Ű§Ù„ŰłÙ„Ű·Ű© Ű§Ù„ÙˆŰ·Ù†ÙŠŰ© Ù„Ű­Ù…Ű§ÙŠŰ© Ű§Ù„Ù…ŰčŰ·ÙŠŰ§ŰȘ ۰ۧŰȘ Ű§Ù„Ű·Ű§ŰšŰč Ű§Ù„ŰŽŰźŰ”ÙŠ

Autorité Nationale de Protection des Données à caractÚre Personnel

Vous ĂȘtes un organisme – Quelles sont vos obligations?

La loi N°18-07 a pour objet de fixer les rĂšgles de protection des donnĂ©es personnelles qui se traduisent par l’ancrage de nouveaux principes la consĂ©cration de nouveaux droits et la mise en place de nombreuses obligations

Les obligations du responsable du traitement :

Les obligations liées :

  1. à la déclarations des traitements;
  2. à la désignation du responsable de traitement ou son représentant habilité;
  3. Au droit à l’information ;
  4. Au droit d’accùs ;
  5. Au droit de rectification ;
  6. Au droit d’opposition ;
  7. Ă  l’interdiction de la prospection directe;
  8. à la confidentialité et la sécurité du traitement;
  9. Au traitement des données à caractÚre personnel dans le cadre de communications électroniques ;
  10. Ă  la certification et Ă  la signature Ă©lectronique;
  11. Ă  la demande des autorisations (pour le traitement des donnĂ©es, le transfert des donnĂ©es Ă  un tiers ou Ă  l’Ă©tranger, l’interconnexion des fichiers, le traitement des donnĂ©es sensibles).
  • Obligation de dĂ©clarer les traitements de donnĂ©es personnelles auprĂšs de l’ANPDP. Le responsable de traitement (organismes publics ou privĂ©s), doit dĂ©poser la dĂ©claration auprĂšs de l’AutoritĂ© de tous les traitements automatisĂ©s ou non automatisĂ©s.
  • Pour tout nouveau traitement de donnĂ©es Ă  caractĂšre personnel, une dĂ©claration prĂ©alable ou demande d'autorisation doit ĂȘtre communiquĂ©e ou dĂ©posĂ©e au niveau de l'ANPDP.
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numĂ©rique permettant aux concernĂ©s par le traitement des donnĂ©es Ă  caractĂšre personnel de crĂ©er un compte d’accĂšs au portail et de remplir les formulaires Ă©lectroniques de dĂ©claration prĂ©alable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent Ă©galement suivre le statut de leurs demandes.
  • Chaque personne physique ou morale traitant les donnĂ©es Ă  caractĂšre personnel, doit dĂ©signer son reprĂ©sentant habilitĂ© et communiquer les coordonnĂ©es de ce dernier Ă  l'ANPDP.
  • L'ANPDP mettra et avant l'application de la loi N°18-07 (Ă  compter du mois d'aoĂ»t 2023), sur son site web, le formulaire de dĂ©signation du reprĂ©sentant habilitĂ© Ă  la disposition des organismes publics ou des personnes privĂ©es concernĂ©s.
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numĂ©rique permettant aux concernĂ©s par le traitement des donnĂ©es Ă  caractĂšre personnel de crĂ©er un compte d’accĂšs au portail et de remplir les formulaires Ă©lectroniques de dĂ©claration prĂ©alable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent Ă©galement suivre le statut de leurs demandes. A l’accĂšs au portail, il est possible de renseigner les informations concernant le responsable de traitement et celles de son reprĂ©sentant habilitĂ©.
  • Le responsable de traitement ou son reprĂ©sentant habilitĂ© sera considĂ©rĂ© l'interlocuteur officiel Ă  l'Ă©gard de l'ANPDP.
  • ConformĂ©ment Ă  l'article 32 de la loi N°18-07, sauf si elle en a dĂ©jĂ  eu connaissance, toute personne sollicitĂ©e, en vue d’une collecte de ses donnĂ©es Ă  caractĂšre personnel, doit ĂȘtre, prĂ©alablement, informĂ©e de maniĂšre expresse et non Ă©quivoque par le responsable du traitement ou son reprĂ©sentant, des Ă©lĂ©ments suivants :
    • L’identitĂ© du responsable du traitement et, le cas Ă©chĂ©ant, de son reprĂ©sentant ;
    • Les finalitĂ©s du traitement ;
    • Toutes informations supplĂ©mentaires utiles notamment le destinataire, l’obligation de rĂ©pondre et ses consĂ©quences ainsi que ses droits et le transfert des donnĂ©es Ă  l’étranger.
  • Lorsque les donnĂ©es Ă  caractĂšre personnel n'ont pas Ă©tĂ© collectĂ©es auprĂšs de la personne concernĂ©e, le responsable du traitement ou son reprĂ©sentant doit, avant l'enregistrement des donnĂ©es ou leur communication Ă  un tiers, fournir Ă  la personne concernĂ©e les informations visĂ©es ci-dessus, sauf si la personne en a dĂ©jĂ  eu connaissance.
  • En cas de collecte de donnĂ©es, en rĂ©seaux ouverts, la personne concernĂ©e doit ĂȘtre informĂ©e, sauf si elle sait dĂ©jĂ  que les donnĂ©es Ă  caractĂšre personnel la concernant peuvent circuler sur les rĂ©seaux sans garanties de sĂ©curitĂ© et qu'elles risquent d'ĂȘtre lues et utilisĂ©es, par des tiers non autorisĂ©s.
  • ConformĂ©ment Ă  l'article 34 de la loi N°18-07, la personne concernĂ©e a le droit d’obtenir du responsable du traitement :

                 - La confirmation que les données personnelles la concernant sont ou ne sont pas traitées, les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ;

                - La communication, sous une forme intelligible, de ses donnĂ©es qui font l’objet de traitement, ainsi que de toute information disponible sur l’origine des donnĂ©es.

  • Le responsable du traitement peut demander Ă  l'ANPDP des dĂ©lais de rĂ©ponse aux demandes d’accĂšs lĂ©gitimes et peut s’opposer aux demandes manifestement abusives, notamment, par leur nombre et leur caractĂšre rĂ©pĂ©titif. La charge de la preuve du caractĂšre manifestement abusif de la demande, incombe au responsable du traitement.
  • ConformĂ©ment Ă  l'article 35 de la loi N°18-07, personne concernĂ©e, a le droit d’obtenir, Ă  titre gratuit, du responsable du traitement :

                 a- L’actualisation, la rectification, l’effacement ou le verrouillage des donnĂ©es personnelles dont le traitement n’est pas conforme Ă  la prĂ©sente loi, notamment en raison du caractĂšre incomplet ou inexact de ces donnĂ©es ou dont le traitement est interdit par la loi.

                 En cas oĂč le responsable du traitement refuse la demande d’actualisation, de rectification, d’effacement ou de verrouillage ou dans le cas oĂč il ne rĂ©pond pas dans un dĂ©lai de dix (10) jours de sa saisine, il est possible que la personne concernĂ©e ou ses hĂ©ritiers prĂ©sentent cette demande devant l'ANPDP. 

 

                b- La notification aux tiers auxquels les donnĂ©es personnelles ont Ă©tĂ© communiquĂ©es de toute actualisation, toute rectification, tout effacement ou tout verrouillage des donnĂ©es Ă  caractĂšre personnel effectuĂ© conformĂ©ment au paragraphe (a) ci-dessus, si cela ne s’avĂšre pas impossible.

  • Si l'ANPDP, suite aux investigations, constate que la demande de l'intĂ©ressĂ© ou de ses ayants droit est fondĂ©e, elle rend sa dĂ©cision de procĂ©der Ă  l’actualisation, la rectification, l’effacement ou le verrouillage requise et la notifie au responsable du traitement pour exĂ©cution et communication aux tiers ayant reçu les donnĂ©es objet de ladite dĂ©cision.
  • ConformĂ©ment Ă  l'article 36 de la loi N°18-07, la personne concernĂ©e, a le droit de s’opposer, pour des motifs lĂ©gitimes Ă  ce que des donnĂ©es Ă  caractĂšre personnel la concernant fassent l’objet d’un traitement.
  • Elle a le droit de s’opposer, Ă  ce que, les donnĂ©es la concernant soient utilisĂ©es Ă  des fins de prospection, notamment commerciales, par le responsable actuel du traitement ou celui d’un traitement ultĂ©rieur.
  • Si l'ANPDP constate, suite Ă  des investigations, que les motifs, sur lesquels la personne concernĂ©e a fondĂ© son opposition, sont lĂ©gitimes ou que les donnĂ©es dont le traitement est contestĂ© ont Ă©tĂ© utilisĂ©es Ă  des fins publicitaires sans le consentement de la personne concernĂ©e, elle rend une dĂ©cision de mettre, dans l'immĂ©diat, fin au traitement des donnĂ©es.
  • Il est entendu par prospection directe, toute sollicitation directe effectuĂ©e au moyen de l'envoi de message, quel que soit le support ou la nature, destinĂ©e Ă  promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services.
  • L'ANPDP contrĂŽle les prestataires de services et opĂ©rateurs Ă©conomiques et commerciaux s'ils respectent les dispositions relatives Ă  l'interdiction de la prospection directe stipulĂ©es dans l'article 37 de la loi N° 18-07.
  • Toute personne ayant fait l'objet d'une prospection directe, sans son consentement prĂ©alable, a le droit de s'opposer par tous moyens devant le prestataire de services ou l'opĂ©rateur Ă©conomique ou commercial concernĂ©, qui doit immĂ©diatement mettre fin Ă  la prospection.
  • Le prestataire de services ou le concessionnaire Ă©conomique ou commercial est tenu de fournir Ă  la personne concernĂ©e le mĂ©canisme technique lui permettant d'introduire l'opposition citĂ©e Ă  l'alinĂ©a ci-dessus.
  • ConformĂ©ment aux dispositions de la loi N°18-07, dans le cas oĂč il n'est pas mis fin Ă  la prospection dans un dĂ©lai de dix (10) jours, la personne concernĂ©e peut saisir l'ANPDP pour prendre les mesures nĂ©cessaires.
  • Le traitement des donnĂ©es Ă  caractĂšre personnel est confidentiel ;
  • Toute personne agissant sous l’autoritĂ© du responsable du traitement ou de celle du sous-traitant, qui accĂšde Ă  des donnĂ©es Ă  caractĂšre personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d’exĂ©cution d’une obligation lĂ©gale ;
  • Le responsable du traitement ainsi que les personnes qui, dans l’exercice de leurs fonctions, ont eu connaissance de donnĂ©es Ă  caractĂšre personnel, sont tenues au respect du secret professionnel mĂȘme aprĂšs avoir cessĂ© d’exercer leurs fonctions, sous peine des sanctions prĂ©vues par la lĂ©gislation en vigueur ;
  • Le responsable du traitement doit Ă©tablir une charte informatique Ă  faire signer par les intervenants ayant accĂšs au traitement des donnĂ©es Ă  caractĂšre personnel (un modĂšle de charte informatique est en annexe 02 du RĂ©fĂ©rentiel National de SĂ©curitĂ© de l’Information (RNSI-2020)).
  • Le responsable du traitement est tenu de prendre toute prĂ©caution utile au regard de la nature des donnĂ©es et, notamment, pour empĂȘche qu’elles soient dĂ©formĂ©es, endommagĂ©es, ou que des tiers non autorisĂ©s y aient accĂšs ;
  • L'ANPDP peut dĂ©cider de la sĂ©curisation de la transmission notamment par le cryptage, dans le cas oĂč la circulation en rĂ©seau des donnĂ©es Ă  caractĂšre personnel, peut comporter un risque pour les droits, les libertĂ©s et les garanties des personnes concernĂ©es ;
  • En cas de collecte de donnĂ©es, en rĂ©seaux ouverts, la personne concernĂ©e doit ĂȘtre informĂ©e, sauf si elle sait dĂ©jĂ  que les donnĂ©es Ă  caractĂšre personnel la concernant peuvent circuler sur les rĂ©seaux sans garanties de sĂ©curitĂ© et qu'elles risquent d'ĂȘtre lues et utilisĂ©es, par des tiers non autorisĂ©s ;
  • Le responsable du traitement doit mettre en Ɠuvre les mesures techniques et organisationnelles appropriĂ©es pour protĂ©ger les donnĂ©es Ă  caractĂšre personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altĂ©ration, la diffusion ou l’accĂšs non autorisĂ©s, notamment lorsque le traitement comporte des transmissions de donnĂ©es dans un rĂ©seau, ainsi que contre toute autre forme de traitement illicite ;
  • Ces mesures doivent assurer, un niveau de sĂ©curitĂ© appropriĂ© au regard des risques prĂ©sentĂ©s par le traitement et de la nature des donnĂ©es Ă  protĂ©ger.
  • Lorsque le traitement est effectuĂ© pour le compte du responsable du traitement, il doit choisir un sous-traitant qui apporte des garanties suffisantes inhĂ©rentes aux mesures de sĂ©curitĂ© technique et d’organisation relatives aux traitements Ă  effectuer et doit veiller au respect de ses mesures ;
  • La rĂ©alisation de traitement en sous-traitance doit ĂȘtre rĂ©gie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prĂ©voit notamment que le sous-traitant n’agit que sous la seule instruction du responsable du traitement et dans le respect des obligations prĂ©vues au point 4 suscitĂ©.  Aux fins de la conservation des preuves, les Ă©lĂ©ments du contrat ou de l’acte juridique relatifs Ă  la protection des donnĂ©es et les exigences portant sur les mesures prĂ©vues au point 4 suscitĂ©, sont consignĂ©s par Ă©crit ou sous une autre forme Ă©quivalente ;
  • Les organismes Ă  caractĂšre public sont tenus d'appliquer les mesures sĂ©curitaires Ă©dictĂ©es par le RĂ©fĂ©rentiel National de SĂ©curitĂ© de l’Information (RNSI-2020) du MinistĂšre de la Poste, des TĂ©lĂ©communications (MPT) notamment la partie DOMAINE 2 - Protection des donnĂ©es Ă  caractĂšre personnel. (Instruction n°05/PM du 15 mars 2021, portant mise en Ɠuvre du RĂ©fĂ©rentiel National NormalisĂ© de SĂ©curitĂ© Informatique) ;
  • L'ANPDP peut procĂ©der aux investigations requises par des constatations dans les locaux et lieux oĂč a eu lieu le traitement Ă  l'exception des locaux d'habitation et peut, pour l’exercice de ses missions, accĂ©der aux donnĂ©es traitĂ©es et Ă  toutes informations et documents quel que soit le support.
  • L'ANPDP contrĂŽle le fournisseur de services par rapport aux mesures nĂ©cessaires prises pour protĂ©ger le traitement des donnĂ©es Ă  caractĂšre personnel sur les rĂ©seaux de communications Ă©lectroniques ouverts au public.
  • Si le traitement susvisĂ© conduit Ă  la destruction des donnĂ©es Ă  caractĂšre personnel, Ă  leur perte, Ă  leur divulgation ou Ă  un accĂšs illicite, le fournisseur de services doit informer immĂ©diatement l'ANPDP et la personne concernĂ©e, lorsque cette violation peut porter atteinte Ă  sa vie privĂ©e.
  • L'ANPDP contrĂŽle le fournisseur de services s'il tient Ă  jour un  inventaire des violations de donnĂ©es Ă  caractĂšre personnel et des mesures prises pour y remĂ©dier.
  • ConformĂ©ment Ă  l'article 42 de la loi n° 18-07, sauf consentement exprĂšs de la personne concernĂ©e, les donnĂ©es Ă  caractĂšre personnel recueillies par les prestataires de services de certification Ă©lectronique pour les besoins de la dĂ©livrance et de la conservation des certificats liĂ©s aux signatures Ă©lectroniques doivent l'ĂȘtre directement auprĂšs de la personne concernĂ©e et ne peuvent ĂȘtre traitĂ©es que pour les fins en vue desquelles elles ont Ă©tĂ© recueillies.
  • Dans le cas oĂč le traitement des donnĂ©es Ă  caractĂšre personnel a Ă©tĂ© effectuĂ©, parles prestataires de la certification et de la signature Ă©lectroniques, Ă  d'autres fins hors pour lesquelles ont Ă©tĂ© recueillies, la personne concernĂ©e peut s'opposer Ă  cela conformĂ©ment aux modalitĂ©s citĂ©es ci-dessus. 

Sont soumis Ă  une demande d'autorisation prĂ©alable Ă  dĂ©poser auprĂšs de l’ANPDP : les nouveaux traitements de donnĂ©es Ă  caractĂšre personnel, le transfert des donnĂ©es Ă  un tiers ou Ă  l'Ă©tranger, l'interconnexion des fichiers et le traitement des donnĂ©es sensibles.

  • Pour tout nouveau traitement de donnĂ©es Ă  caractĂšre personnel, une dĂ©claration prĂ©alable ou demande d'autorisation doit ĂȘtre communiquĂ©e ou dĂ©posĂ©e au niveau de l'ANPDP.
  • ConformĂ©ment aux prescriptions des articles 25 point 5 et 44 de la loi n° 18-07, chaque responsable de traitement, qu'il soit une instance publique ou privĂ©e, qui souhaite transfĂ©rer des donnĂ©es Ă  caractĂšre personnel Ă  l'Ă©tranger, est tenu de dĂ©poser une demande auprĂšs de l'autoritĂ© nationale.
  • Les donnĂ©es Ă  caractĂšre personnel objet du traitement ne peuvent ĂȘtre communiquĂ©es Ă  un tiers que pour la rĂ©alisation de fins directement liĂ©es aux fonctions du responsable du traitement et du destinataire ;
  • L’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gĂ©rant un service public pour des finalitĂ©s diffĂ©rentes en relation avec l'intĂ©rĂȘt gĂ©nĂ©ral, doit faire l’objet d’une autorisation de l'ANPDP;
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numĂ©rique permettant aux concernĂ©s par le traitement des donnĂ©es Ă  caractĂšre personnel de crĂ©er un compte d’accĂšs au portail et de remplir les formulaires Ă©lectroniques de dĂ©claration prĂ©alable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent Ă©galement suivre le statut de leurs demandes.