SILDE NOUVELLE LOI PROTECTION DONNEES PERSONNELLES
1. Protection des données
à caractère personnel
en Algérie
Focus sur les nouvelles dispositions mises en place par la nouvelle
Loi 18-07 portant sur la protection des personnes physiques dans
le traitement des données à caractère personnel.
Par Maitre Riad ARADJI
2. Les grands axes de la nouvelle Loi
La nouvelle Loi en bref
Les principes consacrés par la Loi
Le rôle du responsable de traitement des données
Les procédures préalables au traitement des données
La sous-traitance
Le transfert des données vers l’étranger
Conformité feuille de route
4. La nouvelle Loi en bref
Nouvelles
notions ?
Loi
18-07
Qui
s’occupe de
la
régulation ?
Qui est
concerné
?
Qu’est qui
change
pour les
citoyens
Qu’est qui
change pour
les
professionnels
6. 1.De nouvelles notions
Données à caractère personnel
• Toute information qui se rapporte une personne physique, qu’elle
soit identifié ( nom, prénoms) ou identifiable ( identifiant, numéro
de téléphone ou toute autre information spécifique à son identité.
7. 1.De nouvelles notions
Traitement des données à caractère personnel
• Une opération, ou ensemble d’opérations, portant sur des données
personnelles réalisées à l’aide de moyens ou de procèdes
automatisés ou non (collecte, enregistrement, organisation,
conservation, adaptation, modification, extraction, consultation,
utilisation, communication par transmission diffusion ou toute
autre forme de mise à disposition, rapprochement ou
interconnexion ainsi que le verrouillage ou le cryptage,
l’effacement ou la destruction des données.
• Un traitement de données personnelles n’est pas nécessairement
informatisé ( les fichiers papiers sont également concernés et par
conséquent doivent être protégées dans les mêmes conditions).
8. 1.De nouvelles notions
Responsable du traitement
• Personne physique ou morale, publique ou privée ou toute autre
entité qui, seule ou conjointement avec d’autres, détermine les
finalités et les moyens du traitement de données.
9. 1.De nouvelles notions
Données sensibles
• données à caractère personnel qui révèlent l’origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale de la personne concernée
ou qui sont relatives à sa santé y compris ses données génétiques.
10. 1. Qui est concerné ?
•Organismes
publics
•Organismes
privés
Loi 18-07
11. 1. Qu’est qui change pour les citoyens ?
Accord
préalable au
traitement
Droit à
l’information
Droit d’accès
Droit de
rectification
Droit
d’opposition
12. 1.Qu’est qui change pour les citoyens ?
Accord préalable
• Le traitement des données ne peut être effectué qu’avec le consentement exprès de la personne
concernée. Si la personne concernée est incapable ou interdite, le consentement est régi par les règles
du droit commun.
• La personne concernée peut, à tout moment, se rétracter.
• Les données objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de
fins directement liées aux fonctions du responsable du traitement et du destinataire et sous réserve
du consentement préalable de la personne concernée.
• Exception : l’accord préalable n’est pas exigé si le traitement est nécessaire :
• Au respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du
traitement.
• A la sauvegarde de la vie de la personne concernée ; A l’exécution d’un contrat;
• A la sauvegarde d’intérêts vitaux de la personne concernée;
• A l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique;
• A la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par le
destinataire.
13. Droit à l’information
• Le droit dévolu à toute personne de savoir si des données la concernant font l'objet d'un
traitement et d'obtenir du responsable du traitement ou de son représentant des
informations sur cette opération.
• Les informations préalables qui doivent être mises à la disposition des personnes
concernées par le traitement :
•L’identité du responsable du traitement et, le cas échéant, de son représentant ;
•Les finalités du traitement ;
•Toutes informations supplémentaires utiles notamment le destinataire, l’obligation de répondre et
ses conséquences ainsi que ses droits et le transfert des données à l’étranger.
•Exception:
•lorsque l’information de la personne concernée se révèle impossible ( ex traitement de données à
caractère personnel, à des fins statistiques, historiques ou scientifiques.) dans ce cas, le responsable
du traitement est tenu d’aviser l’autorité nationale de l’impossibilité d’informer la personne
concernée et de lui présenter le motif de cette impossibilité ;
•si le traitement est édicté par la loi ;
•si le traitement est effectué à des fins exclusivement journalistiques, artistiques ou littéraires.
1.Qu’est qui change pour les citoyens ?
14. Droit d’accès
•Ce droit permet à la personne concernée par l’opération de traitement de ces données de prendre
connaissance si des données la concernant sont traitées, les finalités du traitement ainsi que les catégories
de données sur lesquelles porte le traitement, mais aussi les destinataires des données.
•Le responsable du traitement des données devra être en mesure de faire parvenir à toute personne
concernée une copie des données détenues sous une forme intelligible ainsi que toute information
disponible sur l’origine des données.
•Le responsable du traitement peut demander à l’autorité nationale des délais de réponse aux demandes
d’accès légitimes et peut s’opposer aux demandes manifestement abusives, notamment, par leur nombre
et leur caractère répétitif. La charge de la preuve du caractère manifestement abusif de la demande,
incombe au responsable du traitement.
•Exercice de ce droit :
•Identification de l’organisme à contacter, transmettre sa demande.
•NB : il est important de conserver une copie des démarches entreprises dans l’optique d’une éventuelle
saisine de l’autorité nationale, et ce, dans le cas de refus ou d’absence de réponse.
1.Qu’est qui change pour les citoyens ?
15. Droit de rectification
• le droit de rectification concerne l’actualisation, la rectification, l’effacement ou le
verrouillage des données personnelles dont le traitement n’est pas conforme à la nouvelle
Loi.
• EX caractère incomplet ou inexact de ces données (âge ou adresse erronés) (adresse sans
numéro) en lien avec la finalité du traitement.
• Ce droit s’exerce à titre gratuit.
1.Qu’est qui change pour les citoyens ?
16. 1.Qu’est qui change pour les citoyens ?
Droit de rectification (suite )
• Exercice de ce droit :
•Identification de l’organisme à contacter, transmettre sa demande, tout en expliquant quelles sont
les données objet de la demande et les correctifs à apporter.
•le responsable du traitement est tenu de procéder aux rectifications dans un délai de dix (10) jours
de sa saisine.
•En cas de refus ou de non réponse dans le délai de dix (10) jours, la personne concernée peut
introduire une demande de rectification auprès de l’autorité nationale. Cette dernière charge l’un
de ses membres à l’effet de mener toutes investigations utiles et faire procéder aux rectifications
nécessaires, et ce, dans les plus brefs délais.
•Le droit de rectification suppose la notification aux tiers auxquels les données personnelles ont été
communiquées de toute actualisation, rectification, effacement ou tout verrouillage des données à
caractère personnel effectué.
•NB : il est important de conserver une copie des démarches entreprises dans l’optique d’une
éventuelle saisine de l’autorité nationale, et ce, dans le cas de refus ou d’absence de réponse.
17. Droit d’opposition
• Toute personne concernée par une opération de traitement de ses données à le droit de
s’y opposer. Ex opposition utilisation des données à des fins de prospection
notamment commerciales.
• Le droit d’opposition doit reposer sur des motifs légitimes.
• Exception :
• lorsque le traitement des données répond à une obligation légale.
• lorsque son application a été écartée par une disposition expresse de l’acte autorisant
le traitement.
•Exercice de ce droit :
•Identification de l’organisme à contacter, transmettre sa demande, tout en expliquant quelles
sont les données objet d’opposition et les motifs y afférents.
• NB : il est important de conserver une copie des démarches entreprises dans l’optique d’une
éventuelle saisine de l’autorité nationale, et ce, dans le cas de refus ou d’absence de réponse.
1.Qu’est qui change pour les citoyens ?
18. 1.Qu’est ce qui change pour les professionnels
?
Respect des
procédures
préalables
Respect des droits
des personnes
Désignation d’un
responsable de
traitement
Transfert des
données vers
l’étranger
Encadrer la sous-
traitance
19. 1.Qui s’occupe de la régulation ?
Autorité
nationale
Autorise
contrôle
Sanctionne
Normalise
21. 2.Grands principes de la protection des données
Licéité et
loyauté
finalité Pertinence
Conservation
limité
Sécurisation
des données
22. Licéité et loyauté
• Une finalité déterminée explicite et légitime
2.Grands principes
23. 2.Grands principes
Finalité
• Une finalité déterminée explicite et légitime
•Pour quelle raison je réalise le traitement ?
•Ex : gestion du personnel, analyse comportement client.
25. 2.Grands principes
Conservation limité
• Les données collectées doivent être conservées sous une forme
permettant l’identification des personnes concernées par le
traitement.
• Les données ne peuvent être conservées de façon indéfinie .
• La durée de conservation ne doit pas excéder celle nécessaire à la
réalisation des finalités pour lesquelles elles ont été collectées ou
traitées.
26. Obligation de sécurité
• Les données ne peuvent être consultées que par les personnes
habilitées par le cadre de leurs fonctions.
•Les données doivent être protégées contre d’éventuels risques.
•Les mesures de sécurisation des données doivent être adaptées à la nature
des données et aux risques présentés par le traitement.
2.Grands principes
27. 3.Le rôle du responsable de traitement des données
28. 3.Le rôle du responsable de traitement des
données.
Qui est le responsable de traitement ?
• Au sens de l’article 3 de la Loi 18-07 le responsable du traitement
de données est définit comme : une personne physique ou morale,
publique ou privée ou toute autre entité qui, seule ou
conjointement avec d’autres, détermine les finalités et les moyens
du traitement de données.
29. Obligations générales
• Chargé du respect des principes généraux.
• Veiller à l’organisation des données collectées dans un fichier
spécifique.
• Veiller à appliquer un code de conduite spécifique.
3.Le rôle du responsable de traitement des
données.
30. Obligations spécifiques
• Répondre à toute sollicitation ou volonté des personnes
concernées par le traitement aux fins d’exercer leurs droits.
• Respecter le secret professionnel.
• Mettre en place les mesures techniques et organisationnelles pour
protéger les données.
3.Le rôle du responsable de traitement des
données.
32. 4.Procédures préalables au traitements des
données
Procédures
préalables
Déclaration
Déclaration
Déclaration
simplifiée
Autorisation
33. 4.Procédures préalables au traitements des
données
La Déclaration
• Principe : Toute collecte et traitement de données à caractère
personnel doit préalablement être déclarée auprès de l’autorité
nationale.
• Exception: les traitements ayant pour seul objet la tenue d'un
registre qui est ouvert à la consultation du public ou de toute
personne justifiant d'un intérêt légitime.
• Elle peut se faire sous forme manuscrite ou bien par voie
électronique.
• Elle doit comporter l’engagement que le traitement sera effectués
conformément à la Loi.
34. 4.Procédures préalables au traitements des
données
La Déclaration
• Toute modification des informations dans la déclaration et toute
suppression de traitement doivent être portées, sans délai, à la
connaissance de l’autorité nationale.
•Le dépôt de la déclaration se fait auprès de l’autorité nationale avec remise
d’un récépissé.
•Le délai de remise du récépissé ne peut excéder les 48 heures qui suivent
le dépôt. Avec possibilité de transmission dudit récépissé par voie
électronique.
35. 4.Procédures préalables au traitements des
données
La Déclaration ( contenu )
• 1. le nom et l'adresse du responsable du traitement et, le cas
échéant, ceux de son représentant;
•2. la nature, les caractéristiques et la ou les finalités du traitement
envisagé;
•3. une description de la ou des catégories de personnes concernées et des
données ou des catégories de données à caractère personnel s'y
rapportant;
•4. les destinataires, ou les catégories de destinataires auxquels les données
sont susceptibles d'être communiquées;
•5. la nature des données dont le transfert vers des pays étrangers est
envisagé;
36. La Déclaration ( contenu )
• 6. la durée de conservation des données ;
•7. le service auprès duquel la personne concernée pourra exercer, les droits
qui lui sont reconnus, ainsi que les mesures prises pour faciliter l'exercice
de ces droits;
•8. une description générale permettant d'apprécier de façon préliminaire
le caractère approprié des mesures prises pour assurer la confidentialité et
la sécurité du traitement ;
•9. les interconnexions, ou toutes autres formes de rapprochement des
données ainsi que leur cession à des tiers ou sous-traitance, sous toute
forme, à titre gratuit ou onéreux.
4.Procédures préalables au traitements des
données
37. 4.Procédures préalables au traitements des
données
La Déclaration simplifiée
• La déclaration simplifiée concerne les traitements de données à
caractère personnel qui ne sont pas susceptibles de porter atteinte
aux droits et libertés des personnes concernées et leur vie privée.
• Une liste des traitements qui peuvent faire l'objet de la déclaration
simplifiée sera établit par l’autorité nationale.
• La déclaration simplifiée est soumise aux mêmes dispositions
relatives à la déclaration
• Exception : le contenu de la déclaration simplifiée ne précisera pas
les éléments 7,8 et 9 relatifs à la déclaration.
38. 4.Procédures préalables au traitements des
données
L’autorisation
• Ce régime concerne le traitements qui peuvent porter atteinte au
respect et la protection de la vie privé et des libertés et droits
fondamentaux des personnes.
• Le pouvoir d’appréciation des caractères nécessitant une
autorisation a été dévolu à l’autorité nationale.
• Ce régime peut concerner les données sensibles tel que précisé par
l’article 18 de la Loi.
• Le contenu de la demande d’autorisation est identique à celui de la
déclaration.
39. 4.Procédures préalables au traitements des
données
L’autorisation
• L’autorité nationale est tenue de rendre sa décision dans un délai
de 2 mois de sa saisine, ce délai peut être prorogé, par décision
motivée de son président, pour une même durée.
•Lorsque l’autorité nationale ne s'est pas prononcée dans les délais
impartis, la demande d'autorisation est réputée rejetée.
•L’autorité nationale peut lors de l’examen de la déclaration décider de la
soumettre au régime de l’autorisation, à cet effet ladite décision doit être
motivée et notifiée au responsable du traitement dans les 10 jours qui
suivent le dépôt de la déclaration.
41. 5.La sous-traitance
La sous-traitance
• Sous-traitant: Toute personne physique ou morale, publique ou
privée ou toute autre entité qui traite des données à caractère
personnel pour le compte du responsable du traitement.
• 1- Une grande variété de prestataires de services peuvent être
qualifiés comme étant un sous-traitant, et ce, dès-lors qu’ils
traitent des données.
• 2-Il faut que cette tache soit exécutée pour le compte du responsable du
traitement des données.
42. 5.La sous-traitance
La sous-traitance
• Le choix du sous-traitant par le responsable des données devra
reposer sur celui qui offre des garanties suffisantes quant à la mise
en œuvre des mesures de sécurité technique et organisationnelle
des traitements à effectuer.
• Toute opération de sous-traitance doit se matérialiser à travers un
contrat.
• le contrat de sous-traitance doit prévoir que le sous-traitant n’agit
que sur instruction du responsable du traitement des données.
• Confidentialité et sécurité des données sont les obligations légales
qui pèsent sur le sous-traitant.
44. 6.Le transfert des données vers l’étranger
Cadre général
• Ne peut s’effectuer que sur autorisation de l’autorité nationale.
• Interdiction de tout transfert ou communication de données qui
risquent de porter atteinte à la sécurité publique ou aux intérêts
vitaux de l’Etat.
• le transfert envisagé doit répondre à l’ensemble des règles ancrées
par la Loi.( droits fondamentaux, principes élémentaires,
obligations et du régime procédural … etc )
45. 6.Le transfert des données vers l’étranger
Cadre général
• Principe : L’Etat destinataire des données doit disposer d’un
niveau de protection suffisant de la vie privée et des libertés et
droits fondamentaux des personnes.
• Exceptions : Si la personne concernée a consenti expressément à leur
transfert ; Si le transfert s’effectue en application d’un accord bilatéral ou
multilatéral auquel l’Algérie est partie ; Sur autorisation de l’autorité
nationale, si le traitement est conforme aux dispositions de l’article 2 de la
nouvelle Loi… etc )
47. 7.Conformité feuille de route
La conformité en 6 actions principales
• 1-Identifier le responsable de traitement des données
• 2-Cartographier les traitements.
• 3-Mettre en place un fichier des traitements de données.( qui?
quoi? pourquoi? ou? jusqu’à quand? Comment ? )
• 4-Gestion des risques et mesures de confidentialité.
• 5-Organisation du processus interne.
• 6-Documenter sa conformité.