Chapitre I : Des généralités       
 
Article 1 : Le Registre National des Personnes Physiques, en abrégé RNPP, créé par la loi n°39/AN/19/8ème L du 21 janvier 2019, a pour objectif l’authentification et la centralisation des données d’identification des personnes physiques. Il permet de produire les documents d’Etat-Civil et d’identification ainsi que les données de nature personnelle des personnes physiques.
 
Article 2 : Le présent décret portant application de la loi n°39/AN/19/8ème L du 21 janvier 2019 a pour objet de définir les modalités d’accès, d’exploitation et de la communication du RNPP.
 
Article 3 : La Direction Générale de la Population et de la Famille, en abrégé DGPF, est chargée, conformément à l’article 17 de la loi n°39/AN/19/8ème L, de la gestion et de la tenue du RNPP.
 
Article 4 : La DGPF est autorisée à collecter, centraliser et traiter l’ensemble des informations relatives à l’identification des personnes de nationalité Djiboutiennes et des étrangers résidant en République de Djibouti.
Le traitement est effectué dans le respect des dispositions du présent décret.
 
Article 5 : Les administrations publiques, parapubliques et privées disposant de base de données relatives aux personnes physiques contenant les informations visées à l’article 2 de la Loi n° 39/AN/19/8ème L ont l’obligation de communiquer à la DGPF.
Ces autorités ou organismes sont responsables de la conformité des données qu’elles enregistrent au RNPP avec les actes et les documents qu’elles détiennent ou qu’elles établissent.
 
Article 6 : Conformément à l’article 2 de la loi précitée, le registre national des personnes physiques est construit autour d’une base des données relationnelles qui contient essentiellement les informations permettant d’identifier les individus grâce aux données :
– Des registres d’Etat Civil ;
– Les registres d’enregistrement des étrangers, soumis ou non au visa, aux postes frontières.
 
Article 7 : Le Directeur Général de la Population et de la Famille veille au respect de la légalité de traitement, de la collecte et de la conservation des données figurant sur le RNPP et ce conformément aux dispositions de l’article 6 du présent décret.
 
Article 8 : Le RNPP a pour finalité de :
– Servir de base de données pour l’identification des personnes physiques ;
– Constituer un fichier unique de la population faisant l’objet d’une mise à jour régulière ;
– Produire des données nominatives personnelles et biométriques;
– Contribuer à la production des documents d’Etat Civil, d’identification uniformisée et de tout autre document d’identité et titre sécurisé ;
– Garantir l’authenticité des données et préserver l’historique des données des citoyens à des fins administratives ou statistiques;
– Faciliter les échanges d’information entre administrations et acteurs économiques ;
– Fournir des services d’identification et d’authentification à toute entité autorisée ;
– Contribuer à la lutte contre la fraude sur l’identité.
 
Article 9 : Les données traitées du Registre National des Personnes Physiques sont uniquement stockées sur le territoire national.
 
Article 10 : La DGPF est chargée, conformément aux dispositions de la loi n°39/AN/19/8ème L, de la conservation des données traitées dans le RNPP.
Les données traitées sont conservées par la DGPF pendant la durée de vie de la personne concernée et en cas de décès, une période supplémentaire de cent ans.
Les données traitées sont protégées et conservées conformément aux dispositions de la Loi portant Protection des Données à Caractère Personnel.
 
Article 11 : Conformément aux dispositions de l’article 5 de la Loi n° 39/AN/19/8ème L, un Numéro National d’identification est attribué à chaque personne lors de son enregistrement au RNPP.
Ce numéro est unique, permanent et univoque. Il est attribué à vie.
La composition et le champ d’application du Numéro National d’identification sera défini par décret pris en Conseil des Ministres.
 
Article 12 : L’Agence Nationale du Système Informatique de l’Etat (ANSIE), en collaboration avec la Direction Générale de la Population et de la Famille, est chargée d’assurer ou de faire assurer :
– La sécurisation des échanges et transferts de données du RNPP;
– Le développement, la maintenance et l’évolution des systèmes, et des réseaux informatiques du RNPP ;
– La mise en œuvre d’un service en ligne, de moyen d’identification électronique et de transmission des données associées à la délivrance et à la gestion des titres sécurisés ;
– La mise en œuvre d’un service en ligne, de moyen de transmission de données associées à la délivrance et à la gestion des actes de l’Etat Civil.
 
Article 13 : Toutes les personnes qui, au titre de la DGPF, ont accès aux données du Registre National des Personnes Physiques sont tenues au secret professionnel, leur responsabilité personnelle pouvant être engagée au niveau disciplinaire, civile et pénale.
En outre, elles font diligence pour tenir les informations à jour, corriger les informations erronées et supprimer les informations périmées ou obtenues par des moyens illicites ou frauduleux.
Elles prennent toute précaution utile afin d’assurer la sécurité des informations enregistrées et d’empêcher notamment qu’elles soient déformées, endommagées ou communiquées à des personnes qui n’ont pas obtenu l’autorisation d’en prendre connaissance.
 
Chapitre II : De l’accès
 
Article 14 : Peuvent accéder aux données du Registre National des Personnes Physiques conformément à la règlementation en matière de protection des données à caractère personnel :
– Les autorités publiques en ce qui concerne les informations qu’elles sont habilitées à en connaître ;
– Les organismes publics ou privés de droit djiboutien pour les informations nécessaires à l’accomplissement des missions d’intérêt général qui leurs seront confiées ;
– Les personnes physiques ou morales qui agissent en qualité de sous-traitant des autorités publiques et des organismes publics et privés de droit djiboutien visés aux alinéas 1 et 2 ci-dessus, pour les informations nécessaires à l’accomplissement de leurs missions ;
– Les officiers de police judiciaire compétents, munis d’une autorisation du Président du Tribunal, d’une réquisition du Procureur de la République ou d’une ordonnance du Juge d’instruction ;
– Les auxiliaires de justice, pour les informations qu’ils sont habilités à connaître en vertu de la loi sur la Protection des données à caractère personnel ;
– Les prestataires techniques et les agents chargés du fonctionnement, de la maintenance et de l’entretien du dispositif, individuellement désignés pour une durée limitée.
 
Article 15 : Les services de la DGPF, en collaboration avec l’ANSIE, sont chargés de contrôler tout accès et consultation du RNPP afin de prévenir toute éventuelle connexion non autorisée.
 
Article 16 : Nul n’est autorisé à consulter les informations contenues dans le RNPP, autres que celles qui le concernent, sauf disposition législative ou réglementaire contraire. En cas de non-respect, les dispositions pénales s’appliquent.
 
Article 17 : Les membres du personnel des instances habilitées doivent notamment s’authentifier, au moyen de mécanismes d’authentification sécurisés avant de pouvoir accéder aux données du Registre National des Personnes Physiques.
Ces mécanismes doivent garantir les principes suivants :
– la traçabilité ;
– l’intégrité ;
– la confidentialité ;
– l’autorisation ou contrôle d’accès ;
– l’authentification.
 
Article 18 : La liste des personnes habilitées à accéder aux données du Registre national des personnes physiques ainsi que l’identité des autorités ou organismes pour lesquels ces personnes travaillent doivent être tenues à jour et être disponible à tout moment.
La liste des personnes habilitées est présentée par la loi sur la protection des données des personnes physiques.
 
Chapitre III : De l’exploitation
 
Article 19 : L’authentification des données du RNPP relève exclusivement de la DGPF.
 
Article 20 : L’exploitation du Registre National des Personnes Physiques est strictement régie par des normes légales et réglementaires visant à assurer la sécurité et la confidentialité des données relatives à l’identification des personnes physiques.
 
Article 21 : Ces normes interviennent au moment de la collecte et de l’enregistrement, du stockage des informations, de l’accès auxdites informations ainsi que leur communication et leur traitement. Ce sont :
– Les données du RNPP doivent être pseudonymisées ;
– Le canal des échanges des données doit être chiffré ;
– L’accès aux systèmes doit être limité par des mesures techniques et organisationnelles afin que l’intégrité, la confidentialité et la disponibilité des systèmes soit garanties ;
– Des procédures de gestion des incidents physiques et techniques doivent être établies;
– Les catégories de données à caractère personnel doivent être clairement identifiées par les demandeurs d’accès auxdites données ;
– La fréquence d’accès, permanente ou temporaire, aux données personnelles doit être précisée par les demandeurs ;
– La durée de l’autorisation d’accès doit être précisée. Toutes les demandes de durée indéterminée seront automatiquement transformées en demande d’une période maximum de dix (10) ans, période après laquelle une prolongation doit être obtenue.
 
Article 22 : La DGPF devra faire preuve de transparence vis-à-vis des personnes concernées qui devront être informées :
– De l’identité du responsable de traitement et le cas échéant de celle de son représentant dûment mandaté ;
– De la finalité des traitements ;
– Des catégories de données traitées ;
– Des destinataires auxquels les données traitées sont susceptibles d’être communiquées ;
– De l’existence des modalités d’exercice de leurs droits d’accès et de rectification ;
– De la durée de vie de conservation des données.
 
Article 23 : Les données traitées ne peuvent faire l’objet de transfert, sans autorisation préalable de la Commission Nationale de Protection des Données à Caractère Personnel.
Il est interdit de procéder à l’interconnexion du RNPP avec d’autre fichier sans autorisation préalable de la Commission Nationale de Protection des Données à Caractère Personnel.
 
Chapitre IV : De la communication et de l’information
 
Article 24 : Toute personne, dont les données font l’objet d’une inscription sur le RNPP, a le droit de consulter, d’obtenir et de rectifier communication des données qui la concernent, suivant les modalités fixées ci-dessous.
 
Article 25 : Toute demande de communication de données doit être adressée, directement à la DGPF ou à tout autre service dédié à son lieu de résidence, sur base d’un formulaire, soit par lettre simple ou par voie électronique pour les données inscrites sur le RNPP. Elle doit être datée et signée. Une demande introduite par voie électronique doit comporter une signature électronique avancée sur base d’un certificat qualifié.
 
Article 26 : La demande de communication est présentée par la personne concernée, son tuteur, son curateur, son administrateur légal, son administrateur ad hoc ou son mandataire spécial. Si la personne concernée est mineure non émancipée, la demande doit être faite par un des parents qui exerce l’autorité parentale ou par le tuteur. La demande doit être accompagnée d’une photocopie de la pièce d’identité de l’auteur de la demande et, le cas échéant, du titre en vertu duquel il agit.
 
Article 27 : Les données sont, soit communiquées selon le souhait de l’auteur de la demande, par lettre ou par courrier électronique, soit imprimées au guichet et ce, à chaque fois sous forme d’un extrait du RNPP reproduisant de manière exacte l’ensemble des données relatives à la personne concernée et ce, dans un délai de deux mois à partir de la date de sa réception.
 
Article 28 : La demande est refusée si elle est introduite par une personne qui ne remplit pas les conditions et les formalités requises par le présent décret.
Pour toute insatisfaction, le demandeur peut saisir la juridiction compétente pour faire valoir son droit.
Tout refus de communication des données doit être motivé. Le demandeur doit en être avisé par tout moyen.
 
Article 29 : Si les données communiquées à une personne en vertu de l’article 24 se révèlent être incomplètes ou inexactes, la personne concernée peut en demander la rectification.
 
Article 30 : Toute demande de rectification de données, sauf celles des actes d’Etat-Civil placés sous le régime du code civil, doit être adressée, directement à la DGPF ou en tout autre service dédié à son lieu de résidence sur base d’un formulaire, soit par lettre simple ou par voie électronique pour les données inscrites sur le RNPP. Elle doit être datée et signée. Une demande introduite par voie électronique doit comporter une signature électronique avancée sur base d’un certificat qualifié.
 
Article 31 : La demande de rectification est présentée par la personne concernée, son tuteur, son curateur, son administrateur légal, son administrateur ad hoc ou son mandataire spécial. Si la personne concernée est mineure d’âge non émancipée, la demande doit être faite par un des parents qui exerce l’autorité parentale ou par le tuteur. La demande doit être accompagnée d’une photocopie de la pièce d’identité de l’auteur de la demande et, le cas échéant, du titre en vertu duquel il agit. Toute demande de rectification doit être motivée.
 
Article 32 : La personne exerçant son droit de rectification fournit à l’appui de sa requête tous les éléments de preuve. A sa demande, la personne concernée est entendue par le Directeur Général de la DGPF et peut se faire assister par une personne de son choix.
 
Article 33 : Tout refus de rectification doit être motivé et notifié par tout moyen à l’auteur de la demande et ce dans un délai de deux mois.
 
Article 34 : A l’issue de la procédure de rectification, la personne concernée, son tuteur, son curateur, son administrateur légal, son administrateur ad hoc ou son mandataire spécial reçoit un extrait rectifié du RNPP, respectivement du registre national.
 
Article 35 : Toute personne, dont les données font l’objet d’une inscription sur le RNPP, a le droit d’obtenir la liste des autorités, administrations, services, institutions ou organismes qui ont, au cours des six mois précédant sa demande, consultés ou mis à jour ses données au registre national ou qui en ont reçu communication, sauf si une consultation ou une communication a été faite par une autorité chargée de la sécurité de l’Etat, de la défense, de la sécurité publique, de la prévention, de la recherche, de la constatation et de la poursuite d’infraction pénale, y compris de la lutte contre le blanchiment d’argent, ou du déroulement d’autres procédures judiciaires. La procédure prévue à l’article 22 du présent décret.
 
Article 36 : La DGPF garantit la non-divulgation de données à caractère confidentiel lors de la délivrance des statistiques. Les données utilisées pour la production de statistiques sont considérées comme confidentielles lorsqu’elles permettent l’identification, directe ou indirecte, d’une personne physique ou comportent un risque de divulgation d’information individuelle. Pour déterminer si une personne physique est identifiable, il est tenu compte de tous les moyens dont on pourrait raisonnablement admettre qu’ils puissent être utilisés par un tiers pour identifier ladite personne.
 
Chapitre V : Dispositions transitoires
 
Article 37 : Dans le cadre de la mise en place du RNPP, la DGPF procédera à une campagne d’enrôlement de la population.
 
Article 38 : La campagne d’enrôlement se définit comme la procédure administrative visant la création du RNPP à travers un recensement de tous les citoyens (nés) et des étrangers résidant en République de Djibouti.
 
Article 39 : Il s’agira, au cours de cette campagne, de collecter un ensemble de données individuelles relatives à l’Etat Civil de chaque citoyen (ne), d’attribuer un Numéro National d’identification à chaque personne recensée, produire des documents d’Etat Civil sécurisés.
 
Article 40 : Lesdites données permettront également de produire des documents administratifs et d’identification sécurisée sur la base des renseignements biométriques, tels que la carte d’identité, le passeport, le permis de conduire, la carte de bénéficiaire du PNSF (Programme National de Solidarité Famille), la carte grise, la carte séjour, le permis de travail pour les étrangers et la carte de sécurité sociale ainsi que tout autre document susceptible d’entrée dans le champ d’application de ce présent décret. Ces données permettront aussi d’utiliser les résultats du recensement à d’autres fins tels que la création des listes électorales fiables et les cartes d’électeurs sécurisées.
 
Article 41 : La mise en place du nouveau système d’enregistrement, à savoir l’attribution du NNI, conduira au renouvellement systématique et obligatoire de tous les titres sécurisés existant avant l’entrée en vigueur de ce présent décret.
 
Chapitre VI : Des dispositions diverses
 
Article 42 : La DGPF et ses sous-traitants établissent un rapport annuel sur le respect des dispositions du présent décret. Ce rapport est communiqué à la Commission Nationale de Protection des Données à Caractère Personnel au plus tard le 31 janvier de l’année n+1.
 
Article 43 : La DGPF, ses sous-traitants et tout autre organisme intervenant directement ou indirectement dans la mise en œuvre du traitement, objet du présent décret, sont tenus de se mettre en conformité avec la loi sur la protection des données à caractère personnel.
Les administrations publiques, parapubliques et privées sont tenues de vérifier la conformité au RNPP des données relatives à leurs usages respectifs.
 
Article 44 : Les prestations du RNPP peuvent donner lieu à un paiement des droits fixés par un décret proposé conjointement par le Ministre de l’intérieur et le Ministre du Budget.
 
Article 45 : Toute infraction aux dispositions de ce présent décret est punie des peines prévues par la loi n°39/AN/19/8ème L et le Code pénal.
 
Article 46 : Toutes les dispositions antérieures et contraires au présent décret sont abrogées.
 
Article 47 : Les Ministères techniques, les organismes Etatiques et paraétatiques ainsi que ceux relevant du secteur privé sont tenus d’apporter leur collaboration et leur contribution à la mise en place du registre national.