Arozaza

Loi n°2014-038 du 09 janvier 2015 sur la protection des données à caractère personnel

Documents attachés

Repoblikan'i Madagasikara

EXPOSE DES MOTIFS

 

L’informatique, les technologies de l’information ou l’e-technologie constituent aujourd’hui un facteur important du développement.

Ces technologies à l’inverse des autres technologies industrielles s’exportent rapidement et leur zone de propagation traverse sans difficulté les frontières sans véritable considération des structures physiques. Elles présentent donc l’avantage d’être facilement utilisable dans les pays en voie de développement, les infrastructures nécessaires à son utilisation étant réduites.

L’utilisation de l’informatique permet des gains de temps et de productivité sans précèdent ainsi que plus de rigueur dans la gestion quotidienne. Elle permet également d’offrir à distance des services nouveaux, aussi bien sur le plan national que sur le plan international.

En un mot, le développement économique et la consolidation ou la modernisation de l’Etat ne se conçoivent plus sans l’usage des technologies de traitement de l’information.

Il convient cependant, à côté de ces bénéfices attendus de l’usage de ces technologies, de considérer dans toute démocratie tournée vers le progrès et le développement, les risques que ces technologies font peser sur les libertés des personnes concernées si elles ne sont pas encadrées par l’établissement de principes directeurs et de droits individuels nouveaux.

En effet, tout usage de l’informatique et des réseaux de communication à des fins de recherche, d’information, à des fins de communication interpersonnelle, à des fins commerciales ou administratives, implique le traitement des données à caractère personnel par des tiers.

Les informations relatives aux personnes contenues dans un fichier peuvent être conservées pour de longues durées et lorsqu’elles sont informatisées ou numérisées, elles peuvent être aisément rapprochées avec d’autres, être l’objet de détournement de la finalité pour laquelle elles ont été collectées, copiées ou manipulées à l’insu des personnes concernées.

Le droit à la protection des données à caractère personnel est reconnu à toute personne. Il s’agit d’un droit autonome qui fait partie intégrante des droits humains.

Le droit à la protection des données à caractère personnel devient un droit essentiel à un exercice réel d’autres libertés et droits fondamentaux telles que la liberté d’aller et venir ou la liberté d’information.

Madagascar doit se doter d’une législation pour protéger les données à caractère personnel.

Le présent projet de loi vise à protéger les personnes contre les risques d’abus en matière de fichier et de traitement de données à caractère personnel au regard de leurs libertés et droits fondamentaux.

La protection des données à caractère personnel repose sur quatre piliers :

  • les principes fondamentaux qui doivent présider à la conception et à la mise en œuvre des traitements de données à caractère personnel et qui sont de nature à prévenir les abus : tels que le principe de la finalité légitime d’une collecte et du traitement des données à caractère personnel, le principe de la loyauté de la collecte et du traitement ;
  • les droits des personnes à savoir le droit des personnes à s’opposer à l’utilisation de ses données à caractère personnel, le droit d’accès, de rectification ;
  • l’autorité indépendante ;
  • le régime des sanctions.

Le présent projet de loi comprend neuf (9) chapitres et soixante-dix-huit (78) articles.

Le chapitre premier parle du double objectif de l’Informatique qui est d’être au service de chaque personne et de respecter l’identité humaine, les libertés et les droits fondamentaux des personnes.

Le chapitre II circonscrit le champ d’application et définit les termes utilisés telles que les données à caractère personnel.

Le chapitre III établit les principes fondamentaux aux règles de nature à prévenir les risques.

Le chapitre IV consacre les droits des personnes.

Le chapitre V institue une autorité indépendante chargée de s’assurer que les traitements des données ne portent atteinte aux droits et libertés des personnes.

Le chapitre VI concerne le délégué à la protection des données à caractère personnel.

Le chapitre VII parle des sanctions prononcées par l’autorité indépendante ainsi que des sanctions pénales.

Le chapitre VIII porte sur les dispositions financières.

Le chapitre IX concerne les dispositions transitoires et finales.

Ce projet de loi a fait l’objet d’un atelier auquel ont participé les représentants de la Primature, des différents départements ministériels, de la société civile, du Conseil National des Droits Humains dénommé actuellement Commission Nationale Indépendante des Droits de l’Homme.

Il convient de noter que Madagascar a participé à la Première Conférence des Commissaires à la protection des données de la Francophone et à l’Assemblée constitutive de l’Association des Autorités francophones de protection des données à caractère personnel. Madagascar est membre observateur de cette association car il n’a pas encore une législation sur la protection des données.

En adoptant ce projet de loi, le Gouvernement Malagasy soutient la création d’entreprises malagasy et l’implantation d’entreprises étrangères responsables de traitement de données à caractère personnel.

Le développement de ce gisement d’emploi important pour les jeunes de notre pays et l’activité de ces entreprises seront largement facilités et encouragés par la mise en place d’un niveau de protection de données à caractère personnel adéquat au regard des législations en vigueur de nos principaux partenaires commerciaux.

Tel est, Mesdames et Messieurs, l’objet du présent projet de loi que j’ai l’honneur de soumettre à votre haute approbation.

 

LE GARDE DES SCEAUX, MINISTRE DE LA JUSTICE

RAMANANTENASOA Noëline

 

 

 

Repoblikan'i Madagasikara

PRESIDENCE DE LA REPUBLIQUE

___________

LOI N°2014-038 du 09 janvier 2015

Sur la protection des données à caractère personnel

——–

L’Assemblée Nationale a adopté en sa séance en date du 16 décembre 2014,

LE PRESIDENT DE LA REPUBLIQUE, CHEF D’ETAT

Vu la Constitution ;

Vu la Décision n°02-HCC/D3 du 07 janvier 2015 de la Haute Cour Constitutionnelle ;

PROMULGUE LA LOI DONT LA TENEUR SUIT :

CHAPITRE PREMIER

DISPOSITIONS GENERALES

 

Article premier – La présente loi a pour objet de protéger les droits des personnes en matière de traitement de données à caractère personnel.

Art.2 – L’informatique doit être au service de chaque personne. Elle doit respecter l’identité humaine, les droits humains, la vie privée, les libertés individuelles ou publiques. Son développement doit s’opérer dans le cadre de la coopération internationale.

Toute personne a le droit à la protection des données à caractère personnel la concernant.

Art.3 – Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement informatique de données à caractère personnel destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

Aucune décision administrative et privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement informatique de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

Art.4 – Le respect des principes posés dans la présente loi est soumis au contrôle d’une Autorité indépendante dénommée Commission Malagasy de l’Informatique et des Libertés (CMIL).

 

CHAPITRE II

CHAMP D’APPLICATION ET DEFINITIONS

Art.5 – Champ d’application

La loi s’applique à tout traitement automatisé ou non de données à caractère personnel contenues ou appelées à figurer dans des fichiers, traitement opéré en tout ou en partie sur le territoire malagasy.

La loi ne s’applique pas aux traitements de données à caractère personnel mis en œuvre :

  • pour l’exercice d’activités exclusivement personnelles ;
  • ou aux seules fins de journalisme ou d’expression littéraire ou artistique.

Art.6 – Détermination du droit applicable

Sont soumis  à la présente loi les traitements des données à caractère personnel :

  1. Dont le responsable est établi sur le territoire malagasy. Le responsable d’un traitement qui exerce une activité sur le territoire dans le cadre d’une installation, quelle que soit sa forme juridique, y est considérée comme établi.
  2. Dont le responsable, sans être établi sur le territoire malagasy, recourt à des moyens de traitement situés sur le territoire malagasy, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire.

Art.7 – Définition d’une donnée à caractère personnel

Une donnée à caractère personnel est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Ces éléments sont notamment physiques, physiologiques, psychiques, économiques, culturels ou sociaux.

Pour déterminer si une personne est identifiable, il faut considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Art.8 – Définition d’un traitement et d’un fichier

Un traitement de données à caractère personnel est toute opération ou processus d’opérations y compris manuelles portant sur la collecte, l’enregistrement, l’utilisation, la communication de telles données, quel que soit le procédé utilisé et notamment l’organisation, l’élaboration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Un fichier de données à caractère personnel est tout ensemble structuré et stable, de données personnelles accessibles selon des critères déterminés.

Art.9 – Définition du responsable du traitement de données à caractère personnel

Le responsable du traitement est la personne physique ou morale, publique ou privée qui, a le pouvoir de décider de la création du traitement seule ou conjointement avec d’autres, et qui détermine les finalités et les moyens à mettre en œuvre.

Art.10 – Définition du sous-traitant

Le sous-traitant est toute personne différente du responsable définie à l’article 9 et traitant des données à caractère personnel pour le compte du responsable du traitement et selon ses instructions.

Art.11 – Définition du destinataire des données à caractère personnel

Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles.

Les autorités habilitées dans le cadre d’une mission particulière d’enquête ne sont pas destinataires des données au sens de cette définition.

Art.12 – Définition de la personne concernée

La personne concernée est celle à laquelle se rapportent les données qui font l’objet du traitement.

Art.13 – Définition du consentement de la personne concernée

Toute manifestation explicite de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet dun traitement.

 

CHAPITRE III

PRINCIPES FONDAMENTAUX

Art. 14 – Principes généraux relatifs aux données et aux traitements

Les données à caractère personnel doivent être :

  • collectées et traitées, de manière loyale, licite et non frauduleuse pour des finalités déterminées, explicites et légitimes ; à cet effet, elles ne doivent pas être utilisées ultérieurement pour d’autres finalités sauf consentement de la personne concernée ou finalité prévue dans une disposition législative ;
  • adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou utilisées ;
  • exactes, complètes et si nécessaire mises à jour ; toutes les mesures nécessaires raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées ou utilisées.

Les dispositions de l’alinéa précédent ne s’opposent pas à la conservation et à l’utilisation des données traitées à des fins de gestion des archives ou à des fins historiques, statistiques ou scientifiques selon les modalités et les garanties appropriées définies par la législation ou par la Commission Malagasy de l’Informatique et des Libertés ,en l’absence de dispositions légales.

Art.15 – Obligation de sécurité

Le responsable du traitement prend toutes précautions utiles, au regard de la nature des données et des risques encourus, pour préserver la sécurité des données.

Il doit protéger les traitements et les données contre notamment la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé.

Art.16 – Sous-traitance

Les traitements de données à caractère personnel peuvent faire l’objet d’une sous-traitance.

Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, que sur instruction du responsable du traitement.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Cette exigence n’exonère pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Art.17 – Légitimation des traitements des données

Un traitement des données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :

  1. le respect d’une obligation légale incombant au responsable du traitement ;
  2. la sauvegarde de la vie de la personne concernée ;
  3. l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  4. l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celui-ci ;
  5. la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaitre l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Art.18- Données sensibles

En raison de risques de discrimination et d’atteinte aux libertés des personnes, Tout traitement portant sur les données sensibles est interdit.

Sont considérées comme des données sensibles, celles révélant l’origine raciale, les données biométriques, les données génétiques, les opinions politiques, les convictions religieuses ou autres convictions, l’appartenance syndicale et celles qui se rapportent à la santé ou à la vie sexuelle des personnes.

Par dérogation les données sensibles peuvent faire l’objet d’un traitement présentant des garanties appropriées telles que définies par la loi ou la Commission, dans les cas suivants :

  • quand la personne concernée a donné son consentement exprès, sauf si la loi prévoit que l’interdiction de traitement ne peut être levée par le consentement de la personne ;
  • le traitement est nécessaire à la sauvegarde de la vie de la personne concernée ou d’un tiers, lorsque la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
  • le traitement est mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical pour les données sensibles correspondant à l’objet de ladite association ou dudit organisme et sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité. Ces traitements ne comportent pas de communication à des tiers à moins que les personnes concernées n’y consentent expressément ;
  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par le code pénal ;
  • le traitement ultérieur des données d’un patient est nécessaire à une recherche d’intérêt public dans le domaine de la santé et la personne ne s’y est pas opposée ;
  • le traitement porte sur des données rendues publiques par la personne concernée ;
  • le traitement est nécessaire à la poursuite d’un intérêt public et autorisé par la loi ou par la Commission conformément à l’article 46 de la présente loi.

Art.19- Traitement de données à caractère personnel relatives aux infractions et condamnations

Le traitement de données à caractère personnel relatives aux infractions et condamnations et mesures de sûretés peut exclusivement être mis en œuvre par :

  • les juridictions, les autorités publiques gérant un service public, agissant dans le cadre de leurs attributions légales ;
  • les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi.

Art.20 – Transfert de données à caractère personnel à l‘étranger

Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si l’Etat destinataire dispose d’une législation assurant un niveau de protection des personnes similaire à celui assuré par la présente loi.

Le niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

A défaut d’un niveau de protection similaire, la Commission Malagasy de l’Informatique et des Libertés peut autoriser le transfert de données à caractère personnel, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées ou de l’adoption de règles interne.

Par dérogations aux paragraphes précédents, le transfert de données à caractère personnel vers un tiers n’assurant pas un niveau de protection similaire peut être effectué de façon exceptionnelle, à condition que :

  1. la personne concernée ait indubitablement donné son consentement au transfert envisagé dûment informée de l’absence d’un niveau de protection similaire ou ;
  2. le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée ou ;
  3. le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ou ;
  4. le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice ou ;
  5. le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée ou ;
  6. le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

Il est interdit au destinataire de transférer à nouveau les données à caractère personnel à l’étranger, sauf accord du responsable du traitement d’origine et de celui de la Commission Malagasy de l’Informatique et des Libertés.

Art.21- Données recueillies par les prestataires de service de certification électronique

Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de service de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l’être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

 

CHAPITRE IV

DROITS DES PERSONNES

Art.22 – Droit de s’opposer à figurer dans un traitement

Toute personne justifiant d’un motif légitime a le droit de s’opposer, à tout moment et sans frais, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. En cas de contestation, le caractère légitime du motif est apprécié par la Commission Malagasy de l’Informatique et des Libertés.

La personne concernée a le droit de s’opposer à ce que les données la concernant soient utilisées à des fins de prospection sans avoir à justifier d’un motif légitime.

Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

Art.23 – Droit d’accès à ses données à caractère personnel

Toute personne a le droit de savoir si elle est concernée par un traitement.

Toute personne, sous réserve de justifier de son identité, a le droit d’obtenir du responsable d’un traitement :

  • des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
  • la communication, sous une forme compréhensible, de l’ensemble des données qui la concernent ainsi que de toute information disponible quant à leur origine ;
  • les informations permettent de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.

Le demandeur exerce gratuitement son droit d’accès sur place ou à distance. Il est fait droit à sa demande sans délai.

Une copie des données le concernant, conforme au contenu du traitement, est délivrée à l’intéressé à sa demande.

Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire du médecin qu’elle désigne à cet effet.

En cas de risque de dissimulation ou de disparition des données, la Commission Malagasy de l’Informatique et des Libertés peut ordonner toutes mesures de nature à les éviter.

Les dispositions du présent article ne sont pas applicables aux traitements concernant la sécurité publique, ainsi qu’à la collecte des informations nécessaires à la constatation des infractions et à la mise en œuvre des poursuites conséquentes. L’article 26 de la présente loi est alors applicable.

Art.24 – Demandes d’accès abusives

Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation,

la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Art.25 – Droit de rectification

Toute personne peut exiger, munie de toutes les justifications nécessaires, du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

Si le responsable du traitement a transmis des données à un tiers, il doit lui notifier sans délai les opérations effectuées sur ces données.

Art.26 – Droits d’accès et de rectification indirects

Par dérogation à l’article 23 sur le droit d’accès et à l’article 25 sur le droit de rectification, lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, les droits d’accès et de rectification aux données s’exercent de façon indirecte.

La demande est adressée à la Commission Malagasy de l’Informatique et des Libertés qui désigne un de ses membres relevant de la magistrature qu’elle a spécialement mandaté pour mener les investigations utiles et faire procéder aux modifications ; celui-ci peut se faire assister d’un agent de la commission.

Lorsque la Commission Malagasy de l’Informatique et des Libertés constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause la sûreté de l’Etat, la défense ou la sécurité publique, ces données sont communiquées au requérant. A défaut, il est notifié au requérant qu’il a été procédé aux vérifications et modifications éventuelles.

Art.27.- Droit d’être informé

Le responsable du traitement s’assure que la personne auprès de laquelle sont recueillies des données à caractère personnel est informée :

  • de l’identité du responsable du traitement et le cas échéant de celle de son représentant ;
  • de la finalité poursuivie par le traitement ;
  • du caractère obligatoire ou facultatif des informations qui lui sont demandées ;
  • des catégories de données traitées ;
  • des destinataires ou catégories de destinataires des données ;
  • de ses droits d’opposition, d’accès et de rectification ainsi que des modalités d’exercice ;
  • le cas échéant de transferts de données à caractère personnel et, dans ce cas, les garanties attachées à ces transferts selon les dispositions de l’article 20 de la présente loi.

Cette information est portée à la connaissance de la personne sous une forme compréhensible et adaptée en fonction du moyen utilisé pour la collecte des données. A sa demande, la personne concernée peut également obtenir à tout moment ces informations.

Toute personne utilisatrice des réseaux de communications électroniques doit être informée directement et de manière claire et complète par le responsable du traitement ou de son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
  • des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur de l’utilisateur ou l’inscription d’information dans l’équipement terminal de l’utilisateur :

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées ci-dessus dès l’enregistrement des données ou si une communication des données à des tiers est envisagée, au plus tard lord de la première communication des données.

Les dispositions du présent article ne sont pas applicables aux traitements concernant la sécurité publique, ainsi qu’à la collecte des informations nécessaires à la constatation des infractions et à la mise en œuvre des poursuites conséquentes.

 

CHAPITRE V

L’AUTORITE INDEPENDANTE CHARGEE DE LA PROTECTION 

DES DONNEES A CARACTERE PERSONNEL ET DU CONTROLE DES TRAITEMENTS.

 

Section 1

Commission Malagasy sur l’Informatique et des Libertés

Art.28 – Création

Il est institué une Autorité indépendante de protection des données à caractère personnel dénommée Commission Malagasy de l’Informatique et des Libertés (CMIL) ci-après désignée la Commission. Elle est chargée de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi.

A cet effet, elle dispose d’un pouvoir réglementaire et de sanction.

Art.29 – Composition, le mode de désignation, la durée des mandats et les avantages :

Art 29.1 : Composition

La Commission Malagasy de l’Informatique et des Libertés est composée de neuf (09) membres :

  • un député élu par le Bureau permanent de l’Assemblée nationale ;
  • un sénateur élu par le Bureau permanent du Sénat ;
  • un magistrat de l’ordre judiciaire de la Cour de Cassation élu par ses pairs ;
  • un magistrat de l’ordre administratif du Conseil d’Etat élu par ses pairs ;
  • un magistrat de l’ordre financier de la Cour des Comptes élu par ses pairs ;
  • un représentant du secteur privé, ayant une expérience en matière de technologies de l’information et de communication, désigné par la Fédération des Chambres du Commerce et de l’Industrie;
  • Deux personnalités ayant une compétence en matière de technologies de l’information et de communication désignées par la Fédération Nationale de l’ordre des ingénieurs ;
  • une personnalité ayant une compétence particulière en matière des Droits Humains désignée par le Commission Nationale Indépendante des Droits de l’Homme

Art.29.2 : Mode de désignation

La désignation des membres est constatée par décret pris en Conseil des Ministres.

L’absence de désignation due au défaut de proposition par l’entité source ne saurait constituer un obstacle au fonctionnement normal et régulier de la Commission Malagasy de l’Informatique et des Libertés.

Art .29.3 : Durée du mandat

Les membres sont nommés pour un mandat de quatre (04) ans renouvelable une seule fois ou pour la durée de leur mandat en cas de mandat électif.

Le membre qui cesse d’exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions pour la durée du mandat restant à courir.

Sauf démission, il ne peut être mis fin au mandat d’un membre qu’en cas d’empêchement constaté par la Commission Malagasy de l’Informatique et des Libertés dans les conditions fixées par décret pris en Conseil des Ministres.

Art .29.4 : Avantages

Des indemnités sont allouées aux membres pour leur participation aux travaux de la Commission Malagasy de l’Informatique et des Libertés. A cet effet, ils perçoivent une indemnité de session, et en cas de mission d’information ou de contrôle sur place prévus à l’article 40 de la présente loi, une indemnité de déplacement et de séjour.

Ils perçoivent également une part des remises sur recouvrement, sur les sanctions pécuniaires prononcées par la Commission et sur les amendes pénales.

Les montants et taux des avantages prévus aux alinéas précédents revenant aux membres de la Commission sont fixés par décret pris en Conseil des ministres.

Les membres du Bureau bénéficient d’une indemnité de fonction mensuelle dont le montant est fixé par un décret pris en Conseil des ministres.

Art.30 – : Fonctionnement

La Commission Malagasy de l’Informatique et des Libertés constitue une autorité administrative indépendante.

Elle comprend un organe délibérant collégial et un bureau.

Art.30.1 : Organe délibérant

Les membres de la Commission Malagasy de l’Informatique et des Libertés constituent l’organe délibérant.

La Commission se réunit en formation plénière. En cas de partage de voix, la voix du Président est prépondérante.

Art.30.2 : Bureau

La Commission Malagasy de l’Informatique et des Libertés élit en son sein un Président et deux vice-présidents. Ils composent le bureau.

Le Président et le Vice-président délégué peuvent être chargés par la Commission Malagasy de l’Informatique et des Libertés d’exercer certaines de ses attributions

A l’exception des membres du bureau, les membres n’exercent pas de fonction à titre permanent.

Art.30.3 : Services

La Commission Malagasy de l’Informatique et des Libertés dispose des services dirigés dont l’organigramme est fixé par décret pris en Conseil du Gouvernement.

Les agents de la Commission Malagasy de l’Informatique et des Libertés sont nommés par le Président.

En tant que de besoin, elle peut instituer des bureaux décentralisés pour l’aider à s’acquitter de ses fonctions.

Art.31 – Secret professionnel

Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés sont tenus au secret professionnel pour les informations qu’ils ont à connaître dans l’exercice de leurs fonctions dans les conditions prévues à l’article 378 du Code pénal et, sous réserve de ce qui est nécessaire à l’établissement du rapport annuel.

Avant d’entrer en fonction, les membres prêtent devant la Cour Suprême siégeant en audience solennelle, le serment suivant : « Mianiana aho fa hanatanteraka antsakany sy andavany ary amim-pahamendrehana ny andraikitra amin’ny maha-mpikambana ahy ao amin’ny Vaomiera Malagasy miandraikitra ny Informatika sy ny Fahafahan’ny olona tsirairay, tsy hiandany na amin’iza na amin’iza ary hitandro mandrakariva sy tsy hamboraka na oviana na oviana ny tsiambaratelon’ny dinika ».

Art.32 – Immunité

Aucun membre de la Commission Malagasy de l’Informatique et des Libertés ne peut être poursuivi, recherché, arrêté détenu ou jugé à l’occasion des opinions émises ou actes accomplis dans l’exercice de son mandat et liés à sa mission.

Art.33- Indépendance

Dans le cadre de leurs missions ou l’exercice de leurs attributions, les membres de la Commission Malagasy de l’Informatique et des Libertés ne reçoivent d’instruction d’aucune autorité.

Les autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements et de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Art.34 – Rapport d’activités

La Commission Malagasy de l’Informatique et des Libertés présente un rapport annuel de ses activités :

  • au Président de la République ;
  • au Premier Ministre, Chef du Gouvernement ;
  • au Parlement ;
  • au Ministre de la Justice.

Elle rend public son rapport d’activité par tout moyen qu’elle juge approprié.

Art.35 – Incompatibilités

La qualité de membre de la Commission Malagasy de l’Informatique et des Libertés est incompatible :

  • avec la qualité de membre du Gouvernement ;
  • avec toute fonction de direction dans une personne morale, publique ou privée, quand le cumul de ce statut et de cette fonction pourrait constituer un conflit d’intérêts.

Les incompatibilités sont appréciées par le Président de la Commission Malagasy de l’Informatique et des Libertés, avant la prise de fonction effective de chaque membre, puis une fois par an au cours de leur mandat.

En cas de changement de son statut, tout membre le déclare au Président ; ce dernier apprécie l’existence ou non d’incompatibilité.

Art.36.- Conflits d’intérêts

Aucun membre ne peut participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des trente-six mois précédant la délibération ou les vérifications, détenu un intérêt direct, exercé des fonctions ou détenu un mandat.

La Commission Malagasy de l’Informatique et des Libertés peut faire appel à toute personne dont elle juge la compétence utile pour certaines matières; dans ce cas, le Président veille à qu’il n’y ait pas un conflit d’intérêt.

Art.37.- Attributions

La Commission Malagasy de l’Informatique et des Libertés :

  • informe toutes les personnes concernées et les responsables de traitements de leurs droits et obligations ;
  • reçoit les déclarations de création de traitement informatique, ou donne son avis écrit ou son autorisation écrite dans les cas prévus par la loi ;
  • contrôle la création et la mise en œuvre des traitements ;
  • établit et publie les normes simplifiées et les exonérations ;
  • fait des recommandations ;
  • édicte des règles types en vue d’assurer la sécurité des systèmes d’information ;
  • reçoit les réclamations, pétitions et plaintes en rapport avec sa mission et informe leurs auteurs de suites données à celles-ci ;
  • adresse aux intéressés des avertissements et dénonce à l’autorité judiciaire les infractions aux dispositions de la présente loi ;
  • prononce les sanctions administratives prévues par la présente loi ;
  • exerce une veille sur les évolutions des technologies de l’information et de communication et sur son environnement juridique.
  • rend publique son évaluation des conséquences de ces évolutions sur la protection des libertés et de la vie privée dans le cadre de son rapport annuel ;
  • propose au Gouvernement des modifications législatives ou réglementaires qui lui semblent susceptibles d’améliorer la protection des personnes à l’encontre de l’utilisation des technologies de l’information et de communication ;
  • rend un avis dans un délai deux mois renouvelable une fois en cas de nécessité sur tout projet de texte relatif à la protection de données à caractère personnel à l’égard des traitements informatisés ;
  • répond aux demandes d’accès indirects ;
  • peut délivrer des labels
  • coopère avec les autorités de protection de données personnelles instituées dans d’autres Etats ;
  • coopère avec le réseau des délégués à la protection des données personnelles.

Elle est associée à la négociation internationale ayant une incidence sur le traitement des données à caractère personnel.

Art.38.- Information du public

Elle tient à la disposition du public la liste des traitements qui ont fait l’objet d’une déclaration ou d’une autorisation.

Cette liste précise pour chaque traitement :

  • l’acte décidant la création du traitement ou la date de sa déclaration ;
  • la dénomination ou la finalité du traitement ;
  • l’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi sur le territoire national, celles de son représentant ;
  • la personne ou le service auprès duquel s’exerce le droit d’accès ;
  • les catégories de données personnelles faisant l’objet du traitement ainsi que les destinataires ou catégories des destinataires habilités à en recevoir communication ;
  • le cas échéant, les transferts de données à caractère personnel à destination d’un autre Etat.

Elle tient également à la disposition du public ses avis, autorisations, décisions, recommandations, dispenses de déclaration.

Elle informe par tout moyen qu’elle juge approprié les autorités publiques, les organismes privés et les représentants de la société civile des avis, autorisations, décisions qu’elle rend au regard de la protection des libertés ainsi que de ses recommandations.

Les décisions de la Commission Malagasy de l’Informatique et des Libertés ayant une portée générale sont publiées dans le Journal officiel.

Art.39.– Dispense de publication

Des décrets peuvent, sur avis conforme de la Commission Malagasy de l’Informatique et des Libertés, disposer que les actes réglementaires relatifs à certaines données intéressant la sûreté de l’Etat, la défense et la sécurité publique ne sont pas publiées.

Art.40 – Pouvoirs

Pour exercer les missions qui lui sont confiées par la loi, la Commission Malagasy de l’Informatique et des Libertés peut :

  • procéder par voie de recommandations ;
  • prendre des décisions individuelles ou réglementaires ;
  • adopter des mesures de simplification ou des dispenses de déclaration ;
  • définir des modalités d’exercice des droits des personnes, en particulier en matière d’information ;
  • enjoindre les responsables de traitement des fichiers de lui communiquer toute information utile sur les fichiers informatiques qu’ils utilisent.

Elle peut décider de mener des missions d’information ou de contrôle sur place.

Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la Commission sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions.

Art.41 – Règlement intérieur

Le Bureau établit le règlement intérieur qui est soumis à l’approbation de la Commission.

Il fixe notamment les règles relatives aux délibérations, à l’instruction des dossiers et à leur présentation devant l’organe délibérant.

Art.42 – Voies de recours

Les décisions administratives de la Commission Malagasy de l’Informatique et des Libertés sont susceptibles de recours devant le Conseil d’Etat.

 

Section 2

Formalités préalables à la mise en œuvre

Art.43 – Principe de déclaration ou tenue d’un registre des traitements

Les traitements informatisés en tout ou partie des organismes publics ou privés comportant des données personnelles doivent, préalablement à leur mise en œuvre, être déclarés à la Commission Malagasy de l’Informatique et des Libertés.

La déclaration peut être adressée par voie électronique.

Les traitements informatisés sont inscrits dans un registre tenu par la personne désignée à cet effet par le responsable du traitement en cas de désignation d’un délégué à la protection de données à caractère personnel.

Art.44 – Mise en œuvre des traitements du secteur public

Hormis le cas où ils doivent être autorisés par la loi, les traitements automatisés de données à personnel opérés pour le compte de l’Etat, d’un établissement public, d’une collectivité ou d’une personnelle morale de droit privé gérant un service public, sont décidés par acte réglementaire après avis conforme motivé de la Commission Malagasy de l’Informatique et des Libertés.

L’acte réglementaire précise notamment :

  • la dénomination et la finalité du traitement de données ;
  • le service auprès duquel s’exerce le droit d’accès ;
  • les catégories d’informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;
  • la durée de conservation de données.

Art.45 – Mise en œuvre des traitements du secteur privé

Les traitements des données à caractère personnel effectuées pour le compte de personnes autres que celles soumises aux dispositions de l’article 46 doivent préalablement à leur mise en œuvre, faire l’objet d’une déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés. Cette déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.

Le récépissé est délivré sans délai et les traitements informatisés peuvent être mis en œuvre. Toutefois, la déclaration n’exonère nullement le déclarant de sa responsabilité.

Art.46 – Autorisation à la mise en œuvre des traitements présentant des risques particuliers

Les traitements informatiques ou non, qui présentent des risques particuliers pour les droits et libertés ou qui sont susceptibles, de par leur contenu, leur structure ou leur finalité, de porter atteinte à la vie privée doivent faire l’objet d’une autorisation de la Commission Malagasy de l’Informatique et des Libertés préalablement à leur mise en œuvre.

Art.47 – Déclarations simplifiées et dispenses de déclarations

Pour les catégories les plus courantes de traitement de données à caractère public ou privé, la Commission Malagasy de l’Informatique et des Libertés établit et publie des normes de simplification, ou d’exonération lorsque la mise en œuvre de ceux-ci n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Ces normes précisent :

  1. les finalités des traitements faisant l’objet d’une déclaration simplifiée ;
  2. les données à caractère personnel ou catégories de données à caractère personnel traitées ;
  3. la ou les catégories de personnes concernées ;
  4. les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
  5. la durée de conservation des données à caractère personnel.

Pour les traitements répondant aux normes de simplification, seule une déclaration simplifiée de conformité à l’une de ces normes est déposée auprès de la Commission Malagasy de l’Informatique et des Libertés.

Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le responsable du traitement peut mettre en œuvre le traitement. Il n’est exonéré d’aucune responsabilité.

Art.48 – Demandes d’avis et d’autorisations

La Commission Malagasy de l’Informatique et des Libertés saisie des demandes d’avis ou d’autorisations se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une seule fois sur décision motivée du président.

L’absence de réponse de l’autorité de contrôle dans le délai imparti est interprétée comme un refus de la demande; en conséquence la demande doit être reformulée.

Art.49 – Dispositions communes

Les déclarations et les demandes d’avis ou d’autorisation adressées à la Commission Malagasy de l’Informatique et des Libertés comportent :

  1. L’identité et l’adresse du responsable du traitement et celle de la personne ou de l’entité pour le compte de laquelle le traitement est mis en œuvre et s’il y a lieu la dénomination du traitement ;
  2. La ou les finalités du traitement ;
  3. Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;
  4. Les données personnelles enregistrées, leur origine et les catégories des personnes concernées par le traitement et la durée de conservation des informations traitées;
  5. Le ou les services chargés de mettre en œuvre le traitement, les personnes habilitées à accéder aux données ou pouvant en obtenir communication ;
  6. La fonction de la personne ou le service auprès duquel les personnes concernées peuvent exercer leur droit d’accès ;
  7. Le cas échéant, les transferts de données personnelles à destination d’autres Etats ;
  8. Les mesures envisagées pour assurer la sécurité du traitement ;
  9. La garantie des secrets protégés par la loi ;
  10. Le cas échéant, l’indication du recours à un sous-traitant.

Le responsable d’un traitement doit notifier toute modification intervenue dans les informations communiquées à la Commission Malagasy de l’Informatique et des Libertés, ainsi que la suppression du traitement.

Section 3

Contrôle sur la mise en œuvre des traitements Art.50 – Missions de contrôle

Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés participant à des missions de contrôle sont habilités à cette fin par ordre de mission dûment signé par le président.

Ils peuvent :

  • accéder de six heures à dix-neuf heures à tout type de local à usage professionnel, servant à la mise en œuvre du traitement des données à caractère personnel ;
  • à avoir accès sans restriction aux fichiers et traitements et aux matériels utilisés,
  • prendre copie de toute information, quel qu’en soit le support, et recueillir les déclarations de responsable du traitement, de son représentant ainsi que de toute personne placée sous son autorité ou travaillant pour son compte.

Ils peuvent à la demande du Président, être assistés par des experts désignés.

Il est dressé contradictoirement procès-verbal de la mission de contrôle ; le procès-verbal est adressé pour observation au responsable du traitement.

En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation du Président du Tribunal dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.

Ce magistrat est saisi à la requête du Président de la commission, il statue par une ordonnance motivée.

La visite s’effectue sous l’autorité et le contrôle du magistrat qui l’a autorisée. Celui-ci peut se rendre dans les locaux durant l’intervention. A tout moment, il peut décider l’arrêt ou la suspension de la visite.

 

CHAPITRE VI

LE DELEGUE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Art.51- Désignation et missions

Tout responsable de traitement désigne un délégué à la protection des données à caractère personnel chargé de veiller au respect des obligations de la présente loi.

A ce titre, le délégué à la protection des données à caractère personnel :

  • tient à jour le registre des traitements mis en œuvre par le responsable des traitements ;
  • est consulté, préalablement à leur mise en œuvre, sur l’ensemble des nouveaux traitements ;
  • consulte en cas de doute la Commission Malagasy de l’Informatique et des Libertés;
  • reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements mis en œuvre par le responsable du traitement. Lorsqu’elles ne relèvent pas de sa responsabilité, il les transmet au responsable de traitement compétent et en avise les intéressés ;
  • informe le responsable des traitements des manquements constatés avant toute saisine de la Commission Malagasy de l’Informatique et des Libertés;
  • saisit la Commission Malagasy de l’Informatique et des Libertés en cas de manquements constatés, lorsque le responsable de traitement ne prend pas les mesures nécessaires pour les faire cesser ou en cas de doute sur l’application de la loi ;
  • établit un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la Commission Malagasy de l’Informatique et des Libertés.

La désignation du délégué à la protection des données est notifiée à cette dernière par tout procédé laissant trace écrite.

La Commission tient à jour la liste des délégués désignés.

Art.52 – Dispense de déclarations

Lorsqu’un délégué à la protection des données a été désigné, le responsable de traitement est dispensé de l’accomplissement des formalités de déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés, sauf dans les cas où le traitement est soumis à son autorisation.

Art.53 – Qualifications et incompatibilités

Seuls peuvent être désignés des délégués résidant sur le territoire de la République Malagasy et disposant des connaissances et qualifications nécessaires à l’exercice de leur mission. Il peut s’agir d’une personne exclusivement attachée au service du responsable de traitement ou d’une personne externe. Le responsable de traitement ou son représentant légal ne peut être désigné en tant que délégué.

Le délégué à la protection des données exerce ses missions d’une manière indépendante. En particulier, il ne reçoit pas d’instructions du responsable de traitement. Il ne peut pas faire l’objet de sanctions du fait de l’exercice de ses fonctions.

Le responsable de traitement doit doter le délégué à la protection des données des moyens nécessaires à l’exercice de ses missions.

Le délégué à la protection des données est tenu d’un devoir de confidentialité sur les informations recueillies à l’occasion de l’instruction d’une plainte ou d’une requête dont il est saisi.

Art.54 – Révocation

Le délégué à la protection des données ne peut être révoqué par le responsable de traitement que pour des motifs graves et après information de la Commission.

La Commission Malagasy de l’Informatique et des Libertés peut demander la révocation du délégué en cas de conflit d’intérêt entre l’exercice des fonctions de délégué et celles exercées par ailleurs.

Lorsque la Commission constate, après avoir recueilli ses observations, que le délégué à la protection des données à caractère personnel manque aux devoirs de sa mission, elle demande au responsable du traitement de le décharger de ses fonctions en application du présent article.

 

CHAPITRE VII

SANCTIONS

Section 1

SANCTIONS PRONONCEES PAR LA COMMISSION MALAGASY DE L’INFORMATIQUE ET DES LIBERTÉS

Art.55 – Sanctions

La Commission Malagasy de l’Informatique et des Libertés peut prononcer à l’encontre d’un responsable de traitement, en cas de manquement à l’une ou plusieurs des dispositions de la présente loi, et après une procédure contradictoire, les sanctions suivantes :

  • un avertissement ;
  • une injonction de cesser le traitement ou retrait de l’autorisation accordée;
  • une sanction pécuniaire ;

En cas d’urgence, lorsque la mise en œuvre du traitement ou l’exploitation de données traitées entraine une violation des droits et libertés mentionnés à l’article 1 et 2, la Commission peut après une procédure contradictoire :

  1. décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’a pas été mis en œuvre par l’Etat et ne porte pas sur la sureté de l’Etat, la défense ou la sécurité publique, ou la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
  2. décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est mis en œuvre pour des finalités qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

Toute sanction prononcée doit être consignée dans un registre.

En cas de récidive, les sanctions pécuniaires seront portées au double.

Art.56 – Saisine du juge des référés

En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 2, le Président, peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Art.57 – Injonction de modification ou suppression d’un traitement

Toute décision de sanction prononcée peut être assortie d’une injonction de procéder, selon un délai qu’elle détermine, à toute modification ou suppression que celle-ci jugerait utile dans le fonctionnement du ou des traitements de données personnelles objet de la décision de sanction.

Art.58 – Procédure contradictoire et recours contre une décision de sanction

Les sanctions administratives prévues dans la présente loi sont prononcées sur la base d’un rapport établi par les services de la Commission Malagasy de l’Informatique et des Libertés ou par un membre désigné par le président. Le rapport est notifié au responsable du traitement qui peut déposer des observations écrites et orales et se faire représenter ou assister.

Le rapporteur peut présenter des observations orales mais ne prend pas part à la délibération.

La Commission Malagasy de l’Informatique et des Libertés peut entendre toute personne dont l’audition lui parait susceptible de contribuer utilement à son information.

Les décisions prises sont motivées et notifiées au responsable du traitement.

Les décisions prononçant une sanction peuvent faire l’objet d’un recours devant le Conseil d’Etat.

Art.59- Montant des sanctions pécuniaires

Le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. Il ne peut excéder 5% du chiffre d’affaires hors taxes du dernier exercice clos.

Les sanctionnées pécuniaires sont recouvrées comme les créances de l’Etat.

Art.60- Publicité des décisions de sanction

Les décisions de sanction sont rendues publiques. L’identité des personnes physiques mentionnées dans les décisions de sanction peut être rendue anonyme.

La Commission Malagasy de l’Informatique et des Libertés peut également, ordonner l’insertion des décisions de sanctions qu’elle prononce dans des publications ou journaux qu’elle désigne. Les frais sont supportés par les personnes sanctionnées.

 

Section 2

Pénalités

Art.61 – Entrave

Est puni d’un emprisonnement de six mois à deux et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait d’entraver l’action de la Commission Malagasy de l’Informatique et des Libertés:

  1. Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application de l’article 50;
  2. Soit en refusant de communiquer à ses membres ou aux agents habilités en application de l’article 50 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements ou en les faisant disparaître ;
  3. Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Art. 62 – Non-respect des formalités préalables

Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary le fait y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi.

Art.63 – Utilisation de données sensibles, de fichiers d’infractions ou du numéro d’identification national en dehors du cadre légal

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de procéder ou de faire procéder de manière non-conforme aux conditions prévues par les articles 14 et 15, à un traitement de données à personnel incluant parmi les données sur lesquelles il porte, les données visées aux articles 17 et 18.

Art.64 – Manquement à la sécurité

Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 15.

Art.65 – Collecte déloyale

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 1.000.000 Ariary à 10.000.000 Ariary le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

Art.66 – Détournement de finalité

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait, par toute personne détentrice de données à caractère personnel de détourner la finalité initiale d’un fichier de données à caractère personnel notamment à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement.

Art.67 – Non-respect des droits de rectification ou d’opposition

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré la demande de rectification ou l’opposition de cette personne, lorsque cette demande de rectification ou cette opposition est fondée sur des motifs légitimes.

Art.68 – Non- respect du droit à l’information

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de ne pas respecter les dispositions visées à l’article 27 relatif à l’information des personnes.

Art.69 – Non-respect du droit d’accès

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de ne pas respecter les dispositions visées à l’article 23 relatif au droit d’accès.

Art. 70 – Non-respect de la durée de conservation

Est puni d’une emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi, le fait de conserver des données à caractère personnel au-delà de la durée prévue par la déclaration préalable adressée à la Commission Malagasy de l’Informatique et des Libertés sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Art.71 – Atteinte à la considération ou à l’intimité de la vie privée

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 1.000.000 Ariary à 10.000.000 Ariary le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir.

Art.72 – Mesures complémentaires

Dans les cas prévus aux articles 61 à 71, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés sont habilités à constater l’effacement de ces données.

Art.73- Avis

Le Procureur de la République du Tribunal compétent Commission Malagasy de l’Informatique et des Libertés des infractions aux dispositions de la présente loi.

La juridiction de jugement peut appeler le Président de la Commission ou son représentant à déposer ses observations ou les développer oralement à l’audience.

 

Chapitre VIII

DISPOSITIONS FINANCIERES

Art.74 – Budget

Le budget de la Commission Malagasy de l’Informatique et des Libertés est supporté par une ligne budgétaire spécifique au sein de la Présidence de la République.

La Commission peut recevoir des dons, subventions et legs de la part d’organisations nationales et internationales dont Madagascar est membre. A cet effet, il est ouvert un compte de dépôt auprès du Trésor public destiné à loger les dits fonds. La mobilisation de ce compte de dépôt doivent faire l’objet d’une régularisation budgétaire tant en recettes qu’en dépenses.

Le régisseur de ce compte est désigné par arrêté du Ministère des Finances et du Budget.

Le Président est ordonnateur du budget de la Commission. Il peut désigner un ordonnateur secondaire pour le suppléer.

Art 75. Comptabilité publique et contrôle des comptes

Les comptes de la Commission Malagasy de l’Informatique et des Libertés sont tenus selon les règles de la comptabilité publique et le contrôle des comptes relève de la Cour des Comptes.

 

CHAPITRE IX

DISPOSITIONS TRANSITOIRES ET FINALES

Art.76 – Dispositions transitoires

Les traitements de données régis par l’article 44 et déjà créés ne sont soumis qu’à une déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés dans les conditions prévues à l’article 43.

Elle peut toutefois, par décision, faire application des dispositions de l’article 44 et de fixer le délai aux termes duquel l’acte réglementant le traitement de données doit être pris.

Tous les traitements des données personnelles mis en œuvre avant l’entrée en vigueur de cette loi doivent se conformer aux prescriptions de la présente loi dans un délai d’un an à compter de sa publication selon un planning sectoriel arrêté par la Commission et publie au Journal officiel.

Art.77- Dispositions finales

Des textes réglementaires, préciseront en tant que de besoin, les modalités d’application de la présente loi.

Art.78 – La présente loi sera publiée au Journal Officiel.

Elle sera exécutée comme loi de l’Etat.

 

Promulguée, le 09 janvier 2015

Hery RAJAONARIMAMPIANINA