alexametrics
jeudi 28 mars 2024
Heure de Tunis : 15:25
A la Une
Interview de Chawki Gaddes : La non-protection des données personnelles coûte énormément à la Tunisie
04/09/2015 | 20:00
10 min
Interview de Chawki Gaddes : La non-protection des données personnelles coûte énormément à la Tunisie

 

Chawki Gaddes, président de l'Instance nationale de protection des données personnelles, nous a reçus dans son bureau à rue Mohamed Moalla (Mutuelleville), mercredi 2 septembre 2015. Il a abordé la question de la protection des données personnelles et ses implications. Une loi méconnue des Tunisiens qui sera appliquée à partir du 1er octobre 2015 et qui risque de créer un véritable choc. Interview…

 

Que veut dire protection des données personnelles ? En quoi ça consiste et quelle est le rôle de l’instance ?

Voilà comment se pose la problématique. On sait très bien que l’être humain a besoin d’avoir une vie privée protégée, dans un espace qui lui est réservé et protégé des intrusions des tiers. Il faut que la personne soit d’accord pour qu’on s’immisce dans sa vie privée, qu’on prenne les informations qui le concerne, ce qu’on appelle les données personnelles, et qu’on en fasse ce qu’on s’est entendu à faire, et surtout que cela ne se fasse pas à son insu. C’est pour cela que la protection de la vie privée, a été consacrée dans la Constitution, dans l’article 24 ("L’Etat protège la vie privée des individus (…) et les données personnelles" : donc c’est une obligation constitutionnelle.

 

Mais qu’est-ce qu’une donnée personnelle ?

La donnée personnelle d’après la loi qui la définit, la loi organique N°63 de juillet 2004, c’est toute information qui permet d’identifier une personne : nom et prénom ainsi que tout identifiant (numéro CIN, numéro de plaque minéralogique d’une voiture, numéro de téléphone, l’adresse, l’empreinte digitale, l’empreinte rétinienne, le code génétique, numéro de la carte de crédit, numéro d’un compte bancaire, etc.). C'est-à-dire que : toute donnée qui permet d’établir un lien entre une donnée et une personne, est une donnée personnelle.

 

Les gens comprennent très mal de quoi il s’agit, dans le sens où ils croient que ça veut dire interdire le traitement des données et leur utilisation. En fait, on peut utiliser ces données en respectant la personne. C’est la dignité humaine qui est en question : d’être traité comme une personne et non pas comme un objet. Donc, on doit respecter certaines règles, qui se trouvent dans la loi de 2004.

 

Il y a deux catégories de données : le régime général qui englobe tout traitement de données et une catégorie spéciale qu’on appelle les données sensibles. Ce sont des données qui, de par la loi, sont interdites de traitement sauf exception, via une demande d’autorisation qui doit être soumise à l’instance (notamment en ce qui concerne la vidéo surveillance et le transfert de données). Il s’agit des données relatives à la santé, l'origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicales, les appartenances, les infractions, les poursuites pénales, les peines ainsi que celles relatives à la vie sexuelle de la personne, etc.

 

Le rôle de l’instance est de veiller à ce que tous les intervenants dans la société, quels qu’ils soient, soient tenus de respecter les normes de traitement en ce qui concerne les données personnelles. Tout traitement d’une donnée personnelle doit passer par une déclaration auprès de l’instance, autrement, il est illégal. Ceux qui ne font pas la déclaration risquent des sanctions pénales. La déclaration est simple il suffit de remplir un formulaire et de le déposer auprès de l’instance, passé un mois, s’il n’y a pas de réponse de l’instance, le dépositaire est autorisé à faire son travail.

 

La déclaration est faite pour que l’instance sache que la partie, l’ayant déposée, collecte et traite des données personnelles, pour qu’elle puisse opérer les contrôles nécessaires en vue de  vérifier que la loi est respectée.

 

Ce n’est pas trop vaste, étant donné que les données personnelles sont traitées par tout le monde à tout instant ?

 

C’est trop vaste. Oui, les données sont traitées sans aucune limite, sans aucun contrôle et sans aucun respect des règles. Et c’est là où résident le grand problème et la grande peur. S’il n’y a pas de contrôle, vous imaginez ce qu’on peut faire : on peut vendre les données, on peut les transférer, les modifier, on peut faire des systèmes de prise de décisions automatiques sur la base de données personnelles.

 

Cela concerne, donc, les médias et les instituts sondages ?

 

Les structures de sondage doivent faire leurs déclarations et si elles travaillent sur des données sensibles, il faut qu’elles fassent une demande d’autorisation. Les médias ont une situation bien particulière : ils communiquent des informations sur des personnes publiques, qui ne sont pas des personnes normales et leur vie publique n’est pas un secret. La divulgation de données par les médias est soumise au Code de la presse.

 

Et concernant les réseaux sociaux ?

 

Facebook, Twitter et les réseaux sociaux d’une manière générale, sont un espace délocalisé. Ils sont utilisés en Tunisie mais matériellement parlant, ils ne sont pas ici. L’instance n’a aucune autorité sur eux et elle est juridiquement incompétente. Si une personne porte atteinte à la vie privée d’une autre personne en usant d’un espace sur les réseaux sociaux, où il a un nombre important de contacts, c’est assimilable à la presse et donc soumis au Code de la presse et aux règles déontologiques du journalisme.

 

Les Tunisiens doivent être conscients que les données qu’ils publient sur les réseaux sociaux sont divulguées et qu’ils peuvent en subir des dommages très importants. Des opérations de sensibilisations, au premier niveau d’éducation dès l’enseignement de base, pour protéger les enfants et leurs données personnelles, sont nécessaires.

 

Pourquoi est-il important aujourd’hui en Tunisie de protéger les données personnelles ?

 

Cette préoccupation ne date pas d’aujourd’hui. La Tunisie a été le 32ème Etat dans le monde à constitutionnaliser la protection des données personnelles, depuis la révision constitutionnelle de 2002. Le hic, c’est que jusqu’à 2015, les Tunisiens ne savent pas encore ce que veut dire données personnelles. Ce qui prouve que cet amendement a été fait dans le but de redorer l’image de la Tunisie.

 

Au niveau international, la Tunisie doit se placer dans le cadre d’un pays protecteur des données, de la vie et des droits de l’Homme d’une manière générale. La Tunisie doit donner l’image à l’extérieur, d’un espace de confiance pour les vis-à-vis internationaux : Etats et investisseurs. Légalement, certains investisseurs ne peuvent investir en Tunisie que s’il y a protection des données personnelles. C’est le cas de l’espace européen qui interdit à ses ressortissants de transférer pour traitement, des données personnelles vers des pays qui n’ont pas une «protection adéquate». Cela concerne notamment l’offshoring et le projet Smart Tunisia, et toute société qui travaille sur des données qui viennent de l’étranger.

 

La Tunisie est classée dans l’Union européenne comme un Etat qui ne protège pas suffisamment les données personnelles. Malgré notre texte, notre instance et tout ce qu’on a fait, les Européens considèrent que la loi sur les données personnelles est juste un texte, sans aucun effet, vu que depuis 2002, aucune sanction n’a été prise contre une personne qui n’a pas protégé les données personnelles dans le pays.

 

Donc, l’application de cette loi permettra de ramener des investissements. Selon les estimations du ministère Technologies de l’information et de la communication et de l'Economie numérique sur l’offshoring, la délocalisation des traitements des données en Tunisie permettra d’ici 2020 la création de 50.000 emplois pour les diplômés du supérieur, et de capter pour les 5 années avenir, 2.000 milliards de dinars tunisiens d’entrée en devises (des chiffres officiels présentés il y a quelques jours en conseil des ministres). C’est ce que gagnera la Tunisie sur le plan international.

 

Je suis arrivée le 5 mai 2015. A partir du 20 mai, on a commencé la procédure, avec le soutien du ministre de la Justice, pour l’adhésion de la Tunisie à la convention 108 du Conseil de l’Europe et une demande à cet effet a été déposée. Nous sommes en train de préparer la révision du texte pour qu’il soit conforme aux normes.

 

Sur le plan interne, l’objectif final est de créer un espace de confiance, pour que la personne soit rassurée sur la protection de sa vie privée. En effet, toute personne utilisant une donnée personnelle doit avoir le consentement et l’autorisation préalable du concerné pour tout traitement ou toute action, sinon elle est dans l’illégalité. La finalité c’est le terme clé. Et dès que la finalité est atteinte, les données doivent être supprimées ou les rendre anonymes.

 

Ainsi, la personne doit être informée qu’on traite ses données personnelles, elle doit donner son consentement, elle a le droit de s’opposer à tout moment et elle a le droit d’accéder à ces informations. Il y a certaines données auxquelles on ne peut pas accéder.

 

Les données personnelles sont un bien, qui a un coût et un prix, il va falloir réguler le marché des données personnelles. Par exemple, les agences et opérateurs qui font des compagnes de mailing et de SMS sont en pleine illégalité et sont passibles de prison. Car, on ne peut pas avoir l’information que par la personne concernée.

 

La loi sur les données personnelle doit être réformée pour être conforme à la convention 108 du Conseil de l’Europe. Quels sont les lacunes et les amendements à faire ?

 

Les lacunes concernent la définition des données sensibles qui doit inclure la protection de la vie sexuelle de l’individu. Dans la loi tunisienne, l’accès indirect aux données personnelles, relatif aux données de santé ou de sécurité par exemple que la personne elle-même ne peut pas consulter mais peut envoyer à l’instance ou un tierce expert les vérifier pour elle. La loi tunisienne a soustrait, dans les articles 53 à 60, des obligations relatives aux données personnelles de toutes les personnes publiques : donc il faudra soumettre toutes les structures publiques à ces obligations, sauf celles qui ont une mission de sécurité nationale qui seront une exception avec un régime spéciale et accès indirect de l’instance.

 

Enfin, il faudrait donner son indépendance à l’instance, car actuellement elle est sous la tutelle du ministère de la Justice. Et donc, se basant sur les normes internationales, il faut que l’instance de contrôle soit une autorité indépendante et qui ne dépend d’aucune structure administrative ou politique pour qu’elle ne subisse aucune pression. Cela va introduire dans le paysage tunisien une nouvelle catégorie qui n’existait pas : les autorités administratives indépendantes.  Des autorités publiques qui ont un rôle de contrôle et de régulation et qui ne dépendent d’aucune autorité politique (ministère, présidence de la République ou Assemblée des représentants du peuple). Une instance qui a le pouvoir de réglementation, de sanctionner sans recourir à la justice (étant une juridiction de premier degré).

 

Ses réformes sont prévues pour quand ?

 

Le texte sera prêt vers fin décembre 2015. Mais, le ministre des Technologies de l’Information et de la Communication et de l'Economie numérique, Noômen Fehri, le demande pour bien avant. Donc d’ici la fin de l’année, le projet de loi sera soumis à l’ARP pour adoption.

 

Que risquent les Tunisiens qui ne se conforment pas à la loi ?

 

De 200 à 300 faxes ont été envoyés avec une lettre de relance demandant à des entreprises et structures de se conformer à la loi, avec un délai allant jusqu’au 30 septembre: agences de voyages, grandes surfaces, hôpitaux, cliniques, etc. Après cette date-là ceux qui ne se sont pas conformés, verront leurs dossiers transférés au procureur de la République. Ils risquent des peines de prison, allant d’1 mois, pour une diffusion intentionnelle des données d'une manière qui nuit, à 5 ans de prison pour tentative ou communication ou transfert des données vers l’étranger portant atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie). Il y aura également les amendes allant de 1.000 à 50.000 dinars.

 

Je suis quelqu’un qui a toujours œuvré dans la société civile. J’enseigne les droits de l’Homme. C’est quelque chose pour laquelle je suis très sensible. Les sanctions privatives des libertés et mettre les gens en prison : c’est quelque chose qui doit être réservée à des situations très graves. Je suis pour enlever dans le nouveau texte toute peine privant les libertés, et de les remplacer par des sanctions pécuniaires représentant un pourcentage du chiffre d’affaire ou des revenus.

 

Mon soutien ce n’est pas le gouvernement, c’est la société civile et les médias : nous devons travailler ensemble. Le but étant, de sensibiliser, de vulgariser et expliquer ces notions que les gens ne comprennent pas.

 

Imen Nouira

04/09/2015 | 20:00
10 min
sur le fil
Tous les Articles
Suivez-nous

Commentaires (11)

Commenter

A_Zut !
| 06-09-2015 21:47
Intéressante et instructive, cette interview appelle ces quelques commentaires qu'on espère voir enrichis d'autres contributions, notamment de la part des juristes, des responsables d'entreprises concernées et des informaticiens:
Voilà donc:
_ une loi mal connue puisque, lit-on, «les gens comprennent très mal de quoi il s'agit, (') ils croient [qu'elle vise à] interdire le traitement des données personnelles et leur utilisation. (Et que) jusqu'à 2015, les tunisiens ne savent pas encore ce que veut dire données personnelles»;
_ une loi considérée lacunaire et non conforme aux normes et dont le texte de la révision, engagée en conséquence, «sera prêt vers fin décembre 2015.»

Et pourtant l'on compte (quitte à mettre en prison et à l'amende divers opérateurs économiques se débattant encore dans un vrai bourbier et non imbus de cette loi pratiquement inconnue) l'appliquer fermement à compter du 1er Septembre 2015, après un mailing de mise en garde par fax d'une population de 200 à 300 destinataires dont il est loin d'être sûr qu'ils constituent toute la population des assujettis, ni que ceux non touchés par ce mailing auront le temps de se préparer à cette échéance de fin septembre !

Tout cela parce que les européens nous font miroiter des rentrées en devises qui feraient rêver le père Noël en personne et un chiffre de création d'emplois qui nous rappelle ceux d'une certaine campagne électorale!

Ne serait-il pas plus réaliste et judicieux (évitant de sur-éprouver des acteurs techniquement et organisationnellement mal avertis en la matière, mal encadrés et probablement encore mal préparés avec tout ce qui a été subi au cours de ces dernières années) de saisir l'occasion de la révision de la loi pour y insérer des dispositions transitoires donnant un moratoire de trois à six mois à compter de l'entrée en vigueur du texte de l'amendement, afin de permettre à ces tunisiens qui, concernés par l'application de la loi, «comprennent très mal de quoi il s'agit» et «ne savent pas encore ce que veut dire données personnelles», de faire le nécessaire pour régulariser leur situation ? Car il ne s'agit pas d'une affaire de simple déclaration mais de l'assimilation d'un véritable système d'information approprié et de la mise en place de toute une infrastructure qui impactent l'organisation et les procédures de travail. Est-on sûr que l'on ne risque pas, autrement, de destabiliser ne serait-ce que des petites moyennes et entreprises, voire de «jeunes pousses» (start-up) ? Pourquoi les exposerait-on si brutalement à un véritable péril ?

Un tel moratoire engagerait tout le monde vers l'objectif de conformation à la loi (tout comme le Gouvernement a engagé la révision de la loi pour sa conformation aux normes). Il permettrait l'organisation d'une campagne de vulgarisation et de sensibilisation qui, au vu de ce que nous apprend l'interview, s'avère d'une impérieuse nécessité.

Il est utile, pour terminer, de signaler que les régimes de déclaration et d'autorisation, différenciés par la loi, se sont trouvés, dans un décret d'application, fusionnés au niveau du contenu de la déclaration et de la demande d'autorisation.

Par ailleurs, certains responsables de traitement des données (par exemple, dans une agence d'intérim, une agence de présélection de personnels'), malgré un régime déclaratif sensé être moins contraignant, risquent de se trouver dans des situations inextricables: par exemple parce que la liste (requise) des personnes dont les données doivent être traitées est hautement dynamique (elle se constitue et se modifie jour après jour); ou que les bénéficiaires des données ne peuvent pas être connus au moment de la déclaration (les recruteurs potentiels ne sont pas encore connus). Faudrait-il qu'ils deviennent des déclarants quotidiens ?

Tout cela pour dire qu'il y a un grand travail de clarification, voire d'assistance et d'accompagnement qui, aujourd'hui encore, reste à faire. Et qui sollicite des efforts conjugués.

Mohamed Obey
| 05-09-2015 10:16
Merci à Mme/Mlle Imen Nouira pour les détails relatifs aux données personnels. Le public tunisien est dans le besoin de se faire éduquer. Moi-même, je sens la nécessité d'éduquer mes deux enfants en les impliquant dans des sujets aussi techniques e que cela.

mercedes
| 05-09-2015 09:46
Ce qu'on a comme administrations !!! organisations !!! comités !!! bidules !!! bon dieu

HELA
| 05-09-2015 09:20
l'affaire des russes qui ont monnayés des employés municipaux à Tunis, et ils "russes" ont prient accès à tous les données personnel de tous les TUNISIENS !

qu'avez vous fait ya Monsieur droit de l'homme ?

a3lina mouche a3likom

CHDOULA
| 05-09-2015 08:18
Il faut de tout pour faire un monde mais chez nous la priorité c'est la protection physique des personnes , le redressement de l'économie , la propreté environnementale , le combat contre l'incivisme ,l'ignorance, la misère , la corruption , les inégalités, le terrorisme etc... la Tunisie est mal fréquentée , elle est sale , fatiguée , malmenée , la Tunisie souffre malgré elle , elle est à genoux et elle supplie qu'on la laisse tranquille !!!!!!!

LIBRESPRIT
| 05-09-2015 08:12
Pourquoi alors LA JUSTICE ?
Dans cet ESPRIT:"Tout un chacun va avoir sa Justice" !
QUEL CAHOS !!!
Quelle Innovation !!!?

Mounir
| 05-09-2015 02:40
50 000 emplois seront crées à partir de ces déclarations?
L'open data, oui, mettre en ligne et a disposition des citoyens, chercheurs et sociétés des données tels que les routes, les parcs, les hôpitaux, les statistiques des activités des ministères par secteurs!
Mais créer 50 000 emploi a partir de données personnels donc MES INFORMATIONS a moi, je crois que ce type divague et devrait arrêter de fumer des substances hallucinogène! Surtout quand il dit que cela coute chère à la Tunisie! Du grand n'importe quoi heureusement que j'ai eu mon diplôme de jardin d'enfants spécialité "détecteur d'ânerie"!

En gros carrefour, monoprix, tunisie telecom, ooredoo, orange, les ministères qui ont des formulaires au citoyens (tel par exemple celui de l'enseignement supérieur, ou de l'éducation), les petites sociétés qui ont une liste de clients dans leur base de données, sont tous hors la loi?

La seul chose qui serait utile, c'est qu'on protège mon numéro de téléphone et qu'on arrête de me harceler avec des messages publicitaires et promotionnels! sinon je vois pas trop à quoi il sers!

R.T.
| 04-09-2015 22:54
c'est dans l'intérêt de tous de bien comprendre ce que ce cadre veut dire.Il vaut mieux l'écouter puis trancher avec lui sur ce qui doit se faire pour le bien de tout le monde.

DHEJ
| 04-09-2015 21:20
Des formulaires qui ne tirent que sur les données personnels:


On demande meme le relevé du compte bancaire...

Fadi
| 04-09-2015 20:56
Commence par soi-même.
Amen.