ALGERIE : Autorité nationale de protection des données à caractère personnel
Riad ARADJI
Lawyer | Corporate | Renewable | Tech | Fintech | Data protection | R&D | IP | Real Estate |
Après avoir passé en revue,dans nos précédents billets, plusieurs aspects de la Loi algérienne relative à la protection des données à caractère personnel ( Loi 18-07 du 10 juin 2018 J.O 34 ), et ce, en vue d’en faciliter la compréhension et de démontrer l’importance des dispositions ancrées. Cette démarche ne peut être considérée comme étant complète sans aborder la question des pouvoirs conférés à l’autorité de régulation et notamment son pouvoir de contrôle.
L’AUTORITE NATIONALE, C'EST QUOI ?
L’Autorité Nationale a été créée par la loi 18-07 relative à la protection des personnes physiques dans le traitement des données à caractère personnel.
L’Autorité Nationale est une autorité administrative indépendante de protection des données à caractère personnel, c'est-à-dire un organisme public qui agit au nom de l'Etat, sans être placé sous l'autorité du gouvernement ou d'un ministre. Elle est composée de 15 membres.
Elle est chargée de veiller à la protection des données personnelles, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que le traitement des données à caractère personnel soit mis en œuvre dans le cadre de la Loi, et de s’assurer que l’utilisation des technologies de l’information et de la communication ne comporte pas de menaces au regard des droits des personnes, des libertés publiques et de la vie privée.
QUELS SONT LES POUVOIRS DE L’AN ?
‘’ Art 49 : l’autorité nationale peut procéder aux investigations requises par des constations dans les locaux et les lieux où a eu le traitement ’’
Suivant les dispositions de l’article 25 de la LPDP l’AN veille à ce que le tes traitements qui lui sont déclarés soient conforme à la Loi. Mais aussi autorise la mise en œuvre des traitements des données à caractère personnel.
Elle peut présenter des suggestions susceptibles de simplifier et d’améliorer le cadre légal relatif aux données à caractère personnel.
De plus, elle est habilitée à recevoir les réclamations, les recours et les plaintes relatifs à la mise en œuvre des traitements des données à caractère personnel.
L’AN dispose d’un pouvoir de contrôle qui permet à ses membres et agents d’accéder aux locaux professionnels et recueillir tout renseignement utile afin de vérifier la conformité de l’opération de traitement des données à caractère personnelles.
QUI L’AN PEUT-ELLE CONTROLER ?
Sont soumis à la LPDP, tous les traitements de données à caractère personnel dont le responsable dispose d’un établissement sur le territoire algérien ou qui recourt à des moyens de traitement situés sur ce territoire.
Par corollaire, les organismes publics ou les personnes privées (physique ou morale) traitant des données à caractère personnel dument établi en Algérie peuvent être soumis au contrôle de L’AN.
De surcroit, l’AN peut contrôler une société qui, sans être établie en Algérie, recourt à des fins de traitement sur ce territoire (par exemple : utilisation d’équipements participant au traitement ou dépôt de cookies et autres traceurs sur les terminaux des utilisateurs). Un contrôle sur place ne peut néanmoins se dérouler qu’auprès d’un établissement situé sur le territoire algérien. ( Art 4 LPDP)
L’AN peut procéder ou faire procéder par les agents de ses services, des vérifications portant sur tous traitements. Elle peut donc obtenir des copies de tous documents ou supports d’information utiles.
Mais aussi procéder à des investigations par des constatations dans les locaux ou lieux où a eu le traitement à l’exception des locaux d’habitation.
Et peut accéder aux données traitées et toutes les informations et documents quel que soit le support.
En raison de son indépendance, l’AN peut imposer un contrôle à n’importe quel détenteur ou utilisateur de traitements ou de fichiers de données à caractère personnel, quel que soit sa qualité. Personne ne peut s’opposer à l’action de l’AN de ses membres. Il est au contraire fortement recommandé de prendre toutes mesures utiles afin de faciliter les opérations de contrôle.
QU’EST-CE QUI SE PASSE AVANT UN CONTROLE DE L’AN ?
Nous supposons que toute mission de vérification et de contrôle doit être précédé d’une décision, la décision de procéder à une mission de contrôle doit être prise par le Président de l’AN, nous supposons que cela devrait être sur proposition du service des contrôles.
La décision de prévenir, ou non, le responsable de traitement visé par un contrôle sur place devrait être prise en considération. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée dans un délai déterminé avant la date du contrôle.
Nous supposons aussi qu’il peut être demandé au responsable de traitement visé par un contrôle de communiquer préalablement des documents.
QU’EST-CE QUI SE PASSE PENDANT UN CONTROLE DE L’AN ?
Les agents habilités de l’AN peuvent se présenter durant les heures de travail légales. Ils se présentent directement aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel. Ces lieux doivent être à usage professionnel (à l’exclusion du domicile privé).
Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.
La délégation de l’AN peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
Nous estimons aussi qu’un procès-verbal de fin de mission pourra être établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.
QU’EST-CE QUE JE RISQUE EN CAS D’ENTRAVE A L’ACTION DE L’AN :
‘’Art 61 : Est puni d’emprisonnement de 6 mois à 2 ans et d’une amende 60.000 DA à 200.000 DA ou l’une des deux peines seulement quiconque entrave à l’action de l’autorité nationale’’
Suivant les dispositions de l’article 61 de la LPDP l'entrave à l'action de l’AN est réalisée en cas :
- d'opposition à l’exercice des missions de vérifications sur place;
- de refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;
- de communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de l’AN a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible ( sous une forme qui n’est pas directe ou intangible )
A cet effet, dans la mesure où les cas de figures énoncés par l’article 61 venaient à se réaliser le contrevenant sera passible d’une peine d’emprisonnement de 6 mois à 2 ans et d’une amende 60.000 DA à 200.000 da ou l’une des deux peines.
PEUT-ON SE RETRANCHER DERRIERE LE SECRET PROFESSIONNEL ?
‘’ Art 49 : le secret professionnel ne peut être opposable à l’autorité nationale ‘’
La possibilité de se retrancher derrière un secret (bancaire, professionnel, etc.) sont très limitées. En effet, la personne qui invoque un secret est dans l’obligation d’indiquer les dispositions législatives ou réglementaires auxquelles elle se réfère.
Elle doit également indiquer la nature des données qu’elle estime couvertes par ces dispositions.
Par conséquent, l’invocation injustifiée du secret professionnel peut constituer une entrave à l’action de la AN. Cela entraînera une sanction supplémentaire.
QU’EST-CE QUI SE PASSE APRES UN CONTROLE DE L’AN ?
A l’issue du contrôle, l’AN examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des dispositions de la LPDP.
Lorsque les constatations effectuées n’appellent pas d’observations particulières, le contrôle est clôturé par un rapport qui peut contenir des recommandations
Lorsque les manquements relevés sont sérieux, le dossier est traité par l’organe habilité de l’AN, qui peut prononcer les sanctions prévues à l’article 46 et suivant de la LPDP (avertissement, mise en demeure, retrait provisoire ou définitif du récépissé de déclaration ou de l’autorisation ainsi que la possibilité de se voir infliger une amende pouvant atteindre les 500.000 DA).
Cependant, il est utile de savoir que les décision de l’AN sont susceptible de recours auprès du Conseil d’Etat tel que précisé par l’article 46 de la LPDP.
A noter aussi, que les procès-verbaux de constatations d’infractions sont transmis au procureur de la république territorialement compètent afin de prendre les mesures nécessaires.
De ce qui précède, et à travers les pouvoirs attribués à l’autorité nationale il est important que les organismes traitants des données prennent en considération les points énoncés dans de ce billet afin de bien se préparer et réagir efficacement à un éventuel contrôle de l’autorité nationale chargé de la protection des données à caractère personnel et par conséquent éviter la survenance d’un quelconque risque qui pourrait nuire aux entreprises traitant des données.
Maitre Riad ARADJI
Avocat au barreau d’Alger
mtr.aradji@gmail.com
Avocat à la Cour (spécialité Droit des Affaires)
2 ansA toute fin utile l'article 12 de la LPDP. " Nonobstant toute disposition législative contraire, toute opération de traitement des données à caractère personnel, est soumise à une déclaration préalable à l’autorité nationale ou à son autorisation conformément aux dispositions prévues par la présente loi. L’autorité nationale fixe la liste des traitements non automatisés de données à caractère personnel qui peuvent faire l'objet de la déclaration simplifiée prévue par le présent article".
Avocat à la Cour (spécialité Droit des Affaires)
2 ansToute la question est de savoir si l'Autorité National a été installée ou pas encore ? suivant l'article 75 de la LPDP les personnes effectuant une activité de traitement de données à caractère personnel à la date de promulgation de cette loi ont une année à compter de l'installation de l'Autorité Nationale (l'AN) pour se mettre en conformité sous peine, bien entendu, de sanctions prévues par l'article 56 de la LPDP : Art. 56 - " Est puni d’un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, quiconque procède ou fait procéder à des traitements de données à caractère personnel sans respect des conditions prévues par l’article 12 de la présente loi. Est puni des mêmes peines, toute personne ayant fait de fausses déclarations ou qui a continué son activité de traitement de données malgré le retrait du récépissé de la déclaration ou du retrait de l’autorisation".
#ITSM, #DataPrivacy , #SMSI, #PMO , #BCM, #ITTalentDz - #ITTrainer
5 ansSa@m Maître Riad, je tiens à vous remercier pour ces éclaircissements concernant la porté de loi 18-07, par ailleurs, la mise en application de ce règlement demeure absurde en l'absence de l’autorité en question, ainsi que la méconnaissance des gestionnaires publiques et privés sur les enjeux relatives à la protection des données à caractère personnel !
Fondateur du BRIM
5 ansBonjour Maître Riad ARADJI, avez vous les coordonnées de l'Autorité pour déposer une demande d'autorisation ?
Founder @ inventCorp | Strategic Management, Business Development
5 ansGreat article where is the location of this authority in Algiers?