La loi n° 124/2024 « Sur la protection des données personnelles » a été proclamée par décret du Président de la République d’Albanie le 15 janvier 2025 et publiée dans le Journal officiel. Cette loi établit les règles relatives au traitement et à la protection des données personnelles en Albanie et est harmonisée avec le Règlement général sur la protection des données (RGPD) de l’Union européenne.
Le traitement des données personnelles inclut toute action ou série d’actions effectuées sur des données personnelles, qu’elles soient réalisées par des moyens automatisés ou non. Ces actions peuvent inclure la collecte, l’enregistrement, l’organisation, la structuration, le stockage, la modification, la récupération, la consultation, l’utilisation, la diffusion, la mise à disposition, la liaison, la combinaison, la limitation, la suppression ou la destruction des données.
Cette loi s’applique lorsque les données personnelles sont traitées entièrement ou partiellement par des moyens automatisés, ainsi que pour le traitement des données personnelles qui font ou visent à faire partie d’un système de classement, même si le traitement n’est pas effectué par des moyens automatisés. De plus, le champ d’application de la loi ne se limite pas au territoire de l’Albanie, mais s’étend également aux opérateurs étrangers qui traitent les données personnelles de sujets albanais.
Le consentement pour le traitement des données personnelles doit être donné librement, de manière informée et claire, exprimé par une déclaration ou toute autre manifestation non équivoque de la volonté. Les sujets ont le droit de retirer leur consentement à tout moment. Pour les mineurs de moins de 16 ans, le consentement doit être donné avec l’approbation des parents ou des tuteurs légaux. Le responsable du traitement doit être en mesure de prouver que le sujet a donné son consentement pour le traitement de ses données.
Le traitement des données personnelles doit être licite, transparent et équitable. Les données ne doivent pas être collectées au-delà de ce qui est nécessaire et doivent être conservées uniquement pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles sont traitées. Les mesures techniques et organisationnelles doivent garantir l’intégrité et la confidentialité des données.
Le responsable du traitement ou le sous-traitant est obligé de mettre les données à la disposition du Commissaire à la protection des données personnelles, sur demande.
Les sociétés commerciales ou organisations comptant moins de 250 employés sont exemptées de l’obligation de documenter les données, sauf dans les cas suivants :
- Le traitement peut présenter un risque pour les droits et libertés des sujets.
- Le traitement n’est pas occasionnel.
- Le traitement inclut des données sensibles ou des données criminelles.
Toute violation de la sécurité, pouvant mettre en danger les données personnelles, doit être signalée aux autorités compétentes dans les 72 heures.
Le Commissaire à la protection des données personnelles surveille et applique la loi, examine les plaintes et prend des mesures administratives en cas de violations.
Cette nouvelle loi abroge la loi et les actes précédemment en vigueur, établissant un cadre juridique plus proche de celui de l’Union européenne.
