Chargement...
Chargement...
Copyright © 2026 Anove International B.V.
All product names, logos, and brands are property of their respective owners. Use of these names does not imply affiliation, endorsement, or partnership.
DPPA
La loi ougandaise DPPA (2019) et son règlement de 2021 encadrent la collecte, le traitement, l'utilisation, la conservation et la divulgation des données à caractère personnel, avec enregistrement obligatoire auprès du PDPO. Elle s'applique de manière extraterritoriale à quiconque traite les données de citoyens ougandais.
La loi sur la protection des données et de la vie privée est entrée en application le 3 mai 2019 et le règlement d'application a pris effet le 12 mars 2021 ; le Bureau de protection des données à caractère personnel (PDPO) est devenu opérationnel en août 2021 au sein de la National Information Technology Authority Uganda. La loi s'applique à toute personne, entité ou organisme public qui collecte, traite, détient ou utilise des données à caractère personnel en Ouganda, ainsi qu'aux entités situées hors d'Ouganda qui traitent les données à caractère personnel de citoyens ougandais. Tout collecteur, sous-traitant ou responsable du traitement doit s'enregistrer auprès du PDPO, qui tient un registre public. Le consentement constitue la base première de la collecte, et les données des enfants ainsi que les données à caractère personnel particulières (convictions religieuses ou philosophiques, opinions politiques, vie sexuelle, informations financières, dossiers médicaux) sont soumises à des règles plus strictes.
Les violations doivent être notifiées immédiatement au PDPO, et les entités enregistrées doivent déposer des rapports annuels récapitulant les violations. Le traitement ou la conservation transfrontaliers exigent soit une protection adéquate dans le pays de destination, soit le consentement de la personne concernée. Le 18 juillet 2025, le PDPO a statué sur une plainte collective de quatre citoyens ougandais à l'encontre de Google LLC : écartant l'argument selon lequel l'absence de présence physique excluait toute obligation, le Bureau a jugé qu'une présence économique suffisait, a considéré que Google agissait en qualité de responsable du traitement et lui a ordonné de s'enregistrer auprès du PDPO dans un délai de 30 jours, de désigner un représentant pour l'Ouganda et de justifier de la conformité de ses transferts transfrontaliers.
Tout collecteur, sous-traitant et responsable du traitement, en Ouganda ou à l'étranger lorsqu'il traite des données de citoyens ougandais, doit s'enregistrer auprès du Bureau de protection des données à caractère personnel ; la décision Google de juillet 2025 confirme que cette obligation vise les entreprises technologiques étrangères.
Un consentement éclairé doit être obtenu avant toute collecte ou traitement ; les données doivent être collectées directement auprès de la personne concernée pour une finalité licite et déterminée, avec des restrictions supplémentaires pour les données des enfants et les données à caractère personnel particulières.
Tout accès ou toute acquisition non autorisés de données à caractère personnel doivent être notifiés immédiatement au PDPO, et les entités enregistrées doivent soumettre des rapports annuels sur les violations.
Pour aller plus loin
Anove analyse votre stack au regard de DPPA et de plus de 260 autres cadres en quelques minutes.
Les responsables du traitement et les sous-traitants doivent garantir l'intégrité des données par l'identification des risques, des précautions appropriées, des vérifications régulières et des mesures de sécurité actualisées, y compris des obligations contractuelles de sécurité imposées aux sous-traitants.
Les données ne peuvent être traitées ou conservées hors d'Ouganda que si le pays de destination offre une protection au moins équivalente ou si la personne concernée y consent.