Le professeur de droit constitutionnel et président de l’Instance nationale de protection des données personnelles (INPDP), Chawki Gaddes, a accordé à Africanmanager une interview exclusive où il a évoqué plusieurs points importants dont le nouveau projet de loi sur la protection des données personnelles, l’ensemble des sanctions prévues dans le cadre de cette nouvelle loi, les dépassements et les infractions relevées par l’instance ainsi que les parties qui sont y impliquées…
La Tunisie est en train de mettre en place une nouvelle loi sur la protection des données personnelles, où en est-on actuellement ?
On fait évoluer notre cadre juridique pour qu’il soit conforme aux normes européennes et aux normes de protection sur le plan international. Il était donc nécessaire de faire progresser la loi organique numéro 63 du 27 juillet 2004 relative à la protection des données personnelles. Cette loi souffrait de lacunes et défaillances qui rendent certaines dispositions obsolètes et inapplicables.
Le nouveau projet de loi se veut conforme aux dispositions de la Convention 108 du Conseil de l’Europe sur la protection des données personnelles mais aussi du nouveau Règlement général européen en la matière qui devrait entrer en vigueur en mai 2018. La Tunisie a déposé en juillet dernier les instruments de ratification de la convention auprès du conseil de l’Europe et nous deviendrons membre le premier novembre prochain.
Quelles sont les principales caractéristiques de cette loi européenne et leur impact sur la législation nationale ?
Ce règlement général européen est, contrairement à la convention 108 (elle n’est obligatoire que pour les États qui la ratifient), une loi générale approuvée par le Conseil et le Parlement européens. Cette nouvelle loi entrera en vigueur en mai 2018 dans tous les États sans qu’il soit nécessaire d’en faire une loi nationale. À partir de cette date, les lois nationales des États protégeant les données personnelles seront remplacées par le RGPD.
À partir de mai 2018, la norme de protection des données personnelles sera le règlement européen et plus la convention 108. Et c’est pour cela qu’on a dit qu’il est aujourd’hui nécessaire de faire évoluer la loi tunisienne pour qu’elle soit conforme à ce règlement.
Il n’était dans cette situation plus possible de réviser la loi nationale, trop lointaine des normes internationales actuelles. La seule solution était de concevoir un nouveau projet de loi qui se conformerait au contenu du règlement européen.
Quel rôle aura l’instance dans ce sens ?
Dans tous les pays du monde, l’instance de protection jouit d’une indépendance nécessaire à son action ; elle autorise les traitements des données, contrôle, réglemente et se transforme en un tribunal en cas de dépassement ou de transgression de la loi. Elle joue ces rôles car elle est spécialiste en la matière.
Toutes les instances sont libres et indépendantes dans leur action, elles appliquent la loi et sanctionnent les violations, comme des tribunaux. C’est dans ce dessin que sera créé au sein de l’instance un comité des sanctions qui sera présidé par un magistrat et qui sera tenue de respecter les droits de la défense.
Il est vrai que le montant des sanctions financières a paru trop important pour les structures consultées. En effet il peut aller jusqu’à 4% du chiffre d’affaires de l’exercice précédant. Mais ce n’est pas notre invention, c’est ce que le RGPD institue. Les autorités européenne ont appris pendant ces trente dernières années que la seule manière de faire respecter les normes dans le domaine de la protection des données par les entreprises de plus en plus omnipotentes sur le plan économique c’est de taper fort. Regardez la dernière sanction de l’autorité espagnole contre Google vous comprendrez.
Dans tous les cas les 4% sont une limite maximale et qui reste modulable suivant la gravité de la violation constatée..
L’instance a déposé des plaintes entre autres contre cinq cliniques privées. Où en est-on dans ces dossiers ?
L’instance transmet continuellement des dossiers au Procureur de la République. L’article 77 de la loi de 2004 lui impose de le faire chaque fois qu’elle constate une violation des normes de protection.
Dans ce cadre, elle a transmis, en juin 2016, 15 dossiers très importants sur des structures publiques et privées récalcitrantes. Ce sont entre autre les caisses sociales (CNRPS et CNSS ) mais aussi des cliniques et un hôpital régional, sans oublier la STEG. Les requêtes ont été transmises à la Garde nationale pour mener les investigations. Pourtant leur traitement n’imposait pas cette procédure. En effet, les responsables du traitement des données personnelles doivent accomplir les procédures préalables obligatoires devant l’instance. Ces structures refusent de le faire, l’instance atteste de l’absence de procédure, la violation est ainsi consommée et constatée, il n’y a plus de raison d’enquêter. Les dossiers auraient dû être très transmis depuis juin 2016 pour jugement. La garde nationale ne répondra pas au procureur avant deux années !!! Pendant lesquelles ces structures continueront de violer en toute impunité la loi.
A présent les choses vont plus vite avec le procureur de la République ?
Oui c’est de plus en plus fluide. On a transmis dernièrement le dossier d’une société de service informatique qui mettait en vente une base de données de citoyens avec leurs noms et prénoms et leurs numéros de téléphone. Le dirigeant de la société faisait cette annonce sur sa page LinkedIn et s’enorgueillit du fait que c’était la base de Tayara.tn !!!
On a envoyé des dossiers à plusieurs autres procureurs qui ont eu une démarche rapide en transférant le dossier pour jugement. C’est le cas de Sfax ou dernièrement le Kef.
D’autres structures ont rapidement régularisé leurs situations et leurs dossiers ont été classés auprès du procureur qui avait été saisi : c’est le cas de la CNAM, de Tunisair ou de TLS contact…
Quelles sont les décisions qui peuvent être prises à l’encontre des personnes violant la loi ?
Selon l’article 90, le premier dirigeant de ces institutions risque un mois de prison et une amende de 5 mille dinars. C’est vrai qu’il est difficile de mettre des PDG en prison mais le juge trouvera sûrement le moyen de moduler la sanction. En dire plus que cela serait une immixtion dans le travail de la justice. Par contre on rappellera que l’article 53 du code pénal est une loi ordinaire et générale alors que l’article 90 est une loi organique et spéciale. Donc les juges devraient lui donner la priorité. Et là plus de doute : la sanction fera mal et servira d’exemple aux récalcitrants. C’est la démarche à suivre dans un État qui se veut de droit.
Vous recevez beaucoup de plaintes ?
Oui de plus en plus, mais le problème est qu’on n’a pas les moyens humains pour les traiter. Nous sommes trois personnes à l’instance pour traiter ces dossiers. On n’a ni des compétences ni des agents assermentés.
La majorité des plaintes portent sur la vidéo surveillance, des SMS ou des données personnelles transmises à la justice d’une manière illégale. Dernièrement on a eu à statuer sur un opérateur d’hébergement de données qui transférait des données en dehors du territoire national sans avoir le consentement des clients et sans l’autorisation de l’instance. Le dossier nous a été renvoyé par le procureur, il demandait que le plaignant dépose sa plainte directement auprès du tribunal !!!
Aujourd’hui, aucune décision de justice sanctionnant des dépassements dans la protection des données personnelles n’a été rendue.
Vous ne pensez pas que la sanction de 4% du chiffre d’affaires d’une entreprise est disproportionnée ?
Oui, mais on s’est rendu compte à travers le monde qu’il y avait énormément de bénéfices générés par le traitement des données personnelles au profit des entreprises.
C’est pour cela que chaque entrepreneur violant la loi doit payer des sommes qui font mal et seraient dissuasives. L’objectif n’est pas la sanction en soi mais que celui qui traite les données personnelles soit responsable car une amende de 4% peut mener à la faillite.
Quant est-ce que le projet de loi sera approuvé ?
Le 12 octobre prochain un workshop sur le projet aura lieu pour faire les derniers réglages sur le nouveau projet de loi. Il devra par la suite, fin octobre, être soumis à un conseil ministériel pour passer en novembre à l’ARP. Avec cette loi, la Tunisie sera le premier pays arabe ayant une loi conforme aux normes européennes. Cette action aidera à faire de la Tunisie une plate-forme de services aussi bien pour l’Afrique que l’Europe, c’est ma conviction profonde.
À l’échelle nationale, les gens commencent à parler de la protection des données personnelles. Beaucoup de plaintes sont reçues par l’instance dans ce sens. Le processus pour rendre cette loi plus effective bloque aux portes de la justice. Mais la concertation permettra avec le temps de dépasser ce blocage.
Vous êtes satisfait du budget alloué à l’instance ?
On ne peut pas demander un budget alors qu’on n’a pas les moyens humains pour le dépenser. L’argent sert à réaliser des actions. Pour cela il faut du personnel. L’instance n’en a pas, on n’est que trois pour gérer les affaires de l’instance.
On n’est jamais arrivé durant les six premières années de gestion à dépenser plus de 50% du budget alloué à l’instance. Le reste est reporté d’une année à l’autre. C’est inutile d’en demander encore plus alors qu’on n’a pas les moyens pour réaliser des actions.
Pour donner un exemple. On devait réaliser un site web, on n’a pas les compétences pour cela, donc c’est le président qui a réalisé le cahier de charge, c’est lui et l’agent comptable avec le secrétaire général qui ont dépouillé les offres. C’est le président qui travaille avec la société pour la réalisation du site aussi bien au niveau de la forme que du contenu. Une fois le site en ligne, le président sera le webmaster.
Est-ce normal ? Bien sûr que non… C’est pour cela que l’on demande les fonds que l’on peut consommer en restant convaincus que l’Etat ne peut aller plus loin au vu de sa situation financière et que les instances indépendantes doivent trouver la voie vers les ressources propres de nature à leur donner plus d’indépendance
