Préalablement à leur mise en œuvre, les traitements de données à caractère personnel effectués pour le compte de personnes doivent faire l’objet d’une déclaration auprès de la Commission de l’informatique et des libertés.
(Article 26 de la loi N° 001-2021/AN du 30 mars 2021 portant protection des personnes à l’égard du traitement de données à caractère personnel).
Sont exemptées de l’obligation de déclaration auprès de la Commission de l’informatique et des libertés :
- le copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations ;
- les traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
- les traitements dont la finalité particulière se limite à assurer la conservation de documents d’archives ;
- les traitements mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, dès lors que ces traitements correspondent à l’objet de cette association ou de cet organisme, qu’elles ne concernent que leurs membres et qu’elles ne doivent pas être communiquées à des tiers sans leur consentement. (art. 28)
Contenu de la déclaration
La déclaration, qui peut être adressée à la Commission de l’informatique et des libertés par voie électronique ou sur support papier, doit préciser :
- la date de la déclaration ;
- les noms, prénoms et adresse complète ou la dénomination et le siège de la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement des données (responsable du traitement) ou, si elle réside à l’étranger, son représentant au Burkina Faso;
- les caractéristiques, la finalité et s’il y a lieu, la dénomination du traitement de données ;
- le service ou les services chargés de mettre en œuvre celui-ci ;
- le service auprès duquel s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;
- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;
- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;
- les dispositions prises pour assurer la sécurité des traitements de données et des informations et la garantie des secrets protégés par la loi ;
- si le traitement de données est destiné à l’expédition de données à caractère personnel entre le territoire burkinabé et l’étranger sous quelque forme que ce soit, y compris lorsqu’il est l’objet d’opérations partiellement effectuées sur le territoire burkinabé à partir d’opérations antérieurement réalisées hors du Burkina Faso.
En général, les traitements de données à caractère personnel doivent être notifiés à la Commission de l’Informatique et des Libertés avant leur mise en œuvre.
Les modifications d’un traitement ainsi que la cessation d’un traitement doivent également être notifiées préalablement.