EY Algeria

Academy
Obligations en matière de
protection des données à caractère
personnel
30 MAI 2023
Contenu

Intervenant

1. Loi applicable et Champ d’application

Maître Rafik AKLIL
Avocat
2. Procédures préalables au traitement des données

Le transfert de données à caractère personnel vers

3.
un pays étranger

L’obligation de confidentialité et de sécurité du

4.
traitement

5. Contrôle et sanctions

Page 2 15 June 2023

 Loi applicable et Champ
d’application

Page 3 15 June 2023

1. Loi applicable

Loi 18-07 du 10 juin 2018

L’ANPDP a été installée en date du 11 août 2022 à Alger.
relative à la protection des
personnes physiques dans le L’article 75 de la Loi
traitement des données à 18-07, dispose que
caractère personnel. les personnes
effectuant une
activité de
Traitement des
Données à caractère
personnel à la date
de la promulgation
de la Loi 18-07 Mise en conformité au plus tard le 10 août 2023.
doivent se conformer
aux dispositions de
celle-ci dans un délai
maximum d’un (1) an
à compter de la date
d’installation de
l’ANPDP.

Aucune prolongation de ce délai n’est prévue à ce jour.

Page 4 15 June 2023

2. Données à caractère personnel

Données exclues
➢ Traitements de données ayant pour fin le
suivi thérapeutique ou médical individuel des
Les Données à caractère patients ;
personnel ➢ Traitements permettant d'effectuer des
Données sensibles études à partir des données recueillies en
Toute information, quel qu’en application du point précédent ;
soit son support, concernant Données à caractère personnel ➢ Traitements effectués à des fins de
une personne identifiée ou qui révèlent l’origine raciale ou remboursement ou de contrôle par les
identifiable, d’une manière ethnique, les opinions politiques, organismes chargés de l'assurance maladie ;
directe ou indirecte notamment les convictions religieuses ou ➢ Traitements effectués au sein des
par référence à un numéro philosophiques ou établissements de santé par les médecins
d’identification ou à un ou l’appartenance syndicale de la responsables de l'information médicale ;
plusieurs éléments spécifiques personne concernée ou qui sont ➢ Données traitées par une personne physique
de son identité physique, relatives à sa santé y compris dans le cadre exclusif de ses activités
physiologique, génétique, ses données génétiques. personnelles ou domestiques, à condition
biométrique, psychique, qu’elles ne soient pas destinées à une
économique, culturelle ou communication à des tiers ou à la diffusion ;
sociale. ➢ Donnée recueillies et traitées dans l’intérêt
de la défense et de la sécurité nationales ;
➢ Donnée recueillies et traitées à des fins de
prévention, de poursuites et de répression des
infractions ainsi que celles contenues dans les
bases de données judiciaires.

Page 5 15 June 2023

3. Définition et Principes de Traitement des Données

Principes de traitement des Données

Traitement des Données à caractère Les données personnelles doivent être :

➢ traitées de manière licite et loyale ;
personnel
➢ collectées pour des finalités déterminées, explicites
et légitimes, et ne peuvent être traitées
Les opérations effectuées à l’aide de moyens ou
ultérieurement de façon incompatible avec lesdites
de procédés automatisés ou non et appliqués à
finalités ;
des Données à caractère personnel, telle que la
➢ adéquates, pertinentes et non excessives au regard
collecte, l’enregistrement, l’organisation, la
des finalités pour lesquelles elles sont collectées ou
conservation, l’adaptation ou la modification,
traitées ;
l’extraction, la consultation, l’utilisation, la
➢ exactes, complètes et, si nécessaire, mises à jour ;
communication par transmission, la diffusion ou
➢ conservées sous une forme permettant
toute autre forme de mise à disposition, le
l’identification des personnes concernées pendant
rapprochement ou l’interconnexion, ainsi que le
une durée n’excédant pas celle nécessaire à la
verrouillage, le cryptage, l’effacement ou la
réalisation des finalités pour lesquelles elles ont été
destruction.
collectées ou traitées.

Page 6 15 June 2023

4. Durée de conservation des Données à caractère personnel

Durée
Exception
La réglementation en vigueur en matière de protection des Données à
caractère personnel ne fixe aucune durée pour la conservation des
Données à caractère personnel.

Cette durée est généralement fixée par le Responsable du traitement

lors de la Déclaration préalable ou simplifiée sous réserve
d’acceptation par l’ANPDP.
L’ANPDP peut, à la demande du
Responsable du traitement, autoriser la
conservation de Données à caractère
Conditions personnel à des fins historiques,
statistiques ou scientifiques au-delà de la
période citée ci-dessus.
➢ Elle ne peut être illimitée.
➢ Elle ne peut excéder la durée nécessaire à la
réalisation des finalités pour lesquelles les données
ont été traitées ou collectées.
➢ Les obligations légales en matière de durée de
conservation de certaine données ou catégorie de
données doivent être prises en considération.

Page 7 15 June 2023

5. Intervenants

Responsable du
traitement Représentant
➢ Personne physique ou morale,
publique ou privée ou toute
Sous-traitant
➢ Lorsque le responsable n'est
autre entité qui, seule ou pas établi sur le territoire
conjointement avec d’autres, algérien mais recourt, à des ➢ Toute personne physique ou
qui détermine les finalités et les fins de traitement des morale, publique ou privée
moyens du traitement de données à caractère ou toute autre entité qui Tiers
données. personnel, à des moyens traite des Données à
automatisés ou non, situés caractère personnel pour le ➢ Personne physique ou
sur le territoire algérien, il compte du Responsable du morale, publique ou
➢ Le responsable peut être établi doit désigner un traitement. privée ou toute autre
sur le territoire algérien ou sur représentant installé en
le territoire d’un Etat dont la entité
Algérie. ➢ Ne sont pas considérés
législation est reconnue comme Responsable du ➢ Placés sous l’autorité
équivalente à la législation ➢ Le représentant peut être traitement. directe du responsable
nationale en matière de une personne physique ou du traitement ou du
protection des Données à morale, de nationalité ➢ Ne sont pas soumis à sous-traitant
caractère personnel. algérienne ou étrangère et déclaration ou à
doit être installé en Algérie. autorisation.
➢ Le responsable peut également
➢ Le représentant se substitue ➢ Doit être régie par un
être non établi sur le territoire au Responsable du contrat ou un acte juridique
algérien mais recourir, à des fins traitement dans tous ses qui lie le Sous-traitant au
de traitement des Données à droits et obligations Responsable du traitement.
caractère personnel, à des résultant des dispositions de
moyens automatisés ou non, la Loi 18-07.
situés sur le territoire algérien.

Page 8 15 June 2023

6. Bases légales pour les Traitements des Données à caractère personnel

1 Le consentement de la Personne concernée.

2 • Le respect d’une obligation légale à laquelle est soumise la Personne concernée ou le Responsable du traitement.

3 • La sauvegarde de la vie de la Personne concernée.

• L’exécution d’un contrat auquel la Personne concernée est partie ou à l’exécution de mesures précontractuelles prises
4 à la demande de celle-ci.

• La sauvegarde d’intérêts vitaux de la Personne concernée, si elle est physiquement ou juridiquement dans
5 l’incapacité de donner son Consentement.

• L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le
6 Responsable du traitement ou le tiers auquel les Données à caractère personnel sont communiquées.

• La réalisation d’un intérêt légitime poursuivi par le Responsable du traitement ou par le Destinataire, sous réserve de
7 l’intérêt et/ou des droits et libertés fondamentaux de la Personne concernée.

Page 9 15 June 2023

7. Droit des personnes concernées

1 2 3 4

Le droit à Le droit de Le droit

Le droit d’accès
l’information rectification d’opposition

Page 10 15 June 2023

 Procédures préalables au
traitement des données

Page 11 15 June 2023

1. Déclaration

Toute collecte et traitement de données à caractère personnel doit préalablement être déclarée
Données auprès de l’autorité nationale.

La déclaration doit être faite sur formulaire délivré par l’ANPDP et déposée en main propre ou par
Procédure voie électronique.

Le formulaire de déclaration comprend les informations suivantes :

1. Le nom et l'adresse du Responsable du traitement et, le cas échéant, ceux de son représentant ;
2. La nature, les caractéristiques et la ou les finalités du traitement envisagé ;
3. Une description de la ou des catégories de personnes concernées et des données ou des
catégories de données à caractère personnel s'y rapportant ;
4. Les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles
d'être communiquées ;
5. La nature des données dont le transfert vers des pays étrangers est envisagé ;
6. La durée de conservation des données ;
7. Le service auprès duquel la personne concernée pourra exercer, le cas échéant, les droits qui lui
sont reconnus par les dispositions de la Loi 18-07, ainsi que les mesures prises pour faciliter
l'exercice de ceux-ci ;
8. Une description générale permettant d'apprécier de façon préliminaire le caractère approprié
des mesures prises pour assurer la confidentialité et la sécurité du traitement ;
9. Les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur
cession à des tiers ou sous-traitance, sous toute forme, à titre gratuit ou onéreux.

Un récépissé de dépôt est remis ou transmis par voie électronique immédiatement ou, au plus tard,
dans les quarante-huit (48) heures.
Page 12 15 June 2023
2. Déclaration simplifiée

➢ Les Traitements de données à caractère personnel qui ne sont pas susceptibles de porter
Données atteinte aux droits et libertés des personnes concernées ainsi que certains traitements non
automatisés peuvent être soumis à Déclaration simplifiée.

➢ Cette listes des données doit être fixée par l’ANPDP.

Procédure La déclaration simplifiée doit être faite sur formulaire délivré par l’ANPDP.

La déclaration simplifiée doit préciser uniquement les éléments suivants :

1. Le nom et l'adresse du Responsable du traitement et, le cas échéant, ceux de son

représentant ;
2. La nature, les caractéristiques et la ou les finalités du traitement envisagé ;
3. Une description de la ou des catégories de personnes concernées et des données ou des
catégories de données à caractère personnel s'y rapportant ;
4. Les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles
d'être communiquées ;
5. La nature des données dont le transfert vers des pays étrangers est envisagé ;
6. La durée de conservation des données.

Page 13 15 June 2023

3. Autorisation

➢ Pour le traitement de certaines données sensibles dans certains cas et sous certaines
Données conditions prévue par l’article 18 de la loi 18-07.

➢ Les traitements de données à caractère personnel ayant une finalité d'intérêt public de
recherche, d'étude ou d'évaluation dans le domaine de la santé.

➢ Dans le cas où l’ANPDP estime, que le Traitement envisagé présente des dangers manifestes
pour le respect et la protection de la vie privée et des libertés et droits fondamentaux. Cette
décision doit être motivée et notifiée au Responsable du traitement dans les dix (10) jours du
dépôt de la déclaration.

Procédure ➢ Une demande d’Autorisation doit être déposée.

➢ Cette demande est faite sur formulaire délivré par l’ANPDP et déposé en main propre ou par
voie électronique.

➢ L’ANPDP doit rendre sa décision dans un délai de deux (2) mois à compter de la date de sa
saisine.

➢ Ce délai peut être prorogé, par décision motivée du président de l’ANPDP, pour une durée de
deux (2) mois.

➢ Lorsque l’ANPDP ne s'est pas prononcée dans le délai prévu, la demande d'autorisation est
réputée rejetée.
Page 14 15 June 2023
 Le transfert de Données à caractère
personnel vers un pays étranger

Page 15 15 June 2023

1. Le transfert de Données à caractère personnel vers un pays étranger

Conditions Interdiction

➢ Autorisation de l’ANPDP.
➢ Être assurer que cet Etat assure un niveau de
protection suffisant de la vie privée et de
libertés et droits fondamentaux des
personnes.
Le transfert est dans tous les cas interdit
lorsqu’il est susceptible de porter atteinte à la
sécurité publique ou aux intérêts vitaux de l’Etat.

Page 16 15 June 2023

2. Le transfert de Données à caractère personnel vers un pays étranger

Dérogation

➢ Si la Personne concernée a expressément consenti au transfert.

➢ Si le transfert est nécessaire (à la sauvegarde de la vie de la personne ou préservation de l’intérêt public,
exécution d’un contrat entre le Responsable du traitement et la Personne concernée…).
➢ Si le transfert s’effectue en application d’un accord bilatéral ou multilatéral auquel l’Algérie est partie.
➢ Sur autorisation de l’ANPDP.

Page 17 15 June 2023

 Confidentialité et sécurité du
traitement

Page 18 15 June 2023

1. Confidentialité et sécurité du traitement

➢ Mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à
caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la
diffusion ou l’accès non autorisés.

➢ Mettre en œuvre les mesures techniques et organisationnelles appropriées contre toute autre forme de
traitement illicite.

➢ Ces mesures doivent assurer, un niveau de sécurité approprié au regard des risques présentés par le
traitement et de la nature des données à protéger.

➢ Choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de sécurité
technique et d’organisation relatives aux traitements à effectuer et doit veiller au respect de ses mesures.

➢ Obligation au respect du secret professionnel même après avoir cessé d’exercer leurs fonctions.

➢ Le traitement des données se fait dans tous les cas sur instruction du responsable du traitement, sauf en
cas d’exécution d’une obligation légale.

Page 19 15 June 2023

 Contrôle et sanctions

Page 20 15 June 2023

1. Contrôle de l’ANPDP

L’autorité nationale est chargée de veiller à ce que le

traitement des données à caractère personnel soit mis en
œuvre et de s’assurer que l’utilisation des technologies de
l’information et de la communication ne comporte pas de
menaces au regard des droits des personnes, des libertés
publiques et de la vie privée.
La recherche et à la constatation des infractions est faite
par les officiers et les agents de police judiciaire et tout
autres agents de contrôle auxquels l’ANPDP fait recours,
sous le contrôle du procureur de la République.

A ce titre, elle a pour missions, notamment : Les infractions doivent être constatées par des procès-
➢ De recevoir les réclamations, les recours et les plaintes verbaux. Ces derniers doivent être transmis sans délai, au
relatifs à la mise en œuvre des traitements des données procureur de la République territorialement compétent.
à caractère personnel et d’informer leurs auteurs des
suites qui leur sont réservées.
➢ De procéder aux investigations requises par des
constatations dans les locaux et lieux où a eu lieu le
traitement.
➢ De prononcer des sanctions administratives.

Page 21 15 June 2023

2. Sanctions administratives

Infraction Sanction Personne concernée

Inobservation des dispositions de la loi. ➢ L’avertissement, Responsable du traitement

➢ La mise en demeure,
➢ Le retrait provisoire pour une durée qui ne peut
dépasser une année, ou le retrait définitif du récépissé
de déclaration ou de l’autorisation,
➢ L’amende.

Refuser, sans motif légitime, les droits d’information, d’accès, Amende de 500.000 DA Responsable du traitement
de rectification ou d’opposition.

Non notification de: Amende de 500.000 DA Responsable du traitement

➢ L’identité du représentant du responsable de traitement en
Algérie
➢ Modification, suppression des informations contenues dans
la déclaration
➢ La désignation d’un responsable de traitement.
Atteinte à la sécurité nationale ou est contraire à la morale et Retrait, selon le cas, du récépissé de la déclaration ou de Responsable du traitement
aux bonnes mœurs. l’autorisation.

Page 22 15 June 2023

4. Sanctions pénales

Infraction Peine Personne concernée

Traitement non effectuer dans le cadre du respect de la dignité humaine, de la vie Emprisonnement de deux (2) ans à cinq (5) ans et une amende Toute personne
privée, des libertés publiques et ne doit pas porter atteinte aux droits des de 200.000 DA à 500.000 DA
personnes, à leur honneur et à leur réputation

Non-respect des règles de consentement exprès et d’opposition de la personne Emprisonnement d’un (1) an à trois (3) ans et une amende de Toute personne
concernée 100.000 DA à 300.000 DA.

Traitement sans déclaration préalable à l’ANPDP ou à son autorisation ou ayant
fait de fausses déclarations lors déclaration préalable ou en vue d’obtenir
l’autorisation
Traitements des données sensibles sans le consentement exprès de la personne
concernée et hors les cas prévus par la loi
Emprisonnement de deux (2) ans à cinq (5) ans et une amende Toute personne
de 200.000 DA à 500.000 DA
Emprisonnement de deux (2) ans à cinq (5) ans et une amende Toute personne
de 200.000 DA à 500.000 DA

Mettre en œuvre un traitement des données ou utilise celles-ci à des fins autres Emprisonnement de six (6) mois à un (1) an et une amende de Toute personne
que celles pour lesquelles elles ont été déclarées ou autorisées 60.000 DA à 100.000 DA ou l’une de ces deux peines
seulement

Collecter des données à caractère personnel par un moyen frauduleux, déloyal ou Emprisonnement d’un (1) an à trois (3) ans et une amende de Toute personne
illicite 100.000 DA à 300.000 DA,

Laisser accéder des personnes non habilitées aux données à caractère personnel. Emprisonnement de deux (2) ans à cinq (5) ans et une amende Toute personne
de 200.000 DA à 500.000 DA,

Entraver l'action de l’ANPDP Emprisonnement de six (6) mois à (2) ans et une amende de Toute personne
60.000 DA à 200.000 DA ou l’une de ces deux peines
seulement

Page 23 15 June 2023

3. Sanctions pénales

Infraction Peine Personne concernée

Refus, sans motif légitime, les droits d’information, d’accès, de rectification ou Emprisonnement de deux (2) mois à deux (2) ans et une Responsable de traitement
d’opposition amende de 20.000 DA à 200.000 DA ou l’une de ces deux
peines seulement
Non mise en œuvre des mesures techniques et organisationnelles appropriées Amende de 200.000 DA à 500.000 DA Responsable du traitement
pour garantir confidentialité et de la sécurité du traitement tel que défini à
l’article 38 et 39 de la loi
Conserver des données à caractère personnel au-delà de la durée prévue par la Amende de 200.000 DA à 500.000 DA Toute personne
législation en vigueur ou de celle prévue dans la déclaration ou l’autorisation

Ne pas procéder à la notification d'une violation de données à caractère Emprisonnement d’un (1) an à trois (3) ans et une amende Fournisseur de services
personnel à l’ANPDP ou à l'intéressé lorsque le traitement des données à de 100.000 DA à 300.000 DA ou de l’une de ces deux
caractère personnel est effectué dans le cadre de communications électroniques peines seulement

Effectuer un transfert de données à caractère personnel vers un Etat étranger, Emprisonnement d’un (1) an à cinq (5) ans et une amende Toute personne
en violation des dispositions de l’article 44 de la Loi 18-07 de 500.000 DA à 1.000. 000 DA
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire Emprisonnement de six (6) mois à trois (3) ans et une Toute personne
informatisée, des données à caractère personnel concernant des infractions, des amende de 60.000 DA à 300.000 DA
condamnations ou des mesures de sûreté

Causer ou faciliter, même par négligence, l’usage abusif ou frauduleux des Est puni d’un emprisonnement d’une (1) année à cinq (5) Responsable de traitement,
données traitées ou reçues ou les communiquer à des tiers non habilités ans et une amende de 100.000 à 500.000 DA sous-traitant et toute
personne qui, en raison de ses
fonctions, est chargée de
traiter des données à
caractère personnel

Page 24 15 June 2023

Contact

Maître Rafik AKLIL M. Halim ZAIDI

Avocat Director
Office: +213 (0) 21 24 91 14 Office: +213 (0) 21 24 91 14
Mobile: +213 (0) 782 22 01 46 Mobile: +213 (0) 770 825 235
Email : rafik.aklil@dz.ey.com Email : halim.zaidi@dz.ey.com

Page 25 15 June 2023

EY | Building a better working world
EY exists to build a better working world, helping
to create long-term value for clients, people and
society and build trust in the capital markets.
Enabled by data and technology, diverse EY
teams in over 150 countries provide trust
through assurance and help clients grow,
transform and operate.
Working across assurance, consulting, law,
strategy, tax and transactions, EY teams ask
better questions to find new answers for the
complex issues facing our world today.
EY refers to the global organization, and may refer to one or more, of
the member firms of Ernst & Young Global Limited, each of which is a
separate legal entity. Ernst & Young Global Limited, a UK company
limited by guarantee, does not provide services to clients. Information
about how EY collects and uses personal data and a description of the
rights individuals have under data protection legislation are available
via ey.com/privacy. EY member firms do not practice law where
prohibited by local laws. For more information about our organization,
please visit ey.com.
© 2023 EYGM Limited.
All Rights Reserved.
ey.com