500
JOURNAL OFFICIEL DE LA REPUBLIQUE GABONAISE
Sous-section II : De l'obligation de confidentialité
24 au 31 OCTOBRE 2011 - N°74
Pour la réalisation du traitement, le responsable doit
choisir des personnes présentant, au regard de la préservation
de la confidentialité des données, toutes les garanties tant de
connaissances techniques et juridiques que d'intégrité
personnelle. Un engagement écrit des personnes amenées à
traiter de telles données à respecter la présente loi doit être
signé.
- empêcher l'introduction non autorisée de toute donnée dans
le système d'information ainsi que toute prise de
connaissance, toute modification ou tout effacement non
autorisés des données enregistrées ;
- empêcher que des systèmes de traitement des données
puissent être utilisés par des personnes non autorisées à
l'aide d'installations de transmissions de données ;
- empêcher que, lors de la communication des données et du
transport des supports des données, les données puissent être
lues, copiées, modifiées ou effacées de façon non autorisée ;
- sauvegarder les données par la constitution de copies de
sécurité ;
- rafraîchir et si nécessaire, convertir les données pour un
stockage pérenne.
Le non respect de l'obligation de confidentialité dans
le traitement des données à caractère personnel constitue une
violation du secret professionnel. A ce titre, il est passible des
peines prévues par le Code pénal, notamment en son article
289.
Article 67 : Des décrets pris, après avis de la Commission
nationale pour la protection des données à caractère personnel,
peuvent fixer les prescriptions techniques auxquelles doivent
se conformer les traitements mentionnés au 2ème et au 6ème tiret
de l'article 48.
Article 65 : Les données à caractère personnel ne peuvent
faire l'objet d'une opération de traitement de la part d'un soustraitant, d'une personne agissant sous l'autorité du responsable
du traitement ou de celle du sous-traitant, que sur instruction
du responsable du traitement.
Sous-section IV : De l'obligation de conservation
Article 64 : Le traitement des données à caractère personnel
est confidentiel. Il est effectué par des personnes qui agissent
sous l'autorité du responsable du traitement et seulement sur
ses instructions.
Le sous-traitant doit présenter des garanties
suffisantes pour assurer la mise en uvre des mesures de
sécurité et de confidentialité mentionnées à l'article 64 cidessus. Cette exigence ne décharge pas le responsable du
traitement de son obligation de veiller au respect de ces
mesures.
Le contrat liant le sous-traitant au responsable du
traitement comporte l'indication des obligations incombant au
sous-traitant en matière de protection, de sécurité et de
confidentialité des données et prévoit que le sous-traitant ne
peut agir que sur instruction du responsable du traitement.
Sous-section III : De l'obligation de sécurité
Article 66 : Le responsable du traitement est tenu de prendre
toute précaution utile au regard de la nature des données et,
notamment pour empêcher qu'elles soient déformées,
endommagées ou que des tiers non autorisés y aient accès. Il
prend, en particulier, toute mesure visant à :
- garantir que, pour l'utilisation d'un système de traitement
automatisé des données, les personnes autorisées ne puissent
accéder qu'aux données à caractère personnel relevant de
leur compétence ;
- garantir que puisse être vérifiée et constatée l'identité des
tiers auxquels des données à caractère personnel peuvent
être transmises ;
- garantir que puisse être vérifiée et constatée a posteriori
l'identité des personnes avant eu accès au système
d'information et quelles données ont été lues ou introduites
dans le système, à quel moment et par quelle personne ;
- empêcher toute personne non autorisée d'accéder aux
locaux et aux équipements utilisés pour le traitement des
données ;
- empêcher que des supports de données puissent être lus,
copiés, modifiés, détruits ou déplacés par une personne non
autorisée ;
Article 68 : Les données doivent être collectées pour des
finalités déterminées, explicites et légitimes et ne peuvent pas
être traitées ultérieurement de manière incompatible avec ces
finalités.
Elles doivent être adéquates, pertinentes et non
excessives au regard des finalités pour lesquelles elles sont
collectées et traitées ultérieurement.
Elles doivent être conservées pendant une durée qui
n'excède pas la période nécessaire aux finalités pour lesquelles
elles ont été collectées ou traitées. Au-delà de cette période
requise, les données ne peuvent faire l'objet d'une
conservation qu'en vue de répondre spécifiquement à un
traitement à des fins historiques, statistiques ou de recherches
en vertu des dispositions légales.
Article 69 : Sauf consentement exprès de la personne
concernée, les données à caractère personnel recueillies par les
prestataires de services de certification électronique pour les
besoins de la délivrance et de la conservation des certificats
liés aux signatures électroniques doivent l'être directement
auprès de la personne concernée et ne peuvent être traitées que
pour les fins en vue desquelles elles ont été recueillies.
Sous-section V : De l'obligation de pérennité
Article 70 : Le responsable du traitement est tenu de prendre
toute mesure utile pour assurer la pérennité des données à
caractère personnel.
Chapitre V : Des principes spécifiques relatifs au
traitement de certaines données à caractère personnel
Section I : Du traitement des données à caractère personnel
ayant pour fin la recherche dans le domaine de la santé
Article 71 : Les traitements des données à caractère personnel
à des fins de recherche dans le domaine de la santé sont
soumis aux dispositions de la présente loi, à l'exception des
articles 52, 55 à 58 et 59 de la présente loi.