1

Situation actuelle de la protection des donnes personnelles en

Tunisie




Par Hla Ben Miled
Magistrat, membre de lInstance Nationale de Protection des
Donnes Caractre Personnel


Je suis heureuse dtre aujourdhui parmi vous pour vous prsenter ltat
actuel de la protection des donnes personnelles en Tunisie.
Cette protection est-elle satisfaisante, en adquation avec les standards
internationaux?
Pour tre satisfaisante, 3 conditions doivent tre remplies :
1-Il faut que les droits des personnes dont les donnes sont traites
soient garantis.
2-Il faut galement que les obligations la charge des personnes
effectuant des traitements de donnes soient respectes.
3-Il faut quil y ait une application effective de la loi (enforcement) en cas
de non respect des droits et obligations.
Pour cela, il faut surtout que lautorit en charge de cette protection soit
mme de pouvoir exercer sa mission de protection en toute
indpendance, avec des moyens humains et matriels appropris.
Pour apprcier ces 3 points, revenons la loi organique 2004-63 du 27
juillet 2004 portant sur la protection des donnes personnelles qui est le
texte de rfrence en la matire.


2
Bien sr, le temps imparti ne me permet pas de procder une analyse
exhaustive. Je ne soulverai que les points qui me paraissent les plus
importants. La discussion qui va suivre nous permettra de procder
dautres dveloppements.
Ma prsentation sera axe sur les 3 points suivants :
1-La prsentation du rgime juridique de protection des donnes tel
quinstitu par la loi de 2004
2-De nombreuses exceptions ce rgime. Nous verrons que ces
exceptions sont de nature affaiblir le systme de protection des
donnes
3-Une institution de protection encore la recherche de son
indpendance
1-Prsentation du rgime juridique de protection des donnes : Un
rgime juridique premire vue protecteur
Pour la 1re fois en Tunisie, un rgime juridique spcifique et protecteur
des donnes relatives la vie prive a t institu, celui de la loi
organique 2004-63 du 27 juillet 2004 portant sur la protection des
donnes personnelles.
Ainsi, le traitement doit seffectuer dans le respect de la dignit humaine,
de la vie prive et des liberts publiques (art 9 loi).Il est interdit dutiliser
les donnes collectes pour porter atteinte aux personnes ou leur
rputation (art 9 loi).
Les finalits du traitement doivent tre licites (art 10 loi).
Le traitement doit tre loyal cest--dire transparent (art 11 loi).
Une logique de protection des donnes personnelles : la loi accorde des
droits aux personnes dont les donnes sont traites et fait peser des
obligations la charge des personnes mettant en uvre des traitements
de donnes personnelles.
1-1Quelles sont les obligations respecter par les personnes
mettant en uvre des traitements de donnes personnelles ?


3
Je ne mattarderai pas sur ces obligations qui sont les obligations
classiques que vous connaissez tous, dfinies par les standards
internationaux, telles que :
-Assurer la scurit des donnes
-Assurer la confidentialit des donnes
-Obligation de mise jour des donnes
-Sassurer de lexactitude et de lexhaustivit des donnes
-Obligation dinformer la personne que ses donnes vont tre traites-
Obligation de destruction des donnes ds lachvement de la dure de
conservation initialement prvue
1-2Quels sont les droits des personnes dont les donnes sont
traites ?
-Consentement exprs et crit pralable toute opration de traitement
(art 27 loi)
Ici, je pourrai dire que la loi tunisienne en faisant le choix de lopt-in et
en exigeant que le consentement ne puisse tre donn que sous forme
crite va encore plus loin que les standards internationaux dans la
protection, qui souvent nexigent pas lcrit.
-Droit daccs avec ses corollaires les droit de rectification, droit de
suppression et droit la dlivrance de copies.
-Droit dopposition.
Pour la 1
re
fois, des sanctions pnales peuvent tre appliques pour des
manquements la charge des personnes mettant en uvre des
traitements de donnes personnelles (peines privatives de libert
pouvant aller dun mois 5 ans de prison et/ou des amendes
pcuniaires stalant entre 1000 et 50000 dinars).

Jusquici, RAS, toutes les caractristiques classiques dune
rglementation protectrice des donnes personnelles.


4
En approfondissant davantage, nous nous rendons trs vite compte
quune srie dexceptions cette rglementation protectrice pourraient
tre de nature par l-mme vider la loi de son contenu.
2-De nombreuses exceptions qui affaiblissent le rgime juridique
de la protection des donnes en Tunisie
Je ne traiterai ici que de 3 exceptions, mon sens les plus significatives,
et qui portent directement atteinte aux droits de la personne dont les
donnes sont traites.
2-1 Premire exception: le champ dapplication de la loi et
lexonration de lapplication de la loi accorde aux personnes
publiques
Cette exonration va trs loin puisque par personnes publiques, la loi
entend les personnes publiques au sens organique mais galement les
personnes publiques au sens fonctionnel.
-Lexonration accorde aux personnes publiques au sens
organique :
La loi identifie ce type de personnes publiques comme les autorits
publiques, les collectivits locales, les EPA.
Ces personnes sont exonrs de lapplication de la loi sur la protection
des donnes pour les traitements quelles ralisent dans le cadre de la
scurit publique, de la dfense nationale, pour procder aux poursuites
pnales ou lorsque le traitement savre ncessaire lexcution de
leurs missions.
La loi aurait pu, pour des raisons comprhensibles de scurit ou de
dfense nationale, sarrter la scurit publique, la dfense nationale,
ou aux poursuites pnales et accorder un rgime spcifique aux
autorits publiques dans le cadre de ces fonctions par essence lies aux
missions rgaliennes de lEtat.
Par ailleurs, rgime spcifique ne signifie pas exonration totale du
champ dapplication de la loi mais certains amnagements spcifiques
tels que le droit daccs indirect par exemple.


5
La loi ne sest pas limite aux missions rgaliennes de lEtat mais a
prcis la fin de lart 53 lorsque ledit traitement savre ncessaire
lexcution de leurs missions .
Or, il est facile dinterprter que tous les traitements de donnes sont
ncessaires lexcution des missions confies aux autorits publiques.
On peut interprter cela comme un total blanc seing offert
lAdministration de ne pas appliquer la loi sur la protection des donnes.
Bien sr, quand on connait le contexte politique de 2004 dans lequel la
loi a t adopte, nous ne sommes pas surpris. Aujourdhui, ce contexte
est totalement diffrent et cette exonration semble en totale
contradiction avec les nouvelles orientations politiques de notre pays.
Lexonration va encore plus loin puisquelle englobe aussi les
personnes publiques dfinies dans un sens fonctionnel.
--Lexonration accorde aux personnes publiques au sens
fonctionnel :
Lart 54 de la loi dispose que les traitements raliss par les
tablissements publics de sant ainsi que les tablissements publics
autres que les EPA dans le cadre de leurs prrogatives de puissance
publique sont exonrs de lapplication de la loi sur la protection des
donnes.
LInstance a eu se prononcer sur le cas dune banque de la place
participation majoritaire de lEtat. Etait-elle soumise la lgislation sur la
protection des donnes et par l-mme dans lobligation de dclarer ses
traitements ou de demander lautorisation de lInstance selon le cas ?
Linstance a fait un raisonnement a contrario et a considr que, bien
que dote des caractristiques de ltablissement public, ladite banque
dans lexercice de ses activits, ne disposait pas des prrogatives de la
puissance publique mais se comportait comme un simple tablissement
commercial et que, par voie de consquence restait soumise la
lgislation sur la protection des donnes.
Un vritable casse-tte pour lInstance qui, chaque fois, doit procder
des acrobaties juridiques pour dterminer sa comptence.


6
-Quelles sont les consquences de cette exonration des
personnes publiques sur la protection des personnes dont les
donnes sont traites ?
Parmi les plus importantes :
*Pas de garantie de lInstance : tant donn quil ny a plus de
dclaration pralable ni de demande dautorisation, lInstance ne peut
pas suivre les traitements effectus.
*Plus besoin de recueillir le consentement des personnes
concernes pralablement au traitement de leurs donnes.
Cela constitue une grave atteinte la vie prive.
*Quen est-il de la destruction des donnes et du droit loubli ?
Nous navons aucune information sur cela.
*Impossibilit dexercer le droit daccs : mme si lart 55 de la loi
oblige les personnes publiques rectifier ou effacer les fichiers dont
elles disposent si la personne concerne leur a signal linexactitude ou
linsuffisance de ces donnes, il y a une impossibilit matrielle :
comment la personne concerne peut-elle exercer son droit daccs si
elle nest pas au courant de lexistence mme du traitement (son
consentement pralable ntant pas requis) ?
-Consquence de lexonration de lapplication de la loi accorde
aux personnes publiques : un rgime de protection des donnes 2
vitesses
Une vitesse pour les personnes publiques et une autre vitesse pour les
personnes prives.
Quand on sait que les personnes publiques sont les plus grandes
consommatrices de donnes personnelles (sant, police, justice), la loi
semble largement vide de sa substance.
2-2 Une autre exception significative : le rgime du traitement des
donnes de lemploy par lemployeur (le cas de lart 16 de la loi)
Lemployeur quil soit public ou priv est exonr deffectuer dclarations
ou demande dautorisations ni recueillir le consentement des employs


7
pour le traitement des donnes concernant la situation professionnelle
de lemploy sous 2 conditions :
-Lorsque le traitement est effectu par lemployeur,
-Lorsque le traitement savre ncessaire au fonctionnement du travail et
son organisation.
Qui va apprcier cela et comment ?
Encore plus : lemployeur peut mme communiquer les donnes de
lemploy des tiers sans le consentement de lemploy.
Cette situation touche de prs aux droits fondamentaux de lemploy et
ne saurait recevoir de justification.
2-3 Autre exception : Le rgime des donnes de sant
Bien que faisant partie des donnes sensibles identifies lart 14 de la
loi, donnes qui sont soumises au rgime de la protection juridique
renforce cest--dire celui de lautorisation, larticle 15 de la loi carte
les donnes de sant du rgime de lautorisation. Une simple dclaration
auprs de lInstance suffit.
Il mapparait choquant que les traitements des donnes qui touchent le
plus lintimit dune personne avec toutes les consquences
discriminatoires que lon connait, ne soient pas considrs de faon plus
protectrice. Je marrte l pour ne pas empiter sur la prsentation de
demain de Mme Aouij.
3- 3me et dernier point de lvaluation rapide de la protection des
donnes en Tunisie : LInstance peut-elle rellement exercer sa
mission de protection ?
Pour apprcier cela, nous devons rpondre 2 questions :
-LInstance exerce-t-elle sa mission de faon indpendante ?
-LInstance dispose-t-elle des moyens humains et financiers ncessaires
lexercice de ses missions ?
3-1-LInstance exerce-t-elle sa mission de faon indpendante ?


8
Lindpendance dune autorit de rgulation apparait comme une
garantie indispensable pour lui permettre dexercer effectivement sa
mission.
La loi ne prcise pas la nature juridique de lInstance. Lart 75 se
contente de prciser que cette Instance dispose de la personnalit
morale et jouit de lautonomie financire.
Plusieurs lments permettent dapprcier lindpendance dun
organisme, mais je ne vais revenir que sur ceux qui me semblent les
plus importants :
-la composition
-le mode de financement
3-1Indpendance et composition de lInstance
Lart 78 de la loi dispose que lInstance est compose de 15 membres
nomms par dcret pour une priode de 3 ans.
-2 membres reprsentent le pouvoir lgislatif
-4 membres reprsentent le pouvoir judiciaire
-6 membres reprsentent le gouvernement
-1 membre reprsente le secteur des droits de lHomme
-1 membre reprsente lexpertise technique
Le Prsident est choisi parmi les personnalits comptentes dans le
domaine.
Plusieurs questions et remarques minterpellent de prime abord :
- Les membres sont tous nomms par dcret : il ny a pas dlections de
par les pairs
-La loi ne prcise pas si les mandats peuvent tre reconduits et pour
combien de fois.
-La loi ne prcise pas galement si les membres peuvent tre destitus
au cours de leur mandat et pour quels motifs.


9
-6 membres reprsentent le gouvernement. Pourquoi ? Cette exigence
ne correspond pas la structure dune administration de mission.
-Il y a vraiment une sous- reprsentation de lexpertise technique
puisque seul 1 membre est choisi parmi les experts en technologies de
la communication.
Cela est totalement en inadquation avec les besoins de lInstance qui
doit disposer dune expertise technique afin de mesurer par exemple
limpact des nouvelles technologies sur la protection des donnes.
-Il ny a pas de reprsentation de la socit civile. Il y a un organisme
qui reprsente le domaine des droits de lHomme, mais il sagit dun
organisme public. Il est trs important dimpliquer la socit civile dans la
protection des donnes personnelles.

3-2 Indpendance et financement de lInstance
Lart 75 de la loi dispose que lInstance dispose de lautonomie financire
et que le budget de lInstance est rattach au budget du ministre charg
des Droits de lHomme.
Je ne sais pas si cest ce rattachement qui a impliqu un contrle a priori
des dpenses de lInstance mais toujours est-il que lInstance est
actuellement soumise la ncessit de lapprobation pralable de ses
dpenses par le Contrleur Gnral des Dpenses, ce qui constitue une
gestion trs lourde au quotidien. On ne peut plus vraiment parler
dinstitution indpendante.
Un contrle a posteriori de la Cour des Comptes nest pas de nature
entraver la bonne marche de linstitution ni surtout son indpendance.
De plus, le budget imparti lInstance est assez limit et ne lui permet
pas de pouvoir procder lexercice de toutes ses missions comme par
exemple exercer des contrles sur place ou tre la pointe des progrs
technologiques pour comprendre leur rpercussion sur la protection des
donnes personnelles, 2 fonctions qui ncessitent le recrutement dun
personnel hautement qualifi.


10
Linstance est parfaitement consciente quelle est quasiment inconnue
du grand public. Il aurait fallu pour elle faire des campagnes de
sensibilisation, mais faute de moyens budgtaires, cela na pas t
possible.

Conclusion :
Voici brivement exposs les principales faiblesses et lacunes de la loi
organique 2004-63 du 27 juillet 2004 portant sur la protection des
donnes personnelles.
Jai la chance aujourdhui de pouvoir en parler en toute libert.
Je saisis loccasion qui mest offerte par cette tribune pour lancer un
appel la rforme. Jespre que les recommandations finales du
sminaire serviront de point de dpart au projet dfinitif de rforme.
En conclusion, je dirai que notre pays est la veille dlections trs
importantes.
Les donnes personnelles vont tre plus que jamais utilises dans le
cadre de la prospection politique qui est le corollaire de lexercice de la
dmocratie. LInstance sera appele jouer un rle trs important dans
ce processus dmocratique.
Donnons-lui les moyens pour cela.