Interview de Chawki Gaddes : La non-protection des données personnelles coûte énormément à la Tunisie
Chawki Gaddes, président de l'Instance nationale de protection des données personnelles, nous a reçus dans son bureau à rue Mohamed Moalla (Mutuelleville), mercredi 2 septembre 2015. Il a abordé la question de la protection des données personnelles et ses implications. Une loi méconnue des Tunisiens qui sera appliquée à partir du 1er octobre 2015 et qui risque de créer un véritable choc. Interview…
Que veut dire protection des données personnelles ? En quoi ça consiste et quelle est le rôle de l’instance ?
Voilà comment se pose la problématique. On sait très bien que l’être humain a besoin d’avoir une vie privée protégée, dans un espace qui lui est réservé et protégé des intrusions des tiers. Il faut que la personne soit d’accord pour qu’on s’immisce dans sa vie privée, qu’on prenne les informations qui le concerne, ce qu’on appelle les données personnelles, et qu’on en fasse ce qu’on s’est entendu à faire, et surtout que cela ne se fasse pas à son insu. C’est pour cela que la protection de la vie privée, a été consacrée dans la Constitution, dans l’article 24 ("L’Etat protège la vie privée des individus (…) et les données personnelles" : donc c’est une obligation constitutionnelle.
Mais qu’est-ce qu’une donnée personnelle ?
La donnée personnelle d’après la loi qui la définit, la loi organique N°63 de juillet 2004, c’est toute information qui permet d’identifier une personne : nom et prénom ainsi que tout identifiant (numéro CIN, numéro de plaque minéralogique d’une voiture, numéro de téléphone, l’adresse, l’empreinte digitale, l’empreinte rétinienne, le code génétique, numéro de la carte de crédit, numéro d’un compte bancaire, etc.). C'est-à-dire que : toute donnée qui permet d’établir un lien entre une donnée et une personne, est une donnée personnelle.
Les gens comprennent très mal de quoi il s’agit, dans le sens où ils croient que ça veut dire interdire le traitement des données et leur utilisation. En fait, on peut utiliser ces données en respectant la personne. C’est la dignité humaine qui est en question : d’être traité comme une personne et non pas comme un objet. Donc, on doit respecter certaines règles, qui se trouvent dans la loi de 2004.
Il y a deux catégories de données : le régime général qui englobe tout traitement de données et une catégorie spéciale qu’on appelle les données sensibles. Ce sont des données qui, de par la loi, sont interdites de traitement sauf exception, via une demande d’autorisation qui doit être soumise à l’instance (notamment en ce qui concerne la vidéo surveillance et le transfert de données). Il s’agit des données relatives à la santé, l'origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicales, les appartenances, les infractions, les poursuites pénales, les peines ainsi que celles relatives à la vie sexuelle de la personne, etc.
Le rôle de l’instance est de veiller à ce que tous les intervenants dans la société, quels qu’ils soient, soient tenus de respecter les normes de traitement en ce qui concerne les données personnelles. Tout traitement d’une donnée personnelle doit passer par une déclaration auprès de l’instance, autrement, il est illégal. Ceux qui ne font pas la déclaration risquent des sanctions pénales. La déclaration est simple il suffit de remplir un formulaire et de le déposer auprès de l’instance, passé un mois, s’il n’y a pas de réponse de l’instance, le dépositaire est autorisé à faire son travail.
La déclaration est faite pour que l’instance sache que la partie, l’ayant déposée, collecte et traite des données personnelles, pour qu’elle puisse opérer les contrôles nécessaires en vue de vérifier que la loi est respectée.
Ce n’est pas trop vaste, étant donné que les données personnelles sont traitées par tout le monde à tout instant ?
C’est trop vaste. Oui, les données sont traitées sans aucune limite, sans aucun contrôle et sans aucun respect des règles. Et c’est là où résident le grand problème et la grande peur. S’il n’y a pas de contrôle, vous imaginez ce qu’on peut faire : on peut vendre les données, on peut les transférer, les modifier, on peut faire des systèmes de prise de décisions automatiques sur la base de données personnelles.
Cela concerne, donc, les médias et les instituts sondages ?
Les structures de sondage doivent faire leurs déclarations et si elles travaillent sur des données sensibles, il faut qu’elles fassent une demande d’autorisation. Les médias ont une situation bien particulière : ils communiquent des informations sur des personnes publiques, qui ne sont pas des personnes normales et leur vie publique n’est pas un secret. La divulgation de données par les médias est soumise au Code de la presse.
Et concernant les réseaux sociaux ?
Facebook, Twitter et les réseaux sociaux d’une manière générale, sont un espace délocalisé. Ils sont utilisés en Tunisie mais matériellement parlant, ils ne sont pas ici. L’instance n’a aucune autorité sur eux et elle est juridiquement incompétente. Si une personne porte atteinte à la vie privée d’une autre personne en usant d’un espace sur les réseaux sociaux, où il a un nombre important de contacts, c’est assimilable à la presse et donc soumis au Code de la presse et aux règles déontologiques du journalisme.
Les Tunisiens doivent être conscients que les données qu’ils publient sur les réseaux sociaux sont divulguées et qu’ils peuvent en subir des dommages très importants. Des opérations de sensibilisations, au premier niveau d’éducation dès l’enseignement de base, pour protéger les enfants et leurs données personnelles, sont nécessaires.
Pourquoi est-il important aujourd’hui en Tunisie de protéger les données personnelles ?
Cette préoccupation ne date pas d’aujourd’hui. La Tunisie a été le 32ème Etat dans le monde à constitutionnaliser la protection des données personnelles, depuis la révision constitutionnelle de 2002. Le hic, c’est que jusqu’à 2015, les Tunisiens ne savent pas encore ce que veut dire données personnelles. Ce qui prouve que cet amendement a été fait dans le but de redorer l’image de la Tunisie.
Au niveau international, la Tunisie doit se placer dans le cadre d’un pays protecteur des données, de la vie et des droits de l’Homme d’une manière générale. La Tunisie doit donner l’image à l’extérieur, d’un espace de confiance pour les vis-à-vis internationaux : Etats et investisseurs. Légalement, certains investisseurs ne peuvent investir en Tunisie que s’il y a protection des données personnelles. C’est le cas de l’espace européen qui interdit à ses ressortissants de transférer pour traitement, des données personnelles vers des pays qui n’ont pas une «protection adéquate». Cela concerne notamment l’offshoring et le projet Smart Tunisia, et toute société qui travaille sur des données qui viennent de l’étranger.
La Tunisie est classée dans l’Union européenne comme un Etat qui ne protège pas suffisamment les données personnelles. Malgré notre texte, notre instance et tout ce qu’on a fait, les Européens considèrent que la loi sur les données personnelles est juste un texte, sans aucun effet, vu que depuis 2002, aucune sanction n’a été prise contre une personne qui n’a pas protégé les données personnelles dans le pays.
Donc, l’application de cette loi permettra de ramener des investissements. Selon les estimations du ministère Technologies de l’information et de la communication et de l'Economie numérique sur l’offshoring, la délocalisation des traitements des données en Tunisie permettra d’ici 2020 la création de 50.000 emplois pour les diplômés du supérieur, et de capter pour les 5 années avenir, 2.000 milliards de dinars tunisiens d’entrée en devises (des chiffres officiels présentés il y a quelques jours en conseil des ministres). C’est ce que gagnera la Tunisie sur le plan international.
Je suis arrivée le 5 mai 2015. A partir du 20 mai, on a commencé la procédure, avec le soutien du ministre de la Justice, pour l’adhésion de la Tunisie à la convention 108 du Conseil de l’Europe et une demande à cet effet a été déposée. Nous sommes en train de préparer la révision du texte pour qu’il soit conforme aux normes.
Sur le plan interne, l’objectif final est de créer un espace de confiance, pour que la personne soit rassurée sur la protection de sa vie privée. En effet, toute personne utilisant une donnée personnelle doit avoir le consentement et l’autorisation préalable du concerné pour tout traitement ou toute action, sinon elle est dans l’illégalité. La finalité c’est le terme clé. Et dès que la finalité est atteinte, les données doivent être supprimées ou les rendre anonymes.
Ainsi, la personne doit être informée qu’on traite ses données personnelles, elle doit donner son consentement, elle a le droit de s’opposer à tout moment et elle a le droit d’accéder à ces informations. Il y a certaines données auxquelles on ne peut pas accéder.
Les données personnelles sont un bien, qui a un coût et un prix, il va falloir réguler le marché des données personnelles. Par exemple, les agences et opérateurs qui font des compagnes de mailing et de SMS sont en pleine illégalité et sont passibles de prison. Car, on ne peut pas avoir l’information que par la personne concernée.
La loi sur les données personnelle doit être réformée pour être conforme à la convention 108 du Conseil de l’Europe. Quels sont les lacunes et les amendements à faire ?
Les lacunes concernent la définition des données sensibles qui doit inclure la protection de la vie sexuelle de l’individu. Dans la loi tunisienne, l’accès indirect aux données personnelles, relatif aux données de santé ou de sécurité par exemple que la personne elle-même ne peut pas consulter mais peut envoyer à l’instance ou un tierce expert les vérifier pour elle. La loi tunisienne a soustrait, dans les articles 53 à 60, des obligations relatives aux données personnelles de toutes les personnes publiques : donc il faudra soumettre toutes les structures publiques à ces obligations, sauf celles qui ont une mission de sécurité nationale qui seront une exception avec un régime spéciale et accès indirect de l’instance.
Enfin, il faudrait donner son indépendance à l’instance, car actuellement elle est sous la tutelle du ministère de la Justice. Et donc, se basant sur les normes internationales, il faut que l’instance de contrôle soit une autorité indépendante et qui ne dépend d’aucune structure administrative ou politique pour qu’elle ne subisse aucune pression. Cela va introduire dans le paysage tunisien une nouvelle catégorie qui n’existait pas : les autorités administratives indépendantes. Des autorités publiques qui ont un rôle de contrôle et de régulation et qui ne dépendent d’aucune autorité politique (ministère, présidence de la République ou Assemblée des représentants du peuple). Une instance qui a le pouvoir de réglementation, de sanctionner sans recourir à la justice (étant une juridiction de premier degré).
Ses réformes sont prévues pour quand ?
Le texte sera prêt vers fin décembre 2015. Mais, le ministre des Technologies de l’Information et de la Communication et de l'Economie numérique, Noômen Fehri, le demande pour bien avant. Donc d’ici la fin de l’année, le projet de loi sera soumis à l’ARP pour adoption.
Que risquent les Tunisiens qui ne se conforment pas à la loi ?
De 200 à 300 faxes ont été envoyés avec une lettre de relance demandant à des entreprises et structures de se conformer à la loi, avec un délai allant jusqu’au 30 septembre: agences de voyages, grandes surfaces, hôpitaux, cliniques, etc. Après cette date-là ceux qui ne se sont pas conformés, verront leurs dossiers transférés au procureur de la République. Ils risquent des peines de prison, allant d’1 mois, pour une diffusion intentionnelle des données d'une manière qui nuit, à 5 ans de prison pour tentative ou communication ou transfert des données vers l’étranger portant atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie). Il y aura également les amendes allant de 1.000 à 50.000 dinars.
Je suis quelqu’un qui a toujours œuvré dans la société civile. J’enseigne les droits de l’Homme. C’est quelque chose pour laquelle je suis très sensible. Les sanctions privatives des libertés et mettre les gens en prison : c’est quelque chose qui doit être réservée à des situations très graves. Je suis pour enlever dans le nouveau texte toute peine privant les libertés, et de les remplacer par des sanctions pécuniaires représentant un pourcentage du chiffre d’affaire ou des revenus.
Mon soutien ce n’est pas le gouvernement, c’est la société civile et les médias : nous devons travailler ensemble. Le but étant, de sensibiliser, de vulgariser et expliquer ces notions que les gens ne comprennent pas.
Imen Nouira