Préalablement à leur mise en œuvre les traitements de données à caractère personnel effectués pour le compte de personnes doivent faire l'objet d'une déclaration auprès de la Commission de l’informatique et des libertés.
(Article 19 de la loi 010-2004/AN du 20 Avril 2004 portant protection des données à caractère personnel).

Sont exemptées de l’obligation de déclaration auprès de la Commission de l’informatique et des libertés :

• le copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations ;
• les traitements effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ;
• les traitements de données à caractère personnel dont le responsable est une personne physique, pour autant que les données ne soient pas
• communiquées à des tiers et qu’elles ne soient pas utilisées à l’appui de mesures ou de décisions à l’encontre d’une personne ;
• les traitements automatisés de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé ;
• les traitements automatisés de données à caractère personnel opérés pour le compte de l'Etat, d'un établissement public, d'une collectivité territoriale ou d'une personne morale de droit privé gérant un service public.

Contenu de la déclaration

La déclaration, qui peut être adressée à la Commission de l’informatique et des libertés par voie électronique ou sur support papier, doit préciser :

• la date de la déclaration ;
• les noms, prénoms et adresse complète ou la dénomination et le siège de la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement des données (responsable du traitement) ou, si elle réside à l'étranger, son représentant au Burkina Faso;
• les caractéristiques, la finalité et s’il y a lieu, la dénomination du traitement de données ;
• le service ou les services chargés de mettre en œuvre celui-ci ;
• le service auprès duquel s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ;
• les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ;
• les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ;
• les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ;
• les dispositions prises pour assurer la sécurité des traitements de données et des informations et la garantie des secrets protégés par la loi ;
• si le traitement de données est destiné à l’expédition de données à caractère personnel entre le territoire burkinabé et l’étranger sous quelque forme que ce soit, y compris lorsqu’il est l’objet d’opérations partiellement effectuées sur le territoire burkinabé à partir d’opérations antérieurement réalisées hors du Burkina Faso.

En général, les traitements de données à caractère personnel doivent être notifiés à la Commission de l'Informatique et des Libertés avant leur mise en œuvre.

Les modifications d'un traitement ainsi que la cessation d'un traitement doivent également être notifiées préalablement.