Introduction
Le bouleversement dû à la révolution numérique a redéfini le progrès humain, une ne nouvelle ère commence, une ère où le numérique sera partie intégrante de la vie humaine. Cette quête constante du développement technologique s’est accompagnée d’une augmentation accrue de l’exploitation des données en générale et plus spécifiquement des données à caractère personnel au point ou certains qualifient les données d’or noir du 21ème siècle.
Toutefois, une exploitation sans limite de ce type de donnée et des risques qui en découlent a conduit à encadrer ce type de pratique, et ce, à travers la mise en place de règlementations spécifiques afin d’apporter un certain équilibre et recentrer l’approche non pas sur le technologique mais sur l’humain et le respect de ses droits de l’individu.
A cet effet, l’Assemblée générale des Nations Unies a adopté en 1995 la résolution A/RES/45/95 portant sur les principes directeurs pour la réglementation des fichiers personnels informatisés.
En outre, l’Organisation de Coopération et de Développement Economique ( OCDE ) a adopté sa décision datant du 23 septembre 1980 portant sur les lignes directrices régissant la protection de la vie privée et les flux transfrontalières de données de caractère personnel.
L’Union Africaine a suivi cet élan de régulation en mettant en place un cadre juridique spécifique, en l’occurrence, la convention de Malabo sue la cyber-sécurité et la protection des données à caractère personnel. Adoptée le 27-06-2014 par la 23 éme session ordinaire de la conférence de l’union à Malabo, Guinée Equatoriale, ladite convention compte à ce jour 8 ratifications et 14 signatures sur les 55 pays composant l’union. Ce qui constitue un frein à son entrée en vigueur car conditionnée à la ratification de 15 états membres.
L’Algérie quant à elle a dû attendre jusqu’en 2018 pour se doter de son propre arsenal juridique à travers la promulgation de la Loi 18-07 du 10 juin 2018 (Journal officiel n°34 du 10 juin 2018).
Cette Loi comme l’indique l’article 1 a pour objet de fixer les règles de protection des données personnelles qui se traduisent par l’ancrage de nouveaux principes la consécration de nouveaux droits et la mise en place de nombreuses obligations.
Dans cette dynamique, l’année 2020, fut l’année de constitutionnalisation du principe de protection des données à caractère personnel à travers la nouvelle disposition introduite par la constitution algérienne. Ce qui constitue un acte fort en vue de soutenir l’approche mise en place en relation avec de la protection des données à caractère personnel.
A cet effet, cette modeste contribution tend à défraichir et apporter certains éclaircissements sur les contours de la loi algérienne relative à la protection des données personnelles, tout en signalant le pointillisme et la technicité des dispositions introduite ce qui impose un minimum de savoir technique pour pouvoir cerner les contours de cette loi.
1- Champ d’application de la loi:
a-Principe :
-Critère matériel :
Selon l’article 4 de la loi le cadre règlementaire mis en place s’applique à tout traitement automatisé, en tout ou partie des données à caractère personnel, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels. De qui précède le législateur tend à minimiser les possibles contournements de la loi, c’est pourquoi la protection ne dépendra pas de la technique utilisé pour l’éventuel traitement envisagé.
Ainsi, pour être applicable certains éléments doivent être réunis :
Il doit s’agir d’une donnée à caractère personnel, l’article 3 de la Loi défini quant à lui ce que l’on entend par une donnée personnelle. Il est à noter qu’il est exclu le traitement des données à caractère personnel qui concernent les personnes morales, y compris le nom, la forme juridique et les coordonnées de ladite personne morale.
Ensuite, cette donnée doit faire l’objet d’un traitement (automatisé ou manuel) tel que la collecte, la conservation ou la consultation, faute de quoi le traitement envisagé n’entrera pas dans son champ d’application.
A noter aussi que le législateur n’a fait aucune différence entre les personnes qui traitent des données, c’est pourquoi la loi s’applique à tout organisme public ou privé amené à traiter des données personnelles.
Critère géographique :
Le législateur ne se limite au seul critère matériel pour l’applicabilité de la loi, mais, fait usage d’un autre critère en l’occurrence le critère d’établissement, à cet effet, il ressort de la lecture de l’article 4 tiret 1 que la loi s’applique dès lors que le responsable du traitement est établi en Algérie, par établissement il est question de l’exercice d’une activité sur le territoire algérien dans le cadre d’une installation quelle que soit sa forme juridique.
Cependant, le législateur ne se limite pas à ce cas de figure mais entend l’applicabilité de la loi aux traitements des données personnelles effectués par des responsable de traitement non établi en Algérie en recourant à des moyens automatisés ou non situés sur le territoire algérien. A cet effet, le représentant ou le prestataire du responsable du traitement se situant en Algérie se substituent à ce dernier quant aux obligations résultant des dispositions de la loi, sans préjudice de la responsabilité personnelle du responsable du traitement.
b-exception
Le texte énonce une série d’exception limitant l’application de ladite loi, à ce titre suivant les dispositions des articles 5 et 6 sont exclues de l’application de la loi : les traitements effectués par une personne physique dans le cadre de ses activités personnelles comme par exemple le bon vieux calepin ou on retranscrit les numéros de téléphone.
2-Qu’est ce qu’une donnée à caractère personnel
Au sens de l’article 3 de loi, il est entendu par donnée à caractère personnel, toute information, quel qu’en soit son support, concernant une personne identifiée ou identifiable, d’une manière directe ou indirecte notamment en référence à son numéro d’identification ou à un ou plusieurs éléments spécifiques de son entités physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale.
Ainsi les données à caractère personnel rendues anonymes ou la personne ne peut plus être identifiable ne sont pas qualifiées de données à caractère personnel.
Le texte de loi met en évidence deux catégorie de données les données dites par défaut par oppositions aux données dites sensibles. Ainsi les données dites sensibles sont celle qui relèvent de l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée, ainsi que celle relative sa santé y compris ses données génétiques.
A noter que pour cette catégorie de données, le législateur a mis en place un mécanisme assez strict afin de maximiser la protection et la sécurité des données.
3-Principes fondamentaux de protection des données à caractère personnel
a-Fondements :
Licéité et loyauté :
Aux termes de l’article 9 de la loi les données à caractère personnel doivent être traitées de manière licite et loyale.
A ce titre, un traitement licite est celui qui s’opère dans le respect de la Loi ainsi tout traitement qui déroge à la loi est réputé illicite. En outre, la licéité suppose que le traitement envisagé devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, ou de respecter une obligation légale ou l’exécution d’un contrat … etc.
La loyauté du traitement, quant à elle, s’apprécie au regard du respect des exigences de transparence c’est pourquoi les informations relatives au traitement envisagé doivent être accessibles, compréhensibles. Ainsi nous constatons toute la difficulté de cerner ce principe au vue des multiples obligations qui s’y imbriquent tels que le droit des personnes.
A noter aussi qu’un traitement de données peut parfaitement être licite car autorisé par la loi tout en étant déloyale car ne répondant pas aux exigences de transparence dictées par le principe de loyauté. Inversement, un traitement peut être illicite, car prohibé par les textes, mais loyal car effectué en toute transparence pour la personne concernée.
Une finalité déterminée, explicite et légitime :
Le principe de finalité est, sans aucun doute, la pierre angulaire de la Loi. Pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.
Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé.
Le principe de finalité est étroitement lié à l’exigence de consentement qui le préside. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité tel qu’il ressort de l’article 32 de la Loi « Toute personne sollicitée, en vue d’une collecte de ses données à caractère personnel, doit être, préalablement, informée de : … des finalités du traitement »
En outre, la finalité doit être déterminée, explicite et légitime pour être recevable, donc il ne suffit pas juste d’associer une finalité au traitement mais il doit revêtir les caractéristiques énoncés.
A cet effet, une finalité déterminée, implique qu’elle soit claire et précise d’une manière à permettre à la personne d’identifier les utilisations de ces données, ainsi une finalité générale est exclue de facto.
De plus, la finalité doit être explicite c’est-à-dire présentée d’une manière claire, précise et compréhensible afin d’éviter toute ambiguïté.
Outre la nécessité d’être explicite, la finalité doit être légitime c’est-à-dire conforme à la Loi. Par conséquent toutes finalité ayant un caractère illégitime n’est point recevable.
L’article 9 énonce aussi que le traitement ultérieur ne peut en aucun cas être incompatible avec la finalité initiale c’est-à-dire que ce soit au stade de la collecte ou au stade du traitement la finalité doit être la même. Ce qui écartera tout usage injustifié dans le temps.
Proportionnalité
L’article 9 de la loi dispose que « les données à caractère personnel doivent être … adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées » ce qui implique que le traitement envisagé concernera seulement les données indispensables au traitement et ce au regard des finalités tracés au départ.
L’article 9 énonce que « les données à caractère personnel doivent être …exactes, complètes et si nécessaires, mises à jour ».
De ce qui précède, le données objet de traitement doivent être exact, il incombe au responsable du traitement de réaliser cet objectif et non pas de déployer ses meilleurs efforts.
Ainsi l’exactitude peut s’étendre sur l’ensemble du processus c’est-à-dire au moment de la collecte mais aussi au moment du traitement. Ce qui implique de prendre les mesures nécessaires concernant les données inexactes soit en les effaçant ou en procédant à leurs rectifications mais aussi en veillant à les mettre à jour continuellement.
Durée de conservation
La nouvelle Loi énonce que « les données à caractère personnel doivent être… conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées »
De ce qui précède, il convient de dire que la conservation d’une donnée à caractère personnel ne peut, en aucun cas, être de manière illimitée. De plus la conservation des données doit être proportionnelle à la finalité du traitement, ce qui implique de prendre en considération le cycle de vie de la donnée notamment le point de départ de la durée de conservation, la période de conservation et les modalités ainsi que les mesures à prendre lors de la fin de conservation de la donnée en l’occurrence les mécanismes liés à sa destruction ou son anonymisation.
A noter, que le responsable du traitement doit prendre en considération les obligations légales en matière de durée de conservation de certaine données ou catégorie de données.
Cependant le législateur a introduit une exception concernant la durée limitée de conservation des données à caractère personnel dès lors qu’il s’agisse de données traitées à des fins historiques, statistiques ou scientifiques.
b-Bases légales du traitement des données :
Principe : Consentement
Élément central de la nouvelle Loi, le consentement préalable à tout éventuel traitement de données à caractère personnel a été consacré, à défaut, le traitement sera qualifié d’illicite.
Au sens de l’article 3 est considéré comme consentement « toute manifestation de volonté, en connaissance de cause, par laquelle la personne concernée ou son représentant légal, accepte que ses données personnelles fassent l’objet d’un traitement manuel ou électronique. »
Consentement éclairé
Cette définition implique une information préalable de la personne concernée sur les contours de l’opération de traitement de ses données. Il est important de se questionner sur les éventuels éléments à transmettre à la personne concerné pour que cette obligation soit respectée.
Selon l’article 32 les éléments qui doivent être transmis au préalable à la personne concernée sont : l’identité du responsable, les finalités du traitement, toutes autres informations utiles notamment l’obligation de répondre et ses conséquences ainsi que les droits de la personne concernée et le transfert des données vers l’étranger.
Ainsi, les éléments cités doivent être transmis d’une manière express et non équivoque claire distincte et explicite.
A noter, que la personne concernée dispose du droit de rétractation c’est-à-dire la possibilité de retirer son consentement tel qu’il ressort de la lecture de l’article 7 de la Loi, l’exercice de ce droit peut intervenir à tout moment et il appartient au responsable de traitement de ne pas entraver l’exercice de ce droit.
Précisons qu’on ne saurait considérer cette rétractation comme étant une remise en cause de la licéité du traitement pour laquelle la personne concernée a donné son consentement au préalable.
Consentement express
L’article 7 de la Loi va à l’encontre de l’adage « Qui ne dit mot consent » en consacrant le caractère exprès de la manifestation du consentement. A cet effet, ce dernier doit être clair net et précis mais aussi distinct, ce qui implique qu’il ne pourrait y avoir de consentement en cas de silence de la personne concernée.
C’est pourquoi, le consentement pourrait se traduire à travers une déclaration ou un quelconque acte qui ne laissera aucune ambiguïté. Techniquement cette disposition aura un impact significatif sur la pratique par exemple on pourra assimiler une case pré-cochée comme contraire à cette disposition. Et au contraire une case à cocher sera plus assimilable à la forme exprès du consentement.
A noter aussi, que le consentement doit être relatif au traitement des données personnelles de la personne concernée exclusivement.
De plus, le consentement se doit d’être donné spécifiquement en rapport aux données personnelles d’une personne.
Il est fortement recommandé au responsable du traitement de documenter l’ensemble des consentements récoltés afin de pouvoir fournir la preuve de l’obtention du consentement de la personne concernée.
Cela peut se faire par exemple par l’établissement d’un fichier de consentement permettant de démontrer quand et pourquoi une personne a donné son consentement pour un traitement de données en particulier.
Cela implique aussi la mise en place de mesure de protection de ces fichiers contre toute modification intentionnelle ou accidentelle.
Peuvent également figurer dans le fichier cité ci-haut l’ensemble des informations communiquées à la personne concernée préalablement à sa décision de donner le consentement. Autant d’éléments dont l’importance sera critique en cas d’audit.
Consentement mineurs
Les enfants mineurs ne peuvent donner librement un consentement au traitement de leurs données personnelles qu’après le consentement de leurs représentants légaux ou le cas échéant l’autorisation du juge compétent.
C’est pourquoi, le responsable du traitement devra vérifier que le consentement émane de la personne cité par le texte en question.
Exceptions :
Tel que présenté précédemment, le consentement de la personne concernée constitue un principe fondamental et un préalable à tout éventuel traitement des données d’une personne, cependant le législateur a consacré une série d’exceptions qui se substituent au consentement préalable, en l’occurrence :
- Le respect d’une obligation légale incombant à la personne concernée ou le responsable du traitement :
Le recours à cette disposition est justifié par l’existence d’un texte de loi qui impose au responsable du traitement de procéder à un traitement spécifique des données à caractère personnel tel que la récolte et transmission de données des travailleurs d’une entreprise à un organisme chargé de la sécurité sociale.
Cependant, cette obligation légale dans sa conception devra prendre en considération les dispositions juridiques contenues dans la loi relative à la protection des données.
- L’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci :
Un organisme est amené à traiter des données dans le cadre de l’exécution d’un contrat, ou même un pré-contrat. On pourrait facilement apprécier cette disposition dans le cadre d’une transaction commerciale B2C ou le vendeur aura besoin de traiter certaines données personnelles du client afin de livrer la commande de ce dernier.
-L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ou les tiers auquel les données sont communiquées :
Tel que souligner par l’article 7 de la loi l’autorité publique peut effectuer des traitements de données personnelles dans le cadre de l’exécution de ses missions qui rentre dans le cadre d’une mission d’intérêt public.
-la réalisation d’un intérêt légitime :
Dans l’optique de la réalisation de ses prestations et ou ses mission une entité public ou privée peut être amenée à traiter certaines données à caractère personnel. Cependant le responsable du traitement doit veiller à la correspondance de l’intérêt légitime avec les différents fondements ancrés par la loi relative aux données personnelles. A défaut le traitement sera réputé en infraction à la loi.
- La sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner son consentement et la sauvegarde de la vie de la personne concernée :
Cette disposition telle que décrite par l’article 7 de la Loi doit strictement intégrer une situation critique à l’encontre de la personne concernée ou ce cette dernière est dans l’incapacité de formuler son consentement pour un éventuel traitement de ses données mais liée étroitement à la sauvegarde de sa vie.
4-Droits des personnes
La nouvelle Loi a pour objet de fixer les règles de protection des personnes physiques dans le traitement des données à caractère personnel, qui doit se faire dans le cadre du respect de la dignité humaine, de la vie privée, des libertés publiques et ne doit pas porter atteinte aux droits des personnes, à leur honneur et à leur réputation.
A ce titre, les personnes concernées par le traitement disposent dans le cadre de la nouvelle Loi de droits afin de garantir une protection optimale des données à caractère personnel et leur permettre de garder la maitrise de leurs données.
Droit à l’information
Selon l’article 32 de la Loi le droit à l’information est un droit octroyé à toute personne de savoir si des données la concernant font l'objet d'un traitement et d'obtenir du responsable du traitement ou de son représentant des informations sur cette opération.
Ce droit traduit la volonté du législateur de renforcer la protection des personnes concernées par le traitement, en leur offrant un droit de regard et d’action sur leurs propres informations.
A ce titre, l’article détermine les informations préalables qui doivent être mises à la disposition des personnes concernées par le traitement :
L’identité du responsable du traitement et, le cas échéant, de son représentant ;
Les finalités du traitement ;
Toutes informations supplémentaires utiles notamment le destinataire, l’obligation de répondre et ses conséquences ainsi que ses droits et le transfert des données à l’étranger.
Aussi, cette obligation d’information est applicable dans le cas où il s’agira de transmettre des informations à un tiers ex la sous-traitance.
A cet effet le responsable du traitement ou son représentant doit fournir à la personne concernée les informations nécessaires, sauf si la personne en a déjà eu connaissance.
Cependant, nous pouvons envisager le cas de figure ou les données n'ont pas été collectées auprès de la personne concernée ?
Par exemple en cas de collecte de données, en réseaux ouverts, le législateur maintient cette obligation, ainsi la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées, par des tiers non autorisés.
Cependant, le législateur a introduit une exception à l’exécution de cette obligation, et ce, dans les cas qui suivent :
Lorsque l’information de la personne concernée se révèle impossible, notamment en cas de traitement de données à caractère personnel, à des fins statistiques, historiques ou scientifiques ;
Dans ce cas, le responsable du traitement est tenu d’aviser l’autorité nationale de l’impossibilité d’informer la personne concernée et de lui présenter le motif de cette impossibilité ;
Si le traitement est édicté par la loi ;
Si le traitement est effectué à des fins exclusivement journalistiques, artistiques ou littéraires.
Droit d’accès
Selon l’article 34 de la Loi le droit d’accès est celui qui permet à la personne concernée par le traitement de ses données de prendre connaissance si des données la concernant sont traitées, les finalités du traitement ainsi que les catégories de données sur lesquelles porte le traitement, mais aussi les destinataires des données.
A cet effet, le responsable du traitement des données doit être en mesure de faire parvenir à toute personne concernée une copie des données détenues sous une forme intelligible ainsi que toute information disponible sur l’origine des données.
Cependant, le responsable du traitement peut demander à l’autorité nationale des délais de réponse aux demandes d’accès légitimes et peut s’opposer aux demandes manifestement abusives.
Par exemple, une demande peut être qualifiée d’abusive au regard de son caractère répétitif et le nombre de sollicitation. A noter que la charge de la preuve du caractère manifestement abusif de la demande, incombe au responsable du traitement.
Droit de rectification
L’article 35 énonce un nouveau droit le droit de rectification, ce droit permet à la capacité de la personne concernée de corriger les données qui peuvent être inexactes (âge ou adresse erronés) ou de compléter des données (adresse sans numéro).
De surcroit, il est entendu par rectification l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles dont le traitement n’est pas conforme à la nouvelle Loi, notamment en raison du caractère incomplet ou inexact de ces données ou dont le traitement est interdit.
A noter que le responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais pour le demandeur, dans un délai de dix (10) jours de sa saisine.
En outre, le droit de rectification suppose la notification aux tiers auxquels les données personnelles ont été communiquées de toute actualisation, rectification, effacement ou tout verrouillage des données à caractère personnel effectué.
Cependant, en cas de refus ou de non réponse dans le délai précité, la personne concernée peut introduire une demande de rectification auprès de l’Autorité Nationale de protection des données à caractère personnel. A cet effet, cette dernière charge l’un de ses membres à l’effet de mener toutes investigations utiles et faire procéder aux rectifications nécessaires, et ce, dans les plus brefs délais.
Droit d’opposition
Suivant les dispositions de l’article 36 toute personne concernée par une opération de traitement de ses données à le droit de s’y opposer, et ce, pour des motifs légitimes.
A ce titre, la personne concernée peut recourir à l’exercice de ce droit s’il s’avère que les données la concernant sont utilisées à des fins de prospection, notamment commerciales, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
C’est pourquoi, la personne concernée doit identifier l’organisme à contacter puis exercer son droit d’opposition, tout en expliquant quelles sont les données objet d’opposition et les motifs y afférents.
En outre, la personne concernée doit veiller à la conservation d’une copie des démarches entreprises dans l’optique d’une éventuelle saisine de l’autorité nationale, et ce, dans le cas de refus ou d’absence de réponse.
Cependant, ce droit ne peut être exercé lorsque le traitement des données répond à une obligation légale ou lorsque son application a été écartée par une disposition exprès de l’acte autorisant le traitement.
La nouvelle Loi énonce que « les données à caractère personnel doivent être… conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées »
De ce qui précède, il convient de dire qu’une donnée personnelle ne peut être conservée de manière illimitée.
C’est pourquoi la durée de conservation des données à caractère personnel doit être proportionnelle à la finalité du traitement. Ce qui implique de prendre en considération certains points notamment le point de départ de la durée de conservation, la période de conservation et les modalités ainsi que les mesures à prendre lors de la fin de conservation de la donnée.
A noter aussi que le responsable du traitement doit prendre en considération les obligations légales en matière de durée de conservation de certaine données ou catégorie de données.
Cependant le législateur a introduit une exception concernant la durée limitée de conservation des données à caractère personnel dès lors qu’il s’agisse de données traitées à des fins historiques, statistiques ou scientifiques.
5-Sous-traitance
La nouvelle loi tend d’une part à renforcer les droits des personnes sur leurs données et d’autre part à responsabiliser les acteurs traitants ces données. C’est pourquoi les sous-traitants ont fait l’objet de certaines dispositions que nous allons mettre en exergue.
Selon l’article 3 de la Loi est considéré par sous-traitant « toute personne physique ou morale, publique ou privée ou toute autre entité qui traite des données à caractère personnel pour le compte du responsable du traitement. ». Nous pouvons en déduire que tout organisme offrant un service qui implique un quelconque traitement de données pour le compte d’un autre organisme est qualifié comme tel les prestataires de services informatiques, les sociétés de marketing et de communication.
Cependant, le traitement des données n’est pas le seul critère retenu pour revêtir la qualité de sous-traitant. Il faut que cette tache soit exécutée pour le compte du responsable du traitement des données.
C’est au responsable du traitement des données que revient la charge et la responsabilité de déterminer les finalités du traitement des données et mettre en place les moyens nécessaires à cet effet.
A noter qu’un sous-traitant peut être responsable de traitement lorsqu’il est question de traitement des données pour son propre compte, C‘est a dire lorsque ce dernier trace lui-même la finalité du traitement et les mesures relatives à ce traitement.
En outre, le choix du sous-traitant par le responsable des données devra reposer sur celui qui offre des garanties suffisantes quant à la mise en œuvre des mesures de sécurité techniques et organisationnelle des traitements à effectuer. A cet effet le responsable du traitement peut demander au sous-traitant de présenter une certification
A noter que toute réalisation de mission de traitement des données par un sous-traitant doit être régie par un contrat tel qu’il ressort des dispositions de l’article 39 de ladite Loi.
Ce contrat doit prévoir notamment que le sous-traitant n’agit que sur instruction du responsable du traitement des données, et ce, dans le respect des dispositions relatives à la confidentialité et à la sécurité des données.
6-Le transfert des données vers l’étranger
Le transfert des données vers l’étranger est devenu incontournable dans un environnement ou les opérations des entreprises sont globalisées et distribuées avec l’avènement de la nouvelle Loi tout transfert vers l’étranger ne peut s’effectuer que sur autorisation préalable de l’autorité nationale ce qui résulte en un impact direct sur ces opérations et la nécessite de réaligner les processus de conformité.
Suivant l’article 44 de la Loi le transfert des données à caractère personnel vers un pays étranger doit être exécuté conformément aux dispositions légales que ce soit en matière de respect des droits fondamentaux, des principes élémentaires, des obligations et du régime procédural.
Cependant, le législateur a introduit une autre condition qui doit être respectée, en l’occurrence la garantie d’un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes par l’Etat destinataire des données.
A ce titre, il est important de se questionner sur le caractère suffisant introduit par le législateur dans l’article 44 cité ci-haut, Comment l’apprécier et qui dispose du pouvoir d’appréciation ?
L’organe habilité à apprécier le caractère suffisant du niveau de protection assuré par un Etat est l’autorité nationale. Cette dernière apprécie ce caractère en fonction des dispositions juridiques en vigueur dans l’Etat destinataire des données, des mesures de sécurité qui y sont applicables, des caractéristiques propres du traitement telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.
De ce qui précède, nous pouvons considérer l’élément relatif au niveau de protection suffisant comme étant une condition sine-qua-non au transfert des données vers l’étranger.
Cependant, le législateur a introduit une série d’exceptions à cette condition ou il est possible de transférer des données dans un Etat n’accordant pas une protection adéquate si :
La personne concernée a consentie expressément à leur transfert ;
Le transfert s’effectue en application d’un accord bilatéral ou multilatéral auquel l’Algérie est partie ;
Sur autorisation de l’autorité nationale, si le traitement est conforme aux dispositions de l’article 2 de la nouvelle Loi.
Le transfert est nécessaire à l’une des conditions suivantes :
A la sauvegarde de la vie de cette personne ;
A la préservation de l’intérêt public ;
Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
A l’exécution d’un contrat entre le responsable du traitement et la personne concernée, ou de mesures précontractuelles prises à la demande de celui-ci ;
A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ;
A l’exécution d’une mesure d’entraide judiciaire internationale ;
A la prévention, au diagnostic ou au traitement d’affections médicales.
De ce qui précède, il ressort clairement que chaque opération de traitement de données par la transmission ou la communication vers l’étranger devra faire l’objet d’une attention toute particulière car tout transfert ne répondant pas aux conditions énoncées par la Loi serait illégal.
7-Procédures préalables aux traitements
La Loi tend à consolider la prédominance des droits fondamentaux des personnes et soumet le traitement des données à caractère personnel à des formalités administratives préalables.
A cet effet, suivant les dispositions de l’article 12 de la Loi : « toute opération de traitement des données à caractère personnel, est soumise à une déclaration préalable à l’autorité nationale ou à son autorisation… ».
Aussi il ressort de la lecture des articles 12 et suivants que le critère matériel a été repris afin d’établir la distinction entre ce qui soumis au régime de la déclaration et ce qui est soumis au régime de l’autorisation.
a-Régime de la déclaration
Toute collecte et traitement de données à caractère personnel doit préalablement être déclarée auprès de l’autorité nationale. A noter que cette obligation a été étendue aussi aux cas de cessions de fichier de données.
Cependant, les traitements ayant pour seul objet la tenue d'un registre qui est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime ne sont pas concerné par le régime de la déclaration.
Le législateur distingue entre deux catégorie de déclaration selon le cas qu’elle soit susceptible de porter atteinte aux droits et libertés des personnes et leur vie privé (déclaration) et (la simple déclaration) lorsque le traitement ne porte pas atteinte aux éléments précités.
Le pouvoir d’appréciation étant dévolu à l’autorité nationale, cette dernière aura la charge de déterminer la liste des traitements qui seront concernés par la déclaration simplifiée.
A noter que la différence entre la déclaration et la déclaration simplifiée consistera simplement à exonérer le préposé à la collecte ou traitement des données de justifier de certains éléments lors de la procédure préalable tel que la description des mesures de sécurité mises en place pour assurer la protection des données.
Aussi, la déclaration peut se faire sous forme manuscrite ou bien par voie électronique, et doit comporter l’engagement que le traitement sera effectué conformément à la Loi (respect des principes et droits …etc ).Et elle doit comprendre aussi les éléments suivants :
1. le nom et l'adresse du responsable du traitement et, le cas échéant, ceux de son représentant ;
2. la nature, les caractéristiques et la ou les finalités du traitement envisagé ;
3. une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s'y rapportant ;
4. les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;
5. la nature des données dont le transfert vers des pays étrangers est envisagé ;
6. la durée de conservation des données ;
7. le service auprès duquel la personne concernée pourra exercer, les droits qui lui sont reconnus, ainsi que les mesures prises pour faciliter l'exercice de ces droits;
8. une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement ;
9. les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession à des tiers ou sous-traitance, sous toute forme, à titre gratuit ou onéreux.
A noter que la déclaration simplifiée n’est pas concernée par la justification des éléments portés dans les points 7,8 et 9.
Cependant, il est important de savoir que toute modification des informations citées ci-dessus et toute suppression de traitement doivent être portées, sans délai, à la connaissance de l’autorité nationale.
Une fois finalisée et déposée au niveau de l’autorité nationale, cette dernière remettra au concerné un récépissé de dépôt, et ce, dans un délai n’excédant pas les 48 heures. Notons aussi que le récépissé peut être transmis par voie électronique.
b-Régime de l’autorisation
Au sens de l’article 17 de la Loi lorsqu’il apparaît que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes, l’Autorité nationale décide de soumettre le traitement envisagé au régime d'autorisation préalable.
L’appréciation de ce caractère est du ressort de l’autorité nationale et qui intervient suite à l'examen de la déclaration qui lui est fournie par le responsable du traitement.
De plus, suivant l’article 18 de la Loi énonce que les données qualifiées comme sensibles peuvent faire l’objet de traitement, et ce, sous réserve que le responsable du traitement obtienne l’autorisation de l’autorité nationale. Cependant le traitement envisagé doit répondre à un motif d’intérêt public, ou bien lors du consentement exprès de la personne concernée.
A noter que l’article 18 énumère plusieurs catégories de traitement de données sensibles qui peuvent faire aussi l'objet d'une autorisation accordée par l’autorité nationale. tel que les traitements de données sensibles justifiés par l'intérêt public, les traitements portant sur des données génétiques, les traitements de données rendues publiques… etc.
A signaler que les informations à fournir en vue d’obtention de l’autorisation sont identique à celles demandées lors de la procédure de déclaration.
De plus, l’autorité nationale peut lors de l’examen de la déclaration décider de la soumettre au régime de l’autorisation, à cet effet ladite décision doit être motivée et notifiée au responsable du traitement dans les 10 jours qui suivent le dépôt de la déclaration.
Cependant, concernant le délai de traitement de la demande d’autorisation, l’autorité nationale est tenue de rendre sa décision dans un délai de 2 mois de sa saisine, ce délai peut être prorogé, par décision motivée de son président, pour une même durée.
Lorsque l’autorité nationale ne s'est pas prononcée dans les délais impartis, la demande d'autorisation est réputée rejetée.
8-Sécurité et confidentialité
Le volet sécuritaire a été mis en exergue par la Loi qui consacre désormais la sécurité et la confidentialité en tant qu’obligations qui pèsent sur l’organisme traitant des données à caractère personnel.
Suivant les dispositions de l’article 38 le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnelles.
A ce titre, les mesures à mettre en place doivent protéger les données contre les menaces suivantes : la destruction des données ( accidentelle ou illicite) la perte accidentelle des données, l’altération des données, la diffusion ou l’accès non autorisé, ainsi que contre toute autre forme de traitement illicite.
C’est pourquoi des mesures techniques et organisationnelles doivent assurer un niveau de sécurité approprié, et ce, au regard des risques présentés par le traitement et la nature des données à protéger.
Cependant, nous considérons que le responsable de traitement ne doit pas se limiter à couvrir les types de menaces cités par le texte en question mais de rechercher constamment à minimiser la survenance de tout type de cyber menace.
Notification des violations
Le législateur a introduit une nouvelle obligation celle de la notification des violations causées à un traitement de donnée dans le cadre des communications électroniques tel que cité par l’article 43.
Par communication électronique il est entendu au sens de l’article 3 : toute émission, transmission, ou réception, de signes, signaux, d’écrits d’images, ou de sons, de données, ou de renseignements de toute nature par fil, voie optique ou électromagnétique.
Il convient également de noter que le responsable de traitement devra désormais notifier sans délai l’autorité nationale et la personne concernée de toutes éventuelles violations à la confidentialité, l’intégrité et la disponibilité des données à caractère personnel.
Cependant, le législateur a limiter cette obligation de notification à l’autorité national sans la personne concernée si l’autorité constate que le responsable de traitement ait introduit au préalable les mesures techniques nécessaires pour faire face à d’éventuelles menaces pouvant atteindre les données.
En outre, le responsable de traitement doit documenter toutes les violations. C’est pourquoi le il doit désormais mettre en place un inventaire des violations des données et de le tenir à jour, mais aussi des mesures prises pour remédier aux éventuelles atteintes.
Au niveau pénal le non-respect des dispositions de l’article 43 sera suivi de 3 ans d’emprisonnement et de 300 000 DZD d’amende.
9-Autorité nationale de la protection des données à caractère personnel :
La nouvelle Loi a instituée un nouvel organisme l’Autorité Nationale de la protection des données à caractère personnel. Tel qu’il ressort de l’article 22 il est question d’une autorité administrative indépendante. En d’autres termes un organisme public qui agit au nom de l'Etat, sans être placé sous l'autorité du gouvernement ou d'un ministre. Elle est composée de 15 membres.
Elle est chargée de veiller à la protection des données personnelles, aussi bien publics que privés et que ces traitements de données soient mis en œuvre dans le cadre de la Loi, et de s’assurer que l’utilisation des technologies de l’information et de la communication ne comporte pas de menaces au regard des droits des personnes, des libertés publiques et de la vie privée.
Pouvoir de l’autorité :
Suivant l’article 49 de la Loi « L’autorité nationale peut procéder aux investigations requises par des constations dans les locaux et les lieux où a eu le traitement »
Elle veille à ce que le tes traitements qui lui sont déclarés soient conforme à la Loi. Mais aussi autorise la mise en œuvre des traitements des données à caractère personnel tel qu’il ressort de l’article 25.
Elle peut présenter des suggestions susceptibles de simplifier et d’améliorer le cadre légal relatif aux données à caractère personnel.
De plus, elle est habilitée à recevoir les réclamations, les recours et les plaintes relatifs à la mise en œuvre des traitements des données à caractère personnel.
L’Autorité Nationale dispose d’un pouvoir de contrôle qui permet à ses membres et agents d’accéder aux locaux professionnels et recueillir tout renseignement utile afin de vérifier la conformité de l’opération de traitement des données à caractère personnel.
Qui peut-elle contrôler :
Sont soumis à la Loi, tous les traitements de données à caractère personnel d’un responsable disposant d’un établissement sur le territoire algérien ou qui recourt à des moyens de traitement situés sur ce territoire.
Par corollaire, les organismes publics ou les personnes privées (physique ou morale) traitant des données à caractère personnel dument établi en Algérie peuvent être soumis au contrôle de l’Autorité Nationale.
De surcroit, l’Autorité Nationale peut contrôler une société qui, sans être établie en Algérie, recourt à des fins de traitement sur ce territoire (par exemple : utilisation d’équipements participant au traitement ou dépôt de cookies et autres traceurs sur les terminaux des utilisateurs). Un contrôle sur place ne peut néanmoins se dérouler qu’auprès d’un établissement situé sur le territoire algérien.
L’Autorité Nationale peut procéder ou faire procéder par les agents de ses services, des vérifications portant sur tous traitements. Elle peut donc obtenir des copies de tous documents ou supports d’information utiles.
Mais aussi procéder à des investigations par des constatations dans les locaux ou lieux où a eu le traitement à l’exception des locaux d’habitation.
Et peut accéder aux données traitées et toutes les informations et documents quel que soit le support.
En raison de son indépendance, l’Autorité Nationale peut imposer un contrôle à n’importe quel détenteur ou utilisateur de traitements ou de fichiers de données à caractère personnel, quel que soit sa qualité.
A notre aussi, que personne ne peut s’opposer à l’action de l’Autorité Nationale et de ses membres. Il est au contraire fortement recommandé de prendre toutes mesures utiles afin de faciliter les opérations de contrôle.
QU’EST-CE QUI SE PASSE AVANT UN CONTRÔLE DE L’AUTORITÉ NATIONALE ?
Nous supposons que toute mission de vérification et de contrôle doit être précédée d’une décision, la décision de procéder à une mission de contrôle doit être prise par le Président de l’Autorité Nationale, nous supposons que cela devrait être sur proposition du service des contrôles.
La décision de prévenir, ou non, le responsable de traitement visé par un contrôle sur place devrait être prise en considération. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée dans un délai déterminé avant la date du contrôle.
Nous supposons aussi qu’il peut être demandé au responsable de traitement visé par un contrôle de communiquer préalablement des documents.
QU’EST-CE QUI SE PASSE PENDANT UN CONTRÔLE DE L’AUTORITÉ NATIONALE ?
Les agents habilités de l’Autorité Nationale peuvent se présenter durant les heures de travail légales. Ils se présentent directement aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel. Ces lieux doivent être à usage professionnel (à l’exclusion du domicile privé).
Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.
La délégation de l’Autorité Nationale peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
Les contrôleurs peuvent donc accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
La délégation peut demander copie de : contrats (ex : contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
Nous estimons aussi qu’un procès-verbal de fin de mission pourra être établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.
QUE PEUT-ON RISQUER EN CAS D’ENTRAVE A L’ACTION DE L’AUTORITÉ NATIONALE ?
« Art 61 : Est puni d’emprisonnement de 6 mois à 2 ans et d’une amende 60.000 DA à 200.000 DA ou l’une des deux peines seulement quiconque entrave à l’action de l’autorité nationale »
Suivant les dispositions de l’article 61 de la Loi l'entrave à l'action de l’Autorité Nationale est réalisée en cas :
Opposition à l’exercice des missions de vérifications sur place;
Refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;
Communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de l’ Autorité Nationale a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible ( sous une forme qui n’est pas directe ou intangible )
A cet effet, dans la mesure où les cas de figures énoncés par l’article 61 venaient à se réaliser le contrevenant sera passible d’une peine d’emprisonnement de 6 mois à 2 ans et d’une amende 60.000 DA à 200.000 da ou l’une des deux peines.
QUE PEUT-ON RISQUER EN CAS D’ENTRAVE A L’ACTION DE L’AUTORITÉ NATIONALE ?
« Art 49 : le secret professionnel ne peut être opposable à l’autorité nationale »
La possibilité de se retrancher derrière un secret (bancaire, professionnel…etc.) sont très limitées.
En effet, la personne qui invoque un secret est dans l’obligation d’indiquer les dispositions législatives ou réglementaires auxquelles elle se réfère.
La possibilité de se retrancher derrière un secret (bancaire, professionnel…etc.) sont très limitées. En effet, la personne qui invoque un secret est dans l’obligation d’indiquer les dispositions législatives ou réglementaires auxquelles elle se réfère.
Elle doit également indiquer la nature des données qu’elle estime couvertes par ces dispositions.
Par conséquent, l’invocation injustifiée du secret professionnel peut constituer une entrave à l’action de l’Autorité Nationale. Cela entraînera une sanction supplémentaire.
QU’EST-CE QUI SE PASSE APRÈS UN CONTRÔLE DE L’AUTORITÉ NATIONALE ?
A l’issue du contrôle, l’Autorité Nationale examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des dispositions de la Loi.
Lorsque les constatations effectuées n’appellent pas d’observations particulières, le contrôle est clôturé par un rapport qui peut contenir des recommandations
Lorsque les manquements relevés sont sérieux, le dossier est traité par l’organe habilité de l’Autorité Nationale, qui peut prononcer les sanctions prévues à l’article 46 et suivant de la Loi (avertissement, mise en demeure, retrait provisoire ou définitif du récépissé de déclaration ou de l’autorisation ainsi que la possibilité de se voir infliger une amende pouvant atteindre les 500.000 DA).
Cependant, il est utile de savoir que les décisions de l’Autorité Nationale sont susceptible de recours auprès du Conseil d’Etat tel que précisé par l’article 46 de la Loi.
A noter aussi, que les procès-verbaux de constatations d’infractions sont transmis au procureur de la république territorialement compètent afin de prendre les mesures nécessaires.
Conclusion
De ce qui précède, nous constatons toute la technicité et le pointillisme que revêt cette loi, ce qui implique une certaine difficulté dans la compréhension des regèles introduites, l'adaptation et la mise en place des nouvelles dispositions y contenues. Ceci étant, au-delà de toutes les difficultés auxquelles on pourrait faire face, l'impact de cette loi sur les organismes concernées sera conséquent et très positif notamment sur un plan organisationnel et structurel qui s'entendrait aussi aux différents services proposés. Aspects qui ne peuvent être que bénéfiques pour les personnes concernées, ainsi tout éventuel futur développement technologique qui doit obligatoirement être centré autour de l'humain.
Maitre Riad ARADJI
Membre du GAAN
Avocat au barreau d’Alger
