L’obligation de mise en conformité, des entreprises détentrices et auteures de traitement de données personnelles de personnes physiques, avec les dispositions de la loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel ( loi no n° 18-07 du 10 juin 2018 ), devra s’opérer impérativement avant le 23 aout 2023.
Le Cabinet est disposé à assister toute entreprise pour la mise en place de cette politique de conformité et toutes les procédures y afférentes.
Pour rappel cette loi a pour but de prévenir contre toute atteinte à la confidentialité des données personnelles des personnes physiques en possession des entreprises. Elle édicte un certain nombre de règles à l’intention des entreprises dans le traitement de ces données. Ces règles contraignantes doivent selon l’article 75 de la loi, s’appliquer à compter du 23 août 2023 soit une année depuis l’installation de l’Autorité de protection des données personnelles.
Pour rappel.
I - Glossaire de termes fondamentaux
Tout d’abord, un bref exposé de certains termes que la loi a pris soin de prévoir, est nécessaire :
I.1.) Données personnelles des personnes physiques :
Ce sont elles qui font l’objet de la protection et la loi les définit ainsi :
Il s’agit de toute information, quel qu'en soit son support, concernant une personne identifiée ou identifiable, ci-dessous dénommée « personne concernée », d’une manière directe ou indirecte, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale ;
De façon plus prosaïque et didactique, il s’agit dans les faits de toutes informations récoltées et détenues par tout organisme public ou privé sur les personnes physiques avec lesquelles il entre en relation intramuros ou extramuros à l’occasion de ses fonctions ou activités. Il peut s’agir d’employés, de travailleurs et de fonctionnaires dont les informations sont nécessairement détenues par leur employeur à l’occasion de leur recrutement et de la gestion de leur carrière. Il peut aussi s’agir des informations que détiennent des organismes rendant un service public de santé, d’enseignement, de prestations sociales, d’impôts plus généralement de tout organisme public détenant des informations personnelles sur ses administrés ou des usages du service public.
Il s’agit aussi d’entreprises privées ayant une relation avec le grand public du fait d’une relation commerciale de ventes ou de services. Ces entreprises récoltent forcément à l’occasion de leurs relations avec des tiers des renseignements qui sont autant de données personnelles objet de protection par la loi.
Certaines de ces données sont qualifiées par la loi de « données sensibles » définies ainsi :
« Données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques »
I.2.) Traitement des données :
C’est sur le traitement que portent les règles édictées par la loi. La loi organise le traitement de ces données afin de le rendre compatible avec la protection dont elles jouissent.
Le traitement consiste selon la loi « en toute opération ou tout ensemble d’opérations effectués à l’aide de moyens ou de procédés automatisés ou non et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction »
Il importe de noter d’emblée que si la nécessité de la protection des données à caractère personnel a été révélée par l’informatique et le numérique, elle n’en demeure pas moins nécessaire lorsqu’il est question de données conservées sur des supports non numériques. Les qualificatifs de procédés « automatisés ou non » figurent dans cet extrait pour le rappeler de même que l’expression « quel qu’en soit le support » utilisée dans la définition des données personnelles citée plus haut.
C’est du reste le sens non équivoque de l’article 4 de la loi qui dispose
Art. 4. — La présente loi s’applique au traitement automatisé en tout ou en partie des données à caractère personnel, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.
II - Les grands principes introduits par la loi
II.1. La directive fondamentale de la loi figurant à son fronton énonce que :
« Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, doit se faire dans le cadre du respect de la dignité humaine, de la vie privée, des libertés publiques et ne doit pas porter atteinte aux droits des personnes, à leur honneur et à leur réputation ». (Art. 2.)
Conséquemment à cette directive, la loi énonce un certain nombre de principes dont elle exige le respect par les détenteurs de données personnelles de personnes physiques :
II.2. Le principe du consentement préalable de la personnes physique concernée au traitement :
Art. 7. — Le traitement des données à caractère personnel ne peut être effectué qu’avec le consentement exprès de la personne concernée.
Nul traitement par le détenteur de la donnée personnelle d’une personne physique ne peut s’opérer sans le consentement de cette dernière, celle-ci pouvant à tout moment se rétracter et retire son consentement.
Seules des exceptions limitativement énumérées peuvent outrepasser le consentement de la personne concernée :
Il s’agit de cas où le traitement de la donnée personnelle s’impose pour des raisons tenant au :
« Respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement ;
— à la sauvegarde de la vie de la personne concernée ;
— à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
— à la sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner son consentement ;
— à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées
— à la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de l’intérêt et/ou des droits et libertés fondamentaux de la personne concernée.
II.3. Le principe de la qualité des données soumises au traitement
Le traitement ne peut excéder le but pour lequel il s’opère. Ainsi l’article 9 stipule que :
Les données personnelles doivent être :
a) traitées de manière licite et loyale ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement de façon incompatible avec lesdites finalités ;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées ;
d) exactes, complètes et, si nécessaire, mises à jour ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées.
La loi octroie aux personnes physiques dont les données personnelles font l’objet de détention et de traitement concernées un certain nombre de droits à même de leur permettre de veiller à la protection de leurs données
Il s’agit
- D’un droit à l’information
- D’un droit à l’accès aux données
- D’un droit de rectification desdites données s’il y a lieu
- D’un droit d’opposition au traitement de ses données en cas de motif légitime et notamment en cas d’utilisation de ses données pour de la prospection commerciale
III- Le dispositif institutionnel de mise en œuvre de la loi
Le prolongement institutionnel des règles de protection énoncées par la loi est la création de l’Autorité de protection des données personnelles, autorité administrative indépendante placée auprès du Président de la République, à l’effet d’assurer la mission essentielle de gardien de l’application des dispositions légales.
C’est ainsi que le traitement des données personnelles par la personne publique ou privée qui la détient ne peut s’opérer qu’à la condition d’en aviser préalablement l’Autorité nationale de protection des données personnelles pour :
- Soit lui en faire la déclaration
- Soit, si le type de traitement déclaré en relève, en obtenir une autorisation, si l’Autorité nationale juge que le traitement déclaré présente « des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes » (article 17).
A cet effet, Le responsable du traitement de tout organisme public ou privé doit adresser à l’Autorité précitée une déclaration dont le contenu est précisé par la loi.
Il va sans dire que tout organisme privé ou public détenteur de données personnelles de personnes physiques doit désigner en son sein un responsable du traitement à qui incombera de rédiger, signer et expédier la déclaration contre accusé de réception, la voie électronique étant elle aussi prévue si le déclarant en fait le choix.
On comprend donc aisément que l’autorité nationale ait ainsi, entre autres prérogatives, d’opérer les investigations à même de s’assurer du respect de celle-ci par tous les détenteurs de données personnelles, et de sanctionner les violations constatées.
En vertu de quoi celle-ci est dotée par la loi d’un pouvoir disciplinaire lui permettant d’infliger des sanctions administratives à l’encontre des organismes publics et privés contrevenant aux dispositions de la loi.
Le responsable du traitement expose ainsi son organisme à plusieurs sortes de mesures administratives qui sont
- L’avertissement,
- La mise en demeure,
- Le retrait provisoire pour une durée qui ne peut dépasser une année, ou le retrait définitif du récépissé de déclaration ou de l’autorisation,
- L’amende.
La loi assortit le dispositif des sanctions d’un volet pénal particulièrement dissuasif consistant entre autres sanctions pénales, en la condamnation de l’auteur de tout traitement n’ayant pas été préalablement déclaré ou autorisé ainsi que l’exige l’article 12 de la loi à
« (…) Un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, quiconque procède ou fait procéder à des traitements de données à caractère personnel sans respect des conditions prévues par l’article 12 de la présente loi (article 56 de la loi) .
Il en résulte, à la lumière de ce qui précède, qu’un communiqué, déjà diffusé de l’autorité nationale de protection des données, prend toute son importance en ce qu’il alerte tous les organismes publics et privés qui détiennent des données personnelles de personnes physiques et en procèdent au traitement, que le temps est venu comme en dispose la loi de s’y conformer en procédant à la déclaration de ce traitement à l’Autorité nationale de protection des données avant le 23 août 2023 date d’entrée en vigueur effective de la loi.
Un modèle de déclaration doit être publié à cet effet par cette Autorité qu’il leur appartiendra de renseigner et d’adresser à cette Autorité avant cette date.
Ceux-ci seraient bien avisés à toutes fins utiles de s’enquérir dès à présent auprès de cette Autorité de la date de mise à disposition du public dudit modèle auprès du contact suivant : contact.anpdp@anpdp.dz ou en se mettant en rapport avec elle via le n° suivant : 023 477 300.