TITRE I : DISPOSITIONS GENERALES

Article 1er. — La présente loi a pour objet de fixer les règles de protection des personnes physiques dans le traitement des données à caractère personnel.

 

Art. 2. — Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, doit se faire dans le cadre du respect de la dignité humaine, de la vie privée, des libertés publiques et ne doit pas porter atteinte aux droits des personnes, à leur honneur et à leur réputation.

 

Art. 3. — Aux fins de la présente loi, on entend par :

« Données à caractère personnel » : toute information, quel qu’en soit son support, concernant une personne identifiée ou identifiable, ci-dessous dénommée « personne concernée », d’une manière directe ou indirecte, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale ; « Personne concernée » : toute personne physique dont les données à caractère personnel font l’objet d’un traitement ;

« Traitement des données à caractère personnel » : ci-dessous dénommé « traitement » : toute opération ou tout ensemble d’opérations effectués à l’aide de moyens ou de procédés automatisés ou non et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction ;

« Consentement de la personne concernée » : toute manifestation de volonté, en connaissance de cause, par laquelle la personne concernée ou son représentant légal, accepte que ses données personnelles fassent l’objet d’un traitement manuel ou électronique ;

« Traitement automatisé » : opérations effectuées en totalité ou en partie à l’aide de procédés automatisés tels que l’enregistrement des données, l’application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion ;

« Données sensibles » : données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques ;

« Contenu illicite » : tout contenu contraire aux lois en vigueur, notamment, le contenu à caractère subversif ou pouvant porter atteinte à l’ordre public et le contenu à caractère pornographique ou contraire aux bonnes mœurs ;

« Données génétiques » : toutes données concernant les caractères héréditaires d’un individu ou d’un groupe d’individus apparentés ;

« Données dans le domaine de la santé » : toute information concernant l’état physique et/ou mental de la personne concernée, y compris ses données génétiques ;

« Fichier » tout ensemble de données structuré et regroupé susceptible d’être consulté selon des critères déterminés ;

« Communication électronique » : toute émission, transmission ou réception de signes, de signaux, d’écrits, d’images ou de sons, de données, ou de renseignements de toute nature par fil, voie optique ou électromagnétique ;

« Responsable du traitement » : personne physique ou morale, publique ou privée ou toute autre entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données ;

« Sous-traitant » : toute personne physique ou morale, publique ou privée ou toute autre entité qui traite des données à caractère personnel pour le compte du responsable du traitement ;

« Tiers » : toute personne physique ou morale, publique ou privée ou toute autre entité autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilités à traiter les données ;

« Destinataire » : personne physique ou morale, autorité publique, service ou toute autre entité qui reçoit communication des données à caractère personnel ;

« Cession ou communication » : toute divulgation ou communication d’une donnée portée à la connaissance d’une personne autre que la personne concernée ;

« Interconnexion des données » : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non par le même responsable du traitement ou par un ou plusieurs autres responsables de traitement ;

« L’Autorité nationale » : autorité nationale de protection des données à caractère personnel prévue dans la présente loi ;

« Fournisseur de services » :

1 – toute entité publique ou privée qui offre aux utilisateurs de ses services, la possibilité de communiquer au moyen d’un système informatique et/ou d’un système de télécommunication ;

2- toute autre entité traitant ou stockant des données informatiques pour ce service de communication ou les utilisateurs.

« Prospection directe » : toute sollicitation effectuée au moyen de l’envoi de message, quel qu’en soit le support ou la nature, destinée à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

« Fermeture des données » : les rendre inaccessibles.

 

Art. 4. — La présente loi s’applique au traitement automatisé en tout ou en partie des données à caractère personnel, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers manuels.

La présente loi s’applique au traitement des données à caractère personnel effectué par des organismes publics ou des personnes privées :

1- lorsqu’il est effectué par une personne physique ou morale dont le responsable est établi sur le territoire algérien ou sur le territoire d’un Etat dont la législation est reconnue équivalente à la législation nationale en matière de protection des données à caractère personnel.

Est considéré comme établi en Algérie, le responsable d’un traitement qui exerce une activité sur le territoire algérien dans le cadre d’une installation, quelle que soit sa forme juridique ;

2- lorsque le responsable n’est pas établi sur le territoire algérien mais recourt, à des fins de traitement des données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire algérien, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire national.

Dans ce cas, le responsable du traitement doit notifier à l’autorité nationale, l’identité de son représentant installé en Algérie qui, sans préjudice de sa responsabilité personnelle, se substitue à lui dans tous ses droits et obligations résultant des dispositions de la présente loi et des textes pris pour son application.

 

Art. 5. — Les traitements automatisés de données à caractère personnel ayant pour finalité la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la présente loi, à l’exception des :

— traitements de données à caractère personnel ayant pour fin le suivi thérapeutique ou médical individuel des patients ;

— traitements permettant d’effectuer des études à partir des données recueillies en application du point précédent, lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

— traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de l’assurance maladie ;

— traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale.

 

Art. 6. — Sont exclues de l’application de la présente loi, les données à caractère personnel :

1- traitées par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques, à condition qu’elles ne soient pas destinées à une communication à des tiers ou à la diffusion ;

2- recueillies et traitées dans l’intérêt de la défense et de la sécurité nationales ;

3- recueillies et traitées à des fins de prévention, de poursuites et de répression des infractions ainsi que celles contenues dans les bases de données judiciaires lesquelles sont régies par les textes relatifs à leur création et soumises à l’article 10 de la présente loi.

 

 

TITRE II : PRINCIPES FONDAMENTAUX DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Chapitre I : De l’accord préalable et de la qualité des données

Art. 7. — Le traitement des données à caractère personnel ne peut être effectué qu’avec le consentement exprès de la personne concernée.

Si la personne concernée est incapable ou interdite, le consentement est régi par les règles du droit commun.

La personne concernée peut, à tout moment, se rétracter.

Les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement et du destinataire et sous réserve du consentement préalable de la personne concernée.

Toutefois, ledit consentement n’est pas exigé si le traitement est nécessaire :

— au respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement ;

— à la sauvegarde de la vie de la personne concernée ;

— à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

— à la sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner son consentement ;

— à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;

— à la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de l’intérêt et/ou des droits et libertés fondamentaux de la personne concernée.

 

Art. 8. — Le traitement des données à caractère personnel qui concerne un enfant ne peut s’effectuer qu’après l’obtention du consentement de son représentant légal ou, le cas échéant, de l’autorisation du juge compétent.

Le juge peut ordonner le traitement même sans le consentement du représentant légal, lorsque l’intérêt supérieur de l’enfant l’exige.

Le juge peut, à tout moment, revenir sur son autorisation.

 

Art. 9. — Les données personnelles doivent être :

a) traitées de manière licite et loyale ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement de façon incompatible avec lesdites finalités ;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées ;

d) exactes, complètes et, si nécessaire, mises à jour ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées.

Sur demande du responsable du traitement et, s’il existe un intérêt légitime, l’autorité nationale peut autoriser la conservation de données personnelles à des fins historiques, statistiques ou scientifiques au-delà de la période citée au e) du présent article.

Le responsable du traitement est chargé, sous le contrôle de l’autorité nationale, d’assurer le respect des dispositions du présent article.

 

Art. 10. — Les données à caractère personnel relatives aux infractions, peines et mesures de sûreté, ne peuvent être traitées que par l’autorité judiciaire, les autorités publiques, les personnes morales qui gèrent un service public et les auxiliaires de justice dans le cadre de leurs attributions légales.

Le traitement prévu au présent article doit préciser le responsable du traitement, la finalité du traitement, les personnes concernées, les tiers auxquels ces données peuvent être communiquées, l’origine de ces données, et les mesures à prendre pour assurer la sécurité du traitement.

 

Art. 11. — Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données personnelles destiné à évaluer certains aspects de sa personnalité.

Aucune autre décision produisant des effets juridiques à l’égard d’une personne, ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité.

Ne sont pas considérées comme prises sur le seul fondement d’un traitement automatisé, les décisions prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée.

 

 

Chapitre II : Des procédures préalables au traitement

Art. 12. — Nonobstant toute disposition législative contraire, toute opération de traitement des données à caractère personnel, est soumise à une déclaration préalable à l’autorité nationale ou à son autorisation conformément aux dispositions prévues par la présente loi.

 

Section I : La déclaration

Art. 13. — La déclaration préalable, qui comporte l’engagement que le traitement sera effectué conformément aux dispositions de la présente loi, est déposée auprès de l’autorité nationale. Elle peut être effectuée par voie électronique.

Un récépissé de dépôt est remis ou transmis par voie électronique immédiatement ou, au plus tard, dans les quarante-huit (48) heures.

Les traitements relevant du même responsable du traitement et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique.

Le responsable du traitement peut, sous sa responsabilité, mettre en œuvre le traitement, dès réception du récépissé prévu au présent article.

 

Art. 14. — La déclaration doit comprendre :

1. le nom et l’adresse du responsable du traitement et, le cas échéant, ceux de son représentant ;

2. la nature, les caractéristiques et la ou les finalités du traitement envisagé ;

3. une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s’y rapportant ;

4. les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;

5. la nature des données dont le transfert vers des pays étrangers est envisagé ;

6. la durée de conservation des données ;

7. le service auprès duquel la personne concernée pourra exercer, le cas échéant, les droits qui lui sont reconnus par les dispositions de la présente loi, ainsi que les mesures prises pour faciliter l’exercice de ceux-ci ;

8. une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement ;

9. les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession à des tiers ou sous-traitance, sous toute forme, à titre gratuit ou onéreux.

Toute modification des informations citées ci-dessus et toute suppression de traitement doivent être portées, sans délai, à la connaissance de l’autorité nationale.

En cas de cession d’un fichier de données, le cessionnaire est tenu de remplir les formalités de déclaration prévues par la présente loi.

 

Art. 15. — L’autorité nationale fixe la liste des catégories de traitements de données à caractère personnel qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées et leur vie privée, qui font l’objet d’une déclaration simplifiée qui doit préciser uniquement les éléments prévus aux 1, 2, 3, 4, 5 et 6 de l’article 14 ci-dessus.

L’autorité nationale fixe la liste des traitements non automatisés de données à caractère personnel qui peuvent faire l’objet de la déclaration simplifiée prévue par le présent article.

 

Art. 16. — L’obligation de déclaration ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

Toutefois, dans ces cas, il doit être désigné un responsable du traitement des données dont l’identité est rendue publique et notifiée à l’autorité nationale et qui est responsable de l’application des dispositions relatives aux droits des personnes concernées prévues par la présente loi.

Le responsable du traitement dispensé de déclaration doit communiquer à toute personne qui en fait la demande, les informations relatives à la finalité du traitement, à l’identité et l’adresse du responsable du traitement, aux données traitées et à leurs destinataires.

 

Section II : De l’autorisation

Art. 17. — Lorsqu’il apparaît à l’autorité nationale, à l’examen de la déclaration qui lui est fournie, que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes, elle décide de soumettre ledit traitement au régime d’autorisation préalable.

La décision de l’autorité nationale doit être motivée et notifiée au responsable du traitement dans les dix (10) jours du dépôt de la déclaration.

 

Art. 18. — Est interdit le traitement des données sensibles.

Toutefois, le traitement des données sensibles, peut être autorisé, pour des motifs d’intérêt public indispensable pour garantir l’exercice des fonctions légales ou statutaires du responsable du traitement ou lorsque la personne concernée a donné son consentement exprès, en cas d’une disposition légale qui le consacre ou avec l’autorisation de l’autorité nationale.

Le traitement des données sensibles est autorisé aussi dans les cas où :

a) le traitement est nécessaire à la défense d’intérêts vitaux de la personne concernée ou d’une autre personne et si la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;

b) le traitement est effectué, avec le consentement de la personne concernée, par une fondation, une association ou un organisme sans but lucratif de caractère politique, philosophique, religieux ou syndical, dans le cadre de ses activités légitimes, à condition que le traitement concerne les seuls membres de cet organisme ou les personnes qui entretiennent avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées.

c) le traitement porte sur des données manifestement rendues publiques par la personne concernée, dès lors que son consentement au traitement des données peut être déduit de ses déclarations ;

d) le traitement est nécessaire à la reconnaissance, l’exercice ou la défense d’un droit en justice et est effectué exclusivement à cette fin ;

e) le traitement de données génétiques à l’exclusion de celles effectuées par des médecins ou biologistes et qui sont nécessaires pour l’exercice de la médecine préventive, des diagnostics médicaux et d’administration de soins ou de traitement.

En tout état de cause, les mesures de protection des données prévues par la présente loi demeurent garanties.

 

Art. 19. — L’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents doit faire l’objet d’une autorisation de l’autorité nationale.

L’interconnexion de fichiers relevant de personnes physiques et dont les finalités principales sont différentes est également soumise à autorisation de l’autorité nationale.

L’interconnexion des fichiers doit permettre d’atteindre des objectifs légaux et légitimes pour les responsables des traitements. Elle ne peut entraîner de discrimination ou de réduction des droits, des libertés et des garanties pour les personnes concernées.

Les modalités d’application du présent article sont, le cas échéant, fixées par voie réglementaire.

 

Art. 20. — La demande d’autorisation doit comprendre les informations prévues à l’article 14 de la présente loi.

L’autorité nationale doit rendre sa décision dans un délai de deux (2) mois de sa saisine ; ce délai peut être prorogé, par décision motivée de son président, pour une même durée.

Lorsque l’autorité nationale ne s’est pas prononcée dans le délai prévu par le présent article, la demande d’autorisation est réputée rejetée.

 

Art. 21. — Les traitements de données à caractère personnel ayant une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé sont autorisés par l’autorité nationale, dans le respect des principes définis par la présente loi et en fonction de l’intérêt public que la recherche, l’étude ou l’évaluation présente.

L’autorité nationale peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

 

 

TITRE III : DE L’AUTORITE NATIONALE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Art. 22. — Il est créé, auprès du Président de la République, une autorité administrative indépendante de protection des données à caractère personnel, désignée ci-après « l’autorité nationale », dont le siège est fixé à Alger.

L’autorité nationale jouit de la personnalité morale et de l’autonomie financière et administrative.

Le budget de l’autorité nationale est inscrit au budget de l’Etat. Il est soumis au contrôle financier conformément à la législation en vigueur.

L’autorité nationale élabore et adopte son règlement intérieur qui fixe notamment les modalités de son organisation et son fonctionnement.

 

Art. 23. — L’autorité nationale, est composée de :

— trois (3) personnalités dont le président, choisies par le Président de la République en raison de leurs compétences dans le domaine d’activité de l’autorité nationale ;

— trois (3) magistrats, proposés par le Conseil supérieur de la magistrature, parmi les magistrats de la Cour suprême et du Conseil d’Etat ;

— un (1) membre de chacune des chambres du Parlement choisis par leurs présidents, après consultation des présidents des groupes parlementaires ;

— un (1) représentant du Conseil national des droits de l’Homme ;

— un (1) représentant du ministre de la défense nationale ;

— un (1) représentant du ministre des affaires étrangères ;

— un (1) représentant du ministre chargé de l’intérieur ;

— un (1) représentant du ministre de la justice, garde des sceaux ;

— un (1) représentant du ministre chargé de la poste, des télécommunications, des technologies et du numérique ;

— un (1) représentant du ministre chargé de la santé ;

—un (1) représentant du ministre du travail, de l’emploi et de la sécurité sociale.

Les membres de l’autorité nationale sont choisis, en raison de leur compétence juridique et/ou technique dans le domaine du traitement des données à caractère personnel.

L’autorité nationale peut faire appel à toute personne compétente susceptible de l’aider dans ses travaux.

Le président et les membres de l’autorité nationale sont désignés par décret présidentiel pour un mandat de cinq (5) ans renouvelable.

 

Art. 24. — Avant l’installation dans leurs fonctions, les membres de l’autorité nationale prêtent serment devant la Cour d’Alger dans les termes suivants :

: ”أقسم باالله العظيم أن أؤدي مهمتي كعضو في السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي بكل استقلالية وحياد و شرف و نزاهة ,و أن أحافظ على سرية المداولات ”

 

Art. 25. — L’autorité nationale est chargée de veiller à ce que le traitement des données à caractère personnel soit mis en œuvre, conformément aux dispositions de la présente loi et de s’assurer que l’utilisation des technologies de l’information et de la communication ne comporte pas de menaces au regard des droits des personnes, des libertés publiques et de la vie privée.

A ce titre, elle a pour missions, notamment :

1° de délivrer les autorisations et de recevoir les déclarations relatives au traitement des données à caractère personnel ;

2° d’informer les personnes concernées et les responsables de traitement de leurs droits et obligations ;

3° de conseiller les personnes et entités qui ont recours aux traitements des données à caractère personnel ou qui procèdent à des essais ou expériences de nature à aboutir à de tels traitements ;

4° de recevoir les réclamations, les recours et les plaintes relatifs à la mise en œuvre des traitements des données à caractère personnel et d’informer leurs auteurs des suites qui leur sont réservées ;

5° d’autoriser, dans les conditions prévues par la présente loi, les transferts transfrontaliers des données à caractère personnel ;

6° d’ordonner les modifications nécessaires à la protection des données à caractère personnel traitées ;

7° d’ordonner la fermeture de données, leur retrait ou destruction ;

8° de présenter toute suggestion susceptible de simplifier et d’améliorer le cadre législatif et réglementaire relatif au traitement des données à caractère personnel ;

9° de publier les autorisations accordées et les avis émis dans le registre national cité à l’article 28 de la présente loi ;

10° de développer des relations de coopération avec les autorités étrangères similaires, sous réserve de réciprocité ;

11° de prononcer des sanctions administratives dans les conditions définies par l’article 46 de la présente loi ;

12° d’élaborer des normes dans le domaine de la protection des données à caractère personnel ;

13° d’élaborer des règles de bonne conduite et de déontologie applicables aux traitements des données à caractère personnel.

Dans le cadre de l’exercice de ses missions, l’autorité nationale informe le procureur général compétent immédiatement en cas de constatation de faits susceptibles de qualification pénale.

L’autorité nationale établit un rapport annuel d’activités et le transmet au Président de la République.

 

Art. 26. — Le président et les membres de l’autorité nationale doivent sauvegarder le caractère secret des données à caractère personnel et des informations dont ils ont eu connaissance à raison de leur qualité, même après la perte de celle-ci sauf dispositions contraires de la loi.

Il est interdit au président de l’autorité nationale et à ses membres d’avoir, directement ou indirectement, des intérêts dans toute entreprise qui exerce ses activités dans le domaine du traitement des données à caractère personnel.

Le président et les membres de l’autorité nationale bénéficient de la protection de l’Etat contre les menaces, outrages et attaques, de quelque nature que ce soit, dont ils peuvent faire l’objet en raison ou à l’occasion de l’accomplissement de leurs missions.

Le régime indemnitaire des membres de l’autorité nationale et les conditions et modalités de son octroi sont fixés par voie réglementaire.

 

Art. 27. — L’autorité nationale est dotée d’un secrétariat exécutif, dirigé par un secrétaire exécutif, assisté dans ses missions par des personnels.

Le secrétaire exécutif et les personnels du secrétariat exécutif, prêtent serment devant la Cour d’Alger dans les termes suivants :

” أقسم باالله العظيم أن أؤدي وظائفي بكل نزاهة، وأن أحافظ على سرية المعلومات ألتي أطلع عليه”ا

Le secrétaire exécutif et les personnels du secrétariat exécutif sont astreints au respect des informations dont ils ont eu connaissance dans ou à l’occasion de l’exercice de leurs missions.

Les conditions et les modalités d’application du présent article sont fixées par voie réglementaire.

 

Art. 28. — Il est institué un registre national de protection des données à caractère personnel, dont la tenue est dévolue à l’autorité nationale, sur lequel sont inscrits :

— les fichiers dont sont responsables du traitement les autorités publiques ;

—les fichiers dont le traitement est effectué par des personnes privées ;

— les références aux lois ou règlements publiés portant création de fichiers publics ;

— les déclarations à l’autorité nationale et les autorisations qu’elle délivre ;

— les données relatives aux fichiers qui sont nécessaires pour permettre aux personnes concernées d’exercer les droits prévus par la présente loi.

Sont dispensés de l’inscription au registre national, les fichiers dont le traitement a pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à la consultation du public.

Toutefois, doit figurer audit registre national, l’identité de la personne responsable du traitement aux fins d’exercice par les personnes concernées des droits prévus par la présente loi.

Les conditions et les modalités de la tenue du registre national sont fixées par voie réglementaire.

 

Art. 29. — L’autorité nationale peut fixer par règlements, les conditions et garanties relatives aux droits de la personne concernée dans les domaines inhérents à la liberté d’expression, la santé, l’emploi, la recherche historique, statistique et scientifique, la vidéosurveillance et à l’utilisation des technologies de l’information et de la communication, en coordination avec les secteurs concernés.

 

Art. 30. — L’autorité nationale peut décider de la sécurisation de la transmission notamment par le cryptage, dans le cas où la circulation en réseau des données à caractère personnel, peut comporter un risque pour les droits, les libertés et les garanties des personnes concernées.

 

Art. 31. — Le statut des personnels de l’autorité nationale est fixé par un texte spécial.

 

 

TITRE IV DROITS DE LA PERSONNE CONCERNEE

Chapitre 1er : Du droit à l’information

Art. 32. — Sauf si elle en a déjà eu connaissance, toute personne sollicitée, en vue d’une collecte de ses données à caractère personnel, doit être, préalablement, informée de manière expresse et non équivoque par le responsable du traitement ou son représentant, des éléments suivants :

— l’identité du responsable du traitement et, le cas échéant, de son représentant ;

— les finalités du traitement ;

— toutes informations supplémentaires utiles notamment le destinataire, l’obligation de répondre et ses conséquences ainsi que ses droits et le transfert des données à l’étranger.

Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement ou son représentant doit, avant l’enregistrement des données ou leur communication à un tiers, fournir à la personne concernée les informations visées ci-dessus, sauf si la personne en a déjà eu connaissance.

En cas de collecte de données, en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données à caractère personnel la concernant peuvent circuler sur les réseaux sans garanties de sécurité et qu’elles risquent d’être lues et utilisées, par des tiers non autorisés.

 

Art. 33. — L’obligation d’information prévue à l’article 32 de la présente loi, n’est pas applicable :

a) lorsque l’information de la personne concernée se révèle impossible, notamment en cas de traitement de données à caractère personnel, à des fins statistiques, historiques ou scientifiques. Dans ce cas, le responsable du traitement est tenu d’aviser l’autorité nationale de l’impossibilité d’informer la personne concernée et de lui présenter le motif de cette impossibilité ;

b) si le traitement est édicté par la loi ;

c) si le traitement est effectué à des fins exclusivement journalistiques, artistiques ou littéraires.

 

 

Chapitre 2 : Du droit d’accès

Art. 34. — La personne concernée a le droit d’obtenir du responsable du traitement : — la confirmation que les données personnelles la concernant sont ou ne sont pas traitées, les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ; — la communication, sous une forme intelligible, de ses données qui font l’objet de traitement, ainsi que de toute information disponible sur l’origine des données. Le responsable du traitement peut demander à l’autorité nationale des délais de réponse aux demandes d’accès légitimes et peut s’opposer aux demandes manifestement abusives, notamment, par leur nombre et leur caractère répétitif. La charge de la preuve du caractère manifestement abusif de la demande, incombe au responsable du traitement.

 

 

Chapitre 3 : Du droit de rectification

Art. 35. — La personne concernée, a le droit d’obtenir, à titre gratuit, du responsable du traitement : a) l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles dont le traitement n’est pas conforme à la présente loi, notamment en raison du caractère incomplet ou inexact de ces données ou dont le traitement est interdit par la loi. Le responsable du traitement est tenu de procéder aux rectifications nécessaires sans frais pour le demandeur, dans un délai de dix (10) jours de sa saisine. En cas de refus ou de non réponse dans le délai précité, la personne concernée peut introduire une demande de rectification auprès de l’autorité nationale, laquelle charge l’un de ses membres à l’effet de mener toutes investigations utiles et faire procéder aux rectifications nécessaires, dans les plus brefs délais. La personne concernée est tenue informée des suites réservées à sa demande ; b) la notification aux tiers auxquels les données personnelles ont été communiquées de toute actualisation, toute rectification, tout effacement ou tout verrouillage des données à caractère personnel effectué conformément au point a) ci-dessus, si cela ne s’avère pas impossible. Les héritiers de la personne concernée peuvent utiliser le droit prévu par le présent article.

 

 

Chapitre 4 : Du droit d’opposition

Art. 36. — La personne concernée, a le droit de s’opposer, pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, à ce que, les données la concernant soient utilisées à des fins de prospection, notamment commerciales, par le responsable actuel du traitement ou celui d’un traitement ultérieur. Les dispositions de l’alinéa 1er du présent article ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

 

 

Chapitre 5 : Interdiction de la prospection directe

Art. 37. — Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable.

Toutefois, la prospection directe par courrier électronique est autorisée, si les coordonnées du destinataire ont été recueillies directement auprès de lui conformément aux dispositions de la présente loi, à l’occasion d’une vente ou d’une prestation de services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse, dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé.

Dans tous les cas, il est interdit d’émettre, à des fins de prospection directe, des messages au moyen d’automates d’appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci.

Il est également interdit de dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec le service proposé.

 

 

TITRE V : DES OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

Chapitre 1er : De la confidentialité et de la sécurité du traitement

Art. 38. — Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

 

Art. 39. — Lorsque le traitement est effectué pour le compte du responsable du traitement, il doit choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et doit veiller au respect de ses mesures.

La réalisation de traitement en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n’agit que sous la seule instruction du responsable du traitement et dans le respect des obligations prévues à l’article 38 ci-dessus.

Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures prévues au paragraphe 1er de l’article 38 ci-dessus, sont consignés par écrit ou sous une autre forme équivalente.

 

Art. 40. — Le responsable du traitement ainsi que les personnes qui, dans l’exercice de leurs fonctions, ont eu connaissance de données à caractère personnel, sont tenues au respect du secret professionnel même après avoir cessé d’exercer leurs fonctions, sous peine des sanctions prévues par la législation en vigueur.

 

Art. 41. — Toute personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d’exécution d’une obligation légale.

 

 

Chapitre 2 : Du traitement de données à caractère personnel liées à la certification et à la signature électroniques

Art. 42. — Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l’être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.

 

 

Chapitre 3 : Traitement des données à caractère personnel dans le cadre de communications électroniques

Art. 43. — Lorsque le traitement des données à caractère personnel sur les réseaux de communications électroniques ouverts au public, entraîne la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données, le fournisseur de services avertit, sans délai, l’autorité nationale et la personne concernée lorsque cette violation peut porter atteinte à sa vie privée. La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si l’autorité nationale constate que des mesures de protection appropriées des données ont été mises en œuvre par le fournisseur.

Chaque fournisseur de services tient à jour un inventaire des violations de données à caractère personnel et des mesures prises pour y remédier.

 

 

Chapitre 4 : Du transfert de données vers un pays étranger

Art. 44. — Le responsable d’un traitement ne peut transférer, les données à caractère personnel vers un Etat étranger, que sur autorisation de l’autorité nationale, conformément aux dispositions de la présente loi et que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie par l’autorité nationale notamment, en fonction des dispositions juridiques en vigueur dans cet Etat, des mesures de sécurité qui y sont applicables, des caractéristiques propres du traitement telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées. Il est interdit, dans tous les cas, de communiquer ou de transférer des données à caractère personnel vers un pays étranger, lorsque ce transfert est susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de l’Etat.

 

Art. 45. — Par dérogation aux dispositions de l’article 44 de la présente loi, le responsable d’un traitement, peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues par ledit article :

1° si la personne concernée a consenti expressément à leur transfert ;

2° si le transfert est nécessaire :

a) à la sauvegarde de la vie de cette personne ;

b) à la préservation de l’intérêt public ;

c) au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;

d) à l’exécution d’un contrat entre le responsable du traitement et la personne concernée, ou de mesures précontractuelles prises à la demande de celui-ci ;

e) à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ;

f) à l’exécution d’une mesure d’entraide judiciaire internationale ;

g) à la prévention, au diagnostic ou au traitement d’affections médicales.

3° si le transfert s’effectue en application d’un accord bilatéral ou multilatéral auquel l’Algérie est partie 4° sur autorisation de l’autorité nationale, si le traitement est conforme aux dispositions de l’article 2 de la présente loi.

 

 

TITRE VI : DES DISPOSITIONS ADMINISTRATIVES ET PENALES

Chapitre 1er : Des procédures administratives

Art. 46. — La non observation des dispositions de la présente loi par le responsable du traitement, entraîne la prise à son encontre, de mesures administratives ci-après, par l’autorité nationale : — l’avertissement, — la mise en demeure, — le retrait provisoire pour une durée qui ne peut dépasser une année, ou le retrait définitif du récépissé de déclaration ou de l’autorisation, — l’amende. Les décisions de l’autorité nationale sont susceptibles de recours devant le Conseil d’Etat, conformément à la législation en vigueur.

 

Art. 47. — L’autorité nationale prononce une amende de 500. 000 DA, contre tout responsable de traitement :

— qui refuse, sans motif légitime, les droits d’information, d’accès, de rectification ou d’opposition prévus aux articles 32, 34, 35 et 36 de la présente loi ;

— qui ne procède pas à la notification prévue aux articles 4, 14 et 16 de la présente loi. En cas de récidive, les peines prévues à l’article 64 de la présente loi sont applicables.

 

Art. 48. — Sans préjudice des sanctions pénales édictées par la présente loi et lorsqu’il apparaît, à la suite de la mise en œuvre du traitement objet de la déclaration ou de l’autorisation, que ce traitement porte atteinte à la sécurité nationale ou est contraire à la morale et aux bonnes mœurs, l’autorité nationale peut, sans délai, retirer, selon le cas, le récépissé de la déclaration ou l’autorisation.

 

 

Chapitre 2 : Des règles de procédure

Art. 49. — L’autorité nationale peut procéder aux investigations requises par des constatations dans les locaux et lieux où a eu lieu le traitement à l’exception des locaux d’habitation et peut, pour l’exercice de ses missions, accéder aux données traitées et à toutes informations et documents quel que soit le support. Le secret professionnel ne peut être opposé à l’autorité nationale.

 

Art. 50. — Outre les officiers et les agents de police judiciaire, sont habilités, sous le contrôle du procureur de la République, à procéder à la recherche et à la constatation des infractions prévues par la présente loi, les autres agents de contrôle auxquels l’autorité nationale fait recours.

 

Art. 51. — Les infractions aux dispositions de la présente loi sont constatées par des procès-verbaux. Ces derniers doivent être transmis sans délai, au procureur de la République territorialement compétent.

 

Art. 52. — Le titulaire d’un droit au titre de la présente loi, qui prétend être lésé par son atteinte, peut demander à la juridiction compétente toutes mesures conservatoires tendant à faire cesser cet acte ou à l’octroi d’une réparation.

 

Art. 53. — Les juridictions algériennes sont compétentes pour connaître des infractions prévues par la présente loi, commises hors du territoire de la République, par un algérien, une personne étrangère ayant son domicile en Algérie ou une personne morale de droit algérien. Elles sont également compétentes pour connaître des infractions prévues par la présente loi, conformément aux règles de compétence prévues par l’article 588 du code de procédure pénale.

 

 

Chapitre 3 : Des dispositions pénales

Art. 54. — Sans préjudice des peines plus graves prévues par la législation en vigueur, est punie d’un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, la violation des dispositions de l’article 2 de la présente loi.

 

Art. 55. — Quiconque procède à un traitement de données à caractère personnel, en violation des dispositions de l’article 7 de la présente loi, est puni d’un emprisonnement d’un (1) an à trois (3) ans et d’une amende de 100.000 DA à 300.000 DA. Est puni des mêmes peines quiconque procède à un traitement de données à caractère personnel malgré l’opposition de la personne concernée, lorsque ce traitement répond à des fins notamment, de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.

 

Art. 56. — Est puni d’un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, quiconque procède ou fait procéder à des traitements de données à caractère personnel sans respect des conditions prévues par l’article 12 de la présente loi. Est puni des mêmes peines, toute personne ayant fait de fausses déclarations ou qui a continué son activité de traitement de données malgré le retrait du récépissé de la déclaration ou du retrait de l’autorisation.

 

Art. 57. — Est puni d’un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, quiconque procède, sans le consentement exprès de la personne concernée et hors les cas prévus par la présente loi, aux traitements des données sensibles.

 

Art. 58. — Est puni d’un emprisonnement de six (6) mois à un (1) an et d’une amende de 60.000 DA à 100.000 DA ou de l’une de ces deux peines seulement, quiconque met en œuvre un traitement des données ou utilise celles-ci à des fins autres que celles pour lesquelles elles ont été déclarées ou autorisées.

 

Art. 59. — Est puni d’un emprisonnement d’un (1) an à trois (3) ans et d’une amende de 100.000 DA à 300.000 DA, quiconque collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

 

Art. 60. — Est puni d’un emprisonnement de deux (2) ans à cinq (5) ans et d’une amende de 200.000 DA à 500.000 DA, quiconque laisse accéder des personnes non habilitées aux données à caractère personnel.

 

Art. 61. — Est puni d’un emprisonnement de six (6) mois à (2) ans et d’une amende de 60.000 DA à 200.000 DA ou de l’une de ces deux peines seulement, quiconque entrave l’action de l’autorité nationale : 1° en s’opposant à l’exercice de vérifications sur place ; 2° en refusant de communiquer à ses membres ou aux agents mis à sa disposition, les renseignements et documents utiles à la mission qui leur est confiée par l’autorité nationale ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ; 3° en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée ou qui ne les présentent pas sous une forme directe et intelligible.

 

Art. 62. — Sans préjudice des dispositions pénales dont l’application serait justifiée par la nature des informations en cause, le fait, pour une personne mentionnée aux articles 23 et 27 de la présente loi, de révéler une information protégée au titre de la présente loi, est puni des peines prévues par l’article 301 du code pénal.

 

Art. 63. — Quiconque accède, sans y être habilité, au registre national prévu à l’article 28 de la présente loi, est puni d’un emprisonnement d’un (1) an à trois (3) ans et d’une amende de 100.000 DA à 300.000 DA ou de l’une de ces deux peines seulement.

 

Art. 64. — Est puni d’un emprisonnement de deux (2) mois à deux (2) ans et d’une amende de 20.000 DA à 200.000 DA ou de l’une de ces deux peines seulement, tout responsable de traitement qui refuse, sans motif légitime, les droits d’information, d’accès, de rectification ou d’opposition prévus aux articles 32, 34, 35 et 36 de la présente loi.

 

Art. 65. — Sans préjudice des peines plus graves prévues par la législation en vigueur, toute violation, par le responsable du traitement, des obligations prescrites aux articles 38 et 39 de la présente loi, est punie d’une amende de 200.000 DA à 500.000 DA. Est puni des mêmes peines quiconque conserve des données à caractère personnel au-delà de la durée prévue par la législation en vigueur ou de celle prévue dans la déclaration ou l’autorisation.

 

Art. 66. — Le fait pour un fournisseur de services de ne pas procéder à la notification d’une violation de données à caractère personnel à l’autorité nationale ou à l’intéressé, en méconnaissance des dispositions de l’article 43 de la présente loi, est puni d’un emprisonnement d’un (1) an à trois (3) ans et d’une amende de 100.000 DA à 300.000 DA ou de l’une de ces deux peines seulement.

 

Art. 67. — Est puni d’un emprisonnement d’un (1) an à cinq (5) ans et d’une amende de 500.000 DA à 1.000. 000 DA, quiconque effectue un transfert de données à caractère personnel vers un Etat étranger, en violation des dispositions de l’article 44 de la présente loi

 

Art. 68. — Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté, est puni de six (6) mois à trois (3) ans d’emprisonnement et d’une amende de 60.000 DA à 300.000 DA.

 

Art. 69. — Est puni d’un emprisonnement d’une (1) année à cinq (5) ans et d’une amende de 100.000 à 500.000 DA, tout responsable de traitement, sous-traitant et toute personne qui, en raison de ses fonctions, est chargée de traiter des données à caractère personnel et qui, même par négligence, causent ou facilitent l’usage abusif ou frauduleux des données traitées ou reçues ou les communiquent à des tiers non habilités.

 

Art. 70. — La personne morale qui commet les infractions prévues par la présente loi, est punie conformément aux règles édictées par le code pénal.

 

Art. 71. — Les personnes qui violent les dispositions de la présente loi peuvent encourir les peines complémentaires prévues par le code pénal. L’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être également ordonné. Les membres et les personnels de l’autorité nationale sont habilités à constater l’effacement de ces données.

 

Art. 72. — L’objet de l’infraction est confisqué en vue de sa réaffectation ou de sa destruction dans le respect de la législation en vigueur. Les frais de réaffectation ou de destruction sont à la charge du condamné.

 

Art. 73. — La tentative de l’un des délits prévus par la présente loi est punie des mêmes peines encourues en cas d’infractions consommées.

 

Art. 74. — En cas de récidive, les peines prévues au présent chapitre sont portées au double.

 

 

TITRE VII : DISPOSITIONS TRANSITOIRES ET FINALES

Art. 75. — Sous peine des sanctions prévues à l’article 56 de la présente loi, les personnes effectuant une activité de traitement des données à caractère personnel à la date de la promulgation de la présente loi doivent se conformer aux dispositions de celle-ci dans un délai maximum d’un (1) an à compter de la date d’installation de l’autorité nationale.