Vie-Privee-Tunisie-loi-Application-Sensibilisation

L’article 24 de la constitution tunisienne de 2014 consacre la protection de la vie privée, du domicile, de la correspondance des communications et des données personnelles. Une disposition conforme à la jurisprudence de la cour européenne des droits de l’Homme, mais qu’en est-il des autres textes en vigueur, de leur application et de l’intérêt du citoyen ?

Un cadre légal à réformer

Si la loi organique de 2004 a été considéré très proche des normes internationales, néanmoins, elle a besoin d’être reformée essentiellement par rapport à trois volets.

L’indépendance de l’Instance Nationale de Protection des Données à caractère Personnel (INPDP) : La composition et la procédure de nomination des membres de cette Instance restent floues. En effet, il n’y a pas de choix (élection collégiale) autre que la nomination par décret des représentants des pouvoirs publics. En outre, il n’existe aucune exigence quant à leur indépendance d’un pouvoir ou lobby quelconque. Enfin, l’instance est placée sous la tutelle du ministère de la Justice.

organigramme INPDP

Source: La page Facebook de l’INPDP1. Cliquez sur l’image pour agrandir.

● La soumission du secteur public : La législation tunisienne oblige le secteur privé à respecter la procédure de la déclaration préalable, auprès de l’INPDP, de tous les traitements des données à caractère personnel. Aussi, les acteurs de ce secteur doivent-ils remplir une demande d’autorisation en matière de traitement de données, d’accès des chercheurs aux données relatives à la santé (données sensibles) et de transfert de données vers l’étranger.

Contrairement au secteur privé, le secteur public n’est soumis à aucune de ces procédures de contrôle préalable, à l’exception de la Poste Tunisienne qui a signé, volontairement, un mémorandum d’entente avec l’INPDP2. Mais les autres institutions publiques restent muettes sur ce qu’elles comptent faire, ou font déjà, des données privées des Tunisiens, que ce soit dans le cadre du renforcement de la sécurité, et donc de la surveillance, ou plus inquiétant encore le projet de l’Identifiant Unique du Citoyen et des Entreprises3.

Ainsi, les deux reformes les plus urgentes consistent à doter l’INPDP d’une autonomie financière et administrative, à assurer l’indépendance de ses membres, et tout aussi important, à étendre son domaine d’intervention au secteur public qui détient le plus grand lot de nos données personnelles.

Des notions clés comme “données sensibles” devraient être mieux définies dans le nouveau projet de loi. Il faudra aussi ajouter des règles plus contraignantes aux procédures de traitement des données dans le cadre de l’Identifiant Unique, qui devra être détaillé ainsi que le transfert de données, et ce en conformité avec la jurisprudence européenne4.

La réforme de la loi de 2004 est un préalable à l’adhésion de la Tunisie à la Convention 108 du Conseil de l’Europe relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Cette adhésion devra être accompagnée d’une meilleure simplification et vulgarisation des procédures, excessivement bureaucratiques, vers un guichet unique en ligne. Si de telles réformes s’avèrent irréalisables, reste l’alternative d’une nouvelle instance – constitutionnelle – indépendante qui aura plus de latitudes en matière de régulation du droit à la vie privée.

Forcer l’application de la loi

A l’occasion de sa première apparition publique, l’actuel président de l’INPDP, a déclaré son intention d’appliquer la loi en vigueur et de « rendre effective l’application des dispositions pénales de la loi de 2004 contre les intervenants récalcitrants ». Chawki Gaddes a même fixé la date du 30 septembre 2015 comme ultimatum 5. Toujours est-il qu’à l’exception d’une poignée d’acteurs (opérateurs, administrations, cliniques), rares sont ceux qui ont répondu à l’appel.

Pourtant, la protection des données personnelles représente un avantage comparatif pour les entreprises qui veulent inciter de nouveaux investisseurs ou élargir la base de leur clientèle. Que les responsables ne soient pas encore conscients de l’importance du facteur “confiance”, le plaidoyer peut se révéler plus efficace que l’approche coercitive.

Et effet, l’approche participative peut reposer sur des réunions explicatives avec les grandes enseignes du secteur privé, puis avec le secteur public. Elle peut aussi prévoir un guide d’information sur les procédures et une plateforme en ligne pour faciliter les demandes d’autorisation et les déclarations. De telles mesures, et plein d’autres encore, permettront certainement de mieux faire adhérer les acteurs concernés au principe de protection des données personnelles.

Une sensibilisation inadaptée

La sensibilisation des citoyens à leur droit à une vie privée, ainsi que le discours et les actions menées pour responsabiliser ceux qui traitent ces données, ne sont pas adaptés au contexte tunisien. Comme ses prédécesseurs, l’actuel gouvernement privilégie l’approche sécuritaire, au nom de la lutte contre le terrorisme et la criminalité, renforcé par un discours médiatique polarisé. Du côté de la société civile, rares sont les voix qui apportent la contradiction au discours de la peur et qui défendent la protection de la vie privée.

Comme presque partout dans le monde, les Tunisiens ne prennent pas la peine de lire les fameuses conditions d’utilisation des réseaux sociaux, ne se protègent pas en ajustant les fonctionnalités offertes, partagent toutes sortes d’informations, même celles à caractère privé, voire sensible. Ce manque de vigilance des utilisateurs est souvent justifié par l’argument fallacieux du « je n’ai rien à cacher ». Or, en Occident, cet argument a été longuement déconstruit et réfuté6 par les défenseurs de la vie privée.

Face au manque d’information, de formation et de discours biaisés, l’INPDP semble être en difficulté. En témoigne le « lancement de la campagne de sensibilisation », du 22 octobre 2015. L’INPDP a posté une invitation sur sa page Facebook7, et a adressé d’autres invitations aux administrations gouvernementales, à l’instar de l’Agence Technique des Télécommunications (A2T), la Société Tunisie Internet (Ex-ATI), l’Agence Nationale de Sécurité Informatique (ANSI). Dans une salle qui s’est presque vidée après l’ouverture de la manifestation par l’organisateur, les ministres et le sponsor, l’INPDP a débattu de l’intrusion des entreprises dans la vie privée des citoyens8 et des procédures liées à l’application de la loi cadre9. Les rares médias présents, n’avaient retenu que les déclarations du ministre Noomane Fehri, notamment celle relative au projet de loi sur la cybercriminalité10.

protection-donnes-perso-tunisie-INPDP

La question de la surveillance ciblée ou de masse pratiquée par le gouvernement et les autres institutions de l’Etat a été éludée, son impact sur le capital confiance et la promotion de l’innovation aussi. Un silence d’autant plus étonnant que l’histoire de la Tunisie sous Ben Ali est intimement liée au flicage numérique, et que la nouvelle loi anti-terroriste11 ainsi que le projet de l’Identifiant Unique12 nous y renvoient au galop.

L’INPDP aurait du engager un partenariat avec les acteurs de la société civile tunisienne et les médias nationaux pour mieux réussir ses actions de « vulgarisation et d’échange » autour de « l’impératif démocratique et économique » de la protection des données personnelles.

En effet l’instance peut compter sur l’aide de différents acteurs, en rassemblant un comité consultatif multi-acteurs, composé d’experts en protection des données personnelles, et autres domaines concomitants. Elle peut aussi établir des actions communes, dans les régions, avec les représentants de la société civile, du secteur public et même du secteur privé, et sensibiliser les internautes à la nécessité du cryptage de leurs données.

Notes

1. Page fb de l’INPDP.

2. La Poste Tunisienne signe avec l’INPDP.

3. IUC, pourra-t-on éviter le pire ?.

4. Données personnelles : La CJUE invalide le Safe Harbor des Etats-Unis.

5. Présentation 27 août 2015.

6. EFF: how to respond to ‘I have Nothing To Hide’.

7. Page Fb évènement 22 octobre 2015.

8. Presentation 1 conf 22 oct 2015.

9. Presentation 2 conf 22 oct 2015.

10. Déclaration MTCEN 22 oct 2015.

11. Terrorisme et TIC: Carte Blanche à Ammar404.

12. IUC entre les mains du MI.