Analyse juridique : la protection des données personnelles à la lumière du nouveau projet de loi

3 mois ago فريق بر الامان La rédaction de Barr al Aman 0

(NB: Cette traduction est proposée à titre indicatif, la version de référence et originale est en arabe)

En Tunisie, la notion de données personnelles a commencé à trouver sa place dans les textes juridiques depuis une vingtaine d’années avec l’amendement constitutionnel de 2002 qui a introduit la notion, pour la première fois, au sein de la constitution. Par la suite, c’est la loi 63/2004 – toujours en vigueur – qui a abordé les questions liées à la protection des données personnelles. L’arsenal juridique relatif à ce domaine a par la suite été renforcé par la ratification de la convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, et de son protocole additionnel n°181 concernant les autorités de contrôle et le flux international de données, et ce en vertu de la loi organique 42/2017 du 30 mai 2017.



Quelques évolutions salutaires

C’est dans ce contexte qu’intervient le nouveau projet de loi en amenant une panoplie de nouvelles procédures dans le domaine des données personnelles, en adéquation avec les transformations législatives internationales dans ce domaine. En effet, l’exposé des motifs du projet de loi met en lumière quelques aspects innovants, surtout au niveau des notions, par exemple les définitions des données sensibles, les données biométriques et les données génétiques qui n’ont pas été explicitées dans la loi actuelle.

On note l’abandon de la condition relative à la nationalité tunisienne pour les personnes physiques ou morales dans le traitement des données personnelles, en sus de l’incorporation de la notion d’identifiant unique du citoyen et de la mise en place d’un cadre juridique régissant les deux systèmes de surveillance visuelle sur la voie publique, par le biais des caméras fixes et portables. En outre, l’innovation concerne aussi l’organisation de l’Instance Nationale pour la Protection des Données Personnelles (INPDP). Celle-ci devient une instance publique indépendante dont le caractère juridictionnel est renforcé : elle fait office de tribunal de première instance dans les affaires liées aux questions administratives et financières, en plus des prérogatives de décision qui lui sont attribuées en sa qualité d’autorité de régulation dans le domaine de la protection des données personnelles.



Les lacunes du projet


En dépit des évolutions proposées dans ce projet de loi, la société civile et l’instance nationale d’accès à l’information n’ont pas manqué d’en observer des lacunes. Sur le plan de la forme, on note la non-consultation de l’Instance Nationale d’Accès à l’Information (INAI) lors des débats et ateliers de travail organisés par l’autorité de tutelle sur ce projet, d’autant plus que la loi relative à l’accès à l’information lui attribue explicitement cette prérogative. De plus, on note que l’instance, tout comme certaines composantes de la société civile, se sont opposées à la définition des données personnelles, celle-ci n’incluant pas une distinction entre la vie privée et la vie publique en ce qui concerne le droit d’accès à l’information.

En réalité, la définition proposée dans le projet de loi est en apparence alignée sur les différentes notions adoptées aussi bien dans les expériences comparées que dans les textes internationaux relatifs à la protection des données personnelles. Néanmoins, il serait pertinent de séparer ces deux catégories de données, surtout en ce qui concerne les procédures d’accès. C’est en effet une question à laquelle on peut proposer des amendements. Par ailleurs, il semble que plusieurs autres points demeurent flous, notamment le traitement des données personnelles qui figurent sur des bases de données ouvertes des autorités publiques. En effet, des cas semblables ont posé plusieurs problèmes juridiques dans le droit comparé en ce qui concerne le traitement des données personnelles par les autorités publiques, ou encore en rapport avec les bases de données ouvertes (L’open-data).


Propositions et recommandations

Il est nécessaire de bien distinguer les documents dont la publication par l’administration est obligatoire ou facultative. Même dans le cas de cette dernière catégorie, il faut fournir une protection totale aux données personnelles. De plus, il ne faut pas que la réutilisation des données figurant sur les documents administratifs contrevienne à l’intérêt général, d’autant plus que la protection s’applique aux documents achevés, et non pas sur les documents préparatoires ou en cours de réalisation. Par conséquent, il faut activer le processus de contrôle sur l’existence de données personnelles dans les documents administratifs à des étapes préliminaires de la préparation de ces documents.
Aussi, il est important de mettre en place des critères importants dans le domaine de la réutilisation des données personnelles par les structures publiques, notamment :
< La présentation d’un cadre juridique clair structurant le processus de protection des données personnelles.
< La limitation du volume de données ou la possibilité d’en réduire le nombre.
< La mise en place de procédures spéciales pour protéger les données personnelles considérées comme sensibles.
< Il faut que le processus d’analyse des données fasse l’objet de discussions entre la personne chargée de contrôler les données d’une part, et les personnes censées les utiliser ainsi que ceux.celles qui les manipulent, d’autre part. En l’absence d’un accord clair à ce sujet, il est possible de consulter l’instance chargée de la protection des données personnelles pour demander plus d’éclaircissements.

Dans ce cadre, il est possible de proposer un ensemble de recommandations dans le domaine du traitement des données personnelles par rapport aux autorités publiques, notamment :

1. Etablir un exposé justifié des motifs afin de publier tout ce qui peut être classé comme données personnelles sous forme de documents pour le public, tout en procédant à une « anonymisation » si nécessaire.
2. Poser un cadre juridique spécial en adéquation avec la diffusion de données personnelles dans les bases de données ouvertes (open-data) aux structures publiques.
3. Mettre en place un contrôle continu des données personnelles publiées sur internet ou réutilisées.
4. Exclure totalement les données personnelles de la liste des données sujette à l’autorisation d’utilisation ouverte.

Concernant ce qu’on appelle le droit à l’oubli, un certain nombre d’exceptions à ce droit ont été prévues dans l’article 27 du projet de loi. Néanmoins, plusieurs autres exceptions pourraient être envisagées sur la base des critères européens dans ce domaine, notamment les exceptions relatives au droit à liberté d’expression et des médias, ou encore dans le cas de l’exécution d’une mission importante liée à l’intérêt général.
Un dernier point nécessitera plus d’intérêt lors de la délibération au sein de la commission des droits et libertés. Il s’agit de reconsidérer des membres du conseil de l’instance, étant donné que la version actuelle prévoit un conseil restreint (un président et deux membres), ce qui ne permet pas une prise de décision participative au sein de l’instance.

Précisions terminologiques :
Les données biométriques : Ce sont les données personnelles résultant d’un traitement technique spécifique, relatives à des caractéristiques corporelles ou physiologiques d’une personne physique, et permettant de reconnaître son identité unique ou de la confirmer, telles que les photos de visage ou les données des empreintes digitales.
Le transfert à l’étranger : Permettre à la personne concernée par le traitement de transférer ses données personnelles d’un responsable du traitement à un autre responsable dans un pays étranger.
La surveillance visuelle : C’est la surveillance qui s’effectue à travers des instruments visuels fixes ou portables, faisant l’objet des législations en vigueur.