Dans un communiqué publié dimanche dernier, l’Autorité nationale de protection des données à caractère personnel (ANPDP) a porté à la connaissance de l’ensemble des acteurs concernés par le traitement des données personnelles dans le cadre de la prestation de services — qu’il s’agisse d’administrations, d’établissements publics, de personnes morales de droit privé (entreprises, organisations, associations), ou de personnes physiques exerçant une activité professionnelle ou commerciale impliquant le traitement de données personnelles — les principaux amendements introduits dans la législation en vigueur.
L’ANPDP précise que ces modifications concernent la loi n°18-07 du 10 juin 2018 relative à la protection des personnes physiques en matière de traitement des données à caractère personnel, modifiée et complétée par la loi n°25-11 du 24 juillet 2025. L’un des amendements majeurs concerne la désignation d’un «représentant habilité» du responsable du traitement. À cet effet, un nouveau poste a été instauré : celui de Délégué à la protection des données à caractère personnel (DPO), dont les missions principales sont définies à l’article 41 bis de ladite loi.
Dans ce contexte, l’Autorité rappelle l’obligation pour tout responsable du traitement de désigner un DPO, choisi en fonction de ses compétences professionnelles, notamment ses connaissances spécialisées en droit et en pratiques liées à la protection des données personnelles. Il est également requis de transmettre à l’ANPDP les informations permettant de contacter ce délégué : nom complet, coordonnées, entité de rattachement, etc.
Par ailleurs, l’article 43 de la loi impose la tenue d’un registre actualisé des violations liées aux données personnelles. À cela s’ajoutent les nouvelles exigences des articles 41 bis 2 et 41 bis 3, qui stipulent que le responsable du traitement et le sous-traitant doivent tenir un registre des activités de traitement (au format papier ou électronique), ainsi qu’un carnet automatisé de traitement des données à caractère personnel. Ces registres doivent être mis à la disposition de l’ANPDP sur simple demande.
L’amendement introduit également de nouvelles obligations à l’égard des autorités compétentes effectuant des traitements de données personnelles à des fins de prévention, de détection des crimes, d’enquêtes, de poursuites pénales ou d’exécution des peines.
De plus, l’article 27 bis dispose que l’ANPDP est désormais dotée de pôles régionaux chargés des missions de contrôle et d’audit auprès des institutions publiques et privées traitant des données à caractère personnel.
Enfin, le communiqué souligne que le non-respect de ces obligations constitue une violation de la loi et expose le responsable du traitement à des mesures de contrôle et à des mises en demeure, conformément aux prérogatives conférées à l’ANPDP.
M. Khadidja
