Mon Logo

Services de Consulting IT

Diagnostic - Audit - Conseil
Formation - Coaching
Personal Data Protection

Gouvernance IT

Page précèdente


Pourquoi et Comment se conformer à la Loi 18-07 relative à la protection des données personnelles?

FMF
Publié le 12/07/2024, révisée le 02/08/2024
Temps de lecture: 26 mins.

TABLE DES MATIÈRES

Introduction

I. Objectifs de la loi 18-07

II. Structure de la loi 18-07

III. Synthèse de la loi 18-07

IV. Généralités sur les données personnelles

V. Glossaire des termes utilisées dans la loi 18-07

VI. Organe de contrôle et de régulation prévu dans la loi 18-07

VII. Relations des Organisations avec les Personnes Physiques, l'ANPDCP et la Justice

VIII. Mise en conformité légale avec les dispositions de la loi 18-07

IX. Mise en conformité technique

Conclusion

Introduction

La Loi 18-07 promulguée le 10 Juin 2018, relative à la protection des personnes physiques dans le traitement des données à caractère personnel est devenue, depuis son entrée en vigueur au mois d'août 2024, une nécessité voire même une obligation pour toutes les organisations qui les collectent et les utilisent dans le cadre de leurs activités quotidiennes, au moyen de supports en papier et/ou, via internet à travers des formulaires pour celles qui ont une existence sur internet et qui les obtiennent de manière automatique.

Il y a lieu de noter que la grande majorité des données à caractère personnelles sont puisées à partir du cyberespace, surtout depuis l’avènement de la révolution digitale depuis un peu plus de deux décennies et cela, a permis un accroissement fulgurant du Big data (Données de Masse ou Mégadonnées), produites par divers entités, via divers médias électroniques. Cet état de fait conjugué au développement d’outils informatiques, offre de nouvelles perspectives d’analyse qui ont des répercussions importantes en termes de développement ou d’amélioration des services tous types confondus ainsi que de leur management. Le Big Data est une collection énorme de données, composée de données structurées, semi-structurées et non structurées, émanant de diverses sources telles que la messagerie électronique, les réseaux sociaux, les smartphones, les objets connectés de l’internet, les sites web, les images, les vidéos, l’audio, les films, etc).

Ce texte législatif permet donc à juste titre, d'abord de protéger les personnes physiques dans leurs vies privées et permet en même temps, à tous les acteurs économiques et autres entités d’être sensibilisés aux enjeux posés et comment s’y conformer pour ne pas avoir à se mettre en porte à faux avec les dispositions qu'il énonce.

I. Objectifs de la loi 18-07

Avant d'aller plus loin dans la lecture de cet article, il est préférable que vous disposiez d'abord d'une copie de la loi en la téléchergeant à partir du site web JORA. Télécharger le texte de loi!

Ce texte de loi sur la protection des personnes physiques dans le traitement de leurs données à caractère personnel est entré en vigueur au mois d'août 2024. Il vient combler le vide juridique qui a existé de 2005 à 2016 en matière de protection des données de personnes physiques dans leurs vies privées. Car, traiter les données de personnes physiques avec respect et attention est un principe fondamental inscrit dans l'article 46 de la Constitution Algérienne.

Cet article stipule ce qui suit:

"LA VIE PRIVÉE ET L'HONNEUR DU CITOYEN SONT INVIOLABLES ET PROTÉGÉS PAR LA LOI. LE SECRET DE LA CORRESPONDANCE ET DE LA COMMUNICATION PRIVÉE, SOUS TOUTES LEURS FORMES, EST GARANTI.
AUCUNE ATTEINTE À CES DROITS N'EST TOLÉRÉE SANS UNE RÉQUISITION MOTIVÉE DE L'AUTORITÉ JUDICIAIRE. LA LOI PUNIT TOUTE VIOLATION DE CETTE DISPOSITION.
LA PROTECTION DES PERSONNES PHYSIQUES DANS LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL EST UN DROIT FONDAMENTAL GARANTI PAR LA LOI QUI EN PUNIT LA VIOLATION’’. (RÉVISION CONSTITUTIONNELLE DU 06 MARS 2016).

II. Structure de la loi 18-07

La loi N° 18-07 du 10/06/2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel s’articule autour de sept (7) titres qui incluent globalement sept (14) chapitres et soixante seize (76) articles, comme suit:

TITRE I - Dispositions Génèrales:

  1. Articles 1 à 6;

TITRE II - Principes Fondamentaux de Protection des Données à Caractère Personnel:

  1. Chapître I - De l'Accord Préalable et de la Qualité des Données: Articles 7 à 11;

  2. Chapître II - Des Procédures Préalable de Traitement: Articles 12 à 21.

TITRE III - De l’Autorité Nationale de Protection des Données à Caractère Personnel:

  1. Articles 22 à 31;

TITRE IV - Droits de la Personne Concernée:

  1. Chapître I - Du Droit à l'Information: Articles 32 à 33;

  2. Chapître II - Du Droit d'Accès:Article 34.

  3. Chapître III - Du Droit de Rectification: Article 35;

  4. Chapître IV - Du Droit d'Opposition: Article 36;

  5. Chapître V - Interdiction de la Prospection Directe: Article 31.

TITRE V - Des Obligations du Responsable du Traitement:

  1. Chapître I - De la Confidentialité et de la Sécurité du Traitement: Articles 39 à 41;

  2. Chapître II - Du Traitement de Données à Caractère Personnel Liées à la Certification et à la Signature Electroniques: Article 42;

  3. Chapitre III - Traitement des données à caractère personnel dans le cadre de communications électroniques: Article 43;

  4. Chapitre IV - Du transfert de données vers un pays étranger: Articles 44 à 45.

TITRE VI- Des Dispositions Administratives et Pénales:

  1. Chapitre I - Des Procèdures Administratives: Articles 46 à 48.

  2. Chapitre II - Des Règles de Procèdures: Articles 49 à 53.

  3. Chapitre III - Des Dispositions Pénales: Articles 54 à 74.

TITRE VII - Dispositions Transitoires et Finales:

  1. Articles 75 à 76.

III. Synthèse de la loi 18-07

Les règles relatives au traitement des données à caractère personnel des personnes physiques résidant en Algérie, telles que stipulées dans la loi 18-07 s'articulent autour de trois éléments clés, à savoir les principes, les droits et les sanctions:

3.1- Principes

  1. Principe 1: Obligation de l’organisme de déclarer le traitement des données personnelles auprès de l’ANDPD après accord des personnes physiques;

  2. Principe 2: Obligation de l’organisme de sécuriser les données personnelles collectées et traitées;

  3. Principe 3: Les personnes physiques ont droit de regard sur l’utilisation faite de leurs données;

  4. Principe 4: Responsabilité devant la loi de l’organisme collectant et traitant ces données, en cas de non respect des dispositions de cette dernière.

3.2- Droits

  1. Droits 1: Droits des personnes de donner et/ou retirer leur consentement à tout moment pour la collecte et le traitement de leurs données;

  2. Droits 2: Droits renforcés des personnes physiques d’accès, de refus, de rectification et à la limitation de leurs données personnelles;

  3. Droits 3: Droits des personnes physiques de demander le transfert de leurs données à d’autres responsables de traitement.

3.3- Sanctions

  1. Sanctions Administratives: Sanctions prononcées par l'ANDPD contre le responsable du traitement sous forme d'Avertissement, Mise en demeure, Suspension provisoire ou définitive, Amende;

  2. Sanctions Pénales: Sanctions prononcées par l'autorité judiciaire compétente sous forme d'Amendes et/ou d'Emprisonnement contre toute violation des dispositions de la loi 18-07.

IV. Généralités sur les données personnelles

Toute personne, de sa naissance à sa mort, génère des données à caractère personnel ou « données personnelles », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier.

Une donnée personnelle peut consister dans « toute information », dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.

Avec l’entrée en application de la loi 18-07 du 10/06/2018, la définition retenue est la suivante: "toute information se rapportant à une personne physique identifiée ou Identifiable".

Les données personnelles sont au centre des enjeux de cette loi. C’est pour assurer la protection des données à caractère personnel qu’un tel texte législatif a été mis en place, tant leur utilisation impacte profondément la vie privée de chacun.

4.1- Qu'est ce qu'une donnée personelle?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

4.2- Comment peut être identifiée une personne physique?

  1. À partir d’une seule donnée (exemple : nom) et/ou,

  2. À partir du croisement d’un ensemble de données (exemple: adresse, date de naissance, e-mail, numéro de téléphone, appartenance à des associations, etc).

4.3- Les différents types de données personnelles

Il existe deux types de données:

  1. Celles qui permettent d’identifier directement une personne physique (nom, prénom) et;

  2. Celles qui permettent d’identifier indirectement une personne physique (numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou e-mail, voix, images, etc

V. Glossaire des termes utilisées dans la loi 18-07

Je reprends ci-dessous ce qui est entendu par les termes utilisés au sens de la loi 18-07 au niveau de l'article 3 du Titre I relatif aux dispositions générales car, comprendre la signification exacte de chacun des termes vous permettra, dans une seule et même action, d'éviter les erreurs d'interprétation et donc de gagner du temps dans la mise en oeuvre des dispositions de ce texte législatif:

  1. Traitement des données à caractère personnel:Le traitement se rapporte à toute opération ou tout ensemble d’opérations effectués à l’aide de moyens ou de procédés automatisés ou non et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction.

  2. Consentement de la personne concernée: Toute manifestation de volonté, en connaissance de cause, par laquelle la personne concernée ou son représentant légal, accepte que ses données personnelles fassent l’objet d’un traitement manuel ou électronique.

  3. Traitement automatisé: Opérations effectuées en totalité ou en partie à l’aide de procédés automatisés tels que l’enregistrement des données, l’application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion.

  4. Données sensibles: Données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques.

  5. Contenu illicite: Tout contenu contraire aux lois en vigueur, notamment, le contenu à caractère subversif ou pouvant porter atteinte à l’ordre public et le contenu à caractère pornographique ou contraire aux bonnes mœurs

  6. Données génétiques: Toutes données concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés.

  7. Données dans le domaine de la santé: Toute information concernant l’état physique et/ou mental de la personne concernée, y compris ses données génétiques.

  8. Fichier: Tout ensemble de données structuré et regroupé susceptible d’être consulté selon des critères déterminés.

  9. Communication électronique: Toute émission, transmission ou réception de signes, de signaux, d’écrits, d’images ou de sons, de données, ou de renseignements de toute nature par fil, voie optique ou électromagnétique.

  10. Responsable du traitement: Personne physique ou morale, publique ou privée ou toute autre entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données.

  11. Sous-traitant: Toute personne physique ou morale, publique ou privée ou toute autre entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

  12. Tiers: Toute personne physique ou morale, publique ou privée ou toute autre entité autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilités à traiter les données.

  13. Destinataire: Personne physique ou morale, autorité publique, service ou toute autre entité qui reçoit communication des données à caractère personnel.

  14. Cession ou Communication: Toute divulgation ou communication d’une donnée portée à la connaissance d’une personne autre que la personne concernée.

  15. Interconnexion des données: Tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non par le même responsable du traitement ou par un ou plusieurs autres responsables de traitement.

  16. L’Autorité nationale: Autorité nationale de protection des données à caractère personnel prévue dans la présente loi (18-07).

  17. Fournisseur de services:

    1. Toute entité publique ou privée qui offre aux utilisateurs de ses services, la possibilité de communiquer au moyen d’un système informatique et/ou d’un système de télécommunication.

    2. Toute autre entité traitant ou stockant des données informatiques pour ce service de communication ou les utilisateurs.

  18. Prospection directe: Toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature, destinée à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

  19. Fermeture des données: Les rendre inaccessibles.

VI. Organe de contrôle et de régulation prévu dans la loi 18-07

Il est créé, auprès du Président de la République, une autorité administrative indépendante de protection des données à caractère personnel, désignée ci-après «l’autorité nationale », dont le siège est fixé à Alger.
L’autorité nationale jouit de la personnalité morale et de l’autonomie financière et administrative.
Le budget de l’autorité nationale est inscrit au budget de l’Etat. Il est soumis au contrôle financier conformément à la législation en vigueur.
L’autorité nationale élabore et adopte son règlement intérieur qui fixe notamment les modalités de son organisation et son fonctionnement.

L’autorité nationale est chargée de veiller à ce que le traitement des données à caractère personnel soit mis en œuvre, conformément aux dispositions de la présente loi et de s’assurer que l’utilisation des technologies de l’information et de la communication ne comporte pas de menaces au regard des droits des personnes, des libertés publiques et de la vie privée. A ce titre, elle a pour missions, notamment:

  1. de délivrer les autorisations et de recevoir les déclarations relatives au traitement des données à caractère personnel;

  2. d’informer les personnes concernées et les responsables de traitement de leurs droits et obligations;

  3. de conseiller les personnes et entités qui ont recours aux traitements des données à caractère personnel ou qui procèdent à des essais ou expériences de nature à aboutir à de tels traitements;

  4. de recevoir les réclamations, les recours et les plaintes relatifs à la mise en œuvre des traitements des données à caractère personnel et d’informer leurs auteurs des suites qui leur sont réservées;

  5. l’autorité nationale établit un rapport annuel d’activités et le transmet au Président de la République.

VII. Relations des Organisations avec les Personnes Physiques, l'ANPDCP et la Justice

Le RGPDCP (Loi 18-07) s'articule autour de quatre acteurs qui interagissent entre eux, chacun en ce qui le concerne pour la cession des données, leur traitement, la vérification de la conformité, la prise de sanctions administratives et pénales. Ces quatre acteurs acteurs sont:

  1. La Personne Physique: Elle détient les données à caractère personnel et exige à ce que ses droits pour l'obtention, le traitement, la conservation, la sécurisation de la confidentialité et de l'intégrité de ses données soient scrupuleusement respectées par les organisations (personnes morales) désireuses de les utiliser.

  2. Les Organisations: Ces dernières ont besoin des données personnelles des personnes physiques pour les utiliser dans le cadre de leurs activités quotidiennes et ont des obligations que leurs représentants (Délégué à la Protection des Données et Responsables du traitement) doivent traduire dans les faits en respectant les droits des personnes physiques conformément à leurs exigences et aux dispositions de la loi 18-07 qui les protégent en ce qui concerne la manipulation de leurs données physiques.

  3. L'Autorité Nationale de Protection des Données à Caractère Personnel: Cette dernière veille à ce que les organisations utilisant les données personnelles de personnes physiques respectent scrupuleusement les dispositions de la loi 18-07, faute de quoi, elle peut prononcer des sanctions administratives (Averstissement, Mise en demeure, Suspension et/ou Amende) dans le cas de manquement de premier niveau.

  4. L'Autorité Judiciaire: Cette dernière peut en cas de manquement grave de la part des organisations, dument constaté par l'ANPDCP, prononcer des sanctions pénales (Prison et/ou Amendes).

VIII. Mise en conformité légale avec les dispositions de la loi 18-07

Dans le cadre de la loi 18-07, l’ANDPD a prévu pour les organisations traitant des données personnelles huit (08) formulaires et lesquels, sont téléchargeables à partir du site web de l'ANPDP, pour la mise en conformité avec ce texte de loi. Ce sont:

  1. Les Formulaires de déclaration des traitements: Toute personne physique ou morale traitant les données à caractère personnel, doit transmettre à l’ANPDP une déclaration préalable, comportant l’engagement que le traitement est effectué conformément aux Articles 12, 13, 14, 15, 17 et 25.

  2. Formulaire de désignation du responsable du traitement ou de son remplaçant habilité, qui soit domicilié en Algérie ou à l’étranger: Pour la collecte des informations du responsable du traitement, son remplaçant et son ou ses sous-traitants , conformément aux Articles 4 et 28.

  3. Le Formulaire de demande d’autorisation (déclaration préalable) pour la réalisation des nouveaux traitements de données à caractère personnel: Ce dernier sert à vérifier la conformité des traitements projetés conformément aux Articles 12, 17 et 25

  4. Le Formulaire de demande d’autorisation de transfert des données personnelles à l’étranger: Vérification de la possibilité et les conditions du transfert, conformément aux Articles 25 point 5 et 44.

  5. Le Formulaire de demande d’autorisation de l’interconnexion des fichiers: Pour la collecte des informations nécessaires pour étudier la demande et délivrer la décision, conformément aux Articles 14 (point 9) et 19.

  6. Le Formulaire de demande d’autorisation de traitement des données sensibles: Collecte des informations pour vérifier les conditions de traitement, conformément à l’Article 18.

  7. Le Formulaire de demande d’avis: Pour collecter des informations relatives aux demande d’avis, conformément au point 3 de l’Article 25.

  8. Les Formulaires relatifs aux réclamations, recours et plaintes: Pour la collecte des informations nécessaires relatives aux réclamations, recours et plaintes, conformément au point 4 de l’Article 25.

IX. Mise en conformité technique

La mise en conformité légale ne sera possible que si et seulement si l'organisation devant utiliser des données personnelles dispose des ressources humaines et matérielles adéquates car, les données personnelles avant de pouvoir être utilisées, doivent d'abord être collectées, triées chacune dans la catégorie qui lui correspond. Ensuite, elles doivent être organisées dans des bases de données comme suit:

  1. Les données structurées: Elles sont organisées au sein d'un SGBDR (Système de Gestion de bases de données relationnelles du type SQL);

  2. Les données non-structurées: Ce sont des Fichiers Texte, des Images, des Flux Vidéos et Audio, etc et sont organisées dans des bases de données NO-SQL (Not Only SQL) et modélisées comme étant des objets et;

  3. Les données semi-structurées: Elles sont organisées dans des bases de données NO-SQL en utilisant des documents du type XML ou JSON.

Il existe plusieurs types de bases de données NO-SQL. Les plus populaires, citées par ordre alphabétique, sont actuellement les suivantes: Apache CouchDB, Apache casandra, Apache Hadoop, ElasticSearch, GoogleBigTable, MongoDB, Oracle NoSQL, Redis, etc.

Pour réaliser cette opération de conformité technique, il y a lieu à ce que l'organisation concernée dispose de la ressource humaine qualifiée et du matériel informatique (hardware et software) adéquat, soit:

  1. Ressources Humaines: Spécialistes en Science de Données, Bases de Données SQL et NO-SQL, Sécurité IT et en Cybersécurité;

  2. Ressources matérielles: Plateforme IT bâtie autour de serveurs dotés des logiciels nécessaires à l'effet de pouvoir procéder à la collecte, le tri, l'analyse, la sécurisation (confidentialité, Intégrité et Disponibilité), la cybersécurisation, ainsi que la sauvegarde des données personnelles de personnes physiques.

Pour les organisations qui envisagent de réaliser elles-mêmes la mise en conformité technique, elles ont le choix entre plusieurs alternatives (solutions Cloud qui peuvent être concrétisées en souscrivant un abonnement auprès d'un fournisseur de services cloud et/ou de construire carrement une architecture de données):

  1. 1. Choisir une solution cloud du type SaaS (Software as a Service). Et à ce titre, l'organisation concernée aura à sa disposition une plateforme du Big Data dotée de tous les logiciels nécessaires (Système d'exploitation et tout le toutim nécessaire au nettoyage, tri, organisation dans des base de données, analyse, sauvegarde et sécurité IT des données au sein de serveurs virtuels et/ou sur un cloud privé situé au sein de son datacenter). De plus, la mise à jour des logiciels, la maintenance des machines virtuelles seront à la charge du fournisseur de services cloud, tout comme le sera la cybersécurité des données.Mais dans ce cas de figure, l'organisation concernée doit tout de même, soit recruter des spécialistes, soit faire appel à des consultants externes et/ou former son propre personnel, pour prendre en charge l'ensemble des tâches liées au processus de collecte, tri, analyse, sauvegarde et sécurité IT des données.

  2. 2. Choisir une solution Cloud du type Iaas (Infrastructure as a service) pour les organisations qui veulent disposer uniquement d'une infrastructure Virtuelle "Bare Métal" ou "Métal nu". Ensuite, à elles d'acquérir, d'installer et de configurer tous les logiciels nécessaires au bon fonctionnement de cette plateforme virtuelle. Par ailleurs, elles doivent procéder au recrutement de la ressource humaine compétente (Spécialistes en Science de données, Base de données SQl, NO-SQL, Sécurité IT et Cybersécurité).

  3. 3. Construire une architecture des données qui impliquera divers composants, outils et techniques nécessaires qui permettront à l'organisme concerné de prendre en charge l'organisation des données dans des bases de données SQL et NO-SQL, d'assurer leur sauvegarde, leur sécurisation et leur cybersécurisation au sein de son datacenter. Cela, nécessitera bien entendu un lourd investissement tant sur le plan matériel que sur celui de la ressource humaine.

Conclusion

Depuis son entrée en vigueur en août 2024, le Règlement Général sur la Protection des Données à caractère Personnel (RGPDCP ou Loi 18-07 du 10/06/2018) est devenu un pilier central de la législation algérienne en matière de vie privée et de protection des données personnelles. Il a été conçu pour réguler la manière dont les entreprises et les organisations traitent les informations des citoyens algériens et personnes résidant en Algérie. Et à ce titre, le RGPDCP vise à renforcer la sécurité et le contrôle des données personnelles de personnes physiques dans un paysage digital en constante évolution et qui gagne du terrain par rapport au contexte traditionnel.

Aussi, les organisations utilisant dans leurs activités quotidiennes des données personnelles de personnes physiques gagneraient à prendre les dispositions nécessaires pour se mettre en conformité avec ce texte de loi car, tout écart aux dispositions de ce dernier, se traduirait dans les faits par des sanctions de divers niveaux (Avertissement, Mise en Demeure, Suspension, Amendes, Emprisonnement) et, ce type de situations si elles venaient à arriver, se solderaient pour les organisations, -dans une seule et même action-, par des pertes de réputation, des parts de marchés et donc, par des manques à gagner importants!

Besoin d'aide pour la mise en conformité légale et technique, telle que stipulée par la Loi 18-07?
Si c'est le cas, rencontrons-nous dans vos bureaux pour en discuter, sans aucun engagement de votre part!
Pour ce faire, organisez juste un rendez-vous à votre convenance et confirmez le moi par téléphone!

contact_phone


expand_less
Page précèdente



© 1996-2025 FMF