L'entreprise face à ses nouvelles responsabilités

Cette loi induit un changement de paradigme dans la protection des données personnelles et un profond changement dans leur organisation.Une année après la promulgation de la loi, l'autorité nationale de protection des données à caractère personnel n'est pas encore installée. C'est ce qu'ont relevé, hier, les participants à la 7e édition de "l'African Cyber Security Summit", organisée au Centre international des conférences Abdelatif-Rahal, à Alger. La loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel, promulguée le 10 juin 2018, a prévu la création, auprès du président de la République, d'une autorité nationale de protection des données à caractère personnel.
L'autorité nationale est chargée de veiller à ce que le traitement des données à caractère personnel soit mis en ?uvre et de s'assurer que l'utilisation des technologies de l'information et de la communication ne comporte pas de menace au regard des droits des personnes, des libertés publiques et de la vie privée. À ce titre, elle a pour missions, entre autres, de délivrer les autorisations, de recevoir les déclarations relatives au traitement des données à caractère personnel, de recevoir les réclamations, les recours et les plaintes relatifs à la mise en ?uvre des traitements des données à caractère personnel et d'informer leurs auteurs des suites qui leur sont réservées.
Les personnes effectuant une activité de traitement des données à caractère personnel à la date de la promulgation de la loi doivent se conformer aux dispositions de celle-ci dans un délai maximum d'un an à compter de la date d'installation de l'autorité nationale. Pour les entreprises, cette loi induit un changement de paradigme dans la protection des données personnelles et induit un profond changement dans leur organisation, où la protection des données personnelles devra désormais faire partie intégrante de leur stratégie. Les entreprises de toutes tailles, administrations et collectivités, qui traitent des données à caractère personnel sont concernées. Le texte souligne l'importance d'apprécier et de traiter les risques sur les personnes.
Elle exige notamment des entités concernées la mise en ?uvre de "mesures techniques ou organisationnelles appropriées", qui peuvent notamment inclure le "chiffrement des données", la lutte contre la fuite de données, la sauvegarde ou encore la protection contre l'accès illicite et des "moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience". Cependant, l'autorité prévue par la loi n'est, à ce jour, pas installée. Selon Mehdi Zakaria, président d'African Cyber Security Summit, techniquement, les entreprises ne peuvent pas se mettre en conformité avec la loi.
Pour maître Hind Benmiloud, juridiquement, les entreprises sont tenues de s'y conformer. "Même en l'absence d'une autorité nationale, vous avez les règles de droit général qui sont là pour pallier ce vide", a-t-elle soutenu, citant certains articles de la loi qui aujourd'hui est en vigueur. Rabah Hachichi, spécialiste en cybersécurité et data protection à BNP Paribas El Djazaïr, estime, pour sa part, que la mise en conformité, telle qu'elle est édictée par la loi, n'est pas simple. "Ce n'est pas un projet de quelques semaines, mais un programme qui peut s'étaler sur plusieurs exercices", a-t-il indiqué, évoquant un grand travail qui attend l'autorité nationale de protection des données à caractère personnel qui, malheureusement, n'est pas encore installée.

Meziane Rabhi