السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي

Autorité Nationale de Protection des Données à caractère Personnel

Vous êtes un organisme – Quelles sont vos obligations?

La loi N°18-07 a pour objet de fixer les règles de protection des données personnelles qui se traduisent par l’ancrage de nouveaux principes la consécration de nouveaux droits et la mise en place de nombreuses obligations

Les obligations du responsable du traitement :

Les obligations liées :

  1. à la déclarations des traitements;
  2. à la désignation du responsable de traitement ou son représentant habilité;
  3. Au droit à l’information ;
  4. Au droit d’accès ;
  5. Au droit de rectification ;
  6. Au droit d’opposition ;
  7. à l’interdiction de la prospection directe;
  8. à la confidentialité et la sécurité du traitement;
  9. Au traitement des données à caractère personnel dans le cadre de communications électroniques ;
  10. à la certification et à la signature électronique;
  11. à la demande des autorisations (pour le traitement des données, le transfert des données à un tiers ou à l’étranger, l’interconnexion des fichiers, le traitement des données sensibles).
  • Obligation de déclarer les traitements de données personnelles auprès de l’ANPDP. Le responsable de traitement (organismes publics ou privés), doit déposer la déclaration auprès de l’Autorité de tous les traitements automatisés ou non automatisés.
  • Pour tout nouveau traitement de données à caractère personnel, une déclaration préalable ou demande d'autorisation doit être communiquée ou déposée au niveau de l'ANPDP.
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numérique permettant aux concernés par le traitement des données à caractère personnel de créer un compte d’accès au portail et de remplir les formulaires électroniques de déclaration préalable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent également suivre le statut de leurs demandes.
  • Chaque personne physique ou morale traitant les données à caractère personnel, doit désigner son représentant habilité et communiquer les coordonnées de ce dernier à l'ANPDP.
  • L'ANPDP mettra et avant l'application de la loi N°18-07 (à compter du mois d'août 2023), sur son site web, le formulaire de désignation du représentant habilité à la disposition des organismes publics ou des personnes privées concernés.
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numérique permettant aux concernés par le traitement des données à caractère personnel de créer un compte d’accès au portail et de remplir les formulaires électroniques de déclaration préalable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent également suivre le statut de leurs demandes. A l’accès au portail, il est possible de renseigner les informations concernant le responsable de traitement et celles de son représentant habilité.
  • Le responsable de traitement ou son représentant habilité sera considéré l'interlocuteur officiel à l'égard de l'ANPDP.
  • Conformément à l'article 32 de la loi N°18-07, sauf si elle en a déjà eu connaissance, toute personne sollicitée, en vue d’une collecte de ses données à caractère personnel, doit être, préalablement, informée de manière expresse et non équivoque par le responsable du traitement ou son représentant, des éléments suivants :
    • L’identité du responsable du traitement et, le cas échéant, de son représentant ;
    • Les finalités du traitement ;
    • Toutes informations supplémentaires utiles notamment le destinataire, l’obligation de répondre et ses conséquences ainsi que ses droits et le transfert des données à l’étranger.
  • Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement ou son représentant doit, avant l'enregistrement des données ou leur communication à un tiers, fournir à la personne concernée les informations visées ci-dessus, sauf si la personne en a déjà eu connaissance.
  • En cas de collecte de données, en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées, par des tiers non autorisés.
  • Conformément à l'article 34 de la loi N°18-07, la personne concernée a le droit d’obtenir du responsable du traitement :

                  - La confirmation que les données personnelles la concernant sont ou ne sont pas traitées, les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ;

                 - La communication, sous une forme intelligible, de ses données qui font l’objet de traitement, ainsi que de toute information disponible sur l’origine des données.

  • Le responsable du traitement peut demander à l'ANPDP des délais de réponse aux demandes d’accès légitimes et peut s’opposer aux demandes manifestement abusives, notamment, par leur nombre et leur caractère répétitif. La charge de la preuve du caractère manifestement abusif de la demande, incombe au responsable du traitement.
  • Conformément à l'article 35 de la loi N°18-07, personne concernée, a le droit d’obtenir, à titre gratuit, du responsable du traitement :

                a- L’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles dont le traitement n’est pas conforme à la présente loi, notamment en raison du caractère incomplet ou inexact de ces données ou dont le traitement est interdit par la loi.

En cas où le responsable du traitement refuse la demande d’actualisation, de rectification, d’effacement ou de verrouillage ou dans le cas où il ne répond pas dans un délai de dix (10) jours de sa saisine, il est possible que la personne concernée ou ses héritiers présentent cette demande devant l'ANPDP. 

                 b -La notification aux tiers auxquels les données personnelles ont été communiquées de toute actualisation, toute rectification, tout effacement ou tout verrouillage des données à caractère personnel effectué conformément au paragraphe (a) ci-dessus, si cela ne s’avère pas impossible.

  • Si l'ANPDP, suite aux investigations, constate que la demande de l'intéressé ou de ses ayants droit est fondée, elle rend sa décision de procéder à l’actualisation, la rectification, l’effacement ou le verrouillage requise et la notifie au responsable du traitement pour exécution et communication aux tiers ayant reçu les données objet de ladite décision.
  • Conformément à l'article 36 de la loi N°18-07, la personne concernée, a le droit de s’opposer, pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
  • Elle a le droit de s’opposer, à ce que, les données la concernant soient utilisées à des fins de prospection, notamment commerciales, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
  • Si l'ANPDP constate, suite à des investigations, que les motifs, sur lesquels la personne concernée a fondé son opposition, sont légitimes ou que les données dont le traitement est contesté ont été utilisées à des fins publicitaires sans le consentement de la personne concernée, elle rend une décision de mettre, dans l'immédiat, fin au traitement des données.
  • Il est entendu par prospection directe, toute sollicitation directe effectuée au moyen de l'envoi de message, quel que soit le support ou la nature, destinée à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services.
  • L'ANPDP contrôle les prestataires de services et opérateurs économiques et commerciaux s'ils respectent les dispositions relatives à l'interdiction de la prospection directe stipulées dans l'article 37 de la loi N° 18-07.
  • Toute personne ayant fait l'objet d'une prospection directe, sans son consentement préalable, a le droit de s'opposer par tous moyens devant le prestataire de services ou l'opérateur économique ou commercial concerné, qui doit immédiatement mettre fin à la prospection.
  • Le prestataire de services ou le concessionnaire économique ou commercial est tenu de fournir à la personne concernée le mécanisme technique lui permettant d'introduire l'opposition citée à l'alinéa ci-dessus.
  • Conformément aux dispositions de la loi N°18-07, dans le cas où il n'est pas mis fin à la prospection dans un délai de dix (10) jours, la personne concernée peut saisir l'ANPDP pour prendre les mesures nécessaires.
  • Le traitement des données à caractère personnel est confidentiel ;
  • Toute personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d’exécution d’une obligation légale ;
  • Le responsable du traitement ainsi que les personnes qui, dans l’exercice de leurs fonctions, ont eu connaissance de données à caractère personnel, sont tenues au respect du secret professionnel même après avoir cessé d’exercer leurs fonctions, sous peine des sanctions prévues par la législation en vigueur ;
  • Le responsable du traitement doit établir une charte informatique à faire signer par les intervenants ayant accès au traitement des données à caractère personnel (un modèle de charte informatique est en annexe 02 du Référentiel National de Sécurité de l’Information (RNSI-2020)).
  • Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêche qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ;
  • L'ANPDP peut décider de la sécurisation de la transmission notamment par le cryptage, dans le cas où la circulation en réseau des données à caractère personnel, peut comporter un risque pour les droits, les libertés et les garanties des personnes concernées ;
  • En cas de collecte de données, en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu'elles risquent d'être lues et utilisées, par des tiers non autorisés ;
  • Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ;
  • Ces mesures doivent assurer, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.
  • Lorsque le traitement est effectué pour le compte du responsable du traitement, il doit choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et doit veiller au respect de ses mesures ;
  • La réalisation de traitement en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sous la seule instruction du responsable du traitement et dans le respect des obligations prévues au point 4 suscité.  Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures prévues au point 4 suscité, sont consignés par écrit ou sous une autre forme équivalente ;
  • Les organismes à caractère public sont tenus d'appliquer les mesures sécuritaires édictées par le Référentiel National de Sécurité de l’Information (RNSI-2020) du Ministère de la Poste, des Télécommunications (MPT) notamment la partie DOMAINE 2 - Protection des données à caractère personnel. (Instruction n°05/PM du 15 mars 2021, portant mise en œuvre du Référentiel National Normalisé de Sécurité Informatique) ;
  • L'ANPDP peut procéder aux investigations requises par des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation et peut, pour l’exercice de ses missions, accéder aux données traitées et à toutes informations et documents quel que soit le support.
  • L'ANPDP contrôle le fournisseur de services par rapport aux mesures nécessaires prises pour protéger le traitement des données à caractère personnel sur les réseaux de communications électroniques ouverts au public.
  • Si le traitement susvisé conduit à la destruction des données à caractère personnel, à leur perte, à leur divulgation ou à un accès illicite, le fournisseur de services doit informer immédiatement l'ANPDP et la personne concernée, lorsque cette violation peut porter atteinte à sa vie privée.
  • L'ANPDP contrôle le fournisseur de services s'il tient à jour un inventaire des violations de données à caractère personnel et des mesures prises pour y remédier.
  • Conformément à l'article 42 de la loi n° 18-07, sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.
  • Dans le cas où le traitement des données à caractère personnel a été effectué, parles prestataires de la certification et de la signature électroniques, à d'autres fins hors pour lesquelles ont été recueillies, la personne concernée peut s'opposer à cela conformément aux modalités citées ci-dessus.

Sont soumis à une demande d'autorisation préalable à déposer auprès de l’ANPDP : les nouveaux traitements de données à caractère personnel, le transfert des données à un tiers ou à l'étranger, l'interconnexion des fichiers et le traitement des données sensibles.

  • Pour tout nouveau traitement de données à caractère personnel, une déclaration préalable ou demande d'autorisation doit être communiquée ou déposée au niveau de l'ANPDP.
  • Conformément aux prescriptions des articles 25 point 5 et 44 de la loi n° 18-07, chaque responsable de traitement, qu'il soit une instance publique ou privée, qui souhaite transférer des données à caractère personnel à l'étranger, est tenu de déposer une demande auprès de l'autorité nationale.
  • Les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement et du destinataire ;
  • L’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public pour des finalités différentes en relation avec l'intérêt général, doit faire l’objet d’une autorisation de l'ANPDP;
  • L’ANPDP a mis, sur son site web (www.anpdp.dz), un portail numérique permettant aux concernés par le traitement des données à caractère personnel de créer un compte d’accès au portail et de remplir les formulaires électroniques de déclaration préalable des traitements, des demandes d’autorisation et des demandes d’avis. Ils peuvent également suivre le statut de leurs demandes.