque et mettre en œuvre des mesures de sécurité
Informer des violations :
Informer la NCSA des violations dans les 48 heures ainsi que les personnes concernées en ce qui concerne le risque pour leurs droits.
Avis de confidentialité :
Publication d'avis de confidentialité divulguant l'utilisation des données, leur conservation, leurs transferts à l'étranger et les droits des personnes concernées
Obtention du consentement, y compris pour les cookies, pour les traitements non essentiels
Évaluation du transfert transfrontalier de données
La loi s'applique à :
Tous les responsables du traitement ou sous-traitants de données au Rwanda (publics ou privés)
Les entités étrangères qui traitent des données personnelles de citoyens rwandais ou transfèrent des données hors du pays
Cela inclut les PME, les ONG, les organismes publics, les start-ups technologiques, les fintechs, les plateformes de commerce électronique, c'est-à-dire toute organisation qui traite des données personnelles de Rwandais.
La DPPL du Rwanda confère aux résidents un ensemble de droits en matière de confidentialité des données, notamment :
Demander l'accès à leurs informations personnelles
Demande de savoir comment les données personnelles sont collectées et utilisées
Demander que des informations inexactes, incomplètes ou obsolètes soient corrigées
Demander l'effacement de leurs informations personnelles dans certaines circonstances
Demande de refus du traitement de leurs données
Demander des données dans un format structuré et couramment utilisé
Demander que les décisions ne soient pas prises uniquement sur la base d'un traitement automatisé
Les organisations doivent obtenir le consentement du consommateur avant de traiter les données
Bien que la loi ne mentionne pas explicitement les cookies, leur utilisation relève du traitement des données personnelles (par exemple, identifiants en ligne, profilage). Le consentement doit être :
Libre, spécifique, éclairé et explicite, et couvrir des finalités distinctes (par exemple, analyses et publicité).
Révocable à tout moment.
La mise en place de bannières de cookies avec des contrôles précis (catégories d'acceptation/de refus) et d'un centre de préférences, conformément aux principes de consentement de type européen, est considérée comme une bonne pratique pour les entreprises opérant au Rwanda.
La loi prévoit des sanctions administratives et pénales en cas de non-respect :
Les sanctions administratives (article 53) comprennent :
Des amendes de 2 à 5 millions de francs rwandais (environ 2 000 à 5 000 dollars américains) ou jusqu’à 1 % du chiffre d’affaires annuel mondial pour les entreprises.
Les infractions pénales (articles 56 à 61) comprennent :
L’utilisation abusive intentionnelle de données, la réidentification non autorisée, la falsification d’informations et la mauvaise gestion de données sensibles : une peine d’emprisonnement de 1 à 3 ans et des amendes de 7 à 10 millions de francs rwandais (soit 5 % du chiffre d’affaires mondial pour les personnes morales).
Les tribunaux peuvent également prononcer la fermeture d’entreprises ou révoquer des certificats d’enregistrement.
La conformité DPPL est à portée de main en mettant en œuvre un certain nombre de bonnes pratiques en matière de confidentialité des données :
Réaliser des audits de données et de cookies :
Examiner les pratiques actuelles en matière de données pour identifier les domaines à aligner sur la DPPL
Mettre à jour les politiques de confidentialité et de cookies :
Réviser les avis de confidentialité pour décrire clairement les pratiques en matière de données, les droits des consommateurs et la manière d'exercer ces droits
Mettre en œuvre la gestion du consentement :
Gérez l'utilisation des cookies et le consentement avec une plateforme complète de gestion du consentement comme CookieHub
Sensibiliser les employés :
Former les employés sur l'importance du respect de la DPPL
Mettre en œuvre des processus de violation :
Assurer des voies claires pour informer les consommateurs des violations de données
Désigner un responsable de la protection de la vie privée :
Ajoutez un responsable de la confidentialité à votre organisation pour gérer la conformité
Une plateforme de gestion du consentement comme CookieHub peut faciliter le consentement conforme aux cookies en gérant les préférences granulaires, en enregistrant les choix des utilisateurs, en bloquant automatiquement les scripts non essentiels jusqu'au consentement et en générant des enregistrements de conformité prêts pour l'audit.
La loi rwandaise sur la protection des données et la vie privée (LPDVP) régit la collecte, le traitement, le stockage et le partage des données personnelles. Elle s'applique aux entités publiques et privées qui traitent les données personnelles des personnes physiques au Rwanda, ainsi qu'aux organisations extérieures au Rwanda qui traitent les données des résidents rwandais. La loi garantit que les données personnelles sont traitées de manière légale, équitable et transparente.
Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable. Cela comprend, sans s'y limiter, les noms, les numéros d'identification, les données de localisation, les identifiants en ligne ou toute donnée permettant d'identifier directement ou indirectement une personne.
Les données sensibles désignent une catégorie particulière de données personnelles nécessitant une protection renforcée. Elles incluent les informations relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'état de santé, aux données génétiques ou biométriques, à l'orientation sexuelle ou à l'appartenance syndicale.
L’autorité de régulation chargée de superviser la mise en œuvre et l’application de la DPPL au Rwanda est l’Autorité nationale de cybersécurité (NCSA), notamment par l’intermédiaire de son Bureau de protection des données.
Des exemptions à la DPPL peuvent s'appliquer dans certains cas, tels que le traitement à des fins personnelles ou domestiques, la sécurité nationale, l'application de la loi, l'intérêt public ou la recherche et les statistiques, sous réserve de la mise en place de garanties appropriées. Des exemptions spécifiques sont définies par la loi et la réglementation applicable.
Vous pouvez accéder au texte intégral de la DPPL et aux directives connexes via le site Web de l'Autorité nationale de cybersécurité (NCSA) ou consulter des professionnels du droit spécialisés dans la protection des données au Rwanda.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
