Tags Posts tagged with "INPDP"

INPDP

par -

Zied Saghari, vice-président d’Infotica, a déposé depuis quelques mois une plainte contre le bureau de l’OVH en Tunisie, société d’hébergement de sites web en France et en Europe. Il est encore en train de bouger pour qu’OVH soit sanctionnée. Il demande 50 millions de dinars de dommages et intérêts, mais la justice n’a pas encore tranché, précisons-le. Des concertations sont en cours avec les parties concernées comme l’Agence tunisienne de l’Internet (ATI) ou encore l’Instance Nationale des Télécommunications (INT) pour mettre un terme à ce qui est qualifié de dépassements de la part de cette société, mais aucune décision n’a encore été prise. Le bureau de l’OVH en Tunisie est accusé de transférer les données des citoyens à l’étranger. “Plusieurs correspondances lui ont été envoyées et des plaintes ont été déposées à son encontre mais en vain, la société fait la sourde oreille comme si rien n’a été fait”. C’est ce qui nous a été confié par plusieurs personnes en lien avec cette affaire. Le dossier est actuellement entre les mains de la justice et la société en question risque 1 an de prison et une amende de 5 mille dinars pour infraction à la loi de protection des données personnelles. Le personnel de ladite société risque aussi des sanctions, si la boîte est déclarée coupable par la justice…

Dans une déclaration à Africanmanager, le professeur de droit constitutionnel et président de l’Instance nationale de protection des données personnelles (INPDP), Chawki Gaddes, a indiqué que la plainte contre le bureau d’OVH en Tunisie pour traitement sans autorisation des données personnelles n’est plus du ressort de l’instance et que comme le stipule l’article 77 de la loi de 2004, il est obligé à chaque fois qu’il constate une violation des normes de protection de déposer une plainte auprès du procureur de la République. “Et c’est à la justice de trancher, et non plus à l’instance“, a-t-il dit.

Chawki Gaddes a par ailleurs indiqué qu’OVH Tunisie n’a pas jusqu’ici contacté l’instance ou déposé une demande pour avoir les autorisations préalables lui permettant d’utiliser les données personnelles des Tunisiens, pourtant la société avait été appelée, depuis le 2 août dernier, par un huissier notaire à mettre fin au transfert des données des Tunisiens en dehors du pays.

Contacté au téléphone par Africanmanager, Karim Hrech, président de la Chambre Syndicale Nationale des Sociétés de Service et d’Ingénierie (travaille à Infotica) nous a, de son coté, assuré qu’OVH n’a pas respecté les procédures en vigueur et la réglementation en place en violant les normes de la protection des données personnelles. “Le dossier de l’OVH“, a-t-il dit, est actuellement entre les mains de la justice et aucun jugement n’a encore été rendu, pourtant les gérants risquent la prison et une amende de pas moins de 5 mille dinars.

Interrogé sur la position de la Chambre par rapport à cette affaire, Karim Hrech nous a indiqué que la structure s’attache à appliquer la loi et sanctionner toute personne ayant abusé des données personnelles des Tunisiens, conformément à la loi.

Il a en outre indiqué que la chambre avait déjà depuis l’année dernière contacté l’ATI pour arrêter sa collaboration avec OVH vu le contrat qui le lie à tous les hébergeurs, mais en vain, la société poursuit tranquillement ses activités.

Hrech nous a toutefois indiqué que selon les informations qu’il détient, OVH a récemment publié un communiqué où elle a annoncé qu’elle n’héberge plus les noms de domaines “.tn” : “Je ne sais pas si la société veut dire avec cette annonce qu’elle s’est retirée ou non“, a-t-il ajouté.

Contacté au téléphone, Saghari nous a confirmé les faits, faisant remarquer que le propriétaire d’OVH risque 1 an de prison et une amende de 5 mille dinars pour infraction à la loi de la propriété personnelle. Il nous a indiqué en outre qu’une réunion aura lieu mercredi prochain à l’INT pour discuter de cette affaire et prendre la décision qui s’impose, très probablement le retrait de son agrément, et c’est à partir de cette date que l’ATI pourra suspendre le contrat signé avec cet hébergeur de données, nous a expliqué Saghari.

Il a par ailleurs appelé à appliquer la loi et à prendre les mesures nécessaires contre cette société qualifiée de “corrompue” et qui ne cesse d’abuser des données personnelles des Tunisiens, selon ses dires.

Une source de l’ATI qui préfère garder l’anonymat nous a expliqué que l’ATI n’a pas le droit de suspendre un contrat d’hébergeur de données et que la seule partie qui est habilitée à le faire c’est l’INT.

Joint au téléphone par Africanmanger, le président de l’INT, Hichem Besbes, nous a déclaré que l’instance ne peut se prononcer sur aucune mesure prise par l’instance et que tout ce qui sera décidé sera publiée sur le site Web de l’organisme. Il a par ailleurs indiqué que le dossier est en phase d’étude et d’examen par l’instance et que selon l’article 74 du code des télécoms, l’instance doit réagir dans une première étape en envoyant un préavis, un ordre puis une amende financière. Après, si la société persiste dans la transgression de la loi, l’instance pourra retirer le contrat pour une période de trois mois, a assuré Hichem Besbes.

par -

Le nouveau projet de loi sur la protection des données personnelles, qui devrait prochainement passer au Conseil ministériel pour approbation, puis au Parlement, ne plait pas à tout le monde. Il semble que cette loi, dans la droite ligne des pratiques en la matière en Europe, n’a pas plu à la majorité des ministères et des structures ayant un rapport direct ou indirect avec l’instance qui en a la charge. À la Banque centrale par exemple, ce projet de loi a provoqué une forte réaction, contrairement  au ministère de l’Intérieur qui se veut coopératif et plus solidaire.
Le professeur de droit constitutionnel et président de l’Instance nationale de protection des données personnelles (INPDP), Chawki Gaddes, confirme le constat. Dans une interview exclusive accordée à Africanmanager, il a tenu à préciser que la BCT pense qu’elle a l’exclusivité du contrôle du monde des Finances, alors qu’il faut qu’elle admette que sa compétence est générale mais la protection des données personnelles est une question spéciale. “La règle juridique à ce propos est que le spécial déroge au général“, a dit Gaddes.

Gaddes a en outre indiqué que si la Banque centrale est chargée de jouer le rôle de contrôleur des institutions financières à travers ces agréments et l’édiction des circulaires, elle se limite aux opérations financières. Mais le contrôleur du traitement des donnes personnelles est la compétence de l’INPDP. “La Banque centrale elle-même est soumise au contrôle de l’instance dans son traitement des données personnelles des clients du système financier et bancaire.
La Banque centrale n’a jamais édicté aucune circulaire concernant la protection des données personnelles. Elle n’a pas entrepris les procédures obligatoires concernant la protection des données personnelles, pourtant elle y est soumise. Le Gouverneur de la Banque centrale a même refusé en 2016 de prendre une circulaire pour rappeler aux banques les normes de protection des données. La réponse était la suivante : ” Cela ne fait pas partie des prérogatives de la BCT” !!!”, s’est-il exclamé.

Il a par ailleurs indiqué que la Banque centrale est en train de travailler avec l’association des professionnels des banques sur un projet de circulaire qui traite des données personnelles, alors que l’instance n’a pas été consultée ou même informée. “Cette manière de voir explique les commentaires issus de la Banque centrale, et ils sont d’autant plus étonnants que le ministère de l’intérieur chargé de la sécurité nationale se retrouve plus réceptif et collaboratif. Mais l’instance sur ce plan prendra pour témoin des députés de la nation et avant demandera l’arbitrage du président du gouvernement“, a expliqué Gaddes.

S’agissant de la coopération entre l’Instance et le ministère de la Santé dans ce domaine, le président de ladite instance a affirmé qu’ils sont en train de relancer la coopération avec le département de la Santé, notamment avec la nomination d’un nouveau ministre à sa tête et avec qui on a eu à coopérer quand il était à la tête des Finances. Les données personnelles dans le domaine de la santé sont très sensibles et ont des répercussions même sur la souveraineté de l’État tunisien, sachant que plusieurs données sont transférées à l’étranger.
Toutes les actions dans le domaine de la santé posent des problèmes de protection des données. L’activité médicale, les analyses, les explorations, la recherche… doivent se soumettre aux normes de protection. A ce propos il est temps de penser sérieusement à rédiger et adopter en Tunisie un code de la santé. Aujourd’hui le corpus juridique dans ce domaine est lacunaire et dispersé à cause de la manière avec laquelle on a toujours agi au cas par cas et de manière isolée pour trouver des solutions aux problèmes ponctuels qui se posent“, a-t-il déclaré.

Interrogé sur la réaction du ministère de l’Intérieur, Chawki Gaddes a assuré que le département est parmi les rares structures consultées qui ne se sont pas opposées aux nouveautés du projet de loi. “On a même apprécié les demandes formulées par ce département concernant par exemple le prolongement de la durée de stockage des vidéos pour atteindre 60 jours au lieu de 30 jours pour des raisons sécuritaires, que je comprend bien.
Pour ce qui est de la proposition de faire de l’instance une juridiction de premier niveau statuant sur les violations des normes de protection, les oppositions nous ont paru très discutables. Premièrement parce que dans les expériences comparées, toutes les instances de contrôle agissent de cette façon car la violation des normes dans ce domaine ne peut s’adapter à la lenteur des processus juridictionnels, mais surtout parce que cette question est très pointue et seules les instances sont outillées pour statuer à leur propos. D’un autre côté, ces réserves sont d’autant plus inexplicables que la Tunisie a depuis des décennies institué des structures dotées de ce pouvoir juridictionnel. Pourtant personne n’est dérangé par cet état de chose. Il suffit de voir les pouvoirs dévolus par exemple à l’instance nationale des télécommunications ou le conseil du marché financier. Ces instances rendent des décisions de nature juridictionnelle qui sont susceptibles d’appel devant les tribunaux. Pourquoi alors s’étonner de voir l’INPDP en profiter ?“, s’est interrogé Gaddes.

par -

Le professeur de droit constitutionnel et président de l’Instance nationale de protection des données personnelles (INPDP), Chawki Gaddes, a accordé à Africanmanager une interview exclusive où il a évoqué plusieurs points importants dont le nouveau projet de loi sur la protection des données personnelles, l’ensemble des sanctions prévues dans le cadre de cette nouvelle loi, les dépassements et les infractions relevées par l’instance ainsi que les parties qui sont y impliquées…

La Tunisie est en train de mettre en place une nouvelle loi sur la protection des données personnelles, où en est-on actuellement ?

On fait évoluer notre cadre juridique pour qu’il soit conforme aux normes européennes et aux normes de protection sur le plan international. Il était donc nécessaire de faire progresser la loi organique numéro 63 du 27 juillet 2004 relative à la protection des données personnelles. Cette loi souffrait de lacunes et défaillances qui rendent certaines dispositions obsolètes et inapplicables.
Le nouveau projet de loi se veut conforme aux dispositions de la Convention 108 du Conseil de l’Europe sur la protection des données personnelles mais aussi du nouveau Règlement général européen en la matière qui devrait entrer en vigueur en mai 2018. La Tunisie a déposé en juillet dernier les instruments de ratification de la convention auprès du conseil de l’Europe et nous deviendrons membre le premier novembre prochain.

Quelles sont les principales caractéristiques de cette loi européenne et leur impact sur la législation nationale ?

Ce règlement général européen est, contrairement à la convention 108 (elle n’est obligatoire que pour les États qui la ratifient), une loi générale approuvée par le Conseil et le Parlement européens. Cette nouvelle loi entrera en vigueur en mai 2018 dans tous les États sans qu’il soit nécessaire d’en faire une loi nationale. À partir de cette date, les lois nationales des États protégeant les données personnelles seront remplacées par le RGPD.
À partir de mai 2018, la norme de protection des données personnelles sera le règlement européen et plus la convention 108. Et c’est pour cela qu’on a dit qu’il est aujourd’hui nécessaire de faire évoluer la loi tunisienne pour qu’elle soit conforme à ce règlement.
Il n’était dans cette situation plus possible de réviser la loi nationale, trop lointaine des normes internationales actuelles. La seule solution était de concevoir un nouveau projet de loi qui se conformerait au contenu du règlement européen.

Quel rôle aura l’instance dans ce sens ?

Dans tous les pays du monde, l’instance de protection jouit d’une indépendance nécessaire à son action ; elle autorise les traitements des données, contrôle, réglemente et se transforme en un tribunal en cas de dépassement ou de transgression de la loi. Elle joue ces rôles car elle est spécialiste en la matière.
Toutes les instances sont libres et indépendantes dans leur action, elles appliquent la loi et sanctionnent les violations, comme des tribunaux. C’est dans ce dessin que sera créé au sein de l’instance un comité des sanctions qui sera présidé par un magistrat et qui sera tenue de respecter les droits de la défense.
Il est vrai que le montant des sanctions financières a paru trop important pour les structures consultées. En effet il peut aller jusqu’à 4% du chiffre d’affaires de l’exercice précédant. Mais ce n’est pas notre invention, c’est ce que le RGPD institue. Les autorités européenne ont appris pendant ces trente dernières années que la seule manière de faire respecter les normes dans le domaine de la protection des données par les entreprises de plus en plus omnipotentes sur le plan économique c’est de taper fort. Regardez la dernière sanction de l’autorité espagnole contre Google vous comprendrez.
Dans tous les cas les 4% sont une limite maximale et qui reste modulable suivant la gravité de la violation constatée..

L’instance a déposé des plaintes entre autres contre cinq cliniques privées. Où en est-on dans ces dossiers ?

L’instance transmet continuellement des dossiers au Procureur de la République. L’article 77 de la loi de 2004 lui impose de le faire chaque fois qu’elle constate une violation des normes de protection.
Dans ce cadre, elle a transmis, en juin 2016, 15 dossiers très importants sur des structures publiques et privées récalcitrantes. Ce sont entre autre les caisses sociales (CNRPS et CNSS ) mais aussi des cliniques et un hôpital régional, sans oublier la STEG. Les requêtes ont été transmises à la Garde nationale pour mener les investigations. Pourtant leur traitement n’imposait pas cette procédure. En effet, les responsables du traitement des données personnelles doivent accomplir les procédures préalables obligatoires devant l’instance. Ces structures refusent de le faire, l’instance atteste de l’absence de procédure, la violation est ainsi consommée et constatée, il n’y a plus de raison d’enquêter. Les dossiers auraient dû être très transmis depuis juin 2016 pour jugement. La garde nationale ne répondra pas au procureur avant deux années !!! Pendant lesquelles ces structures continueront de violer en toute impunité la loi.

A présent les choses vont plus vite avec le procureur de la République ?

Oui c’est de plus en plus fluide. On a transmis dernièrement le dossier d’une société de service informatique qui mettait en vente une base de données de citoyens avec leurs noms et prénoms et leurs numéros de téléphone. Le dirigeant de la société faisait cette annonce sur sa page LinkedIn et s’enorgueillit du fait que c’était la base de Tayara.tn !!!

On a envoyé des dossiers à plusieurs autres procureurs qui ont eu une démarche rapide en transférant le dossier pour jugement. C’est le cas de Sfax ou dernièrement le Kef.
D’autres structures ont rapidement régularisé leurs situations et leurs dossiers ont été classés auprès du procureur qui avait été saisi : c’est le cas de la CNAM, de Tunisair ou de TLS contact…

Quelles sont les décisions qui peuvent être prises à l’encontre des personnes violant la loi ?

Selon l’article 90, le premier dirigeant de ces institutions risque un mois de prison et une amende de 5 mille dinars. C’est vrai qu’il est difficile de mettre des PDG en prison mais le juge trouvera sûrement le moyen de moduler la sanction. En dire plus que cela serait une immixtion dans le travail de la justice. Par contre on rappellera que l’article 53 du code pénal est une loi ordinaire et générale alors que l’article 90 est une loi organique et spéciale. Donc les juges devraient lui donner la priorité. Et là plus de doute : la sanction fera mal et servira d’exemple aux récalcitrants. C’est la démarche à suivre dans un État qui se veut de droit.

Vous recevez beaucoup de plaintes ?

Oui de plus en plus, mais le problème est qu’on n’a pas les moyens humains pour les traiter. Nous sommes trois personnes à l’instance pour traiter ces dossiers. On n’a ni des compétences ni des agents assermentés.

 La majorité des plaintes portent sur la vidéo surveillance, des SMS ou des données personnelles transmises à la justice d’une manière illégale. Dernièrement on a eu à statuer sur un opérateur d’hébergement de données qui transférait des données en dehors du territoire national sans avoir le consentement des clients et sans l’autorisation de l’instance. Le dossier nous a été renvoyé par le procureur, il demandait que le plaignant dépose sa plainte directement auprès du tribunal !!!

Aujourd’hui, aucune décision de justice sanctionnant des dépassements dans la protection des données personnelles n’a été rendue.

Vous ne pensez pas que la sanction de 4% du chiffre d’affaires d’une entreprise est disproportionnée ?

Oui, mais on s’est rendu compte à travers le monde qu’il y avait énormément de bénéfices générés par le traitement des données personnelles au profit des entreprises.

C’est pour cela que chaque entrepreneur violant la loi doit payer des sommes qui font mal et seraient dissuasives. L’objectif n’est pas la sanction en soi mais que celui qui traite les données personnelles soit responsable car une amende de 4% peut mener à la faillite.

Quant est-ce que le projet de loi sera approuvé ?

Le 12 octobre prochain un workshop sur le projet aura lieu pour faire les derniers réglages sur le nouveau projet de loi. Il devra par la suite, fin octobre, être soumis à un conseil ministériel pour passer en novembre à l’ARP. Avec cette loi, la Tunisie sera le premier pays arabe ayant une loi conforme aux normes européennes. Cette action aidera à faire de la Tunisie une plate-forme de services aussi bien pour l’Afrique que l’Europe, c’est ma conviction profonde.

À l’échelle nationale, les gens commencent à parler de la protection des données personnelles. Beaucoup de plaintes sont reçues par l’instance dans ce sens. Le processus pour rendre cette loi plus effective bloque aux portes de la justice. Mais la concertation permettra avec le temps de dépasser ce blocage.

Vous êtes satisfait du budget alloué à l’instance ?

On ne peut pas demander un budget alors qu’on n’a pas les moyens humains pour le dépenser. L’argent sert à réaliser des actions. Pour cela il faut du personnel. L’instance n’en a pas, on n’est que trois pour gérer les affaires de l’instance.

On n’est jamais arrivé durant les six premières années de gestion à dépenser plus de 50% du budget alloué à l’instance. Le reste est reporté d’une année à l’autre. C’est inutile d’en demander encore plus alors qu’on n’a pas les moyens pour réaliser des actions.

Pour donner un exemple. On devait réaliser un site web, on n’a pas les compétences pour cela, donc c’est le président qui a réalisé le cahier de charge, c’est lui et l’agent comptable avec le secrétaire général qui ont dépouillé les offres. C’est le président qui travaille avec la société pour la réalisation du site aussi bien au niveau de la forme que du contenu. Une fois le site en ligne, le président sera le webmaster.

Est-ce normal ? Bien sûr que non… C’est pour cela que l’on demande les fonds que l’on peut consommer en restant convaincus que l’Etat ne peut aller plus loin au vu de sa situation financière et que les instances indépendantes doivent trouver la voie vers les ressources propres de nature à leur donner plus d’indépendance

Le meilleur des RS

Il a été ministres, de l’industrie, de la Défense nationale, de la Santé publique et surtout illustre ministre de l’Economie et des finances en...

INTERVIEW

Habib Karaouli, PDG de la Banque d'affaires de Tunisie (BAT), récemment rebaptisée Capital African Partners Bank, a accordé à Africanmanager une interview exclusive où...

AFRIQUE

Le gouvernement angolais a revu à la hausse sa prévision de croissance pour le pays en 2018 selon le projet de budget de l’Etat....

Reseaux Sociaux

SPORT

L'entraîneur de l'ES Sétif, Kheïreddine Madoui s'est dirigé dimanche pour la Tunisie afin de rejoindre son futur club de l’Etoile sportive du Sahel, a...