Situation actuelle de la protection des donnes personnelles en
Tunisie
Par Hla Ben Miled Magistrat, membre de lInstance Nationale de Protection des Donnes Caractre Personnel
Je suis heureuse dtre aujourdhui parmi vous pour vous prsenter ltat actuel de la protection des donnes personnelles en Tunisie. Cette protection est-elle satisfaisante, en adquation avec les standards internationaux? Pour tre satisfaisante, 3 conditions doivent tre remplies : 1-Il faut que les droits des personnes dont les donnes sont traites soient garantis. 2-Il faut galement que les obligations la charge des personnes effectuant des traitements de donnes soient respectes. 3-Il faut quil y ait une application effective de la loi (enforcement) en cas de non respect des droits et obligations. Pour cela, il faut surtout que lautorit en charge de cette protection soit mme de pouvoir exercer sa mission de protection en toute indpendance, avec des moyens humains et matriels appropris. Pour apprcier ces 3 points, revenons la loi organique 2004-63 du 27 juillet 2004 portant sur la protection des donnes personnelles qui est le texte de rfrence en la matire.
2 Bien sr, le temps imparti ne me permet pas de procder une analyse exhaustive. Je ne soulverai que les points qui me paraissent les plus importants. La discussion qui va suivre nous permettra de procder dautres dveloppements. Ma prsentation sera axe sur les 3 points suivants : 1-La prsentation du rgime juridique de protection des donnes tel quinstitu par la loi de 2004 2-De nombreuses exceptions ce rgime. Nous verrons que ces exceptions sont de nature affaiblir le systme de protection des donnes 3-Une institution de protection encore la recherche de son indpendance 1-Prsentation du rgime juridique de protection des donnes : Un rgime juridique premire vue protecteur Pour la 1re fois en Tunisie, un rgime juridique spcifique et protecteur des donnes relatives la vie prive a t institu, celui de la loi organique 2004-63 du 27 juillet 2004 portant sur la protection des donnes personnelles. Ainsi, le traitement doit seffectuer dans le respect de la dignit humaine, de la vie prive et des liberts publiques (art 9 loi).Il est interdit dutiliser les donnes collectes pour porter atteinte aux personnes ou leur rputation (art 9 loi). Les finalits du traitement doivent tre licites (art 10 loi). Le traitement doit tre loyal cest--dire transparent (art 11 loi). Une logique de protection des donnes personnelles : la loi accorde des droits aux personnes dont les donnes sont traites et fait peser des obligations la charge des personnes mettant en uvre des traitements de donnes personnelles. 1-1Quelles sont les obligations respecter par les personnes mettant en uvre des traitements de donnes personnelles ?
3 Je ne mattarderai pas sur ces obligations qui sont les obligations classiques que vous connaissez tous, dfinies par les standards internationaux, telles que : -Assurer la scurit des donnes -Assurer la confidentialit des donnes -Obligation de mise jour des donnes -Sassurer de lexactitude et de lexhaustivit des donnes -Obligation dinformer la personne que ses donnes vont tre traites- Obligation de destruction des donnes ds lachvement de la dure de conservation initialement prvue 1-2Quels sont les droits des personnes dont les donnes sont traites ? -Consentement exprs et crit pralable toute opration de traitement (art 27 loi) Ici, je pourrai dire que la loi tunisienne en faisant le choix de lopt-in et en exigeant que le consentement ne puisse tre donn que sous forme crite va encore plus loin que les standards internationaux dans la protection, qui souvent nexigent pas lcrit. -Droit daccs avec ses corollaires les droit de rectification, droit de suppression et droit la dlivrance de copies. -Droit dopposition. Pour la 1 re fois, des sanctions pnales peuvent tre appliques pour des manquements la charge des personnes mettant en uvre des traitements de donnes personnelles (peines privatives de libert pouvant aller dun mois 5 ans de prison et/ou des amendes pcuniaires stalant entre 1000 et 50000 dinars).
Jusquici, RAS, toutes les caractristiques classiques dune rglementation protectrice des donnes personnelles.
4 En approfondissant davantage, nous nous rendons trs vite compte quune srie dexceptions cette rglementation protectrice pourraient tre de nature par l-mme vider la loi de son contenu. 2-De nombreuses exceptions qui affaiblissent le rgime juridique de la protection des donnes en Tunisie Je ne traiterai ici que de 3 exceptions, mon sens les plus significatives, et qui portent directement atteinte aux droits de la personne dont les donnes sont traites. 2-1 Premire exception: le champ dapplication de la loi et lexonration de lapplication de la loi accorde aux personnes publiques Cette exonration va trs loin puisque par personnes publiques, la loi entend les personnes publiques au sens organique mais galement les personnes publiques au sens fonctionnel. -Lexonration accorde aux personnes publiques au sens organique : La loi identifie ce type de personnes publiques comme les autorits publiques, les collectivits locales, les EPA. Ces personnes sont exonrs de lapplication de la loi sur la protection des donnes pour les traitements quelles ralisent dans le cadre de la scurit publique, de la dfense nationale, pour procder aux poursuites pnales ou lorsque le traitement savre ncessaire lexcution de leurs missions. La loi aurait pu, pour des raisons comprhensibles de scurit ou de dfense nationale, sarrter la scurit publique, la dfense nationale, ou aux poursuites pnales et accorder un rgime spcifique aux autorits publiques dans le cadre de ces fonctions par essence lies aux missions rgaliennes de lEtat. Par ailleurs, rgime spcifique ne signifie pas exonration totale du champ dapplication de la loi mais certains amnagements spcifiques tels que le droit daccs indirect par exemple.
5 La loi ne sest pas limite aux missions rgaliennes de lEtat mais a prcis la fin de lart 53 lorsque ledit traitement savre ncessaire lexcution de leurs missions . Or, il est facile dinterprter que tous les traitements de donnes sont ncessaires lexcution des missions confies aux autorits publiques. On peut interprter cela comme un total blanc seing offert lAdministration de ne pas appliquer la loi sur la protection des donnes. Bien sr, quand on connait le contexte politique de 2004 dans lequel la loi a t adopte, nous ne sommes pas surpris. Aujourdhui, ce contexte est totalement diffrent et cette exonration semble en totale contradiction avec les nouvelles orientations politiques de notre pays. Lexonration va encore plus loin puisquelle englobe aussi les personnes publiques dfinies dans un sens fonctionnel. --Lexonration accorde aux personnes publiques au sens fonctionnel : Lart 54 de la loi dispose que les traitements raliss par les tablissements publics de sant ainsi que les tablissements publics autres que les EPA dans le cadre de leurs prrogatives de puissance publique sont exonrs de lapplication de la loi sur la protection des donnes. LInstance a eu se prononcer sur le cas dune banque de la place participation majoritaire de lEtat. Etait-elle soumise la lgislation sur la protection des donnes et par l-mme dans lobligation de dclarer ses traitements ou de demander lautorisation de lInstance selon le cas ? Linstance a fait un raisonnement a contrario et a considr que, bien que dote des caractristiques de ltablissement public, ladite banque dans lexercice de ses activits, ne disposait pas des prrogatives de la puissance publique mais se comportait comme un simple tablissement commercial et que, par voie de consquence restait soumise la lgislation sur la protection des donnes. Un vritable casse-tte pour lInstance qui, chaque fois, doit procder des acrobaties juridiques pour dterminer sa comptence.
6 -Quelles sont les consquences de cette exonration des personnes publiques sur la protection des personnes dont les donnes sont traites ? Parmi les plus importantes : *Pas de garantie de lInstance : tant donn quil ny a plus de dclaration pralable ni de demande dautorisation, lInstance ne peut pas suivre les traitements effectus. *Plus besoin de recueillir le consentement des personnes concernes pralablement au traitement de leurs donnes. Cela constitue une grave atteinte la vie prive. *Quen est-il de la destruction des donnes et du droit loubli ? Nous navons aucune information sur cela. *Impossibilit dexercer le droit daccs : mme si lart 55 de la loi oblige les personnes publiques rectifier ou effacer les fichiers dont elles disposent si la personne concerne leur a signal linexactitude ou linsuffisance de ces donnes, il y a une impossibilit matrielle : comment la personne concerne peut-elle exercer son droit daccs si elle nest pas au courant de lexistence mme du traitement (son consentement pralable ntant pas requis) ? -Consquence de lexonration de lapplication de la loi accorde aux personnes publiques : un rgime de protection des donnes 2 vitesses Une vitesse pour les personnes publiques et une autre vitesse pour les personnes prives. Quand on sait que les personnes publiques sont les plus grandes consommatrices de donnes personnelles (sant, police, justice), la loi semble largement vide de sa substance. 2-2 Une autre exception significative : le rgime du traitement des donnes de lemploy par lemployeur (le cas de lart 16 de la loi) Lemployeur quil soit public ou priv est exonr deffectuer dclarations ou demande dautorisations ni recueillir le consentement des employs
7 pour le traitement des donnes concernant la situation professionnelle de lemploy sous 2 conditions : -Lorsque le traitement est effectu par lemployeur, -Lorsque le traitement savre ncessaire au fonctionnement du travail et son organisation. Qui va apprcier cela et comment ? Encore plus : lemployeur peut mme communiquer les donnes de lemploy des tiers sans le consentement de lemploy. Cette situation touche de prs aux droits fondamentaux de lemploy et ne saurait recevoir de justification. 2-3 Autre exception : Le rgime des donnes de sant Bien que faisant partie des donnes sensibles identifies lart 14 de la loi, donnes qui sont soumises au rgime de la protection juridique renforce cest--dire celui de lautorisation, larticle 15 de la loi carte les donnes de sant du rgime de lautorisation. Une simple dclaration auprs de lInstance suffit. Il mapparait choquant que les traitements des donnes qui touchent le plus lintimit dune personne avec toutes les consquences discriminatoires que lon connait, ne soient pas considrs de faon plus protectrice. Je marrte l pour ne pas empiter sur la prsentation de demain de Mme Aouij. 3- 3me et dernier point de lvaluation rapide de la protection des donnes en Tunisie : LInstance peut-elle rellement exercer sa mission de protection ? Pour apprcier cela, nous devons rpondre 2 questions : -LInstance exerce-t-elle sa mission de faon indpendante ? -LInstance dispose-t-elle des moyens humains et financiers ncessaires lexercice de ses missions ? 3-1-LInstance exerce-t-elle sa mission de faon indpendante ?
8 Lindpendance dune autorit de rgulation apparait comme une garantie indispensable pour lui permettre dexercer effectivement sa mission. La loi ne prcise pas la nature juridique de lInstance. Lart 75 se contente de prciser que cette Instance dispose de la personnalit morale et jouit de lautonomie financire. Plusieurs lments permettent dapprcier lindpendance dun organisme, mais je ne vais revenir que sur ceux qui me semblent les plus importants : -la composition -le mode de financement 3-1Indpendance et composition de lInstance Lart 78 de la loi dispose que lInstance est compose de 15 membres nomms par dcret pour une priode de 3 ans. -2 membres reprsentent le pouvoir lgislatif -4 membres reprsentent le pouvoir judiciaire -6 membres reprsentent le gouvernement -1 membre reprsente le secteur des droits de lHomme -1 membre reprsente lexpertise technique Le Prsident est choisi parmi les personnalits comptentes dans le domaine. Plusieurs questions et remarques minterpellent de prime abord : - Les membres sont tous nomms par dcret : il ny a pas dlections de par les pairs -La loi ne prcise pas si les mandats peuvent tre reconduits et pour combien de fois. -La loi ne prcise pas galement si les membres peuvent tre destitus au cours de leur mandat et pour quels motifs.
9 -6 membres reprsentent le gouvernement. Pourquoi ? Cette exigence ne correspond pas la structure dune administration de mission. -Il y a vraiment une sous- reprsentation de lexpertise technique puisque seul 1 membre est choisi parmi les experts en technologies de la communication. Cela est totalement en inadquation avec les besoins de lInstance qui doit disposer dune expertise technique afin de mesurer par exemple limpact des nouvelles technologies sur la protection des donnes. -Il ny a pas de reprsentation de la socit civile. Il y a un organisme qui reprsente le domaine des droits de lHomme, mais il sagit dun organisme public. Il est trs important dimpliquer la socit civile dans la protection des donnes personnelles.
3-2 Indpendance et financement de lInstance Lart 75 de la loi dispose que lInstance dispose de lautonomie financire et que le budget de lInstance est rattach au budget du ministre charg des Droits de lHomme. Je ne sais pas si cest ce rattachement qui a impliqu un contrle a priori des dpenses de lInstance mais toujours est-il que lInstance est actuellement soumise la ncessit de lapprobation pralable de ses dpenses par le Contrleur Gnral des Dpenses, ce qui constitue une gestion trs lourde au quotidien. On ne peut plus vraiment parler dinstitution indpendante. Un contrle a posteriori de la Cour des Comptes nest pas de nature entraver la bonne marche de linstitution ni surtout son indpendance. De plus, le budget imparti lInstance est assez limit et ne lui permet pas de pouvoir procder lexercice de toutes ses missions comme par exemple exercer des contrles sur place ou tre la pointe des progrs technologiques pour comprendre leur rpercussion sur la protection des donnes personnelles, 2 fonctions qui ncessitent le recrutement dun personnel hautement qualifi.
10 Linstance est parfaitement consciente quelle est quasiment inconnue du grand public. Il aurait fallu pour elle faire des campagnes de sensibilisation, mais faute de moyens budgtaires, cela na pas t possible.
Conclusion : Voici brivement exposs les principales faiblesses et lacunes de la loi organique 2004-63 du 27 juillet 2004 portant sur la protection des donnes personnelles. Jai la chance aujourdhui de pouvoir en parler en toute libert. Je saisis loccasion qui mest offerte par cette tribune pour lancer un appel la rforme. Jespre que les recommandations finales du sminaire serviront de point de dpart au projet dfinitif de rforme. En conclusion, je dirai que notre pays est la veille dlections trs importantes. Les donnes personnelles vont tre plus que jamais utilises dans le cadre de la prospection politique qui est le corollaire de lexercice de la dmocratie. LInstance sera appele jouer un rle trs important dans ce processus dmocratique. Donnons-lui les moyens pour cela.