1. LE CADRE INTERNATIONAL
L’utilisation
intensive et
généralisée aujourd’hui des moyens de traitement et de
communication des
informations a suscité depuis les années quatre-vingt des peurs
forts
justifiées des défenseurs des droits humains. Déjà en 1974 en
France, l’affaire
Safari initia une prise de conscience internationale sur les
dangers de la
surveillance généralisée et donna lieu en France à l’institution
de doyenne des
autorités de contrôle, la CNIL. La peur de l’immixtion des
gouvernants dans la
vie privée des individus vit la publication en 1984 du roman « Big
Brother » de George Orwell. Un essai de science-fiction retraçant
les
desseins d’un gouvernant dont le slogan était « Big brother is
yatching
you » prônant la surveillance totale de la société. Il donnera
ainsi ce
terme en cadeau à la communauté des défenseurs des droits humains
qui y
recourent depuis pour qualifier toutes les pratiques portant
atteinte aux
libertés fondamentales et à la vie privée des individus.
Transparency
international a même institué un prix annuel, le big brother
awards, pour
sacrer les institutions, sociétés ou personnes qui se distinguent
par le mépris
de la vie privée ou par leur promotion de la surveillance et du
contrôle des
individus. Plus récemment l’affaire Snowden, du nom de l’ancien
agent américain
exilé en Russie, a permis de mettre à nue l’importance de l’écoute
des
communications internationales par les services de renseignement
américains.
Des pratiques d’immixtion dans les données personnelles des
individus donna
lieu le 6 octobre 2015 à une décision de la cour européenne
invalidant l’accord
du « Safe harbor » qui permettait jusqu’à ce jour de transférer
des
données personnelles vers les entreprises américaines censés
protéger la vie
privée de leur clients. Le phénomène de l’accumulation massive des
données personnelles
de par le monde et la surveillance généralisée des individus et de
leurs
comportements vit naitre la notion de « big data » fort décrié par
les défenseurs des droits humains.
Aujourd’hui, plus de 109 Etats de par le monde ont édictés une législation et mis en place une instance de contrôle ayant pour mission de protéger la vie privée des individus à travers la protection de leurs données personnelles. Devant les dangers qu’encoure la sphère privée des individus, les Nations Unies décidèrent en 2015 de créer la fonction de rapporteur spécial chargé de cette question. Monsieur Canatacci, qui débuta sa mission à ce poste en juillet, conscient de la taille de la responsabilité qui pèse sur ces épaules n’a pas trouvé mieux au cours de la conférence internationale des protecteurs de données personnelles tenue à Amsterdam en octobre 2015 que de se qualifier de superman. Il lança l’initiative d’emmener les pays de ce monde à élaborer une convention internationale de protection des données personnelles, seul moyen de mondialiser la prise de conscience des Etats et de leur donner les moyens de contrôler le traitement des données personnelles et leur transfert par-dessus les frontières politiques devenues dans un monde numérique inefficaces.
2.
LE CADRE TUNISIEN
En
2002 la Tunisie fut le 32ème
Etat à constitutionnaliser le droit à la protection de la vie
privée à travers
celle plus spécifique des données personnelles. L’article 9
protégea depuis les
données personnelles. Sur cette base une loi fut adoptée sous le
numéro 63 en
date du 27 juillet 2004 portant sur la protection des données à
caractère
personnel. Deux décrets d’application ont été pris, le premier
sous le numéro
2007-3003 du 27 novembre 2007, fixant les modalités de
fonctionnement de
l’instance nationale de protection des données à caractère
personnel, le
deuxième sous le numéro 2007-3004 du 27 novembre 2007, fixant les
conditions et
les procédures de déclaration et d’autorisation pour le traitement
des données
à caractère personnel. Il fallut attendre le décret numéro
2008-1753 du 5 mai
2008 pour voir nommer ces premiers quinze membres.
Ce corpus juridique et l’existence de l’instance de protection ne permirent pourtant pas de rehausser la Tunisie au rang des pays assurant une protection adéquate au sens de la convention européenne de protection des données personnelles. Le rapport confidentiel commandé par la commission européenne et qui lui fit soumis en décembre 2010 confirme ce constat. L’initiative du régime autoritaire de l’époque était motivée par une simple volonté de reluire l’image du pays sur la scène internationale sans pour autant protéger réellement les données personnelles qui étaient le moyen privilégié d’un régime policier permettant d’assoir sa surveillance généralisée de la société.
3.
TIMIDE PROTECTION DEPUIS 2009
C’est
ce qui expliquera la
torpeur dans laquelle s’installa l’instance depuis sa mise en
place. Les six
années d’activités ne permirent que de produire trois frêles
rapports
d’activité, ceux de 2009, 2010 et 2011. Le travail de l’INPDP ne
donnera plus
lieu à des rapports d’activité depuis la nomination de son
deuxième président
après les évènements de 2011 et ceux bien que cela soit
obligatoire aux termes
de la loi de 2004. La direction de l’INPPDP n’a rien entrepris
pendant la
période de rédaction de la constitution pour inclure cette
instance dans le lot
des instances constitutionnelles indépendantes. La question fut
pourtant
débattue au sein de la commission.
L’activité
au cours des
deux derniers mandats qui se sont étalés sur six années se résume
dans le
traitement de seulement 752 dossiers qui se répartissent comme
suit :
558
Demandes de
vidéosurveillance
89 Déclarations
40
Demandes de transfert de
données à l’étranger
26
Plaintes
38
Avis
1
Demande d’autorisation de
traitement de données sensibles
Aucune action de sensibilisation ni d’éducation, ni aucune présence médiatique n’a permis d’initier au sein de la société tunisienne la mise en place d’une culture de la protection des données personnelles et de la vie privée.
4. NOUVELLES ORIENTATIONS
Le
5 mai 2015 fut nommé un
nouveau président, universitaire et membre actif de la société
civile spécialiste
dans la protection des données personnelles et d’accès à
l’information ce qui
trancha avec la pratique établie jusque-là.
Le 7 mai la Tunisie initia la procédure nationale pour son adhésion à la convention 108 du conseil de l’Europe portant sur la protection des données personnelles. Le 23 juillet la demande d’adhésion a été déposée auprès du secrétariat général du Conseil de l’Europe. Le 18 novembre le groupe des rapporteurs de protection des données personnelles du conseil de l’Europe ne souleva aucune objection concernant l’invitation de la Tunisie à adhérer à la convention 108. La décision finale a été prise le 2 décembre par les délégués des ministres du Conseil. La décision a été d’accepter la demande de la Tunisie avec les réserves présentées dans le rapport du comité technique. La Tunisie bénéficiera ainsi d’assez de temps pour réviser sa loi nationale afin se conformer aux normes de la convention 108.
5.
ACTIONS ENTREPRISES DEPUIS MAI 2015
L’actuelle
direction
de
l’INPDP a réalisé l’audit de
l’activité passée de l’instance et
élabora un
programme de travail pour l’actuel mandat de trois ans de la
nouvelle équipe. Sept
actions urgentes furent lancées avant même la fin de
l’opération de
renouvellement des membres de l’INPDP au nombre de quinze dont
seulement six
sont nommés aujourd’hui par le gouvernement :
1.
Envoyer
plus
de 350 fax aux entreprises publiques et privées qui traitent des
données
personnelles pour qu’ils se conforment aux dispositions de la loi
de 2004. L’INPDP
entrepris de reconcevoir les formulaires de demande d’autorisation
et de
déclarations et de simplifier la procédure pour les introduire.
2. Faire
connaitre
la problématique de la protection des données personnelles à
l’opinion publique. Le Président donna dans ce cadre plus de huit
conférences
dans des manifestations scientifiques mais aussi des interviews à
des médias
classiques et numériques et participa à des émissions radios et
télé et assura
des formations entre autre à l’intention des journalistes. Des
actions qui
commencèrent à familiariser l’opinion publique avec cette
problématique.
3.
Rencontrer
des
intervenants clefs dans le domaine du traitement des données
personnelles :
l’Instance nationale de certification en matière de santé,
l’UTICA, les
opérateurs de téléphonie, les grandes surfaces commerciales,
l’ordre des
experts comptables, l’association tunisienne des banques, le
comité d’éthique
médicale, le ministère de la santé, le ministère de l’intérieur,
le ministère
des technologies de la communication et de l’économie numérique,
l’instance
nationale des télécommunications, l’agence nationale de la
sécurité
informatique, l’institut national de la consommation.
4. Prendre
part
aux structures de réflexion et de réalisation de certains projets
nationaux comme la classification des données publiques et
l’instauration d’un
identifiant unique citoyen. Sur ce point le conseil supérieur du
numérique a
confié la responsabilité du contrôle de sa gestion à l’INPDPD dans
sa réunion
du 23 septembre 2015.
5.
Organiser
une
journée d’information en partenariat et le soutien de la fondation
Friedrich Naumann le 22 octobre 2015. Une journée qui démontra
l’importance que
donne le gouvernement à la question de la protection des données
personnelles.
Les ministres de la justice, des technologies de la communication
et de
l’économie numérique et celui chargé de la relation avec les
instances
constitutionnelles et la société civile ainsi que le président de
la Haute
instance des droits de l’homme et des libertés publiques en
présidèrent
l’ouverture.
6.
Devant
le
manque de réactivité des opérateurs publics et privées pour se
conformer aux
obligations légales en matière de protection des données
personnelles, l’INPDP
décida le 23 novembre de passer à une autre étape : Un échantillon
représentatif de structures publiques et privées (45) furent
choisies pour être
relancées par courrier personnalisée. Le délai du 15 décembre leur
fut donné pour
entamer leur procédure devant l’instance. Ils furent informés que
passé ce
délai, l’instance constatera, avec l’appui de la police
judiciaire, l’inertie
et transmettra les dossiers au procureur de la République
territorialement
compétent pour l’application entre autre de l’article 90 de la loi
de 2004 qui
prévoit entre autre une sanction privative de liberté au premier
responsable de
l’institution d’une année de prison.
7.
Quatre
actions
furent entreprises au cours du mois de novembre :
o
Lancement
d’un sondage d’opinion tendant à
constater et évaluer l’idée qu’ont les tunisiens de la question de
la protection
des données personnelles.
o
Sélection
d’une boite de conseil en
communication qui sera chargée de mettre en place une identité
visuelle de
l’INPDP ainsi qu’un slogan et la conception des supports
nécessaires aux outils
de communication.
o
Constitution
d’un fond documentaire relatif
à la protection des données personnelles qui sera le noyau
permettant la mise
en place d’un centre de documentation sur la protection des
données
personnelles et de la vie privée de nature à mettre à la
disposition des
chercheurs et aux universitaire les moyens de se plonger dans ce
domaine.
o Mise en place d’un site web informatif mais aussi interactif trilingue qui constituera une référence documentaire dans le domaine, une interface de veille pour la protection des données personnelles sur le plan national et international ainsi que l’interface pour réaliser les procédure en ligne du dépôt des autorisations, des déclarations ainsi que des plaintes.
6. RESULTATS OBTENUS
Suite
à cette activité le
nombre de dossiers introduits auprès de l’instance depuis le 5 mai
jusqu'au 31 décembre a atteint
467 sur un total de 1219 dossiers (en six mois 38% du total des
dossiers
introduits depuis sa mise en place). Leur répartition est la
suivante :
392
Demandes de
vidéosurveillance
35
Déclarations
18
Demandes de transfert de
données à l’étranger
7
Plaintes
3
Avis
12
Demandes d’autorisation de
traitement de données sensibles
7. PROGRAMME ACTION 2016
L’Instance
d’autre part a commencé
mettre au point son programme d’activité pour l’année 2016. Il
tourne autour de
l’organisation de manifestations mensuelles à l’intention du grand
public, de
tables rondes-formations hebdomadaires pour les intervenants dans
le domaine du
traitement des données personnelles mais aussi la publication de
fiches de
vulgarisation et d’éducation relatives à la protection des données
personnelles
et la préparation du projet de révision de la loi de 2004 :
1.
Les
tables
rondes mensuelles de l'INPDP (7) porteront dans un premier temps
sur les
thématiques suivantes :
· Le
traitement des données : Finalité,
consentement éclairée, opposition et droit d'accès
· La
communication et le transfert de données
vers l’étranger
·
La
vidéosurveillance
·
Les
données de santé
·
Le
cloud
·
Internet
et réseaux sociaux
·
IUC
et carte d'identité biométrique
2.
Les
tables
rondes hebdomadaires de l'INPDP (17) qui toucheront des publics
cibles suivants :
·
Société
civile
·
Députés
·
Procureurs
·
Cliniques
et hôpitaux
·
Structures
de radiologie et d’analyse médicale
·
Avocats
·
Experts
compatibles
·
Chambres
patronales
·
Médecins
·
Journalistes
et médias
·
Banques
·
Assurances
·
Grandes
surfaces
·
Entreprises
publiques
·
Agences
de voyage
·
DSI
·
Installateurs
de vidéosurveillance
3.
La
réalisation
de fiches pratiques de vulgarisation, d’éducation et de
présentation autour des thèmes importants relatifs à la protection
des données
personnelles :
·
Qu’est-ce
que les données personnelles ?
· Quelles
sont les obligations des
responsables de traitement ?
·
Quels
sont les droits des personnes
concernées ?
·
Comment
se protéger ?
· Quelles
règles à appliquer en matière de
vidéosurveillance ?
·
Quelles
règles à appliquer en matière de
santé ?
·
Quelles
règles à appliquer en matière de
cloud ?
· Quelles
règles à appliquer en matière de
transfert de données personnelles vers l’étranger ?
· Quelles
règles du traitement des données
personnelles dans les relations de travail ?
·
Quelles
règles à appliquer pour la
géolocalisation ?
·
Quelles
précautions à prendre sur le
réseau ?
·
Quelles
règles à appliquer dans le domaine
de la recherche scientifique ?
·
…
4.
La
révision
de la loi de 2004 en vue de sa mise à niveau est en cours de
préparation et va
porter sur les points suivants :
·
Soumission
des personnes publiques aux
dispositions de la loi de protection et au contrôle de l’instance
·
Encadrer
l’exception du traitement des
données personnelles pour les besoins de la sécurité et de la
défense nationale
·
Instaurer
le droit d’accès indirect pour
les fichiers non soumis au droit d’accès des personnes
·
Prévoir
un régime spécial pour le
traitement des données personnelles dans le monde du journalisme
·
Encadrer
la gestion et le contrôle de l’utilisation
de l’identifiant unique citoyen
·
Encadrer
la vidéosurveillance de la voie
publique par les personnes publiques
·
Encadrer
le traitement des données
biométriques
·
Donner
un statut d’autorité administrative
indépendante à l’INPDP ce qui assoira son indépendance par rapport
au pouvoir
politique
·
Mise
en place de revenus financiers au
profit de l’instance ce qui permettra d’en consolider
l’indépendance
·
Créer
le label INPDP
·
Donner
un pouvoir réglementaire explicite à
l’INPDP
·
Donner
le pouvoir à l’INPDP de prononcer
des sanctions pécuniaires à l’encontre des contrevenants
·
Créer
l’institution de correspondant PDP
auprès des structures traitant les données personnelles
·
…
8. POUR CONCLURE
Aujourd’hui,
la protection
des données personnelles, est devenue non pas un choix mais un
impératif pour
toutes les nations de ce monde. La Tunisie doit rendre plus
effective cette
protection pour des raisons multiples :
1.
C’est
un
impératif au vu de l’amorce du processus démocratique depuis
janvier 2011 et
concrétisé par l’édiction de la nouvelle constitution et des
textes sur l’ISIE,
le CSM et la cour constitutionnelle … Cette démarche oriente le
pays vers
l’installation d’une démocratie pérenne et effective. La
protection des droits
et des libertés est dans ce cadre un impératif incontournable pour
l’Etat ;
2.
C’est
un
impératif économique car l’obtention pour la Tunisie et son
économie du
label de pays protégeant de manière adéquate les données
personnelles
entrainera une meilleure attractivité des investisseurs étrangers.
L’offshoring
ou délocalisation du traitement des données est une opportunité
pour l’économie
tunisienne et une voie pour l’augmentation des chances
d’employabilité des
diplômés. La Tunisie ne peut en profiter que si elle devient un
espace de
confiance.
3.
Devant
le
défi du terrorisme, les gouvernements sont enclin à se réfugier
derrière le
souci d’assurer plus de sécurité aux citoyen pour grignoter une
part de leurs
droits et restreindre leur liberté. Les citoyens sondés devant le
danger du
terrorisme sont dans une grande majorité consentants. Dans ces
conditions il
est impératif que des structures indépendantes du pouvoir
politique et de
l’administration puissent jouer le rôle de veille et de lanceur
d’alerte contre
tous les abus dans ce domaine.
...