Portee extraterritoriale (Art. 3 RGPD) : Le RGPD s'applique a toute organisation dans le monde qui offre des biens/services a des residents de l'UE ou surveille leur comportement. Etre au Senegal ne vous exempte pas.
A. Etablissement de la base legale (Art. 6-7)
Une base legale valide est identifiee pour chaque traitement : consentement, contrat, obligation legale, interet vital, mission publique, interet legitime
Le consentement est granulaire (1 case = 1 finalite), retractable et documente avec horodatage
Les cases pre-cochees, les consentements groupes et les cases 'j'accepte les CGU et la politique' ont ete supprimes
Un mecanisme de retrait du consentement est aussi facile a utiliser que son obtention (bouton visible, 1 clic)
La base 'interet legitime' a fait l'objet d'un test de mise en balance (LIA - Legitimate Interest Assessment)
B. Droits des personnes (Art. 15-22) - specificites RGPD
Droit d'acces (Art. 15) : reponse dans 1 mois maximum (extensible a 3 mois si requete complexe)
Droit a l'effacement / droit a l'oubli (Art. 17) : procedure documentee, effacement des sauvegardes inclus
Droit a la portabilite (Art. 20) : donnees fournissables en format structuree (CSV, JSON, XML) — absent de la Loi 2008-12
Droit d'opposition (Art. 21) : notamment pour la prospection commerciale et le profilage
Droit a la limitation (Art. 18) : possibilite de geler un traitement en cas de contestation
Droit de ne pas faire l'objet d'une decision automatisee uniquement (Art. 22) : intervention humaine disponible sur demande
C. Transferts internationaux Senegal-UE (Art. 44-49)
Le Senegal n'est pas reconnu comme pays adequat par la Commission europeenne. Chaque transfert doit etre encadre.
Des Clauses Contractuelles Types (CCT) approuvees par la Commission europeenne (juin 2021) sont en place avec chaque sous-traitant europeen
Un registre des transferts internationaux est tenu (destinataire, pays, mecanisme de garantie)
Les sous-traitants hors UE traitant des donnees europeennes ont signe un Accord de Traitement des Donnees (DPA)
Une analyse d'impact sur les transferts (TIA) a ete realisee pour les pays sans adequation
D. Privacy by Design & Securite (Art. 25 & 32)
La protection des donnees est integree des la conception des nouveaux produits (Privacy by Design)
Par defaut, seules les donnees strictement necessaires sont collectees (Privacy by Default)
Les donnees sont pseudonymisees ou anonymisees des que possible
Les mesures de securite sont proportionnees au risque : chiffrement, controle acces, journaux, tests de penetration
Un plan de reprise apres incident (DREP) couvre les donnees personnelles
E. Analyse d'Impact (AIPD) - Art. 35
Une AIPD a ete realisee pour les traitements a risque eleve (biometrie, profilage, surveillance, sante, mineurs)