Par Lies HAMIDI
L’exploitation des données à caractère personnel est une préoccupation permanente des pouvoirs publics, une réalité vivante. L’Etat régulateur se doit d’encadrer ces données, notamment celles qui présentent un caractère sensible.
Pour ce faire, il est impératif de mettre en place les outils de contrôle et de suivi afin de protéger les droits de l’individu.
C’est d’autant plus important que les progrès de la science et le développement des technologies de l’information et de la communication annoncent une nouvelle ère où la numérisation sera partie intégrante de notre quotidien. Avec l’internet, ce sont des millions de données qui peuvent être transférées en un clic.
L’échange d’informations a apporté malheureusement son lot de menaces sur les individus, les entreprises et les Etats.
A titre de réponse à ces menaces, l’Assemblée Générale des Nations Unies a adopté en 1990 la résolution A/RES/45/95 portant sur les principes directeurs pour la réglementation des fichiers personnels informatisés.
Il en est de même de l’Afrique qui s’est inscrite dans l’élan du contrôle et de la régulation en mettant en place un cadre juridique spécifique.
L’union africaine a adopté en 2014 la convention de Malabo (guinée équatoriale) sur la protection des données à caractère personnel.
Son objectif étant de mettre de l’ordre dans ce bloc de données échangées et partant créer un cadre juridique complet pour le commerce électronique, la cybercriminalité et la cybersécurité.
L’Algérie, elle, s’est dotée de sa propre législation à travers la promulgation de la loi 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. (J. officiel n° 34 du 10 juin 2018).
L’an 2020, fut l’année de la constitutionnalisation du principe de protection de données personnelles (article 47 de la Constitution).
Ce principe qui a une valeur constitutionnelle est le meilleur gage de l’engagement de l’Etat dans la consécration de nouvelles règles de protection des personnes physiques.
Nous essaierons à travers une lecture de la loi de cerner les contours du concept, donnée personnelle, et d’en comprendre le contenu (définition).
Définition du concept
On entend par donnée personnelle, selon l’article 3, toute information, quel qu’en soit son support, concernant une personne identifiée ou identifiable, dénommée « personne concernée », d’une manière directe ou indirecte, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale : il s’agit, en somme, de toute personne physique dont les données à caractère personnel font l’objet d’un traitement. Les personnes morales y sont exclues.
Aussi, constituent une donnée personnelle un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, voire des identifiants empruntés à la science et aux nouvelles méthodes d’identification, telles que la reconnaissance faciale, l’empreinte vocale ou encore l’empreinte génétique.
Quant au traitement de ces données personnelles, il s’agit d’une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).
Toutefois, d’après l’article 6, sont exclues de l’application de la loi, les données à caractère personnel traitées par une personne physique dans le cadre de ses activités personnelles ou domestiques à condition qu’elles ne soient pas destinées à une communication à des tiers ou à la diffusion, (….). D’autres cas d’exclusion sont prévus par la loi.
Après cette définition, quelque peu exhaustive, notre réflexion sera axée sur les principes fondamentaux ayant servi de fondement à l’émergence du concept données personnelles (1) ainsi que sur le renforcement des droits de la personne physique (2) et les procédures de sanctions qui en découlent (3).
1- Les principes fondamentaux de protection des données à caractère personnel
Le traitement des données à caractère personnel doit se faire dans le respect de la dignité humaine, de la vie privée et des libertés publiques.
La loi algérienne repose sur des principes intangibles tendant à préserver les droits des personnes, leur honneur et leur réputation.
Les cinq principes cardinaux de la loi n° 18-07 :
- le principe de finalité,
- le principe de proportionnalité,
- le principe de durée de conservation des données,
- le principe de sécurité des données collectées,
- le principe de licéité et de loyauté.
Le principe de finalité (article 9b)
Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement de façon incompatible avec lesdites finalités.
Pour être mise en œuvre, l’exploitation d’une donnée doit être justifiée par la poursuite d’un but déterminé. C’est la finalité qui va conditionner tout le traitement.
Dans le cadre d’un traitement dédié à la gestion des contentieux au sein des organismes publics, la finalité de ce traitement serait : la préparation, l’exercice et le suivi d’une action disciplinaire ou d’un recours en justice et le cas échéant, l’exécution de la décision rendue.
Le principe de proportionnalité (article 9c)
Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles ont été collectées. Pour ce faire, elles doivent être exactes, complètes et si nécessaire, mises à jour.
Le principe de proportionnalité du traitement suppose que les données à caractère personnel qui ont été collectées sont bien en adéquation avec la finalité du traitement.
Dès lors, la proportionnalité est le lien permanent entre collecte et finalité : il ne peut y avoir de collecte sans finalité ou de finalité sans collecte.
Le principe de la durée de conservation des données collectées (article 9e)
Les données personnelles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées.
L’autorité nationale peut, cependant, autoriser la conservation de données personnelles à des fins historiques, statistiques ou scientifiques.
De ce qui précède, il convient de dire que la conservation d’une donnée à caractère personnel ne peut être traitée de manière illimitée.
Ceci implique la prise en compte du cycle de vie de la donnée, notamment le point de départ de la durée de conservation, la période, les modalités ainsi que les mesures à prendre lors de la fin de conservation de la donnée : destruction, anonymisation ou archivage pour une période donnée.
A titre d’exemple, les données relatives à la gestion de la paie pourront être conservées durant une certaine période et celles figurant dans un dossier médical jusqu’à la fin du traitement.
Le principe de sécurité et de confidentialité (article 38)
Selon l’article 38, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que toute autre forme de traitement illicite.
Le responsable du traitement doit minimiser au maximum les menaces qui pèsent sur le traitement des données en prévenant en permanence tout type de menace pouvant surgir lors du traitement des données.
Toutes les précautions techniques et technologiques se doivent d’être prises en compte, afin de surveiller, de gérer et de sécuriser les données personnelles, compte tenu de leur sensibilité et de leur impact sur les personnes.
Le principe de licéité et de loyauté (article 9a)
Les données personnelles doivent être traitées de manière licite et loyale.
La loyauté emporte la transparence et partant l’accord des personnes ayant un lien avec le traitement des données personnelles.
Au sens de l’article 3, précisément, est considéré comme consentement toute manifestation de volonté, en connaissance de cause, par laquelle la personne concernée ou son représentant légal, accepte que ses données personnelles fassent l’objet d’un traitement manuel ou électronique.
La licéité suppose un fondement légal ou juridique dans le traitement des données (loi, contrat, convention collective, règlement intérieur, ….).
Ce principe dans son application, peut se traduire par la mise en place d’une charte des données personnelles, d’un panneau d’affichage ou encore en insérant une clause dans un contrat de travail.
Au total, les cinq principes (finalité, proportionnalité, durée, sécurité et licéité) reposent sur le consentement express de la personne concernée, nous rappelle l’article 7 de la loi : les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement(…) et sous réserve du consentement préalable de la personne concernée.
Toutefois, ledit consentement, selon le même article 7, n’est pas exigé si le traitement est nécessaire au respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement, ou encore à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées (….).
En effet, il n’est point besoin de consentement lorsqu’il s’agit d’appliquer une disposition légale qui s’impose à la personne concernée par le traitement : la récolte et le traitement des données des travailleurs lors de leur recrutement.
De même, lorsqu’on assure une mission d’utilité publique : le recensement d’une population qui s’accompagne de la récolte de données, représente une charge d’intérêt public (…).
L. HAMIDI
Docteur en droit
* La deuxième partie « Les droits de la personne physique» dans notre prochaine édition.
