Chawki Gaddes, président de l’INPDP. Crédit photo : Euromed Rights

Tribune signée par les membres de l’IVD : Adel Maizi, Hayet Ouertani, Khaled Krichi, Mohamed Ben Salem, Oula Ben Nejma et Sihem Bensedrine

L’enjeu de toutes les mesures de protection prises par l’IVD était de protéger les données personnelles des victimes et éviter que leurs témoignages enregistrés ne tombent entre les mains des auteurs de violations et notamment des fonctionnaires de la police politique et seraient ainsi une source de représailles contre les victimes et les témoins. Ceux qui se sont élevés contre cette sécurisation, sous des prétextes divers, proposaient des mesures qui fragiliseraient la conservation de cette mémoire meurtrie.

S’éloignant de l’objectif déclaré d’exposer les problématiques de la conservation de la mémoire en lien avec la question des données personnelles, M. Chawki Gaddes s’est fendu d’une attaque en règle contre l’IVD en étalant des contre-vérités, lors de l’intervention qu’il avait faite dans une conférence tenue le 15 décembre sur la “Mémoire comme garantie de non-répétition.

L’IVD, soumise à l’obligation de déclaration préalable à l’INPDP?

Ce que le président de l’INPDP a considéré comme le point de départ d’une attitude « hostile », c’est le refus de l’IVD de se soumettre à l’article 7 de la loi 2004-63 qui stipule « Toute opération de traitement des données à caractère personnel est soumise à une déclaration préalable déposée au siège de l’instance ». En adressant une telle demande d’autorisation préalable à l’IVD pour traiter les données personnelles relevant de son champ de compétence, M. Gaddes a violé la loi qui exclut l’IVD des acteurs soumis à cet obligation. En effet l’article 53 de la loi 2004-63 fait exception à toute autorité qui procède « aux poursuites pénales, ou lorsque ledit traitement s’avère nécessaire à l’exécution de leurs missions conformément aux lois en vigueur » (Art.53). Ce qui signifie en clair que l’IVD n’est pas concernée par ces mesures, par lesquelles il cherchait à s’octroyer une tutelle sur le traitement des données par l’IVD.

Et voici ce que dit l’article 54 de cette loi : « Le traitement réalisé par les personnes mentionnées à l’article précédent n’est pas soumis aux dispositions prévues par les articles 7, 8,(déclaration préalable déposée au siège de l’INPDP) 13 (traitement des données à caractère personnel relatives aux infractions, à leur constatation, aux poursuites pénales), 27, 28 (consentement exprès et écrit de la personne concernée si celle-ci est une personne incapable ou mineure), 37 (demande de rectification, de modification, de correction, ou d’effacement des données à caractère personnel.), 44 (collecte des données à caractère personnel opérée auprès des tiers n’est admise qu’avec le consentement de la personne concernée, de ses héritiers ou de son tuteur.) et 49 (traitement pour des fins historiques ou scientifiques). Comme elle n’est pas soumise aux dispositions de la quatrième section du cinquième chapitre de loi (Du traitement des données à caractère personnel à des fins de vidéo-surveillance.)

Mensonges à propos de l’absence d’audit de sécurité

Chawki Gaddes a affirmé (voir la conférence 2:40:42) que « l’IVD a refusé d’effectuer l’audit de sécurité (minute 2.40.42)… les données avaient une ouverture sur Internet…elle [l’IVD] devait faire des études de risques qu’elle n’a pas fait…l’IVD n’a pas sécurisé les données. Le communiqué de 2019 est la preuve que l’IVD n’était pas à la hauteur de ses responsabilités. » Si le président de l’INPDP avait pris la peine de s’informer auprès de la source, l’IVD lui aurait fourni cette information et il ne se serait pas exposé à diffuser des informations totalement erronées.

En janvier 2017, l’IVD avait lancé un appel d’offres pour un audit de sécurité externe de tout son système d’information, la mission a été accomplie par le cabinet qui a eu le marché et son rapport final a été soumis au Conseil de l’IVD en mai 2017. Ce rapport figure parmi les archives administratives transférées aux Archives nationales et les honoraires du cabinet figure dans le rapport financier de l’IVD publié sur son site. Cet audit était un audit organisationnel, technique et physique ISO 27002 et a concerné le processus de gestion des archives, des équipements actifs, des applications et des serveurs, conjointement à une analyse de risques.

L’IVD avait assuré la sécurité des applications développées, leur cryptage et des technologies performantes ont été mobilisées tels que la sécurisation des communications, l’immunisation des données, la gestion du codage et l’actualisation des serveurs web et des applications. Toutes les recommandations de ce rapport ont été prises en compte, dont la principale, qui était l’impératif d’externalisation d’une copie des données stockées dans le système d’information de l’IVD.

Auparavant, l’Instance avait entrepris deux missions d’audit externe avec l’appui du PNUD sur la base de données des victimes « Ifada » en décembre 2015 et en décembre 2016 par le biais de Huridocs, des experts spécialisés en base de données relatives aux droits de l’Homme basés à Genève,  afin de vérifier la sécurité de la base de données en deux phases. Les experts ont confirmé la haute qualité de la base de données « Ifada », sa fiabilité et son exploitabilité statistique (Voir le rapport final de l’IVD, volume I, chapitre 1.4).

Mensonges sur le transfert des données à l’étranger

Il n’a jamais été question pour l’IVD de transfert de données des victimes à l’étranger. Bien au contraire, l’Instance cherchait des solutions de conservation et de stockage sécurisées selon des normes internationales fournis par des prestataires fiables en Tunisie.

L’IVD avait déjà lancé en janvier 2018 un appel d’offres pour « la fourniture, l’installation et la mise en service d’une plateforme de sauvegarde, d’archivage et de consultation des fichiers vidéos de l’IVD ». Parmi la dizaine de fournisseurs qui ont retiré le cahier des charges, un seul avait déposé son offre auprès de l’IVD. L’appel a été relancé parce que manuel de procédures des achats de l’IVD prévoit de refaire l’appel d’offres afin d’avoir à choisir entre plusieurs fournisseurs et c’est ce qui a été effectué. Entre temps un tollé a été soulevé contre cette externalisation et une large campagne de dénigrement a été lancée contre l’IVD, prétendant que la plateforme (Cloud) se trouverait nécessairement à l’étranger et que cela menaçait la souveraineté nationale! Ceci en dépit du fait que l’appel d’offres précisait que parmi les conditions requises figurait la condition interdisant la sous-traitance et requérant  la nationalité tunisienne du fournisseur prévue par les articles 21 et 22 de la loi sur la JT.

En dépit du fait que le directeur du système d’information de l’IVD avait précisé alors que « l’appel d’offres a été lancé par nécessité  de se conformer aux standards internationaux en matière de sécurité informatique », notamment du fait du caractère sensible des informations stockées et déclaré : « L’IVD doit externaliser ses données sur un autre serveur, en assurant un lien sécurisé en cloud entre les deux. Et ce, afin de pallier aux menaces de pertes ou d’altération des données collectées et stockées sur nos serveurs, en cas d’incendie par exemple ».

Il est regrettable de révéler que le président de l’INPDP a été à l’origine de cette campagne. Ce dernier a même porté plainte contre la société OVH qui héberge le site Internet de l’IVD pour avoir « hébergé des données personnelles » et de se préparer à les transférer à l’étranger sans l’autorisation de l’INPDP (sic!) alors que le site de l’IVD ne contient que des données publiques et que même la messagerie de l’IVD était stockée en interne et non chez le fournisseur d’accès qui, précisons-le, ne participait pas à l’appel d’offres.

Cette campagne a freiné les soumissionnaires qui ont été réticents à soumettre leurs offres à l’Instance, malgré la publication de l’appel d’offre à deux reprises. L’IVD avait été obligée alors de recourir à une solution alternative qui consiste à acquérir un serveur approprié et de le mettre en dépôt dans un Data centre basé en Tunisie, qui par ailleurs disposait de serveurs Cloud aux normes de sécurité internationales. C’est ce qui fut finalement effectué. Le serveur qui contenait 80 Terabytes de données vidéo a été déposé dans ce Data centre (et non au domicile de la Présidente comme certaines rumeurs malveillantes se plaisent à le répéter) jusqu’en décembre 2019, date de son transfert au Chef du gouvernement sous l’autorité d’un huissier notaire désigné par le premier président du tribunal de première instance de Tunis par une ordonnance sur requête.

Mais pour M. Gaddes, tout cela ne suffit pas et il donne pour preuve de la non conformité le fait que les données ont été hackées, en se référant au communiqué du 19 mars 2019. Il ajoute « Si le système d’information a été hacké, cela signifie qu’il n’était pas protégé. et que le hacker a pris une copie, donc toutes les données personnelles sont dans la nature. »

Tout d’abord, le communiqué du 19 mars 2019 informe le public que le Data centre de l’IVD a subi une attaque informatique qui a détruit les applications de « réparations, d’investigations, du bureau d’ordre et des finances », c’est-à-dire les applications qui servaient à établir le registre final des victimes. Le communiqué n’a pas évoqué le serveur de stockage des vidéos des victimes, car à cette époque, l’IVD était en liquidation et ce serveur était déconnecté du data centre puisque l’IVD ne s’en servait plus.

Gaddes a prétendu dans son exposé être « un juriste et un informaticien». Il est légitime de se poser la question d’où « l’informaticien » qu’il est, tient-t-il que ne peuvent subir d’attaque informatique que ceux qui n’assurent pas de protection de leur système? Est-ce que la NASA ou le Pentagone qui ont subi des cyberattaques sont des irresponsables qui ne protègent pas leurs données ?

Il a également prétendu que nos serveurs étaient connectés à l’Internet. D’où tient-t-il cette information ? Or une règle de base de tout système que l’IVD a strictement appliqué est la séparation de l’Internet et des serveurs où sont stockés les données, ce que l’audit sécurité a confirmé.

Autre question, d’où tient-il que les hackers ont pris une copie des vidéos des victimes et qu’ils sont aujourd’hui « dans la nature » ? Sait-il que pour copier 80.000 gigabytes il faut plusieurs jours (temps qu’il a fallu à l’IVD pour copier ces vidéos dans le serveur externalisé)? Or l’attaque a duré seulement quelques heures avant que l’équipe de la DSI n’intervienne et que l’attaque a consisté à effacer les données des serveurs « réparations », « investigations », bureau d’ordre et « finances », actifs à ce moment!

Gaddes coupable de complicité d’occultation de preuves

C’est en s’appuyant sur ses préjugés sur les performances de l’IVD que le président de l’INPDP a ouvertement reconnu qu’il a violé la loi sur la justice transitionnelle en émettant un avis appelant le ministère de la Santé à ne pas donner accès à l’IVD à des rapports d’autopsie de médecine légale. Il a déclaré : « Bien que la loi ne donne aucune limitation d’accès à l’IVD à toutes les données, la loi 2004-63 énonce qu’on ne fournit des données qu’à une personne capable de la protéger. Nous avons considéré dans l’avis 51 (que je considère comme historique) que selon la loi 63, l’IVD n’a pas la capacité de protéger les Données en sa possession, ce qui la rend inapte à accéder aux documents demandés. » (voir la conférence. 2:35:40 – 2:38:00)

En donnant cet avis, M. Gaddes a privé l’IVD, en tant qu’autorité en charge des poursuites, ainsi que les ayant droits des victimes qui ont déposé des plaintes pour mort sous la torture, de disposer des rapports d’autopsie prouvant la complicité de certains médecins de la médecine légale, en occultant les preuves dans les assassinats et ainsi de transférer les actes d’accusation à la justice spécialisée avec les preuves. Ce faisant, ce n’est pas la « dignité des victimes » qu’il prétend avoir protégée, mais l’impunité des auteurs de violations qui risquaient d’être confondus. Il se rend ainsi coupable d’entrave à la justice.

Alors qu’il ne bénéficie pas de l’indépendance organique de son autorité de tutelle, M. Gaddes se pose en Autorité de tutelle de l’IVD, et se donne une nouvelle compétence, celle de modifier l’esprit et la lettre de la loi et d’apprécier si l’accès devrait ou non être ouvert et à quelle condition. Or la loi organique 2013-53 ne prévoit aucune conditionnalité d’accès : « Art. 40 – Pour accomplir de ses missions, l’instance dispose des prérogatives suivantes : – l’accès aux archives publiques et privés nonobstant toutes les interdictions prévues par la législation en vigueur… – l’exigence de lui communiquer les documents ou informations détenues par les pouvoirs judiciaire et administratif ainsi que par les instances publiques ou toute personne physique ou morale ». Tandis que l’article 66 stipule : « Est passible d’une peine de six mois d’emprisonnement et d’une amende d’un montant de deux mille dinars, toute personne qui…entrave délibérément les travaux de l’instance »

L’IVD coupable d’avoir une base de données et un registre des victimes ?

L’IVD aurait commis selon M. Gaddes deux manquements à la loi, le premier en refusant d’anonymiser sa base de données et en l’informatisant.

Ainsi si l’on suit le raisonnement de M. Gaddes, notre base de données « ne devait pas être informatisée ». Peut-être aurait-il préféré que l’IVD se noie dans 63.000 dossiers papier ! Et ainsi, elle n’aurait jamais pu venir à bout de sa mission !

S’agissant de l’anonymisation de la base, peut-il nous dire comment le registre des victimes que l’IVD doit établir en vertu de l’article 39 de la loi serait élaboré sans noms et comment les décisions de réparations individuelles seraient définies et surtout comment les actes d’accusations seraient instruits? Ainsi, la liste des blessées et martyrs de la révolution ne devrait pas être publiée puisqu’elle comprend des données personnelles comme le nom et le prénom des victimes.

Et le second manquement qui aurait motivé une plainte en justice qu’il a enrôlé, c’est que l’IVD s’est abstenue d’informer de la cessation de ses activités l’INPDP, « seule autorité qui a compétence de dire que doit-on faire avec les documents de l’IVD » et « L’IVD ne nous a pas informés, et nous avons porté plainte en justice contre cette infraction le 11 janvier 2019. »

Encore une fois, si M. Gaddes avait pris la peine d’en discuter avec l’IVD nous lui aurions appris que l’article 61 de la loi 2004-63 stipule « Les personnes mentionnées à l’article 53 de la présente loi doivent détruire les données à caractère personnel si le délai de leur conservation déterminé par les lois spécifiques a expiré ou si le but pour lequel elles ont été collectées a été réalisé. Il en est de même si lesdites données ne sont plus nécessaires à l’activité poursuivie selon les lois en vigueur. »

Par ailleurs, l’article 24 de la loi 2004-63 énonce que le responsable du traitement des données à caractère personnel ou le sous-traitant qui envisage de cesser définitivement son activité doit en informer L’INPDP trois mois avant la date de la cessation d’activité. L’article 25 définit les cas où cette obligation vaut, il s’agit de cas de « décision de cessation, de décès ou de faillite ou en cas de dissolution de la personne morale » (Art. 25). Or l’IVD n’est dans aucun de ces cas de figures ; l’IVD a une mission limitée dans le temps par la loi (5 ans, Art.18) et non une décision de cessation d’activité ! La loi 2013-53 ne prévoit aucune obligation en lien avec l’INPDP qui est antérieure, sinon le législateur l’aurait spécifié dans l’article 68. Il ne faut pas s’étonner alors que le ministère public ait classé cette affaire sans objet.

Quelques questions en suspens

Cependant quelques questions mériteraient réponse de sa part. Est-ce que M. Gaddes s’est intéressé au sort des données personnelles contenues dans les serveurs et les ordinateurs de la Présidence après le départ de Ben Ali et qui les a prises un certain 15 janvier 2011?

A-t-il porté plainte contre le RCD ou l’ATCE qui ne l’ont pas informé de la cessation de leurs activités ?

Peut-il nous dire où sont stockées les données personnelles des caméras de surveillance placées sur la voie publique par le ministère de l’Intérieur ?

A-t-il cherché à s’enquérir du sort réservé aux données personnelles stockées par les hôpitaux et les banques tunisiennes avec le même enthousiasme dont il a fait montre à l’égard de l’IVD ? Peut-il nous dire quelle est la légalité de ses décisions et avec quel quorum il les a prises ?

Il reste enfin à s’interroger sur les motivations qui poussent M. Gaddes à mener ainsi campagne contre l’expérience tunisienne en justice transitionnelle et à détourner l’attention vers des actes de gestion pour mieux faciliter le travail de ceux qui cherchent aujourd’hui à annihiler les actes de mission de l’IVD et notamment les recommandations de réformes ainsi que les actes d’accusation qui sont aujourd’hui en train d’être examinées par les chambres spécialisées.

Quels enjeux autour de cette mémoire disputée ?

L’enjeu de toutes les mesures de protection entreprises par l’IVD était de protéger les données personnelles des victimes et éviter que leurs témoignages enregistrés ne tombent entre les mains des auteurs de violations et notamment des fonctionnaires de la police politique et seraient ainsi une source de représailles contre eux. Ceux qui se sont élevés contre cette sécurisation, sous des prétextes divers, proposaient des mesures qui fragiliseraient la conservation de cette mémoire meurtrie.

S’agissant de près de 50 000 auditions secrètes où il y a eu des dénonciations nominatives relatives aux violations de droits humains et de corruption, l’IVD avait de sérieuses raisons de craindre un détournement de cette mémoire très sensible au profit de desseins obscurs, d’autant que de nombreuses personnes citées sont aujourd’hui encore influentes dans les rouages de l’Etat, puisqu’il n’y a pas eu de filtrage de l’administration.

Certaines institutions, comme les Archives nationales (qui n’ont pas d’autonomie juridique et relèvent du Premier ministère, tout comme l’INPDP), se sont prêtées à des manipulations de certaines archives audiovisuelles et ont transféré à l’IVD des documents altérés relatifs aux victimes de la révolution du Comité Bouderbala, tout comme ils ont occulté les enregistrements des auteurs de violations qui devaient servir à leur mise en examen par l’IVD, affirmant qu’ils ne les ont pas reçu du Comité Bouderbala. Ce dernier affirmant le contraire.

Il n’existe aujourd’hui aucune institution indépendante capable de gérer cette mémoire et l’IVD avait recommandé dans son rapport final de les confier soit à un Institut de la mémoire prévu par la loi sur la justice transitionnelle, soit à l’Instance constitutionnelle des droits de l’homme qui n’a pas encore été instituée.

L’IVD a l’obligation légale de protéger la mémoire des victimes et des témoins. C’est la raison pour laquelle, l’IVD a pris ses responsabilités et a placé le serveur contenant ces enregistrements sous scellés et les a confiés au chef du gouvernement afin de les protéger de toute manipulation, altération ou de tout usage de représailles. Il s’agit d’une décision souveraine d’une Autorité publique de l’Etat qui a force de loi après sa publication au JORT et personne n’est autorisé à la travestir pour manipuler cette mémoire qui dérange tant.