Chargement...
Chargement...
Copyright © 2026 Anove International B.V.
All product names, logos, and brands are property of their respective owners. Use of these names does not imply affiliation, endorsement, or partnership.
PDPA
La loi tanzanienne PDPA (2022) établit des principes de traitement inspirés du RGPD, l'enregistrement obligatoire de tous les responsables du traitement et sous-traitants auprès de la Commission de protection des données à caractère personnel, la désignation d'un délégué à la protection des données, la notification des violations et des transferts transfrontaliers soumis à permis.
La loi sur la protection des données à caractère personnel de 2022 est entrée en vigueur le 1er mai 2023 et s'applique aux entités tant publiques que privées. La Commission de protection des données à caractère personnel (PDPC), dont le siège est à Dodoma, a été instituée le 1er mai 2023 et est devenue pleinement opérationnelle le 3 avril 2024. Deux séries de règles d'application ont été édictées en 2023 : le règlement sur la collecte et le traitement des données à caractère personnel et le règlement relatif aux procédures de règlement des plaintes. Tous les responsables du traitement et sous-traitants doivent s'enregistrer auprès de la PDPC, l'enregistrement étant valable cinq ans ; en janvier 2026, le ministre compétent a lancé un ultimatum final de trois mois pour l'enregistrement. Les responsables du traitement et les sous-traitants doivent désigner un délégué à la protection des données qui soumet des rapports de conformité trimestriels à la PDPC.
Les données à caractère personnel sensibles, y compris les données génétiques, biométriques, celles des enfants, financières, de santé et relatives à la vie sexuelle, requièrent en principe un consentement écrit préalable. Toute violation de sécurité affectant des données à caractère personnel doit être notifiée sans délai à la PDPC. Les transferts transfrontaliers exigent un niveau de protection adéquat ou des garanties appropriées, ainsi qu'un permis préalable de la PDPC étayé par un accord international, un accord bilatéral ou des garanties contractuelles. L'application de la loi est active : le 10 juillet 2025, la PDPC a appliqué la théorie de la violation continue à des images publiées sans consentement avant la loi et demeurées en ligne après son entrée en vigueur, ordonnant leur suppression et 20 millions TZS de dommages moraux.
Tous les responsables du traitement et sous-traitants doivent s'enregistrer auprès de la Commission, l'enregistrement étant valable cinq ans ; un ultimatum ministériel final de trois mois pour l'enregistrement a été lancé en janvier 2026.
Les données doivent être traitées de manière licite, loyale, transparente et sécurisée pour des finalités explicites et légitimes ; les données à caractère personnel sensibles requièrent un consentement écrit préalable, sous réserve d'exceptions restreintes.
Les responsables du traitement et les sous-traitants doivent désigner un délégué à la protection des données chargé des contrôles de sécurité, de la conformité à la PDPA, des demandes des personnes concernées et des rapports de conformité trimestriels à la PDPC.
Toute violation de sécurité susceptible d'affecter les données à caractère personnel traitées, y compris la perte, la modification non autorisée, la destruction, la divulgation ou l'accès, doit être notifiée sans délai à la PDPC.
Pour aller plus loin
Anove analyse votre stack au regard de PDPA et de plus de 260 autres cadres en quelques minutes.
Les transferts hors de Tanzanie requièrent un niveau de protection adéquat ou des garanties appropriées ainsi qu'un permis préalable de la PDPC attestant d'un accord international, d'un accord bilatéral ou de garanties contractuelles avec le destinataire.