1. LE CADRE INTERNATIONAL

L’utilisation intensive et généralisée aujourd’hui des moyens de traitement et de communication des informations a suscité depuis les années quatre-vingt des peurs forts justifiées des défenseurs des droits humains. Déjà en 1974 en France, l’affaire Safari initia une prise de conscience internationale sur les dangers de la surveillance généralisée et donna lieu en France à l’institution de doyenne des autorités de contrôle, la CNIL. La peur de l’immixtion des gouvernants dans la vie privée des individus vit la publication en 1984 du roman « Big Brother » de George Orwell. Un essai de science-fiction retraçant les desseins d’un gouvernant dont le slogan était « Big brother is yatching you » prônant la surveillance totale de la société. Il donnera ainsi ce terme en cadeau à la communauté des défenseurs des droits humains qui y recourent depuis pour qualifier toutes les pratiques portant atteinte aux libertés fondamentales et à la vie privée des individus. Transparency international a même institué un prix annuel, le big brother awards, pour sacrer les institutions, sociétés ou personnes qui se distinguent par le mépris de la vie privée ou par leur promotion de la surveillance et du contrôle des individus. Plus récemment l’affaire Snowden, du nom de l’ancien agent américain exilé en Russie, a permis de mettre à nue l’importance de l’écoute des communications internationales par les services de renseignement américains. Des pratiques d’immixtion dans les données personnelles des individus donna lieu le 6 octobre 2015 à une décision de la cour européenne invalidant l’accord du « Safe harbor » qui permettait jusqu’à ce jour de transférer des données personnelles vers les entreprises américaines censés protéger la vie privée de leur clients. Le phénomène de l’accumulation massive des données personnelles de par le monde et la surveillance généralisée des individus et de leurs comportements vit naitre la notion de « big data » fort décrié par les défenseurs des droits humains.

Aujourd’hui, plus de 109 Etats de par le monde ont édictés une législation et mis en place une instance de contrôle ayant pour mission de protéger la vie privée des individus à travers la protection de leurs données personnelles. Devant les dangers qu’encoure la sphère privée des individus, les Nations Unies décidèrent en 2015 de créer la fonction de rapporteur spécial chargé de cette question. Monsieur Canatacci, qui débuta sa mission à ce poste en juillet,  conscient de la taille de la responsabilité qui pèse sur ces épaules n’a pas trouvé mieux au cours de la conférence internationale des protecteurs de données personnelles tenue à Amsterdam en octobre 2015 que de se qualifier de superman. Il lança l’initiative d’emmener les pays de ce monde à élaborer une convention internationale de protection des données personnelles, seul moyen de mondialiser la prise de conscience des Etats et de leur donner les moyens de contrôler le traitement des données personnelles et leur transfert par-dessus les frontières politiques devenues dans un monde numérique inefficaces.

2. LE CADRE TUNISIEN

En 2002 la Tunisie fut le 32ème Etat à constitutionnaliser le droit à la protection de la vie privée à travers celle plus spécifique des données personnelles. L’article 9 protégea depuis les données personnelles. Sur cette base une loi fut adoptée sous le numéro 63 en date du 27 juillet 2004 portant sur la protection des données à caractère personnel. Deux décrets d’application ont été pris, le premier sous le numéro 2007-3003 du 27 novembre 2007, fixant les modalités de fonctionnement de l’instance nationale de protection des données à caractère personnel, le deuxième sous le numéro 2007-3004 du 27 novembre 2007, fixant les conditions et les procédures de déclaration et d’autorisation pour le traitement des données à caractère personnel. Il fallut attendre le décret numéro 2008-1753 du 5 mai 2008 pour voir nommer ces premiers quinze membres.

Ce corpus juridique et l’existence de l’instance de protection ne permirent pourtant pas de rehausser la Tunisie au rang des pays assurant une protection adéquate au sens de la convention européenne de protection des données personnelles. Le rapport confidentiel commandé par la commission européenne et qui lui fit soumis en décembre 2010 confirme ce constat. L’initiative du régime autoritaire de l’époque était motivée par une simple volonté de reluire l’image du pays sur la scène internationale sans pour autant protéger réellement les données personnelles qui étaient le moyen privilégié d’un régime policier permettant d’assoir sa surveillance généralisée de la société.

3. TIMIDE PROTECTION DEPUIS 2009

C’est ce qui expliquera la torpeur dans laquelle s’installa l’instance depuis sa mise en place. Les six années d’activités ne permirent que de produire trois frêles rapports d’activité, ceux de 2009, 2010 et 2011. Le travail de l’INPDP ne donnera plus lieu à des rapports d’activité depuis la nomination de son deuxième président après les évènements de 2011 et ceux bien que cela soit obligatoire aux termes de la loi de 2004. La direction de l’INPPDP n’a rien entrepris pendant la période de rédaction de la constitution pour inclure cette instance dans le lot des instances constitutionnelles indépendantes. La question fut pourtant débattue au sein de la commission.

L’activité au cours des deux derniers mandats qui se sont étalés sur six années se résume dans le traitement de seulement 752 dossiers qui se répartissent comme suit :

558 Demandes de vidéosurveillance

89 Déclarations   

40 Demandes de transfert de données à l’étranger

26 Plaintes 

38 Avis

1 Demande d’autorisation de traitement de données sensibles

Aucune action de sensibilisation ni d’éducation, ni aucune présence médiatique n’a permis d’initier au sein de la société tunisienne la mise en place d’une culture de la protection des données personnelles et de la vie privée.

4. NOUVELLES ORIENTATIONS

Le 5 mai 2015 fut nommé un nouveau président, universitaire et membre actif de la société civile spécialiste dans la protection des données personnelles et d’accès à l’information ce qui trancha avec la pratique établie jusque-là.

Le 7 mai la Tunisie initia la procédure nationale pour son adhésion à la convention 108 du conseil de l’Europe portant sur la protection des données personnelles. Le 23 juillet la demande d’adhésion a été déposée auprès du secrétariat général du Conseil de l’Europe. Le 18 novembre le groupe des rapporteurs de protection des données personnelles du conseil de l’Europe ne souleva aucune objection concernant l’invitation de la Tunisie à adhérer à la convention 108. La décision finale a été prise le 2 décembre par les délégués des ministres du Conseil. La décision a été d’accepter la demande de la Tunisie avec les réserves présentées dans le rapport du comité technique. La Tunisie bénéficiera ainsi d’assez de temps pour réviser sa loi nationale afin se conformer aux normes de la convention 108.

5. ACTIONS ENTREPRISES DEPUIS MAI 2015

L’actuelle direction de l’INPDP a réalisé l’audit de l’activité passée de l’instance et élabora un programme de travail pour l’actuel mandat de trois ans de la nouvelle équipe. Sept actions urgentes furent lancées avant même la fin de l’opération de renouvellement des membres de l’INPDP au nombre de quinze dont seulement six sont nommés aujourd’hui par le gouvernement :

1.     Envoyer plus de 350 fax aux entreprises publiques et privées qui traitent des données personnelles pour qu’ils se conforment aux dispositions de la loi de 2004. L’INPDP entrepris de reconcevoir les formulaires de demande d’autorisation et de déclarations et de simplifier la procédure pour les introduire.

2.   Faire connaitre la problématique de la protection des données personnelles à l’opinion publique. Le Président donna dans ce cadre plus de huit conférences dans des manifestations scientifiques mais aussi des interviews à des médias classiques et numériques et participa à des émissions radios et télé et assura des formations entre autre à l’intention des journalistes. Des actions qui commencèrent à familiariser l’opinion publique avec cette problématique.

3.      Rencontrer des intervenants clefs dans le domaine du traitement des données personnelles : l’Instance nationale de certification en matière de santé, l’UTICA, les opérateurs de téléphonie, les grandes surfaces commerciales, l’ordre des experts comptables, l’association tunisienne des banques, le comité d’éthique médicale, le ministère de la santé, le ministère de l’intérieur, le ministère des technologies de la communication et de l’économie numérique, l’instance nationale des télécommunications, l’agence nationale de la sécurité informatique, l’institut national de la consommation.

4.   Prendre part aux structures de réflexion et de réalisation de certains projets nationaux comme la classification des données publiques et l’instauration d’un identifiant unique citoyen. Sur ce point le conseil supérieur du numérique a confié la responsabilité du contrôle de sa gestion à l’INPDPD dans sa réunion du 23 septembre 2015.

5.      Organiser une journée d’information en partenariat et le soutien de la fondation Friedrich Naumann le 22 octobre 2015. Une journée qui démontra l’importance que donne le gouvernement à la question de la protection des données personnelles. Les ministres de la justice, des technologies de la communication et de l’économie numérique et celui chargé de la relation avec les instances constitutionnelles et la société civile ainsi que le président de la Haute instance des droits de l’homme et des libertés publiques en présidèrent l’ouverture.

6.      Devant le manque de réactivité des opérateurs publics et privées pour se conformer aux obligations légales en matière de protection des données personnelles, l’INPDP décida le 23 novembre de passer à une autre étape : Un échantillon représentatif de structures publiques et privées (45) furent choisies pour être relancées par courrier personnalisée. Le délai du 15 décembre leur fut donné pour entamer leur procédure devant l’instance. Ils furent informés que passé ce délai, l’instance constatera, avec l’appui de la police judiciaire, l’inertie et transmettra les dossiers au procureur de la République territorialement compétent pour l’application entre autre de l’article 90 de la loi de 2004 qui prévoit entre autre une sanction privative de liberté au premier responsable de l’institution d’une année de prison.

7.  Quatre actions furent entreprises au cours du mois de novembre :

o   Lancement d’un sondage d’opinion tendant à constater et évaluer l’idée qu’ont les tunisiens de la question de la protection des données personnelles.

o   Sélection d’une boite de conseil en communication qui sera chargée de mettre en place une identité visuelle de l’INPDP ainsi qu’un slogan et la conception des supports nécessaires aux outils de communication.

o   Constitution d’un fond documentaire relatif à la protection des données personnelles qui sera le noyau permettant la mise en place d’un centre de documentation sur la protection des données personnelles et de la vie privée de nature à mettre à la disposition des chercheurs et aux universitaire les moyens de se plonger dans ce domaine.

o   Mise en place d’un site web informatif mais aussi interactif trilingue qui constituera une référence documentaire dans le domaine, une interface de veille pour la protection des données personnelles sur le plan national et international ainsi que l’interface pour réaliser les procédure en ligne du dépôt des autorisations, des déclarations ainsi que des plaintes.

6. RESULTATS OBTENUS

Suite à cette activité le nombre de dossiers introduits auprès de l’instance depuis le 5 mai jusqu'au 31 décembre a atteint 467 sur un total de 1219 dossiers (en six mois 38% du total des dossiers introduits depuis sa mise en place). Leur répartition est la suivante :

392 Demandes de vidéosurveillance

35 Déclarations 

18 Demandes de transfert de données à l’étranger

7 Plaintes 

3 Avis 

12 Demandes d’autorisation de traitement de données sensibles 

7. PROGRAMME ACTION 2016

L’Instance d’autre part a commencé mettre au point son programme d’activité pour l’année 2016. Il tourne autour de l’organisation de manifestations mensuelles à l’intention du grand public, de tables rondes-formations hebdomadaires pour les intervenants dans le domaine du traitement des données personnelles mais aussi la publication de fiches de vulgarisation et d’éducation relatives à la protection des données personnelles et la préparation du projet de révision de la loi de 2004 :

1.      Les tables rondes mensuelles de l'INPDP (7) porteront dans un premier temps sur les thématiques suivantes :

·  Le traitement des données : Finalité, consentement éclairée, opposition et droit d'accès

·  La communication et le transfert de données vers l’étranger

·         La vidéosurveillance

·         Les données de santé

·         Le cloud

·         Internet et réseaux sociaux

·         IUC et carte d'identité biométrique

2.      Les tables rondes hebdomadaires de l'INPDP (17) qui toucheront des publics cibles suivants :

·         Société civile

·         Députés

·         Procureurs

·         Cliniques et hôpitaux

·         Structures de radiologie et d’analyse médicale

·         Avocats

·         Experts compatibles

·         Chambres patronales

·         Médecins

·         Journalistes et médias

·         Banques

·         Assurances

·         Grandes surfaces

·         Entreprises publiques

·         Agences de voyage

·         DSI

·         Installateurs de vidéosurveillance

3.      La réalisation de fiches pratiques de vulgarisation, d’éducation et de présentation autour des thèmes importants relatifs à la protection des données personnelles :

·         Qu’est-ce que les données personnelles ?

·  Quelles sont les obligations des responsables de traitement ?

·         Quels sont les droits des personnes concernées ?

·         Comment se protéger ?

· Quelles règles à appliquer en matière de vidéosurveillance ?

·         Quelles règles à appliquer en matière de santé ?

·         Quelles règles à appliquer en matière de cloud ?

·    Quelles règles à appliquer en matière de transfert de données personnelles vers l’étranger ?

·     Quelles règles du traitement des données personnelles dans les relations de travail ?

·         Quelles règles à appliquer pour la géolocalisation ?

·         Quelles précautions à prendre sur le réseau ?

·     Quelles règles à appliquer dans le domaine de la recherche scientifique ?

·        

4.      La révision de la loi de 2004 en vue de sa mise à niveau est en cours de préparation et va porter sur les points suivants :

·         Soumission des personnes publiques aux dispositions de la loi de protection et au contrôle de l’instance

·         Encadrer l’exception du traitement des données personnelles pour les besoins de la sécurité et de la défense nationale

·         Instaurer le droit d’accès indirect pour les fichiers non soumis au droit d’accès des personnes

·         Prévoir un régime spécial pour le traitement des données personnelles dans le monde du journalisme

·         Encadrer la gestion et le contrôle de l’utilisation de l’identifiant unique citoyen

·         Encadrer la vidéosurveillance de la voie publique par les personnes publiques

·         Encadrer le traitement des données biométriques

·         Donner un statut d’autorité administrative indépendante à l’INPDP ce qui assoira son indépendance par rapport au pouvoir politique

·         Mise en place de revenus financiers au profit de l’instance ce qui permettra d’en consolider l’indépendance

·         Créer le label INPDP

·         Donner un pouvoir réglementaire explicite à l’INPDP

·         Donner le pouvoir à l’INPDP de prononcer des sanctions pécuniaires à l’encontre des contrevenants

·         Créer l’institution de correspondant PDP auprès des structures traitant les données personnelles

·        

8. POUR CONCLURE

Aujourd’hui, la protection des données personnelles, est devenue non pas un choix mais un impératif pour toutes les nations de ce monde. La Tunisie doit rendre plus effective cette protection pour des raisons multiples :

1.      C’est un impératif au vu de l’amorce du processus démocratique depuis janvier 2011 et concrétisé par l’édiction de la nouvelle constitution et des textes sur l’ISIE, le CSM et la cour constitutionnelle … Cette démarche oriente le pays vers l’installation d’une démocratie pérenne et effective. La protection des droits et des libertés est dans ce cadre un impératif incontournable pour l’Etat ;

2.      C’est un impératif économique car l’obtention pour la Tunisie et son économie du label de pays protégeant de manière adéquate les données personnelles entrainera une meilleure attractivité des investisseurs étrangers. L’offshoring ou délocalisation du traitement des données est une opportunité pour l’économie tunisienne et une voie pour l’augmentation des chances d’employabilité des diplômés. La Tunisie ne peut en profiter que si elle devient un espace de confiance.

3.      Devant le défi du terrorisme, les gouvernements sont enclin à se réfugier derrière le souci d’assurer plus de sécurité aux citoyen pour grignoter une part de leurs droits et restreindre leur liberté. Les citoyens sondés devant le danger du terrorisme sont dans une grande majorité consentants. Dans ces conditions il est impératif que des structures indépendantes du pouvoir politique et de l’administration puissent jouer le rôle de veille et de lanceur d’alerte contre tous les abus dans ce domaine.

...