La conformité des opérateurs économiques, une exigence incontournable
La Chambre américaine de commerce en Algérie (Amcham) a organisé, le 25 septembre dernier, un petit-déjeuner d’affaires sur la mise en conformité avec la loi N°18-07 du 10 juin 2018 relative à la protection des données personnelles, entrée en vigueur le 10 août 2023.
L’évènement, abrité par l’hôtel «Holiday Inn» à Chéraga, à Alger, a été l’occasion de rappeler aux opérateurs économiques l’importance de prendre contact avec l’Autorité nationale de protection des données à caractère personnel (ANPDP) et de lui soumettre les formulaires les engageant à respecter toutes les dispositions du nouveau texte concernant le traitement des données de leurs employés.
CONCEPTS ESSENTIELS
Emma Kacimi, experte juridique, directrice du bureau d’Alger du Cabinet de conseil KPMG, a expliqué en détail les étapes que chaque opérateur économique doit suivre avant de se lancer dans le traitement des données de son entreprise. Elle a souligné la nécessité de commencer par un inventaire, aller dans chaque département et poser les bonnes questions, réaliser un audit interne, si nécessaire, prendre rendez-vous auprès de l’Autorité nationale de protection des données à caractère personnel (ANPDP) et déposer les documents requis. Elle a encouragé les opérateurs économiques à solliciter cette entreprise qui est actuellement «très ouverte» aux rendez-vous et aux échanges avec les concernés, autour d’un thème tout à fait nouveau en Algérie.
De prime abord, la spécialiste a clarifié la signification des données personnelles et du terme «traitement». Comme stipulé dans l’article 3 de la loi N°18-07 du 10 juin 2018, les données à caractère personnel englobent toute information relative à une personne pouvant être «identifiée ou identifiable» à travers un numéro d’identification ou un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale. Le traitement des données à caractère personnel couvre toute opération ou ensemble d’opérations appliquées aux données personnelles, incluant la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction.
DONNÉES SENSIBLES
Dans sa présentation, la directrice de KPMG a mis un accent particulier sur la notion de données sensibles, que le texte de loi définit comme étant des données révélatrices de l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, ou encore de l’appartenance syndicale de la personne concernée, ainsi que des données relatives à sa santé, y compris ses données génétiques.
D’autres concepts essentiels à comprendre sont le «Responsable du traitement» et le «Sous-traitant». Le responsable du traitement peut être une entité, qu’elle soit une personne physique ou morale, de droit public ou privé, ou toute autre organisation, qui, seule ou en collaboration avec d’autres, détermine les finalités et les méthodes du traitement des données. Quant au sous-traitant, il peut s’agir d’une personne physique ou morale ou d’une autre entité, qui effectue le traitement des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant peut être sélectionné en interne ou en externe, mais quelle que soit l’option choisie, la responsabilité administrative et pénale, en cas de violation de la loi, incombe au responsable du traitement.
Le traitement des données sensibles requiert une autorisation de l’Autorité nationale de protection des données à caractère personnel (ANPDP), en complément de la déclaration préalable et d’autres documents qui engagent le responsable du traitement à s’acquitter du traitement des données conformément aux dispositions de la loi.
TRANSFERT DES DONNÉES VERS L’ÉTRANGER
L’article 44 de la loi N°18-07 du 10 juin 2018 précise que le responsable d’un traitement de données à caractère personnel ne peut transférer ces données vers un pays étranger qu’après avoir obtenu l’autorisation de l’Autorité nationale compétente. Cette autorisation est conditionnée par le fait que le pays étranger en question offre un niveau de protection adéquat de la vie privée, ainsi que des libertés et droits fondamentaux des individus concernant le traitement de ces données. Actuellement, la liste des pays vers lesquels de tels transferts sont autorisés n’a pas encore été établie, a souligné Emma Kacimi.
L’article 19 stipule que l’obtention d’une autorisation est également requise lorsqu’il y a une interconnexion de fichiers gérés par une ou plusieurs entités juridiques.
L’expert juridique du cabinet KPMG insiste sur la nécessité pour chaque entreprise de posséder un registre de traitement des données qui est un document essentiel qui résume les informations personnelles gérées, les acteurs impliqués, la finalité, la durée de conservation et les mesures de sécurité. Ce registre est un outil fondamental de conformité et de gestion, car il aide l’entreprise à respecter les lois sur la protection des données, gérer les données, renforcer la sécurité et gagner la confiance des clients.
AMENDES, EMPRISONNEMENTS
L’experte Emma Kacimi explique que l’Autorité nationale de protection des données à caractère personnel (ANPDP) dispose des pouvoirs de contrôle et de sanction. Elle peut infliger des amendes et des peines d’emprisonnement aux opérateurs. Par exemple, selon l’article 57, toute personne qui traite des données sensibles sans le consentement explicite de la personne concernée, sauf dans les cas prévus par la loi, peut être condamnée à une peine d’emprisonnement de deux à cinq ans et à une amende de 200 000 DA à 500 000 DA. En vertu de l’Article 58, quiconque utilise des données à des fins non autorisées peut être condamné à une peine d’emprisonnement de six mois à un an et à une amende de 60000DA à 100 000 DA, ou à l’une de ces deux sanctions seulement. Enfin, l’article 60 prévoit des peines d’emprisonnement de deux à cinq ans et des amendes de 200 000 DA à 500 000 DA pour quiconque permet à des personnes non autorisées d’accéder à des données à caractère personnel.
