APDP (AUTORITE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL)

PRÉSIDENCE DE LA RÉPUBLIQUE
SECRÉTARIAT GÉNÉRAL DU GOUVERNEMENT
*********
RÉPUBLIQUE DU MALI
Un Peuple – Un But – Une Foi

LOI N°2013- 0 I 5 /DU 21 MAI 2013

L’Assemblée Nationale a délibéré et adopté en sa séance du 09 mai 2013 ;
Le Président de la République promulgue la loi dont la teneur suit :

CHAPITRE I : DE L’OBJET

Article 1: Par la présente loi, l’Etat du Mali assure à toute personne. Physique ou morale. Publique ou privée, la protection de ses données à caractère personnel, sans distinction de race, d’origine, de couleur, de sexe, d’âge, de langue, de religion, de fortune, de naissance d’opinion, de nationalité ou autre. La loi garantit que tout traitement, sous quelle que forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques. Elle prend également en compte les prérogatives de l’Etat, les droits des collectivités territoriales, les intérêts des entreprises et de la société civile.

Article 2: L’informatique doit être au service de chaque personne. Elle doit respecter l‘identité humaine, les droits de l’homme, la vie privée, les libertés publiques et individuelles. Toute personne a droit à la protection des données personnelles la concernant. Aucune décision induisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement informatique destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

CHAPITRE II : DES DEFINITIONS

Article 3: Au sens de la présente loi, on entend par :

  1. Communication électronique : Emission, transmission ou réception de signes, de Signaux, d’écrits, d’images ou de sons. Par voie électronique ou magnétique.
  2. Copie temporaire : Donnée copiée temporairement dans un espace dédié, pour une durée limitée dans le temps, pour les besoins de fonctionnement du logiciel de traitement.
  3. Consentement de la personne concernée : toute manifestation de volonté expresse.Non équivoque, libre’ spécifique et informée par laquelle la personne concernée ou son représentant légal, judiciaire ou conventionnel, accepte que ses données à caractère personnel fassent l’objet d’un traitement.
  4. Destinataire d’un traitement de donnée à caractère personnel : Toute personne habilitée à recevoir communication de ces données autre que la Personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargés de traiter les données les autorités légalement habilitées à demander au responsable du traitement de leur communiquer des données à caractère personnel, dans ce cadre d’une mission particulière ou de l’exercice d’un droit de communication,
  5. Donnée à- caractère personne : Les données à caractère personnel ou données personnelles sont des informations existant sous diverses formes et permettant d’identifier directement ou indirectement une personne, par référence à un numéro d’immatriculation ou à un ou plusieurs éléments propres à son identité physique, physiologique, biométrique, génétique, psychique, culture e, sociale ou économique. Elles peuvent être des identifiants universels permettant de raccorder entre eux, plusieurs fichiers constituant des bases de données, ou de procéder à leur interconnexion.
  6. Donnée de t’état civil : elle sert, en plus de l’identification d’une personne physique, à faire la preuve de son appartenance à une famille.
  7. Donnée génétique : toute donnée concernant les caractères héréditaires d’un individu Ou d’un groupe d’individus apparentés.
  8. Donnée génétique : toute donnée concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés
  9. Donnée nominative : elle correspond aux noms, prénoms, adresse physique ou électronique d’une personne, ses références de sécurité sociale, son numéro de carte de paiement ou de compte bancaire, de plaque d’immatriculation de véhicule, sa photo d’identité, son empreinte digitale ou son ADN.
  10. Donnée patrimoniale : elle est constituée d’un ensemble de données inter-reliées sous la forme de notices normalisées permettant de présenter de façon homogène et contrôlée I ‘essentiel des informations sur les œuvres collectés, à l’occasion des opérations d’inventaire, de recensement, d’étude ou de protection.
  11. Données professionnelles : elles concernent, entre autres, les prénoms et nom, adresses, numéro de téléphone, de fax, les localités et lieux de service, ainsi que des réponses aux formulaires de renseignements individuels ou collectifs.
  12. Donnée sensible : toute donnée à caractère personnel relative aux opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou racial, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives.
  13. Donnée sanitaire : toute information concernant l’état physique et mental d’une personne concernée, y compris ses données génétiques ou biologiques.
  14. Fichier de données à caractère personnel : tous ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
  15. Interconnexion des données à caractère personnel : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des Finalités identiques ou non, ou liées par un où plusieurs responsables de traitement.
  16. Pays tiers: tout Etat autre que le Mali.
  17. Personne concernée : toute personne qui fait l’objet d’un traitement de donnée à caractère personnel
  18. Prospection directe : toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature notamment commerciale, politique ou caritative, destinée à promouvoir, directement ou indirectement, des biens, des services où l’image d’une personne vendant des biens ou fournissant des services.
  19. Responsable de traitement : toute personne qui, seule ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités
  20. Sous-traitant : toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement.
    Le ou les sous-traitants peuvent être considérés comme des délégués du ou des responsables de traitements constitués ou non en réseaux.
  21. Service à distance : toute prestation de service à valeur ajoutée, s’appuyant sur les télécommunications et/ou sur l’informatique, visant à permettre, de manière interactive et à distance, à une personne physique ou morale, publique ou privée, la possibilité d’effectuer des activités, démarches ou formalités.
  22. Tiers : toute personne physique ou morale, publique ou privée, tout autre organisme ou association autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous I ‘autorité directe du responsable du traitement ou du sous-trai1anl, sont habilités à traiter les données.
  23. Traitement de donnée à caractère personnel : toute opération ou ensemble d’opérations effectuées à l’aide de procédés automatisés ou non et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, I ‘organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel.

CHAPITRE III : DU CHAMP D’APPLICATION

Article 4:La loi s’applique à tout traitement de données à caractère personnel opéré en tout ou en partie sur le territoire national.

Article 5:Sont soumis à la présente loi :

  1. tout traitement de données à caractère personnel par l’Etat, les collectivités territoriales, les organismes personnalisés, les personnes physiques et les personnes morales de droit privé;
  2. tout traitement mis en œuvre par un responsable, établi ou non sur le territoire national, à l’exclusion des moyens qui ne sont utilisés qu’à des fins de transit sur le territoire;
  3. tout traitement de données concernant la sécurité publique, la défense nationale, la recherche et la poursuite d’infractions pénales ou la sûreté de I ‘État, même liées à un intérêt économique ou financier important de l’Etat, sous réserve des dérogations prévues par la présente loi ou, le cas échéant, des dispositions spécifiques prévues par d’autres textes.

Article 6: Sont exclus du champ d’application de la présente loi

  1. les traitements de données mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois que les données ne soient pas destinées à une communication systématique à des tiers ou à la diffusion ;
  2. les copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à la seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises

CHAPITRE lV : DES PRINCIPES

Article 7: Les données à caractère personnel doivent :

  • Être collectées et traitées, de manière loyale, licite et non frauduleuse pour des finalités déterminées, explicites et légitimes ;
  • Ne pas être utilisées pour d’autres finalités ;
  • Être adéquates, proportionnées et pertinentes au regard des finalités pour lesquelles elles sont collectées ou utilisées ;
  • Être exactes, complètes et si nécessaire mises à jour;
  • Être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées ou utilisées.

Ces dispositions ne s’opposent pas à la conservation et à I ‘utilisation des données traitées à des fins de gestion des archives ou à des fins historiques, statistiques ou scientifiques selon les modalités définies par la loi.

SECTION 1: DE L’OBLIGATION DE SECURITE

Article 8 Le responsable dll traitement prend toutes les précautions utiles pour préserver la sécurité des données.

Il doit empêcher notamment qu’elles soient déformées, endommagées ou que des tiers non autorisés y accèdent.
Les autorités légalement habilitées dans le cadre d’une mission particulière d’enquête, telles que l’autorité judiciaire, la police judiciaire ou de contrôle peuvent demander au responsable du traitement de leur communiquer des données personnelles.
Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Cette exigence n’exonère pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

SECTION 2: DES DONNEES SENSIBLES

Article 9 :Tout traitement portant sur les données sensibles est interdit en raison des risques de discrimination et d’atteinte aux droits et libertés des personnes.
Par dérogation à I ‘alinéa précédent, les données sensibles peuvent faire l’objet d’un traitement présentant des garanties appropriées définies par I ‘Autorité en charge de la protection des données à caractère personnel, si le traitement :

  • Est nécessaire ou est mise en œuvre pour la sauvegarde de la Vie de la personne concernée ou d’un tiers, lorsque la personne concernée ne peut donner son consentement, du fait d’une incapacité juridique ou d’une impossibilité matérielle
  • Est mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical qui ont pour seule finalité la gestion de leurs membres est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

SECTION 3: DES TRAITEMENTS D’INIFRACTION OU DE CONDAMNATION

Article 10: Les traitements de données à caractère personnel relatives aux infractions et condamnations peuvent exclusivement être mis en œuvre par :

  • Les juridictions el autorités publiques gérant un service public agissant dans le cadre de leurs attributions légales ;
  • Les auxiliaires de justice, pour le strict besoin de l’exercice des missions qui leur sont confiées par la loi ;
  • Les autres personnes morales, pour le strict besoin de la gestion des contentieux relatifs aux infractions dont elles ont été victimes.

SECTION 4 : DU TRANSFERT DE DONNEES PERSONNELLES A L’ETRANGER

Article 11 : Le responsable d’un traitement peut transférer des données personnelles vers un etat étranger:

  • Lorsque I ‘État destinataire assure un niveau suffisant de protection des personnes, constaté par l’Autorité en charge de la protection des données à caractère personnel, en raison de sa législation interne ou des engagements pris au niveau international et que ces mesures sont effectivement appliquées ;
  • Par décision de I’ Autorité en charge de la protection des données à caractère personnel, lorsque le transfert et le traitement par le destinataire de données personnelles garantissent un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

CHAPITRE V : DES DROITS DES PERSONNES EN MATIERE DE TRAITEMENT DE DONNEES

SECTION 1 : DU DROIT-D’ACCES ET DE RECTIFICATION DIRECTS

Article 12 : Toute personne a le droit d’obtenir du responsable d’un traitement

  • La communication, sous une forme compréhensible, de l’ensemble des données qui la concernent ainsi que de toute information disponible quant à leur origine ;
  • Les informations et les raisonnements utilisés dans les traitements informatisés dont les résultats lui sont opposés.

Le demandeur exerce gratuitement son droit d’accès sur place ou à distance. Il est fait droit à sa demande sans délai.
Une copie des données le concernant, conforme au contenu du traitement, est délivrée à l’intéressé à sa demande.
En cas de risque de dissimulation ou de disparition des données, l’autorité en charge de la protection des données à caractère personnel peut ordonner toute mesure appropriée à cet effet.

Article 13 : Toute personne justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant. Qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Lorsque I’ intéressé en fait la demande par écrit, quel que soit le support, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent dans un délai de trente (30) jours. Après l’enregistrement de la demande.
En cas de contestation, la charge de la preuve incombe au responsable du traitement auprès du quel est exercé le droit d’accès.
Lorsqu’une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu’il a effectuées conformément à l’alinéa 1 er du présent article.

SECTION 2 : DU DROIT D’ACCES ET DE RECTIFICATION INDIRECTS

Article 14 : Lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou [a sécurité publique, les droits d’accès et de rectification aux données s’exercent de façon indirecte dans ce cas, la demande est adressée à l’Autorité en charge de la protection des données à caractère personnel qui désigne un de ses membres pour mener les investigations utiles, en vue de faire procéder aux modifications nécessaires lorsque l’Autorité en charge de la protection des données à caractère personnel constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause la sûreté de l’Etat, la défense ou la sécurité publique, ces données sont communiquées au requérant. Il est notifié, le cas échéant au requérant, qu’il a été procédé aux vérifications.

SECTION 3 : DU DROIT DE S’INFORMER

Article 15 : Lorsque des données à caractère personnel sont collectées directement auprès d’une personne concernée, le responsable du traitement doit fournir à celle-ci, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :

  1. l’identité du responsable du traitement et, le cas échéant, de son représentant ;
  2. la ou les finalités déterminées du traitement auquel les données sont destinées ;
  3. les catégories de données concernées ;
  4. le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;
  5. le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse ;
  6. le fait de pouvoir demander à ne plus figurer sur le fichier;
  7. l’existence d’un droit d’accès aux données la concernant et de rectification de ces données ;
  8. la durée de conservation des données ;
  9. le cas échéant, des transferts de données à caractère personnel envisagés à destination de l’étranger.

Article 16 : Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations sont transmises à l’intéressée conformément à l’article 15 de la présente loi.

Article 17 : Les dispositions de l’article 15 de la présente loi ne s’appliquent pas :

  1. aux données recueillies et utilisées lors d’un traitement effectué par l’Etat ou pour son compte et intéressant la sûreté de I ‘État, la défense nationale, la sécurité publique où ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle imitation est nécessaire au respect des fins poursuivies par le traitement ;
  2. lorsque le traitement est nécessaire à la prévention, la recherche, la constatation et la poursuite de toute infraction ;
  3. Lorsque le traitement est nécessaire à la prise en compte d’un intérêt économique ou financier important de l’Etat, y compris dans les domaines monétaire, budgétaire, douanier et fiscal, de façon générale toute mission d’intérêt public.

Article 18 : Toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

  • De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
  • Des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables dans les cas suivants :

  • Si I ‘accès aux informations stockées dans l’équipement terminal de I ‘utilisateur où l’inscription d’informations dans l’équipement de l’utilisateur a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • Ou si l’accès est strictement nécessaire à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.

SECTION 4 : DU DROIT DE S’INFORMER

Article 19 : Toute personne physique ou morale a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent I ‘objet d’un traitement. Elle a le droit, d’une part. d’être informée avant que ces données ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et, d’autre part, d’être expressément informée sans frais, de son droit de s’opposer à ladite communication ou utilisation.

CHAPITRE VI : DE I’AUTORITE DE PROTECTION DES DONNEES A CARACTERE, PERSONNEL

SECTION 1 : DE L’INSTITUTION, DE LA COMPOSITION ET DE L’ORGANISATION

Article 20 : Il est institué une autorité administrative indépendante dénommée Autorité de protection des Données à Caractère Personnel, en abrégé (APDP).

Article 21 : L’autorité comprend un organe délibérant collégial composée de quinze (15) membres désignés pour un mandat de sept (7) ans non renouvelable, ainsi qu’il suit :

  • Deux (2) personnalités qualifiées désignées par le président de la République ;
  • Deux (2) députés désignés par l’assemblée Nationale à raison d’un Député pour la majorité et un Député pour l’opposition ;
  • Deux (2) conseillers Nationaux désignés par le Haut conseil des collectivités territoriales ;
  • Une (1) personnalité qualifiée désignée par le Ministre chargé de l’Etat Civil
  • Une (1) personnalité qualifiée désignée par le Ministre chargé de la sécurité Intérieure ;
  • Une (1) personnalité qualifiée désignée par le Ministre chargé d’informatique ;
  • Deux (2) Magistrats dont un (1) de l’ordre Judiciaire et un (1) de l’ordre administratif, désignés par la Cour Suprême ;
  • Deux (2) représentants qualifiés désignés par la commission Nationale des Droits de l’Homme;
  • Une (1) représentante qualifiée désignée par la coordination des Associations et ONG féminines ;
  • Un (1) représentant qualifié désigné par le Conseil National de la Société Civile.

Article 22 : La qualité de membre de l’Autorité de protection des Données à caractère personnel est incompatible avec celle de membre du Gouvernement direction ou de toute fonction de au sein d’une structure publique ou privée.
Si un membre de I ‘Autorité de Protection des Données à caractère personnel se trouve dans I ’une des incompatibilités prévues à l’alinéa précédent, intéressé dispose d’un délai je (30) jours pour trente opter entre son ancienne fonction et celle de membre de l’autorité. A défaut de cette option, le Président de l’Autorité prend les mesures nécessaires en vue du respect des présentes dispositions.

Article 23 : Les modalités de désignation des membres de l’autorité de protection des Données à caractère personnel sont celles fixées par le statut de la structure de provenance de chaque membre.

Article 24 : La liste nominative des membres de l’Autorité de protection des Données à caractères personnels est fixée par décret pris en Conseil des Ministres sur proposition du premier ministre.

Article 25 : Les membres de l’ Autorité de protection des Données à caractère personnel sont tenus au secret professionnel conformément aux textes en vigueur.

Article 26 : L’Autorité établit son règlement intérieur et peut déléguer certaines de ses attributions à son président.
Les matières soumises à cette délégation doivent se limiter aux strictes fonctions d’administration et de gestion nécessitées par les circonstances et ne jamais porter atteinte aux prérogatives essentielles de l’autorité.

Article 27 : Dans le cadre de ses missions, I’ Autorité ne reçoit ni d’injonction, ni d’instruction, directement ou par l’intermédiaire de ses membres, d’aucune autre autorité.

Article 28 : Il est alloué annuellement à l’Autorité des ressources nécessaires à son fonctionnement. Ces ressources sont inscrites au budget de l’État.
L’Autorité peut recevoir des subventions de la part d’organisations internationales dont l’Etat est membre.
Le Président de l’Autorité est ordonnateur du budget.
Un décret pris en conseil des Ministres fixe le mode de rémunération des membres de l’Autorité, sur proposition du premier ministre.

Article 30 : L’Autorité de Protection des Données à caractère Personnel est dirigée par un bureau de cinq (5) membres, élus en son sein, dont un Président.
Le président est assisté de deux (2) Vice-présidents et de deux (2) rapporteurs.
Le Président, les vice-présidents et les rapporteurs sont élus dans les mêmes conditions, au scrutin majoritaire à deux tours des membres de l’Autorité.
Si la majorité absolue n’est pas acquise au premier tour, la majorité simple suffit au second tour du scrutin.
Le vote est personnel et secret. Toutefois, en toutes matières, un membre de I ‘autorité absent ou empêché peut donner à un collègue une procuration dûment légalisée.
Les procurations données par les membres de l’Autorité de Protection des Données à caractère Personnel sont soumises au régime général des procurations. Nul membre de l’autorisé ne peut être porteur de plus d’une procuration.

SECTION 2 : DES MISSIONS

Article 31 :: L’Autorité de Protection des Données à Caractère Personnel a pour mission d’assurer la protection des données à caractère personnel et de participer à la règlementation du Secteur.
A ce titre, elle est chargée de :

  • Fixer les nonnes et finalités de la collecte, du traitement ou de la conservation des données personnelles ;
  • Donner l’autorisation préalable sous forme d’agrément à toute interconnexion de données ;
  • Autoriser le transfert de données ;
  • Informer et conseiller les personnes concernées et [es responsables du traitement de leurs droits et obligations ;
  • S’assurer que les traitements ne puissent comporter de menaces à l’égard des données relatives à la vie privée ;
  • Recevoir les réclamations relatives à la mise en œuvre des traitements des données à caractère personnel ;
  • Procéder aux contrôles nécessaires du traitement régulier des données à caractère personnel ;
  • Infliger des sanctions administratives à l’égard de tout responsable de traitement en cas de manquement à ses obligations;
  • Saisir sans délai le Procureur de la République compétent des infractions dont elle a connaissance sur la manipulation frauduleuse de données à caractère personnel ;
  • Tenir le répertoire des traitements des données à caractère personnel à la disposition du public;
  • Donner son avis sur tout projet de loi ou de décret relatif à la protection des données à caractère personnel ;
  • Demander au Gouvernement de procéder à toute modification nécessaire des textes, ou de prendre, le cas échéant, tout nouveau texte nécessaire à la saine protection des données à caractère personnel.

Article 32 : L’Autorité de protection des Données à Caractère personnel est associée à la Préparation et à.la définition de la position malienne dans route négociation internationale intéressant le domaine de la protection des données à caractère personnel. Elle participe à la représentation malienne dans les organisations Internationales et communautaire, compétentes en ce domaine.

Article 33 : ‘Autorité reçoit les déclarations de création des traitements informatiques, les autorise ou donne son avis dans les cas prévus par la présente loi et tient à la disposition du public la liste des traitements qui ont fait l’objet d’une déclaration ou d’une autorisation.

Article 34 : L’Autorité reçoit et instruit les plaintes en rapport avec sa mission.
Elle informe, par tout moyen qu’elle juge approprié les autorités publiques. Les organismes privés et les représentants de la société civile des décisions et avis qu’elle rend au regard de la protection des libertés.
Elle peut décider de missions d’information ou de contrôle sur place.

Article 35 : L’Autorité décide des mesures de publicité les plus appropriées s’agissant des décisions d’autorisation, des recommandations, des normes d’exonération, des sanctions et des dénonciations qu’elle adopte.

Article 36 : L’Autorité établit chaque année un rapport d’activité qu’elle remet au Premier Ministre au plus tard à la fin du premier trimestre de chaque année. Ce rapport est publié au journal officiel.

Article 37 : Les Ministres, autorités publiques, dirigeants d’établissements ou d’entreprises publics ou privés, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichier de données personnelles ne peuvent s’opposer à I ’action de I’ Autorité et doivent prendre toutes mesures utiles afin de faciliter sa tâche.

Article 38 : Aucun membre de l’Autorité de Protection des Données personnelles ne peut être poursuivi, recherché ou jugé pour des opinions émises par lui lors des séances de I ‘Autorité.
Les membres de l’Autorité de Protection des Données Personnelles ont droit, conformément aux règles fixées par le Code Pénal et les Lois Spéciales, à une protection contre les menaces, outrages, injures, ou diffamations dont ils peuvent être I ‘objet dans l’exercice de leur fonction.
Ils ont droit à la réparation, le cas échéant, des préjudices qu’ils subissent à cet effet.

SECTION 3 : DES MODALITES DE FONCTIONNENIENT DE L’AUTORITE DE PROTEC’TION DES DONNEES A CARACTERE PERSONNEL

Article 39 : L’Autorité de Protection des Données à caractère Personnel se réunit de plein droit, en session ordinaire, deux (2) fois par an.
Toutefois, elle peut se réunir en session extraordinaire à la demande de son Président ou de la moitié de ses membres.
Les séances ne sont pas publiques.

Article 40 : Les sessions sont convoquées par le Président de I’ Autorité qui assure la police des séances.
Toutefois, la séance inaugurale est convoquée par le Premier Ministre et présidée par le doyen d’âge, jusqu’à l’élection du président de l’Autorité.

Article 41 : La durée des sessions ordinaires ne peut excéder dix (10) jours.

Article 42 : La durée des sessions extraordinaires ne peut excéder cinq (5) jours

Article 43 : Les sessions sont convoquées pour un ordre du jour précis et limité. Elles sont préparées par le Président de I ‘Autorité qui dispose d’un Secrétariat à cet effet. Ce Secrétariat est celui de l’Autorité de Protection des Données à Caractère Personnel.

Article 44 : Les décisions de l’Autorité de Protection des Données à Caractère Personnel sont constatées par des délibérations ou des procès-verbaux.
Toutefois, les décisions à caractère règlementaire du collège sont constatées uniquement par délibération de I ‘Autorité qui dispose de toutes les prérogatives de puissance publique reconnues à I ’administration.

Article 45 : Le Président de t’Autorité représente celle-ci dans la vie civile et en justice. Il dispose du pouvoir règlementaire. A ce titre, il prend des décisions et d’autres catégories d’actes règlementaires.

Article 46 : Le Président de t’Autorité représente celle-ci dans la vie civile et en justice. Il dispose du pouvoir règlementaire. A ce titre, il prend des décisions et d’autres catégories d’actes règlementaires.

Article 47 : L’Autorité de Protection des Données à Caractère Personnel prend ses décisions à la majorité des 2/3 de ses membres.

Article 48 : Les actes de l’Autorité sont des actes administratifs susceptibles de recours administratif et juridictionnel.
Le recours gracieux est exercé au niveau du président de l’autorité.

Article 49 : L’Autorité de Protection des Données à caractère personnel adopte son règlement intérieur dès sa session inaugurale.

Article 50 : Les membres de l’Autorité de protection des Données à caractère personnel perçoivent des indemnités de session et des indemnités de déplacement, dans l’accomplissement de leur mission.

Article 51 : Une délibération de l’Autorité de Protection des Données à Caractère personnel fixe, dans les limites des moyens financiers mis à sa disposition, le montant journalier des indemnités prévues à l’article 50 précédent. Ce montant compte des barèmes habituellement pratiqués au niveau des Institutions similaires.

Article 52 : L’Etat met à la disposition de l’Autorité de protection des Données à caractère personnel les moyens matériels et humains nécessaires à l’accomplissement de sa mission.

*

CHAPITRE VII : DES RAPPORTS DE L’AUTORITE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL AVEC LES RESPONSABLES DB TRAITEMENT DES DONNEES ET LES USAGERS ORDINAIRES

Article 53 : L’Autorité de protection des Données à caractère personnel assure la coordination et le contrôle du traitement des données personnelles sur toute l’étendue du territoire national.

Article 54 : Les confessions religieuses, les partis politiques ou les syndicaux peuvent tenir registre de leurs membres ou de leurs correspondants sous forme de données informatisées qui échappent au contrôle de I ‘Autorité de protection des Données à caractère personnel.

Article 55 : Le traitement des données des juridictions, des autorités publiques agissant dans le cadre de leurs attributions légales, des organismes publics personnalisés, des collectivités territoriales ne sont pas soumis d’office à l’obligation de déclaration de leurs opérations de traitement de données en vertu de leur statut.
Les responsables de traitement des données agissant pour le compte des organismes publics personnalisés et des collectivités territoriales ne sont soumis à l’obligation de déclaration de leurs opérations de traitement qu’à la condition d’une signature de convention entrent l’Autorité de protection des Données à caractère Personnel et les Autorités responsables desdits organismes.
Toutefois, I ‘Autorité dispose à l’égard des organismes personnalisés et des collectivités territoriales de tous les moyens de contrôle sur des données détenues à leur niveau.

CHAPITRE VIII : DES SANCTIONS

Article 56 : Sans préjudice des pouvoirs des autres autorités de poursuite en matière d’infraction, le Président de I ‘Autorité de Protection des Données à Caractère Personnel dénonce devant le procureur de la République tout usager en infraction vis à vis de la loi dans le domaine des données à caractère personnel, ou porte plainte contre l’intéressé devant les juridictions compétentes, pour I ‘application des sanctions pénales prévues par la législation en vigueur.

Article 57 : Les responsables de traitement de données déclarent à l’Autorité de Protection les opérations qu’ils comptent effectuer pour une finalité donnée.
Si cette formalité a été omise de mauvaise foi, l’Autorité de Protection inflige au Responsable de traitement des données en cause, la sanction administrative appropriée qu’elle apprécie, en fonction de la gravité de la faute.

Article 58 : Sauf disposition particulière prévue par la présente loi en matière d’informatique, la qualification des infractions et les peines qui leur sont applicables sont celles définies par le code pénal, le Code des personnes et de la famille, la loi électorale et les autres lois qui instituent des infractions dans le domaine de la protection des données à caractère personnel.
La procédure suivie pour la répression des infractions est celle fixée par le Code de Procédure pénale.

Article 59 : : Sans préjudice des sanctions pénales, l’Autorité de Protection des Données à caractère Personnel inflige les sanctions administratives et pécuniaires découlant de l’application de la présente loi et peut instituer, par des règlements légalement faits, des contraventions de simple police.

Article 60 : L’action civile est soumise aux conditions fixées par le Code de Procédure Civile, Commerciale et Sociale el le Régime Général des Obligations en République du Mali.

Article 61 : Les sanctions administratives instituées par la présente loi sont :

  • L’avertissement à l’encontre de tout responsable de traitement de donnée de bonne foi qui n’a pas observé les formalités administratives de collecte, de traitement et de gestion des données prévues par la présente loi ou par les actes règlementaires de l’Autorité de protection des Données à caractère Personnel ;
  • La mise en demeure du responsable de traitement de donnée fautif, à l’effet de l‘amener à se conformer aux textes ;
  • L ‘injonction de cesser les activités de traitement des données à caractère personnel à l’encontre de tout responsable de traitement de donnée, en cas de faute ;
  • Le retrait d’agrément à tout responsable de traitement de données en cas de nécessité constatée par l’Autorité de Protection.

Article 62 : Dans les cas prévus à l’article 6l précédent, l’Autorité de protection des Données à caractère Personnel peut user de tous les moyens techniques en sa possession pour assurer l‘exécution d’office de sa décision.

Article 63 : Les décisions de sanctions administratives sont motivées, à peine de nullité et notifiées aux intéressés.

Article 64 : outre les sanctions pénales privatives de liberté, des sanctions pécuniaires pourront être infligées à tout contrevenant, conformément aux dispositions des articles 65, 66 et 67 ci-dessous de la présente loi.

Article 65 : Sont punis d’une amende de cinq millions (5.000.000) à vingt millions
(20.000.000) de francs :

  1. le fait de communiquer à des tiers non autorisés ou d’accéder sans autorisation ou de façon illicite aux données personnelles mettant en cause les droits fondamentaux et les libertés individuelles ou la vie privée ;
  2. le détournement de finalité ou toute modification de finalité d’une collecte ou d’un traitement de donnée personnelle, sans autorisation expresse et motivée de l’Autorité de Protection des Données à caractère Personnel ;
  3. le fait de collecter des données par un moyen frauduleux, déloyal ou illicite ou de procéder à un traitement d’informations nominatives concernant une personne physique malgré son opposition, lorsque cette opposition est fondée sur des raisons légitimes liées à ses droits fondamentaux ou à sa vie privée ;
  4. le traitement automatisé de données à caractère personnel nominatives ayant pour fin la recherche dans le domaine de la santé, en violation des lois et règlements ;
  5. le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données nominatives concernant des infractions, des condamnations ou des mesures de sureté nationale.

La présente infraction est applicable aux fichiers non automatisés ou mécanographiques dont I ’usage ne relève pas exclusivement de l’exercice du droit à la vie privée

  • le fait, par toute personne, de recueillir, à I ‘occasion de l’enregistrement, du classement, de la transmission ou d’une autre forme de traitement, des informations nominatives dont la divulgation a pour effet de porter atteinte à l’honneur et à la considération de l’intéressé ou à I ‘intimité de sa vie privée, de porter sans autorisation de l’intéressé lesdites informations à la connaissance d’un tiers qui n’a pas de qualité pour les recevoir ;
  • le fait d’entraver l’action de I ‘Autorité de Protection des Données à Caractère Personnel ;
    • Soit en s’opposant aux vérifications sur place ;
    • Soit en refusant de communiquer à ses membres ou à ses agents les renseignements et documents utiles à la mission qui leur est confiée, en dissimulant ou en faisant disparaitre lesdits documents.

Article 66 : Sont punis d’une amende de deux millions cinq cent mille (2.500.000) à dix millions (10.000.000) de francs :

  • le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions pour préserver la sécurité desdites informations, notamment en évitant qu’elles ne soient déformées ou endommagées ;
  • le fait de mettre ou de conserver en mémoire informatisée, sans l’accord préalable de l’intéressé, des données nominatives qui, directement ou indirectement, font apparaitre les origines raciales, ethniques, les opinions politique, philosophique, religieuse ou l’appartenance syndicale.

Article 67 : Dans tous les cas de sanction pécuniaire, I ‘Autorité de Protection des Données à Caractère Personnel pourra engager une transaction avec le contrevenant, à la demande de celui-ci, à condition de respecter les barèmes fixés par la loi.

CHAPITRE IX : DES Dispositions TRANSITOIRES

Article 68 : Les services publics et les personnes physiques ou morales dont l’activité consistait, avant la date de promulgation de la présente loi à effectuer, à titre principal où accessoire, des traitements de données à caractère personnel disposent d’un délai maximum.
De six (6) mois, pour se conformer aux dispositions de la présente loi.
A défaut de cette régularisation dans le délai précité, leurs activités sont réputées contraires aux dispositions de la présente loi et ils devront cesser lesdites activités sans délai, faute de quoi, les contrevenants s’exposeront aux sanctions prévues par la loi.

CHAPITRE X : DES DISPOSITIONS FINALES

Article 69 : Les dispositions pratiques de mise en œuvre des données à caractère personnel non prévues par la présente loi seront suppléées par délibération de l’Autorité de Protection des Données à Caractère Personnel, en conformité avec l’esprit de la loi.

Bamako, le 21 Mai 2013
Le Président de la République par interim,
Professeur Dioncounda TRAORE