Identité du responsable du traitement

KINKIMO | S.A.R.L

RCS : 2016B00549

STAT : 73102 11 2016 0 10602

NIF : 300 234 8404

Adresse : Ikianja Ambohimangakely, RN2 
102 Antananarivo - MG

E-mail : office@kinkimo.com

Site internet : https://www.kinkimo.com

Telephone : (+33) 1 84 88 07 51 | (+261) 3 31 15 85 95

LOI N° 2014 – 038 | Protection des données à caractère personnel

PRESIDENCE DE LA REPUBLIQUE DE MADAGASCAR
---------------------------------
LOI N° 2014 – 038
Sur la protection des données à caractère personnel
EXPOSE DES MOTIFS
L’informatique, les technologies de l’information ou l’e-technologie constituent aujourd’hui un facteur important du développement.
Ces technologies à l’inverse des autres technologies industrielles s’exportent rapidement et leur zone de propagation traverse sans difficulté les frontières sans véritable considération des structures physiques. Elles présentent donc l’avantage d’être facilement utilisable dans les pays en voie de développement, les infrastructures nécessaires à son utilisation étant réduites.
L’utilisation de l’informatique permet des gains de temps et de productivité sans précédent ainsi que plus de rigueur dans la gestion quotidienne. Elle permet également d’offrir à distance des services nouveaux, aussi bien sur le plan national que sur le plan international.
En un mot, le développement économique et la consolidation ou la modernisation de l’Etat ne se conçoivent plus sans l’usage des technologies de traitement de l’information.
Il convient cependant, à côté de ces bénéfices attendus de l’usage de ces technologies, de considérer dans toute démocratie tournée vers le progrès et le développement, les risques que ces technologies font peser sur les libertés des personnes concernées si elles ne sont pas encadrées par l’établissement de principes directeurs et de droits individuels nouveaux.
En effet, tout usage de l’informatique et des réseaux de communication à des fins de recherche, d’information, à des fins de communication interpersonnelle, à des fins commerciales ou administratives, implique le traitement des données à caractère personnel par des tiers.
Les informations relatives aux personnes contenues dans un fichier peuvent être conservées pour de longues durées et lorsqu’elles sont informatisées ou numérisées, elles peuvent être aisément rapprochées avec d’autres, être l’objet de détournement de la finalité pour laquelle elles ont été collectées, copiées ou manipulées à l’insu des personnes concernées.
Le droit à la protection des données à caractère personnel est reconnu à toute personne. Il s’agit d’un droit autonome qui fait partie intégrante des droits humains.
Le droit à la protection des données à caractère personnel devient un droit essentiel à un exercice réel d’autres libertés et droits fondamentaux telles que la liberté d’aller et venir ou la liberté d’information.

Madagascar doit se doter d’une législation pour protéger les données à caractère personnel.
La présente loi vise à protéger les personnes contre les risques d’abus en matière de fichier et de traitement de données à caractère personnel au regard de leurs libertés et droits fondamentaux.
La protection des données à caractère personnel repose sur quatre piliers :
- les principes fondamentaux qui doivent présider à la conception et à la mise en oeuvre des traitements de données à caractère personnel et qui sont de nature à prévenir les abus : tels que le principe de la finalité légitime d’une collecte et du traitement des données à caractère personnel, le principe de la loyauté de la collecte et du traitement ;
- les droits des personnes à savoir le droit des personnes à s’opposer à l’utilisation de ses données à caractère personnel, le droit d’accès, de rectification ;
- l’autorité indépendante ;
- le régime des sanctions.
La présente de loi comprend neuf (9) Chapitres et soixante-dix-huit (78) articles.
Le Chapitre premier parle du double objectif de l’Informatique qui est d’être au service de chaque personne et de respecter l’identité humaine, les libertés et les droits fondamentaux des personnes.
Le Chapitre II circonscrit le champ d’application et définit les termes utilisés tels que les données à caractère personnel.
Le Chapitre III établit les principes fondamentaux aux règles de nature à prévenir les risques.
Le Chapitre IV consacre les droits des personnes.
Le Chapitre V institue une autorité indépendante chargée de s’assurer que les traitements des données ne portent atteinte aux droits et libertés des personnes.
Le Chapitre VI concerne le délégué à la protection des données à caractère personnel.
Le Chapitre VII parle des sanctions prononcées par l’autorité indépendante ainsi que des sanctions pénales.
Le Chapitre VIII porte sur les dispositions financières.
Le Chapitre IX concerne les dispositions transitoires et finales.
Cette loi a fait l’objet d’un atelier auquel ont participé les représentants de la Primature, des différents départements ministériels, de la société civile, du Conseil National des Droits Humains dénommé actuellement Commission Nationale Indépendante des Droits de l’Homme.

Il convient de noter que Madagascar a participé à la Première Conférence des Commissaires à la protection des données de la Francophone et à l’Assemblée constitutive de l’Association des Autorités francophones de protection des données à caractère personnel. Madagascar est membre observateur de cette association car il n’a pas encore une législation sur la protection des données.
En adoptant cette loi, le Gouvernement Malagasy soutient la création d’entreprises malagasy et l’implantation d’entreprises étrangères responsables de traitement de données à caractère personnel.
Le développement de ce gisement d’emploi important pour les jeunes de notre pays et l’activité de ces entreprises seront largement facilités et encouragés par la mise en place d’un niveau de protection de données à caractère personnel adéquat au regard des législations en vigueur de nos principaux partenaires commerciaux.
Tel est l’objet de la présente loi.

PRESIDENCE DE LA REPUBLIQUE DE MADAGASCAR
-------------------------------
LOI N° 2014 – 038
Sur la protection des données à caractère personnel
L’Assemblée nationale a adopté en sa séance du 16 décembre 2014,
LE PRESIDENT DE LA REPUBLIQUE,
Vu la Constitution ; Vu la décision n°02-HCC/D3 du 07 janvier 2015 de la Haute Cour Constitutionnelle,
PROMULGUE LA LOI DONT LA TENEUR SUIT :
CHAPITRE PREMIER
DISPOSITIONS GENERALES
Article premier - La présente loi a pour objet de protéger les droits des personnes en matière de traitement de données à caractère personnel.
Art.2 - L’informatique doit être au service de chaque personne. Elle doit respecter l’identité humaine, les droits humains, la vie privée, les libertés individuelles ou publiques. Son développement doit s’opérer dans le cadre de la coopération internationale.
Toute personne le droit à la protection des données à caractère personnel la concernant.
Art.3 - Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement informatique de données à caractère personnel destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.
Aucune décision administrative et privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement informatique de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.
Art.4 - Le respect des principes posés dans la présente loi est soumis au contrôle d’une Autorité indépendante dénommée Commission Malagasy de l’Informatique et des Libertés (CMIL).

CHAPITRE II
CHAMP D’APPLICATION ET DEFINITIONS
Art.5 - Champ d’application
La loi s’applique à tout traitement automatisé ou non de données à caractère personnel contenues ou appelées à figurer dans des fichiers, traitement opéré en tout ou en partie sur le territoire malagasy.
La loi ne s’applique pas aux traitements de données à caractère personnel mis en oeuvre :
- pour l’exercice d’activités exclusivement personnelles ;
- ou aux seules fins de journalisme ou d’expression littéraire ou artistique.
Art.6 - Détermination du droit applicable
Sont soumis à la présente loi les traitements des données à caractère personnel :
1°Dont le responsable est établi sur le territoire malagasy. Le responsable d’un traitement qui exerce une activité sur le territoire dans le cadre d’une installation, quelle que soit sa forme juridique, y est considérée comme établi.
2°Dont le responsable, sans être établi sur le territoire malagasy, recourt à des moyens de traitement situés sur le territoire malagasy, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire.
Art.7 - Définition d’une donnée à caractère personnel
Une donnée à caractère personnel est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Ces éléments sont notamment physiques, physiologiques, psychiques, économiques, culturels ou sociaux.
Pour déterminer si une personne est identifiable, il faut considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Art.8 - Définition d’un traitement et d’un fichier
Un traitement de données à caractère personnel est toute opération ou processus d’opérations y compris manuelles portant sur la collecte, l’enregistrement, l’utilisation, la communication de telles données, quel que soit le procédé utilisé et notamment l’organisation, l’élaboration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Un fichier de données à caractère personnel est tout ensemble structuré et stable, de données personnelles accessibles selon des critères déterminés.

Art.9 - Définition du responsable du traitement de données à caractère personnel
Le responsable du traitement est la personne physique ou morale, publique ou privée qui, a le pouvoir de décider de la création du traitement seule ou conjointement avec d’autres, et qui détermine les finalités et les moyens à mettre en oeuvre.
Art.10 - Définition du sous-traitant
Le sous-traitant est toute personne différente du responsable définie à l’article 9 et traitant des données à caractère personnel pour le compte du responsable du traitement et selon ses instructions.
Art.11 - Définition du destinataire des données à caractère personnel
Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles.
Les autorités habilitées dans le cadre d’une mission particulière d’enquête ne sont pas destinataires des données au sens de cette définition.
Art.12 - Définition de la personne concernée
La personne concernée est celle à laquelle se rapportent les données qui font l’objet du traitement.
Art.13 - Définition du consentement de la personne concernée
Toute manifestation explicite de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.
CHAPITRE III
PRINCIPES FONDAMENTAUX
Art. 14 - Principes généraux relatifs aux données et aux traitements
Les données à caractère personnel doivent être :
- collectées et traitées, de manière loyale, licite et non frauduleuse pour des finalités déterminées, explicites et légitimes ; à cet effet, elles ne doivent pas être utilisées ultérieurement pour d’autres finalités sauf consentement de la personne concernée ou finalité prévue dans une disposition législative ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou utilisées ;
- exactes, complètes et si nécessaire mises à jour ; toutes les mesures nécessaires raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées ou utilisées.

Les dispositions de l’alinéa précédent ne s’opposent pas à la conservation et à l’utilisation des données traitées à des fins de gestion des archives ou à des fins historiques, statistiques ou scientifiques selon les modalités et les garanties appropriées définies par la législation ou par la Commission Malagasy de l’Informatique et des Libertés ,en l’absence de dispositions légales.
Art.15 - Obligation de sécurité
Le responsable du traitement prend toutes précautions utiles, au regard de la nature des données et des risques encourus, pour préserver la sécurité des données.
Il doit protéger les traitements et les données contre notamment la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé.
Art.16 - Sous-traitance
Les traitements de données à caractère personnel peuvent faire l’objet d’une sous-traitance.
Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, que sur instruction du responsable du traitement.
Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité. Cette exigence n’exonère pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Art.17 - Légitimation des traitements des données
Un traitement des données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1. le respect d’une obligation légale incombant au responsable du traitement ;
2. la sauvegarde de la vie de la personne concernée ;
3. l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4. l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celui-ci ;
5. la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaitre l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Art.18- Données sensibles
En raison de risques de discrimination et d’atteinte aux libertés des personnes, Tout traitement portant sur les données sensibles est interdit.

Sont considérées comme des données sensibles, celles révélant l’origine raciale, les données biométriques, les données génétiques, les opinions politiques, les convictions religieuses ou autres convictions, l’appartenance syndicale et celles qui se rapportent à la santé ou à la vie sexuelle des personnes.
Par dérogation, les données sensibles peuvent faire l’objet d’un traitement présentant des garanties appropriées telles que définies par la loi ou la Commission, dans les cas suivants :
- quand la personne concernée a donné son consentement exprès, sauf si la loi prévoit que l’interdiction de traitement ne peut être levée par le consentement de la personne ;
- le traitement est nécessaire à la sauvegarde de la vie de la personne concernée ou d’un tiers, lorsque la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
- le traitement est mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical pour les données sensibles correspondant à l’objet de ladite association ou dudit organisme et sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité. Ces traitements ne comportent pas de communication à des tiers à moins que les personnes concernées n’y consentent expressément ;
- le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
- le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par le code pénal ;
- le traitement ultérieur des données d’un patient est nécessaire à une recherche d’intérêt public dans le domaine de la santé et la personne ne s’y est pas opposée ;
- le traitement porte sur des données rendues publiques par la personne concernée ;
- le traitement est nécessaire à la poursuite d’un intérêt public et autorisé par la loi ou par la Commission conformément à l’article 46 de la présente loi.
Art.19- Traitement de données à caractère personnel relatives aux infractions et condamnations
Le traitement de données à caractère personnel relatives aux infractions et condamnations et mesures de sûretés peut exclusivement être mis en oeuvre par :
- les juridictions, les autorités publiques gérant un service public, agissant dans le cadre de leurs attributions légales ;
- les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi.

Art.20 - Transfert de données à caractère personnel à l‘étranger
Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si l’Etat destinataire dispose d’une législation assurant un niveau de protection des personnes similaire à celui assuré par la présente loi.
Le niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
A défaut d’un niveau de protection similaire, la Commission Malagasy de l’Informatique et des Libertés peut autoriser le transfert de données à caractère personnel, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées ou de l’adoption de règles internes.
Par dérogation aux paragraphes précédents, le transfert de données à caractère personnel vers un tiers n’assurant pas un niveau de protection similaire peut être effectué de façon exceptionnelle, à condition que :
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé dûment informée de l’absence d’un niveau de protection similaire ou ;
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée ou ;
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ou ;
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice ou ;
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée ou ;
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation publique ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
Il est interdit au destinataire de transférer à nouveau les données à caractère personnel à l’étranger, sauf accord du responsable du traitement d’origine et de celui de la Commission Malagasy de l’Informatique et des Libertés.
Art.21- Données recueillies par les prestataires de service de certification électronique
Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de service de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures

électroniques doivent l’être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.
CHAPITRE IV
DROITS DES PERSONNES
Art.22 - Droit de s’opposer à figurer dans un traitement
Toute personne justifiant d’un motif légitime a le droit de s’opposer, à tout moment et sans frais, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. En cas de contestation, le caractère légitime du motif est apprécié par la Commission Malagasy de l’Informatique et des Libertés.
La personne concernée a le droit de s’opposer à ce que les données la concernant soient utilisées à des fins de prospection sans avoir à justifier d’un motif légitime.
Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.
Art.23 - Droit d’accès à ses données à caractère personnel
Toute personne a le droit de savoir si elle est concernée par un traitement.
Toute personne, sous réserve de justifier de son identité, a le droit d’obtenir du responsable d’un traitement :
- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
- la communication, sous une forme compréhensible, de l’ensemble des données qui la concerne ainsi que de toute information disponible quant à leur origine ;
- les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.
Le demandeur exerce gratuitement son droit d’accès sur place ou à distance. Il est fait droit à sa demande sans délai.
Une copie des données le concernant, conforme au contenu du traitement, est délivrée à l’intéressé à sa demande.
Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire du médecin qu’elle désigne à cet effet.
En cas de risque de dissimulation ou de disparition des données, la Commission Malagasy de l’Informatique et des Libertés peut ordonner toutes mesures de nature à les éviter.
Les dispositions du présent article ne sont pas applicables aux traitements concernant la sécurité publique, ainsi qu’à la collecte des informations nécessaires à la

constatation des infractions et à la mise en oeuvre des poursuites conséquentes. L’article 26 de la présente loi est alors applicable.
Art.24 - Demandes d’accès abusives
Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
Art.25 - Droit de rectification
Toute personne peut exiger, munie de toutes les justifications nécessaires, du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
Si le responsable du traitement a transmis des données à un tiers, il doit lui notifier sans délai les opérations effectuées sur ces données.
Art.26 - Droits d’accès et de rectification indirects
Par dérogation à l’article 23 sur le droit d’accès et à l’article 25 sur le droit de rectification, lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, les droits d’accès et de rectification aux données s’exercent de façon indirecte.
La demande est adressée à la Commission Malagasy de l’Informatique et des Libertés qui désigne un de ses membres relevant de la magistrature qu’elle a spécialement mandaté pour mener les investigations utiles et faire procéder aux modifications ; celui-ci peut se faire assister d’un agent de la commission.
Lorsque la Commission Malagasy de l’Informatique et des Libertés constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause la sûreté de l’Etat, la défense ou la sécurité publique, ces données sont communiquées au requérant. A défaut, il est notifié au requérant qu’il a été procédé aux vérifications et modifications éventuelles.
Art.27.- Droit d’être informé
Le responsable du traitement s’assure que la personne auprès de laquelle sont recueillies des données à caractère personnel est informée :
- de l’identité du responsable du traitement et le cas échéant de celle de son représentant ;
- de la finalité poursuivie par le traitement ;
- du caractère obligatoire ou facultatif des informations qui lui sont demandées ;
- des catégories de données traitées ;
- des destinataires ou catégories de destinataires des données ;
- de ses droits d’opposition, d’accès et de rectification ainsi que des modalités d’exercice ;
- le cas échéant de transferts de données à caractère personnel et, dans ce cas, les garanties attachées à ces transferts selon les dispositions de l’article 20 de la présente loi.
Cette information est portée à la connaissance de la personne sous une forme compréhensible et adaptée en fonction du moyen utilisé pour la collecte des données. A sa demande, la personne concernée peut également obtenir à tout moment ces informations.
Toute personne utilisatrice des réseaux de communications électroniques doit être informée directement et de manière claire et complète par le responsable du traitement ou de son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’information dans l’équipement terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées ci-dessus dès l’enregistrement des données ou si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
Les dispositions du présent article ne sont pas applicables aux traitements concernant la sécurité publique, ainsi qu’à la collecte des informations nécessaires à la constatation des infractions et à la mise en oeuvre des poursuites conséquentes.
CHAPITRE V
L’AUTORITE INDEPENDANTE CHARGEE DE LA PROTECTION
DES DONNEES A CARACTERE PERSONNEL ET DU CONTROLE DES TRAITEMENTS.
Section 1
Commission Malagasy sur l’Informatique et des Libertés
Art.28 – Création
Il est institué une Autorité indépendante de protection des données à caractère personnel dénommée Commission Malagasy de l’Informatique et des Libertés (CMIL) ci-après désignée la Commission. Elle est chargée de veiller à ce que les traitements de

données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.
A cet effet, elle dispose d’un pouvoir réglementaire et de sanction.
Art.29 – Composition, le mode de désignation, la durée des mandats et les avantages :
Art 29.1 : Composition
La Commission Malagasy de l’Informatique et des Libertés est composée de neuf (09) membres :
- un député élu en séance plénière de l’Assemblée nationale ;
- un sénateur élu par le Bureau permanent du Sénat ;
- un magistrat de l’ordre judiciaire de la Cour de Cassation élu par ses pairs ;
- un magistrat de l’ordre administratif du Conseil d’Etat élu par ses pairs ;
- un magistrat de l’ordre financier de la Cour des Comptes élu par ses pairs ;
- un représentant du secteur privé, ayant une expérience en matière de technologies de l’information et de communication, désigné par la Fédération des Chambres du Commerce et de l’Industrie;
- Deux personnalités ayant une compétence en matière de technologies de l’information et de communication désignées par la Fédération Nationale de l’ordre des ingénieurs ;
- une personnalité ayant une compétence particulière en matière des Droits Humains désignée par le Commission Nationale Indépendante des Droits de l’Homme
Art.29.2 : Mode de désignation
La désignation des membres est constatée par décret pris en Conseil des Ministres.
L’absence de désignation due au défaut de proposition par l’entité source ne saurait constituer un obstacle au fonctionnement normal et régulier de la Commission Malagasy de l’Informatique et des Libertés.
Art .29.3 : Durée du mandat
Les membres sont nommés pour un mandat de quatre (04) ans renouvelable une seule fois ou pour la durée de leur mandat en cas de mandat électif.
Le membre qui cesse d’exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions pour la durée du mandat restant à courir.
Sauf démission, il ne peut être mis fin au mandat d’un membre qu’en cas d’empêchement constaté par la Commission Malagasy de l’Informatique et des Libertés dans les conditions fixées par décret pris en Conseil des Ministres.
Art .29.4 : Avantages
Des indemnités sont allouées aux membres pour leur participation aux travaux de la Commission Malagasy de l’Informatique et des Libertés. A cet effet, ils perçoivent une indemnité de session, et en cas de mission d’information ou de contrôle sur place prévus à l’article 40 de la présente loi, une indemnité de déplacement et de séjour.
Ils perçoivent également une part des remises sur recouvrement, sur les sanctions pécuniaires prononcées par la Commission et sur les amendes pénales.
Les montants et taux des avantages prévus aux alinéas précédents revenant aux membres de la Commission sont fixés par décret pris en Conseil des ministres.

Les membres du Bureau bénéficient d’une indemnité de fonction mensuelle dont le montant est fixé par un décret pris en Conseil des ministres.
Art.30 - : Fonctionnement
La Commission Malagasy de l’Informatique et des Libertés constitue une autorité administrative indépendante.
Elle comprend un organe délibérant collégial et un bureau.
Art.30.1 : Organe délibérant
Les membres de la Commission Malagasy de l’Informatique et des Libertés constituent l’organe délibérant.
La Commission se réunit en formation plénière. En cas de partage de voix, la voix du Président est prépondérante.
Art.30.2 : Bureau
La Commission Malagasy de l’Informatique et des Libertés élit en son sein un Président et deux vice-présidents. Ils composent le bureau.
Le Président et le Vice-président délégué peuvent être chargés par la Commission Malagasy de l’Informatique et des Libertés d’exercer certaines de ses attributions.
A l’exception des membres du bureau, les membres n’exercent pas de fonction à titre permanent.
Art.30.3 : Services
La Commission Malagasy de l’Informatique et des Libertés dispose des services dirigés dont l’organigramme est fixé par décret pris en Conseil du Gouvernement.
Les agents de la Commission Malagasy de l’Informatique et des Libertés sont nommés par le Président.
En tant que de besoin, elle peut instituer des bureaux décentralisés pour l’aider à s’acquitter de ses fonctions.
Art.31 - Secret professionnel
Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés sont tenus au secret professionnel pour les informations qu’ils ont à connaître dans l’exercice de leurs fonctions dans les conditions prévues à l’article 378 du Code pénal et, sous réserve de ce qui est nécessaire à l’établissement du rapport annuel.
Avant d’entrer en fonction, les membres prêtent devant la Cour Suprême siégeant en audience solennelle, le serment suivant : « Mianiana aho fa hanatanteraka antsakany sy andavany ary amim-pahamendrehana ny andraikitra amin’ny maha-mpikambana ahy ao amin’ny Vaomiera Malagasy miandraikitra ny Informatika sy ny Fahafahan’ny olona tsirairay, tsy hiandany na amin’iza na amin’iza ary hitandro mandrakariva sy tsy hamboraka na oviana na oviana ny tsiambaratelon’ny dinika ».

Art.32 – Immunité
Aucun membre de la Commission Malagasy de l’Informatique et des Libertés ne peut être poursuivi, recherché, arrêté détenu ou jugé à l’occasion des opinions émises ou actes accomplis dans l’exercice de son mandat et liés à sa mission.
Art.33- Indépendance
Dans le cadre de leurs missions ou l’exercice de leurs attributions, les membres de la Commission Malagasy de l’Informatique et des Libertés ne reçoivent d’instruction d’aucune autorité.
Les autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements et de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.
Art.34 - Rapport d’activités
La Commission Malagasy de l’Informatique et des Libertés présente un rapport annuel de ses activités :
- au Président de la République ;
- au Premier Ministre, Chef du Gouvernement ;
- au Parlement ;
- au Ministre de la Justice.
Elle rend public son rapport d’activité par tout moyen qu’elle juge approprié.
Art.35 – Incompatibilités
La qualité de membre de la Commission Malagasy de l’Informatique et des Libertés est incompatible :
- avec la qualité de membre du Gouvernement ;
- avec toute fonction de direction dans une personne morale, publique ou privée, quand le cumul de ce statut et de cette fonction pourrait constituer un conflit d’intérêts.
Les incompatibilités sont appréciées par le Président de la Commission Malagasy de l’Informatique et des Libertés, avant la prise de fonction effective de chaque membre, puis une fois par an au cours de leur mandat.
En cas de changement de son statut, tout membre le déclare au Président ; ce dernier apprécie l’existence ou non d’incompatibilité.
Art.36.- Conflits d’intérêts
Aucun membre ne peut participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des trente-six mois précédant la

délibération ou les vérifications, détenu un intérêt direct, exercé des fonctions ou détenu un mandat.
La Commission Malagasy de l’Informatique et des Libertés peut faire appel à toute personne dont elle juge la compétence utile pour certaines matières; dans ce cas, le Président veille à ce qu’il n’y ait pas un conflit d’intérêt.
Art.37.- Attributions
La Commission Malagasy de l’Informatique et des Libertés :
- informe toutes les personnes concernées et les responsables de traitements de leurs droits et obligations ;
- reçoit les déclarations de création de traitement informatique, ou donne son avis écrit ou son autorisation écrite dans les cas prévus par la loi ;
- contrôle la création et la mise en oeuvre des traitements ;
- établit et publie les normes simplifiées et les exonérations ;
- fait des recommandations ;
- édicte des règles types en vue d’assurer la sécurité des systèmes d’information ;
- reçoit les réclamations, pétitions et plaintes en rapport avec sa mission et informe leurs auteurs de suites données à celles-ci ;
- adresse aux intéressés des avertissements et dénonce à l’autorité judiciaire les infractions aux dispositions de la présente loi ;
- prononce les sanctions administratives prévues par la présente loi ;
- exerce une veille sur les évolutions des technologies de l’information et de communication et sur son environnement juridique.
- rend publique son évaluation des conséquences de ces évolutions sur la protection des libertés et de la vie privée dans le cadre de son rapport annuel ;
- propose au Gouvernement des modifications législatives ou réglementaires qui lui semblent susceptibles d’améliorer la protection des personnes à l’encontre de l’utilisation des technologies de l’information et de communication ;
- rend un avis dans un délai deux mois renouvelable une fois en cas de nécessité sur tout projet de texte relatif à la protection de données à caractère personnel à l’égard des traitements informatisés ;
- répond aux demandes d’accès indirects ;
- peut délivrer des labels ;
- coopère avec les autorités de protection de données personnelles instituées dans d’autres Etats ;
- coopère avec le réseau des délégués à la protection des données personnelles.
Elle est associée à la négociation internationale ayant une incidence sur le traitement des données à caractère personnel.
Art.38.- Information du public
Elle tient à la disposition du public la liste des traitements qui ont fait l’objet d’une déclaration ou d’une autorisation.
Cette liste précise pour chaque traitement :
- l’acte décidant la création du traitement ou la date de sa déclaration ;
- la dénomination ou la finalité du traitement ;
- l’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi sur le territoire national, celles de son représentant ;
- la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les catégories de données personnelles faisant l’objet du traitement ainsi que les destinataires ou catégories des destinataires habilités à en recevoir communication ;
- le cas échéant, les transferts de données à caractère personnel à destination d’un autre Etat.
Elle tient également à la disposition du public ses avis, autorisations, décisions, recommandations, dispenses de déclaration.
Elle informe par tout moyen qu’elle juge approprié les autorités publiques, les organismes privés et les représentants de la société civile des avis, autorisations, décisions qu’elle rend au regard de la protection des libertés ainsi que de ses recommandations.
Les décisions de la Commission Malagasy de l’Informatique et des Libertés ayant une portée générale sont publiées dans le Journal Officiel.
Art.39.- Dispense de publication
Des décrets peuvent, sur avis conforme de la Commission Malagasy de l’Informatique et des Libertés, disposer que les actes réglementaires relatifs à certaines données intéressant la sûreté de l’Etat, la défense et la sécurité publique ne sont pas publiées.
Art.40 – Pouvoirs
Pour exercer les missions qui lui sont confiées par la loi, la Commission Malagasy de l’Informatique et des Libertés peut :
- procéder par voie de recommandations ;
- prendre des décisions individuelles ou réglementaires ;
- adopter des mesures de simplification ou des dispenses de déclaration ;
- définir des modalités d’exercice des droits des personnes, en particulier en matière d’information ;
- enjoindre les responsables de traitement des fichiers de lui communiquer toute information utile sur les fichiers informatiques qu’ils utilisent.
Elle peut décider de mener des missions d’information ou de contrôle sur place.
Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la Commission sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions.
Art.41 - Règlement intérieur
Le Bureau établit le règlement intérieur qui est soumis à l’approbation de la Commission.
Il fixe notamment les règles relatives aux délibérations, à l’instruction des dossiers et à leur présentation devant l’organe délibérant.
Art.42 - Voies de recours
Les décisions administratives de la Commission Malagasy de l’Informatique et des Libertés sont susceptibles de recours devant le Conseil d’Etat.

Section 2
Formalités préalables à la mise en oeuvre
Art.43 - Principe de déclaration ou tenue d’un registre des traitements
Les traitements informatisés en tout ou partie des organismes publics ou privés comportant des données personnelles doivent, préalablement à leur mise en oeuvre, être déclarés à la Commission Malagasy de l’Informatique et des Libertés.
La déclaration peut être adressée par voie électronique.
Les traitements informatisés sont inscrits dans un registre tenu par le délégué à la protection des données à caractère personnel désigné par le responsable du traitement.
Art.44 - Mise en oeuvre des traitements du secteur public
Hormis le cas où ils doivent être autorisés par la loi, les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, d’un établissement public, d’une collectivité ou d’une personne morale de droit privé gérant un service public, sont décidés par acte réglementaire après avis conforme motivé de la Commission Malagasy de l’Informatique et des Libertés.
L’acte réglementaire précise notamment :
- la dénomination et la finalité du traitement de données ;
- le service auprès duquel s’exerce le droit d’accès ;
- les catégories d’informations nominatives enregistrées ainsi que les destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;
- la durée de conservation de données.
Art.45 - Mise en oeuvre des traitements du secteur privé
Les traitements des données à caractère personnel effectués pour le compte de personnes autres que celles soumises aux dispositions de l’article 46 doivent préalablement à leur mise en oeuvre, faire l’objet d’une déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés. Cette déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.
Le récépissé est délivré sans délai et les traitements informatisés peuvent être mis en oeuvre. Toutefois, la déclaration n’exonère nullement le déclarant de sa responsabilité.
Art.46 - Autorisation à la mise en oeuvre des traitements présentant des risques particuliers
Les traitements informatiques ou non, qui présentent des risques particuliers pour les droits et libertés ou qui sont susceptibles, de par leur contenu, leur structure ou leur finalité, de porter atteinte à la vie privée doivent faire l’objet d’une autorisation de la Commission Malagasy de l’Informatique et des Libertés préalablement à leur mise en oeuvre.
Art.47 - Déclarations simplifiées et dispenses de déclarations
Pour les catégories les plus courantes de traitement de données à caractère public ou privé, la Commission Malagasy de l’Informatique et des Libertés établit et publie des normes de simplification, ou d’exonération lorsque la mise en oeuvre de ceux-ci n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Ces normes précisent :
1° les finalités des traitements faisant l’objet d’une déclaration simplifiée ;
2° les données à caractère personnel ou catégories de données à caractère personnel traitées ;
3° la ou les catégories de personnes concernées ;
4° les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
5° la durée de conservation des données à caractère personnel.
Pour les traitements répondant aux normes de simplification, seule une déclaration simplifiée de conformité à l’une de ces normes est déposée auprès de la Commission Malagasy de l’Informatique et des Libertés.
Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le responsable du traitement peut mettre en oeuvre le traitement. Il n’est exonéré d’aucune responsabilité.
Art.48 - Demandes d’avis et d’autorisations
La Commission Malagasy de l’Informatique et des Libertés saisie des demandes d’avis ou d’autorisations se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une seule fois sur décision motivée du président.
L’absence de réponse de l’autorité de contrôle dans le délai imparti est interprétée comme un refus de la demande; en conséquence la demande doit être reformulée.
Art.49 - Dispositions communes
Les déclarations et les demandes d’avis ou d’autorisation adressées à la Commission Malagasy de l’Informatique et des Libertés comportent :
1. L’identité et l’adresse du responsable du traitement et celle de la personne ou de l’entité pour le compte de laquelle le traitement est mis en oeuvre et s’il y a lieu la dénomination du traitement ;
2. La ou les finalités du traitement ;
3. Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;
4. Les données personnelles enregistrées, leur origine et les catégories des personnes concernées par le traitement et la durée de conservation des informations traitées;
5. Le ou les services chargés de mettre en oeuvre le traitement, les personnes habilitées à accéder aux données ou pouvant en obtenir communication ;
6. La fonction de la personne ou le service auprès duquel les personnes concernées peuvent exercer leur droit d’accès ;
7. Le cas échéant, les transferts de données personnelles à destination d’autres Etats ;
8. Les mesures envisagées pour assurer la sécurité du traitement ;
9. La garantie des secrets protégés par la loi ;
10. Le cas échéant, l’indication du recours à un sous-traitant.

Le responsable d’un traitement doit notifier toute modification intervenue dans les informations communiquées à la Commission Malagasy de l’Informatique et des Libertés, ainsi que la suppression du traitement.
Section 3
Contrôle sur la mise en oeuvre des traitements
Art.50 - Missions de contrôle
Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés participant à des missions de contrôle sont habilités à cette fin par ordre de mission dûment signé par le président.
Ils peuvent :
- accéder de six heures à dix-neuf heures à tout type de local à usage professionnel, servant à la mise en oeuvre du traitement des données à caractère personnel ;
- avoir accès sans restriction aux fichiers et traitements et aux matériels utilisés,
- prendre copie de toute information, quel qu’en soit le support, et recueillir les déclarations du responsable du traitement, de son représentant ainsi que de toute personne placée sous son autorité ou travaillant pour son compte.
Ils peuvent à la demande du Président, être assistés par des experts désignés.
Il est dressé contradictoirement procès-verbal de la mission de contrôle ; le procès-verbal est adressé pour observation au responsable du traitement.
En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation du Président du Tribunal dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.
Ce magistrat est saisi à la requête du Président de la commission, il statue par une ordonnance motivée.
La visite s’effectue sous l’autorité et le contrôle du magistrat qui l’a autorisée. Celui-ci peut se rendre dans les locaux durant l’intervention. A tout moment, il peut décider l’arrêt ou la suspension de la visite.
CHAPITRE VI
LE DELEGUE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Art.51- Désignation et missions
Tout responsable de traitement désigne un délégué à la protection des données à caractère personnel chargé de veiller au respect des obligations de la présente loi.
A ce titre, le délégué à la protection des données à caractère personnel :
- tient à jour le registre des traitements mis en oeuvre par le responsable des traitements ;
- est consulté, préalablement à leur mise en oeuvre, sur l’ensemble des nouveaux traitements ;
- consulte en cas de doute la Commission Malagasy de l’Informatique et des Libertés;
- reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements mis en oeuvre par le responsable du traitement. Lorsqu’elles ne relèvent pas de sa responsabilité, il les transmet au responsable de traitement compétent et en avise les intéressés ;
- informe le responsable des traitements des manquements constatés avant toute saisine de la Commission Malagasy de l’Informatique et des Libertés;
- saisit la Commission Malagasy de l’Informatique et des Libertés en cas de manquements constatés, lorsque le responsable de traitement ne prend pas les mesures nécessaires pour les faire cesser ou en cas de doute sur l’application de la loi ;
- établit un bilan annuel de ses activités qu’il présente au responsable des traitements et qu’il tient à la disposition de la Commission Malagasy de l’Informatique et des Libertés.
La désignation du délégué à la protection des données est notifiée à cette dernière par tout procédé laissant trace écrite.
La Commission tient à jour la liste des délégués désignés.
Art.52 - Dispense de déclarations
Lorsqu’un délégué à la protection des données a été désigné, le responsable de traitement est dispensé de l’accomplissement des formalités de déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés, sauf dans les cas où le traitement est soumis à son autorisation.
Art.53 - Qualifications et incompatibilités
Seuls peuvent être désignés des délégués résidant sur le territoire de la République Malagasy et disposant des connaissances et qualifications nécessaires à l’exercice de leur mission. Il peut s’agir d’une personne exclusivement attachée au service du responsable de traitement ou d’une personne externe. Le responsable de traitement ou son représentant légal ne peut être désigné en tant que délégué.
Le délégué à la protection des données exerce ses missions d’une manière indépendante. En particulier, il ne reçoit pas d’instructions du responsable de traitement. Il ne peut pas faire l’objet de sanctions du fait de l’exercice de ses fonctions.
Le responsable de traitement doit doter le délégué à la protection des données des moyens nécessaires à l’exercice de ses missions.
Le délégué à la protection des données est tenu d’un devoir de confidentialité sur les informations recueillies à l’occasion de l’instruction d’une plainte ou d’une requête dont il est saisi.
Art.54 - Révocation
Le délégué à la protection des données ne peut être révoqué par le responsable de traitement que pour des motifs graves et après information de la Commission.
La Commission Malagasy de l’Informatique et des Libertés peut demander la révocation du délégué en cas de conflit d’intérêt entre l’exercice des fonctions de délégué et celles exercées par ailleurs.

Lorsque la Commission constate, après avoir recueilli ses observations, que le délégué à la protection des données à caractère personnel manque aux devoirs de sa mission, elle demande au responsable du traitement de le décharger de ses fonctions en application du présent article.
CHAPITRE VII
SANCTIONS
Section 1
SANCTIONS PRONONCEES PAR LA COMMISSION MALAGASY DE L’INFORMATIQUE ET DES LIBERTÉS
Art.55 - Sanctions
La Commission Malagasy de l’Informatique et des Libertés peut prononcer à l’encontre d’un responsable de traitement, en cas de manquement à l’une ou plusieurs des dispositions de la présente loi, et après une procédure contradictoire, les sanctions suivantes :
- un avertissement ;
- une injonction de cesser le traitement ou retrait de l’autorisation accordée;
- une sanction pécuniaire ;
En cas d’urgence, lorsque la mise en oeuvre du traitement ou l’exploitation de données traitées entraine une violation des droits et libertés mentionnés à l’article 1 et 2, la Commission peut après une procédure contradictoire :
1. décider l’interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, si le traitement n’a pas été mis en oeuvre par l’Etat et ne porte pas sur la sureté de l’Etat, la défense ou la sécurité publique, ou la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ;
2. décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est mis en oeuvre pour des finalités qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
Toute sanction prononcée doit être consignée dans un registre.
En cas de récidive, les sanctions pécuniaires seront portées au double.
Art.56 - Saisine du juge des référés
En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 2, le Président, peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Art.57 - Injonction de modification ou suppression d’un traitement
Toute décision de sanction prononcée peut être assortie d’une injonction de procéder, selon un délai qu’elle détermine, à toute modification ou suppression que celle-ci jugerait utile dans le fonctionnement du ou des traitements de données personnelles objet de la décision de sanction.
Art.58 - Procédure contradictoire et recours contre une décision de sanction
Les sanctions administratives prévues dans la présente loi sont prononcées sur la base d’un rapport établi par les services de la Commission Malagasy de l’Informatique et des Libertés ou par un membre désigné par le président. Le rapport est notifié au responsable du traitement qui peut déposer des observations écrites et orales et se faire représenter ou assister.
Le rapporteur peut présenter des observations orales mais ne prend pas part à la délibération.
La Commission Malagasy de l’Informatique et des Libertés peut entendre toute personne dont l’audition lui parait susceptible de contribuer utilement à son information.
Les décisions prises sont motivées et notifiées au responsable du traitement.
Les décisions prononçant une sanction peuvent faire l’objet d’un recours devant le Conseil d’Etat.
Art.59- Montant des sanctions pécuniaires
Le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. Il ne peut excéder 5% du chiffre d’affaires hors taxes du dernier exercice clos.
Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat.
Art.60- Publicité des décisions de sanction
Les décisions de sanction sont rendues publiques. L’identité des personnes physiques mentionnées dans les décisions de sanction peut être rendue anonyme.
La Commission Malagasy de l’Informatique et des Libertés peut également, ordonner l’insertion des décisions de sanctions qu’elle prononce dans des publications ou journaux qu’elle désigne. Les frais sont supportés par les personnes sanctionnées.
Section 2
Pénalités
Art.61 - Entrave
Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait d’entraver l’action de la Commission Malagasy de l’Informatique et des Libertés:
1°- Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application de l’article 50;
2°- Soit en refusant de communiquer à ses membres ou aux agents habilités en application de l’article 50 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements ou en les faisant disparaître ;
3°- Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Art. 62 - Non-respect des formalités préalables
Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary le fait y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi.
Art.63 - Utilisation de données sensibles, de fichiers d’infractions ou du numéro d’identification national en dehors du cadre légal
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de procéder ou de faire procéder de manière non-conforme aux conditions prévues par les articles 14 et 15, à un traitement de données à personnel incluant parmi les données sur lesquelles il porte, les données visées aux articles 17 et 18.
Art.64 - Manquement à la sécurité
Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 15.
Art.65 - Collecte déloyale
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 1.000.000 Ariary à 10.000.000 Ariary le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.
Art.66 - Détournement de finalité
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait, par toute personne détentrice de données à caractère personnel de détourner la finalité initiale d’un fichier de données à caractère personnel notamment à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement.
Art.67 - Non-respect des droits de rectification ou d’opposition
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré la demande de rectification ou l’opposition de cette personne, lorsque cette demande de rectification ou cette opposition est fondée sur des motifs légitimes.
Art.68 - Non- respect du droit à l’information
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de ne pas respecter les dispositions visées à l’article 27 relatif à l’information des personnes.
Art.69 - Non-respect du droit d’accès
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 800.000 Ariary à 8.000.000 Ariary le fait de ne pas respecter les dispositions visées à l’article 23 relatif au droit d’accès.
Art. 70 - Non-respect de la durée de conservation
Est puni d’un emprisonnement de six mois à deux ans et d’une amende de 200.000 Ariary à 2.000.000 Ariary, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi, le fait de conserver des données à caractère personnel au-delà de la durée prévue par la déclaration préalable adressée à la Commission Malagasy de l’Informatique et des Libertés.
Art.71 - Atteinte à la considération ou à l’intimité de la vie privée
Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 1.000.000 Ariary à 10.000.000 Ariary le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir.
Art.72 - Mesures complémentaires
Dans les cas prévus aux articles 61 à 71, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission Malagasy de l’Informatique et des Libertés sont habilités à constater l’effacement de ces données.
Art.73- Avis
Le Procureur de la République du Tribunal compétent avise le président de la Commission Malagasy de l’Informatique et des Libertés des poursuites relatives aux infractions aux dispositions de la présente loi.
La juridiction de jugement peut appeler le Président de la Commission ou son représentant à déposer ses observations ou les développer oralement à l’audience.
Chapitre VIII
DISPOSITIONS FINANCIERES
Art.74 – Budget
Le budget de la Commission Malagasy de l’Informatique et des Libertés est supporté par une ligne budgétaire spécifique au sein de la Présidence de la République.
La Commission peut recevoir des dons, subventions et legs de la part d’organisations nationales et internationales dont Madagascar est membre. A cet effet, il est ouvert un compte de dépôt auprès du Trésor public destiné à loger lesdits fonds. La mobilisation de ce compte de dépôt doit faire l’objet d’une régularisation budgétaire tant en recettes qu’en dépenses.
Le régisseur de ce compte est désigné par arrêté du Ministère des Finances et du Budget.
Le Président est ordonnateur du budget de la Commission. Il peut désigner un ordonnateur secondaire pour le suppléer.
Art 75. Comptabilité publique et contrôle des comptes
Les comptes de la Commission Malagasy de l’Informatique et des Libertés sont tenus selon les règles de la comptabilité publique et le contrôle des comptes relève de la Cour des Comptes.
CHAPITRE IX
DISPOSITIONS TRANSITOIRES ET FINALES
Art.76 - Dispositions transitoires
Les traitements de données régis par l’article 44 et déjà créés ne sont soumis qu’à une déclaration auprès de la Commission Malagasy de l’Informatique et des Libertés dans les conditions prévues à l’article 43.
Elle peut toutefois, par décision, faire application des dispositions de l’article 44 et de fixer le délai aux termes duquel l’acte réglementant le traitement de données doit être pris.
Tous les traitements des données personnelles mis en oeuvre avant l’entrée en vigueur de cette loi doivent se conformer aux prescriptions de la présente loi dans un délai d’un an à compter de sa publication selon un planning sectoriel arrêté par la Commission et publié au Journal Officiel.
Art.77- Dispositions finales
Des textes réglementaires, préciseront en tant que de besoin, les modalités d’application de la présente loi.
Art.78 - La présente loi sera publiée au Journal Officiel.

 

Elle sera exécutée comme loi de l’Etat.
Promulguée à Antananarivo, le 9 janvier 2015
RAJAONARIMAMPIANINA Hery Martial

Loi n°2014-006 | La lutte contre la cybercriminalité

ASSEMBLEE NATIONALE

Loi n°2014-006 sur la lutte contre la cybercriminalité

EXPOSE DES MOTIFS
L’utilisation des technologies de l’information et de la communication (TIC) est désormais
incontournable. Les bienfaits qu’elles prodiguent constituent des supports et des facilitateurs de tout
développement.
Mais au-delà de leurs bienfaits salutaires, il faut reconnaître que les TIC sont devenus les cibles
de la malveillance. De nouveaux types d’infractions appelées « cybercriminalité » sont apparus. C’est
une nouvelle forme de criminalité et délinquance qui se distingue des formes traditionnelles en ce qu’elle
se situe dans un espace virtuel appelé cyberespace. Elle regroupe « toutes les infractions pénales
susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un
réseau ».
Cependant, notre Code pénal actuel ne nous permet pas de donner une réponse à la mesure de
la spécificité et de la gravité de cette nouvelle forme de criminalité. C’est à ces deux grandes
problématiques que la loi sur la lutte contre la cybercriminalité entend répondre, à travers la mise en
place d’un cadre juridique approprié permettant de traiter efficacement ces types d’infractions jusque-là
impunis.
La loi contient quarante et un (41) articles et se subdivise en trois (3) chapitres.
Le Chapitre premier, comportant 15 articles, est intitulé « Les délits relatifs au système
d’information ».
En effet, afin d’harmoniser la compréhension du texte, il apparaît nécessaire de débuter ce
chapitre par la définition de certains vocabulaires techniques propres à la cybercriminalité.
Les différentes atteintes au système d’information sont ensuite abordées. Ainsi, des
incriminations spécifiques y afférentes ont été créées telles que l’accès ou le maintien frauduleux dans
un système d’information, l’introduction, la suppression et la modification des données informatiques
(articles 6 à 9), l’altération et l’entrave au fonctionnement d’un système d’information (articles 11 et 12)
ainsi que l’interception illicite des données informatiques lors des transmissions non publiques (article
13).
Le Chapitre II intitulé « Les atteintes aux personnes physiques par le biais d’un système
d’information », contenant 10 articles, traite des différentes infractions commises par le biais d’un
support informatique et portant atteinte aux personnes physiques. Il en est ainsi des menaces (articles
16, 17 et 18), de l’usurpation d’identité en vue de troubler sa tranquillité ou celle d’autrui, ou de porter
atteinte à son honneur (article 19), des injures qu’elles soit proférées envers les Institutions ou les
représentants de l’autorité publique ou envers des particuliers (articles 19 et 20), de la diffusion de
message violent ou pornographique, à caractère raciste ou xénophobe, ou de nature à porter gravement
atteinte à la dignité humaine ( article 25).

La protection des mineurs contre les attentats aux moeurs figure également parmi les
préoccupations dans cette loi. A cet effet, la diffusion ou la détention, la fixation, l’enregistrement en
vue de diffusion sur un réseau d’images pédopornographiques ou pornographie mettant en scène des
enfants, le fait de visiter habituellement des services de communication mettant en ligne de telles
images, les propositions sexuelles adressées à des mineurs via internet sont sévèrement réprimées
(articles 22 à 24).
Comme la lutte contre la cybercriminalité concerne l’ensemble des acteurs publics et privés, le
Chapitre III, comportant 16 articles, traite « Des opérateurs et prestataires de services chargés de
l'exploitation des réseaux et des services de télécommunications ou de communications
électroniques ». Aussi, tout en limitant leur responsabilité pénale, le projet de loi crée un certain
nombre d’obligations. Il en est ainsi notamment en ce qui concerne l’effacement ou l’anonymisation des
données relatives au trafic, sauf en cas de réquisition des autorités judiciaires auxquels cas ils sont
tenus de conserver lesdites données pendant un certain temps. L’article 35 constitue une innovation
majeure en droit pénal malgache dans la mesure où il prévoit la possibilité d’engager la responsabilité
pénale des personnes morales en cas de non-respect des obligations sus énoncées.
Le volet prévention est aussi abordé dans ce chapitre. A cet effet, le refus de répondre à
réquisition pour remise de clé de chiffrement susceptible d'avoir été utilisé pour préparer, faciliter ou
commettre un crime ou un délit (art 40) est incriminé. Si le refus est opposé alors que la remise ou la
mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en
limiter les effets, la peine est aggravée.
Enfin, eu égard aux conséquences désastreuses que peut provoquer ce phénomène, la peine
de la récidive a été prévue pour tous les délits relatifs au système d’information, prévus par la présente
loi relative à la cybercriminalité.
Tel est l’objet de la présente loi.

ASSEMBLEE NATIONALE
Loi n°2014-006
sur la lutte contre la cybercriminalité
L’Assemblée nationale a adopté en sa séance du 19 juin 2014, la loi dont la teneur suit :
CHAPITRE PREMIER
DES DELITS RELATIFS AUX SYSTEMES D'INFORMATION
Article premier.- Le terme cybercriminalité désigne tout fait illégal commis au moyen d’un
système ou d’un réseau informatique ou de tout autre réseau physique connexe ou en relation avec un
système d’information.
Art.2.- Est qualifié de système d'information, tout dispositif isolé ou ensemble de dispositifs
interconnectés ou apparentés, en ligne ou hors ligne qui assure ou dont un ou plusieurs éléments
assurent, en exécution d'un programme, un traitement automatisé de données.
Art.3.- Est qualifié d’accès frauduleux, le fait par toute personne, intentionnellement, sans excuse
légitime ou justification ou au-delà d'une excuse légitime ou justification, d’accéder à la totalité ou à une
partie d'un système d’information.
Art.4.- Est qualifié de maintien frauduleux, le fait par toute personne qui, intentionnellement, sans
excuse légitime ou justification supérieure d'une excuse légitime ou justification, de rester connecté dans
un système informatique ou dans une partie d'un système d’information ou de continuer d'utiliser un
système d’information.
Art.5.- Est qualifiée de données informatiques, toute représentation de faits, d’informations ou de
concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à
faire en sorte qu’un système d’information exécute une fonction.
Art.6.- Quiconque aura accédé ou sera maintenu, frauduleusement dans tout ou partie d’un
système d’information selon les cas prévus aux articles 3 et 4 ci-dessus, sera puni de 100.000 Ariary à
10 000 000 d’Ariary d’amende.
Lorsque l'accès ou le maintien frauduleux, dans tout ou partie du système d'information, auront,
soit endommagé, effacé, détérioré, modifié, altéré ou supprimé des données informatiques contenues
dans le système, soit entravé ou altéré le fonctionnement de tout ou partie de ce système, la peine sera
celle de six mois à cinq ans d’emprisonnement et de 100.000 Ariary à 10 000 000 d’Ariary ou l’une de
ces peines seulement.
Art.7.- Quiconque aura, frauduleusement, introduit, endommagé, effacé, détérioré, modifié, altéré
ou supprimé des données informatiques ou agit frauduleusement de manière à modifier ou à supprimer
leur mode de traitement ou de transmission sera puni d'un emprisonnement de deux ans à dix ans et
d’une amende de 2.000.000 Ariary à 100.000.000 Ariary ou l’une de ces peines seulement.
Art.8.- Quiconque aura, frauduleusement, fait usage de données informatiques volontairement
endommagées, effacées, détériorées, modifiées, ou altérées sera puni d'un emprisonnement de deux
ans à cinq ans d’emprisonnement et d’une amende de 2.000.000 Ariary à 100.000.000 Ariary, ou l’une
de ces peines seulement.
Art.9.- Quiconque aura, frauduleusement, introduit, altéré, effacé ou supprimé des données
informatiques, engendrant des données non authentiques, dans l'intention qu'elles soient prises en
compte ou utilisées à des fins légales comme si elles étaient authentiques, qu'elles soient ou non
directement lisibles et intelligibles, sera puni d'un emprisonnement de deux ans à dix ans
d’emprisonnement et, d’une amende de 2.000.000 Ariary à 100.000.000 Ariary, ou l’une de ces peines
seulement.
Art.10.- Quiconque participe à un groupement formé ou à une entente établie en vue de
préparer, commettre, faciliter la commission ou le recel, caractérisés par un ou plusieurs faits matériels,
d’une ou plusieurs des infractions prévues par les articles 3, 4, 7, 8 et 11 est puni des peines prévues
pour l’infraction elle-même.
Art.11.- L’atteinte à l’intégrité se définit comme l’altération et l’entrave au fonctionnement du
système d’information.
Est qualifiée d'altération au fonctionnement d'un système d'information, toute action consistant à
fausser le fonctionnement dudit système pour lui faire produire un résultat autre que celui pour lequel il
est normalement conçu et utilisé.
Est qualifiée d'entrave au fonctionnement d'un système d'information, toute action ayant pour
effet, objet ou finalité de paralyser un système d'information par l'introduction, la transmission,
l'endommagement, l'effacement, la modification, l'altération ou la suppression de données informatiques.
Art.12.- Quiconque aura, frauduleusement, entravé ou altéré le fonctionnement de tout ou partie
d'un système d'information, sera puni d'un emprisonnement de deux ans à dix ans et de l'amende de
2.000.000 Ariary à 100.000.000 Ariary ou l’une de ces peines seulement.
Art.13.- Quiconque aura, frauduleusement, intercepté par des moyens techniques, des données
informatiques, lors de transmissions non publiques, à destination, en provenance ou à l'intérieur d'un
système d'information, y compris les émissions électromagnétiques provenant d'un système
d'information transportant de telles données informatiques, sera puni d'un emprisonnement d’un an à
cinq ans et de l'amende de 2 000 000 Ariary à 100 000 000 Ariary ou l’une de ces peines seulement.
Art.14.- Le fait, frauduleusement, de produire, importer, détenir, offrir, céder, diffuser ou mettre à
disposition :
1°) un équipement, un dispositif, y compris un programme informatique, ou toute donnée
principalement conçu ou adapté pour permettre la commission d’une ou plusieurs des infractions
prévues aux articles 3, 4, 7, 8, 11, 12 du projet de loi sur la cybercriminalité.
2°) un mot de passe, un code d'accès ou des données informatiques similaires permettant
d'accéder à tout ou partie d'un système d'information pour commettre l'une des infractions
prévues aux articles précités, est puni des peines prévues respectivement pour l'infraction ellemême.
Le présent article est sans application lorsque la production, l'importation, la détention, l'offre, la
cession, la diffusion ou la mise à disposition n'a pas pour but de commettre l'une des infractions visées
aux articles précités, comme dans le cas d'essai autorisé, de la recherche ou de protection d'un
système d’information.
Art.15.- Quiconque aura, frauduleusement, causé un préjudice patrimonial à autrui par
l'introduction, l'altération, l'effacement ou la suppression de données informatiques ou par toute forme
d'atteinte au fonctionnement d'un système d'information, dans l'intention, d'obtenir sans droit un bénéfice économique pour soi-même ou pour autrui sera puni d'un emprisonnement de deux ans à dix ans et
d’une amende de 2.000.000 Ariary à 100.000.000 Ariary ou l’une de ces peines seulement.

CHAPITRE II
LES ATTEINTES AUX PERSONNES PHYSIQUES PAR LE BIAIS
D’UN SYSTEME D’INFORMATION
Art.16.- Quiconque, par écrit anonyme ou signé, image, symbole ou emblème, par le biais d’un
support informatique ou électronique, aura menacé autrui d’assassinat, d’empoisonnement ou de tout
autre attentat contre les personnes, qui serait punissable de la peine de mort, des travaux forcés à
perpétuité ou de la déportation, sera, dans le cas où la menace aura été faite avec ordre de déposer une
somme d’argent dans un lieu indiqué, ou de remplir toute autre condition, puni d’un emprisonnement de
deux ans à cinq ans et d’une amende de 100 000 Ariary à 1 350 000 Ariary .
Art.17.- Si la menace faite avec ordre ou sous condition a été verbale, par le biais d’un support
informatique ou électronique, le coupable sera puni d’un emprisonnement de six mois à deux ans, et
d’une amende de 100 000 Ariary à 540 000 Ariary.
Art.18.- Lorsque les menaces prévues à l’article 16 sont commises envers une personne ou un
groupe de personnes à raison de leur origine, de leur sexe, de leur appartenance ou de leur non
appartenance à une ethnie, une nation, une race ou une religion déterminée, réelle ou supposée, elles
sont punies d’un emprisonnement de deux ans à cinq ans et d’une amende de 100 000 Ariary à 1 350 000 Ariary.
Dans ce cas, comme dans celui des précédents articles, la peine de l’interdiction de séjour pourra être prononcée contre le coupable.
Art.19.- Quiconque aura sciemment, sur un support informatique ou électronique, usurpé
l’identité de toute personne physique ou morale, ou une ou plusieurs données de toute nature
permettant de l’identifier, en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son
honneur ou à la considération de ces derniers, sera puni d’un emprisonnement de six mois à dix ans
d’emprisonnement et d’une amende de 600 000 Ariary à 18 000 000 Ariary.
Art.20.- L’injure ou la diffamation commise envers les Corps constitués, les Cours, les Tribunaux,
les Forces Armées nationales ou d’un Etat, les Administrations publiques, les membres du
Gouvernement ou de l’Assemblée parlementaire, les fonctionnaires publics, les dépositaires ou agents
de l’autorité publique, les citoyens chargés d’un service ou d’un mandat public, temporaire ou
permanent, les assesseurs ou les témoins en raison de leurs dépositions, par les moyens de discours,
cris ou menaces proférés dans les lieux ou réunions publics, soit par des écrits, imprimés, dessins,
gravures, peintures, emblèmes, images ou tout autre support de l’écrit, de la parole ou de l’image
vendus ou distribués, mis en vente ou exposés dans les lieux ou réunions publics, soit par des placards
ou des affiches exposés au regard du public, soit par le biais d’un support informatique ou électronique,
sera punie d’un emprisonnement de deux ans à cinq ans et d’une amende de 2.000.000 Ariary à
100.000.000 Ariary ou l’une de ces peines seulement.
L’injure commise envers les particuliers, par le biais d’un support informatique ou électronique,
lorsqu’elle n’aura pas été précédée de provocation, sera punie d’un emprisonnement de six mois à cinq
ans et d’une amende de 100 000 Ariary à 10.000.000 Ariary ou l’une de ces peines seulement.
L’injure commise dans les conditions prévues à l’alinéa précédent, envers une personne ou un
groupe de personnes à raison de leur sexe, de leur handicap, de leur origine, de leur appartenance ou
non à une ethnie, une nation, une race ou une religion déterminée, sera punie d’un emprisonnement de
deux ans à dix ans et d’une amende de 2.000.000 Ariary à 100.000.000 Ariary d’amende ou de l’une de
ces deux peines seulement.
En cas de condamnation pour l’un des faits prévus par les deux alinéas précédents, le tribunal
pourra en outre ordonner l’affichage ou la diffusion de la décision prononcée dans les conditions prévues
par l’article 50 du Code pénal.

Art.21.- La diffusion ou toute autre forme de mise à disposition du public, par le biais d’un
support informatique ou électronique, de matériel qui nie, minimise de manière grossière, approuve ou
justifie des actes constitutifs de génocide ou de crimes contre l'humanité, tels que définis par le droit
international sera punie de six mois à cinq ans d’emprisonnement et d’une amende de 100.000 Ariary à
10.000.000 Ariary
Art.22.- La pédopornographie ou pornographie mettant en scène des enfants s’entend comme
toute représentation, par quelque moyen que ce soit, d’un enfant s’adonnant à des activités sexuelles
explicites, réelles ou simulées ou toute représentation des organes sexuels d’un enfant, à des fins
principalement sexuelles.
On entend par « enfant » tout être humain âgé de moins de dix-huit ans.
Le fait, en vue de sa diffusion par le biais d’un support informatique ou électronique, de fixer,
d'enregistrer, de produire, de se procurer ou de transmettre l'image ou la représentation d'un enfant
lorsque cette image ou cette représentation présente un caractère pornographique est puni de deux ans
à cinq ans d’emprisonnement et de 2.000.000 Ariary à 10.000.000 Ariary d’amende.
La tentative est punie des mêmes peines.
Est puni des mêmes peines, le fait d'offrir ou de diffuser une telle image ou représentation, par le
biais d’un support informatique ou électronique, de l'importer ou de l'exporter, de la faire importer ou de
la faire exporter.
Le fait de consulter habituellement un service de communication au public en ligne mettant à
disposition une telle image ou représentation ou de détenir une telle image ou représentation par
quelque moyen que ce soit est puni de deux ans à cinq ans d'emprisonnement et de 2.000.000 Ariary à
10.000.000 Ariary d’amende.
Les peines sont portées de trois ans à dix ans d’emprisonnement et 4 000 000 Ariary à
20 000 000 Ariary d’amende lorsqu’il s’agit d’un mineur de quinze ans.
Le service de communication au public en ligne s’entend toute transmission de données
numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication
électronique utilisant le réseau internet permettant un échange réciproque ou non d’informations entre
l’émetteur et le récepteur.
Les dispositions du présent article sont également applicables aux images pornographiques
d'une personne dont l'aspect physique est celui d'un mineur, sauf s'il est établi que cette personne était
âgée de dix-huit ans au jour de la fixation ou de l'enregistrement de son image.
Sont considérées comme des images à caractère pornographique :
1°) l'image ou la représentation d'un mineur se livrant à un comportement sexuellement explicite ;
2°) l'image ou la représentation d'une personne qui apparaît comme un mineur se livrant à un
comportement sexuellement explicite ;
3°) l'image réaliste représentant un mineur se livrant à un comportement sexuellement explicite.
L'expression « image réaliste » désigne notamment l'image altérée d'une personne physique, en
tout ou partie créée par des méthodes numériques.
Art.23.- Quiconque aura attenté aux moeurs, par l’utilisation d’un support informatique ou
électronique, en excitant, favorisant ou facilitant, pour satisfaire les passions d’autrui, la débauche, la corruption ou la prostitution enfantine de l’un ou de l’autre sexe, est puni des travaux forcés à temps,
dans chacun des deux cas suivants :
1°Lorsque les faits sont commis dans des établissements d’enseignement ou d’éducation ou
dans des locaux de l’administration, ainsi que, lors des entrées ou sorties des élèves ou du
public ou dans un temps très voisin de celles-ci, aux abords de ces établissements ou locaux ;
2°Lorsque les faits ont été commis en bande organisée, les coupables seront punis des travaux
forcés à perpétuité.
Art.24.- Le fait pour un majeur de faire des propositions sexuelles à un mineur ou à une
personne se présentant comme telle en utilisant un moyen de communication électronique est puni de
deux ans à cinq ans d'emprisonnement et de 2.000.000 Ariary à 10.000.000 Ariary d’amende.
Ces peines sont portées de cinq ans à dix ans d’emprisonnement lorsque les propositions ont
été suivies d’une rencontre.
Art.25.- Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et
quel qu’en soit le support un message à caractère violent ou pornographique, à caractère raciste ou
xénophobe, ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d’un
tel message, est puni de deux ans à cinq ans d’emprisonnement et de 10 000 000 Ariary à 20 000 000
Ariary d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur.
Lorsque les infractions prévues à l’article 346 du Code pénal et au présent article sont commises
par la voie de la communication au public en ligne, les dispositions particulières des lois qui régissent
ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
CHAPITRE III
DES OPERATEURS ET PRESTATAIRES DE SERVICES CHARGES DE L’EXPLOITATION DES
RESEAUX ET DES SERVICES DE TELECOMMUNICATIONS OU DE COMMUNICATIONS
ELECTRONIQUES
Art.26.- Les opérateurs et les prestataires de services chargés de l'exploitation des réseaux et
des services de télécommunications ou de communications électroniques, sont tenus d'effacer ou de
rendre anonyme toutes les données relatives au trafic, sous réserve des dispositions suivantes.
Sont qualifiées de « données relatives au trafic » toutes les données ayant trait à une
communication passant par un système d'information, produites par ce dernier en tant qu'élément de la
chaîne de communication, indiquant l'origine, la destination, l'itinéraire, l'heure, la date, la taille, la durée
de la communication ou le type de service sous-jacent.
Art.27.- Pour les besoins de la recherche, de la constatation et de la poursuite des infractions
pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition du pouvoir
judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à
effacer ou à rendre anonymes certaines données techniques. Un décret détermine, dans les limites
fixées par l’article 26, ces catégories de données et la durée de leur conservation, selon l'activité des
opérateurs et des prestataires de services et la nature des communications.
Art.28.- Pour les besoins de la facturation et du paiement des prestations de communications
électroniques ou de services de télécommunications, les opérateurs et les prestataires de services
peuvent, jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou
des poursuites engagées pour en obtenir le paiement, utiliser, conserver et, le cas échéant, transmettre
à des tiers concernés directement par la facturation ou le recouvrement, les données techniques qui
sont déterminées, dans les limites fixées par l’article 30, selon l'activité des opérateurs et des
prestataires de services et la nature de la communication, par Décret.
Art.29.- Les opérateurs et les prestataires de services peuvent, en outre, réaliser un traitement
des données relatives au trafic en vue de commercialiser leurs propres services de communications
électroniques ou de fournir des services à valeur ajoutée, si les abonnés y consentent expressément et
pour une durée déterminée. Cette durée ne peut, en aucun cas, être supérieure à la période
correspondant aux relations contractuelles entre l'usager et l'opérateur ou le prestataire de services.
Les opérateurs ou prestataires de service peuvent également conserver certaines données en
vue d’assurer la sécurité de leurs réseaux.
Art.30.- Sans préjudice des dispositions des articles 26 et suivants et sous réserve des
nécessités des enquêtes judiciaires, le consentement de l’abonné est requis pour toute éventuelle
utilisation, conservation des données permettant de localiser son équipement terminal.
Sa rétractation ou sa suspension est possible dès que l’abonné en fait connaître, par tout moyen,
l’opérateur ou le prestataire de services.
Art.31.- Les données conservées et traitées dans les conditions définies aux articles 26 et
suivants portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les
opérateurs et les prestataires de services, sur les caractéristiques techniques des communications
assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun
cas porter sur le contenu des correspondances échangées ou des informations consultées, sous
quelque forme que ce soit, dans le cadre de ces communications.
Les opérateurs et les prestataires de services prennent toutes mesures pour empêcher une
utilisation de ces données à des fins autres que celles prévues au présent article.
La conservation et le traitement de ces données s'effectuent dans le respect des dispositions de
la loi relative à la protection des données à caractère personnel.
Art.32.- Le fait, pour les opérateurs ou les prestataires de services chargés de l'exploitation de
réseaux et de services de télécommunications ou de communications électroniques de ne pas procéder
aux opérations tendant à effacer ou à rendre anonymes les données relatives au trafic, dans les cas où
ces opérations sont prescrites par la présente loi est puni d'une amende de 1.000.000 d’Ariary à
150.000.000 millions d’Ariary.
Si le fait a été commis, frauduleusement avec l’intention de nuire, par un de leurs agents, il sera
puni d’une peine d’emprisonnement de six mois à cinq ans et, d’une amende de 100.000 Ariary à
10.000.000 Ariary, ou de l’une de ces deux peines seulement.
Art.33.- Le fait, pour les opérateurs et les prestataires de services chargés de l'exploitation des
réseaux et des services de télécommunications ou de communications électroniques de ne pas
conserver les données techniques dans les conditions où cette conservation est exigée par la présente
loi, est puni d'une amende de 1.000.000 d’Ariary à 150.000.000 millions d’Ariary.
Si le fait a été commis, frauduleusement, par un de leurs agents, il sera puni d’une peine
d’emprisonnement de six mois à cinq ans et, d’une amende de 100.000 Ariary à 10.000.000 Ariary, ou
de l’une de ces deux peines seulement.
Art.34.- Les opérateurs exploitant un réseau de télécommunications ouvert au public ou
fournissant des services de télécommunications au public sont tenus de mettre en oeuvre les dispositifs
techniques destinés à interdire, à l'exception des numéros d'urgence, l'accès à leurs réseaux ou à leurs
services des communications émises au moyen de terminaux mobiles, identifiés et qui leur ont été
déclarés volés. Ces terminaux doivent être bloqués à compter de la réception par l'opérateur concerné
de la déclaration officielle de vol, transmise par l’abonné.
Toutefois, l'officier de police judiciaire peut requérir des opérateurs, après accord donné par le
Procureur de la République ou le juge d'instruction, de ne pas appliquer les dispositions du premier
alinéa.
Art.35.- Les personnes morales peuvent être déclarées responsables pénalement, dans les
conditions prévues par les articles 32 et 33, des délits prévus au présent chapitre.
Art.36- Les peines encourues par les personnes morales sont :
 ou la diffusion de la décision prononcée. Le Tribunal décide de l’insertion de cette
l’amende ;
 l'affichage publication.
Art.37.- Quiconque tente de commettre une des infractions prévues aux articles de la présente
loi est puni des peines prévues pour l'infraction elle-même.
Art.38.- Quiconque, ayant été condamné pour délits prévus par la présente loi relatif au système
d’information à une peine d’emprisonnement, sera reconnu coupable du même délit, commis dans le
délai de cinq ans, sera condamné au moins au double de la peine prononcée pour le premier délit.
Art.39.- Il en sera également ainsi pour les délits réprimés par les articles 26 et suivants.
Le recel sera considéré, au point de vue de la récidive, comme le délit qui a procuré la chose
recelée.
Art.40.- Quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen
de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de
refuser de remettre ladite convention au pouvoir judiciaire ou de la mettre en oeuvre, sur ses réquisitions
délivrées en application des titres I et VI du livre II du code de procédure pénale est puni d’un
emprisonnement de un an à cinq ans et d’une amende de 2.000.000 Ariary à 100.000.000 Ariary ou
l’une de ces peines seulement.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis
d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée de deux ans
à dix ans d’emprisonnement et d’une amende de 2.000.000 Ariary à 100.000.000 Ariary ou l’une de ces
peines seulement.
Art.41.- La présente loi sera publiée au Journal Officiel de la République.

 

Elle sera exécutée comme loi de l'Etat.
Antananarivo, le 19 juin 2014
LE PRESIDENT DE L’ASSEMBLEE NATIONALE, p.i
LE SECRETAIRE,
MAHAZOASY Mananjara Freddie