Nouvelle législation sur les données personnelles
L’entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles et l’évolution de la réglementation nationale en la matière ont fait l’objet d’une rencontre professionnelle au siège de Sopra HR. L’avocate Emna Krichène a présenté un exposé exhaustif sur le sujet. Compte rendu.
Date à retenir pour les entreprises tunisiennes : 25 mai 2018. C’est la date d’entrée en vigueur en Europe du Règlement Général de Protection des Données (RGPD) qui constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel.
L’Europe se protège
Cette nouvelle législation vise à protéger la vie privée des citoyens européens à l’ère de la migration massive des données personnelles vers le cloud. Les données personnelles — toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement — sont collectées massivement et soumises à tous types de traitements automatisés. Les gouvernements s’en servent à des fins de surveillance des citoyens et les entreprises dans le marketing à très haute granularité. C’est d’ailleurs la raison pour laquelle plusieurs entreprises, à l’instar de Google, Facebook ou LinkedIn, se permettent aujourd’hui d’offrir leurs services gratuitement: le but est de collecter le maximum de données. Ces dernières seront par la suite “vendues” aux annonceurs.
En quoi cette réglementation européenne intéresserait-elle les entreprises tunisiennes? Parce qu’en plus des entreprises européennes, la RGPD dispose d’un champ d’application particulier. Toute entreprise, même celles implantées au-delà des frontières de l’Union Européenne, traitant des données personnelles de résidents européens doit se conformer à cette nouvelle réglementation, a expliqué Emna Krichène. Ainsi, la libre circulation des données personnelles en dehors de l’Union Européenne sera permise uniquement vers les pays se conformant à certains critères. Il s’agit notamment de l’État de droit, du respect des libertés fondamentales, de l’application d’une législation pertinente liée à la protection des données personnelles, de l’existence et le fonctionnement effectif d’une instance indépendante et des engagements internationaux pris par les pays.
La Tunisie, selon les responsables européens, ne fait toujours pas partie de cette catégorie. Cette non-adéquation est due, d’après l’avocate, à un manque d’indépendance de l’INPDP et la non-soumission des autorités publiques à la législation relative à la protection des données personnelles. Dans le cas de pays non-adéquats, la loi a prévu des mécanismes permettant aux entreprises européennes d’y transférer les données à caractère personnel, visant à assurer la protection de la confidentialité de ladite data. Parmi ces outils, Maître Krichène a cité les Binding Corporate Rules (BCR) qui sont un ensemble de règles contraignantes pour le transfert intra-groupe des données, vers des entités (du même groupe) qui sont dans des pays non-adéquats.
Ces BCR doivent être mises en place conformément à des référentiels qui seront émis par la commission en décembre 2017. Pour les échanges inter-entreprises (entre donneur d’ordre et sous-traitant, par exemple) les clauses contractuelles types peuvent être utiles.
“Pour faciliter les échanges, la meilleure configuration est d’être un pays faisant l’objet d’une décision d’adéquation et je pense que c’est le chemin qui a été engagé par l’INPDP”, a-t-elle déclaré. “L’adhésion à la convention 108 et au protocole 181 s’insère dans cette éventuelle perspective”. Il s’agit de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (datant de 1981), premier instrument international contraignant qui a pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données. Cette convention a été complétée par le protocole 181, couvrant l’établissement d’instances nationales de protection des données privées dans les pays européens, et régissant le transfert des données au-delà des frontières européennes.
La Tunisie se prépare
En Tunisie, une nouvelle loi sur la protection des données personnelles, désormais rédigée par l’Instance Nationale de Protection des Données Personnelles a fait l’objet de consultation nationale avant d’être soumise au Conseil ministériel prévu le 25 octobre dernier. Déposée à l’ARP, cette loi devrait être votée et entrer en vigueur en mai 2018. Ce projet de loi a été conçu en adéquation avec la réglementation de la Commission européenne, a déclaré Maître Krichène. Ainsi, il vient renforcer et préciser les droits déjà existants dans la loi de 2004, actuellement en vigueur.
Parmi ces droits, rappelle Emna Krichène, le droit d’accès des personnes concernées à leurs données, le droit à l’information (notifier la personne concernée de tout traitement envisagé sur ses données), le droit au consentement libre et le droit d’opposition au traitement (à quelques exceptions près). De plus, plusieurs nouvelles dispositions ont fait également leur introduction dans ce projet de loi, notamment le droit à l’oubli. Il se manifeste sous deux formes : la suppression de données qui pourraient nuire à la personne concernée, sur des actions passées (appelé aussi droit à l’effacement); et le retrait de références vers de telles informations sur les moteurs de recherche (baptisé droit à l’oubli ou droit au déréférencement). Mais pas uniquement ! “Un principe très important a été introduit par le nouveau projet: l’accountability”, a insisté Maître Krichène. Ce principe se manifeste par une responsabilisation des acteurs, et une co-responsabilité civile et pénale, a-t-elle expliqué à l’assistance.
Dans ce cadre, le projet de loi a prévu des pénalités en cas d’infraction, des sanctions pécuniaires importantes pouvant atteindre les 4% du chiffre d’affaires hors taxes du dernier exercice clos ! Et ce n’est pas tout : en cas de récidive, l’amende peut être doublée (avec un plafond de 4 millions de dinars). La loi a même prévu des peines privatives de liberté, “mais avec la possibilité de substitution par amendes”, a rassuré l’avocate. Autre point important : les sanctions de l’INPDP font l’objet d’une communication publique !
Toujours d’après le projet de loi, “les personnes morales publiques ou celles privées employant plus de cinquante employés ou traitant des données sensibles et effectuant un traitement des données à caractère personnel sont tenues de désigner un délégué à la protection des données à caractère personnel”.
Ce délégué, bien qu’employé de l’entreprise, doit être indépendant. Sa nomination doit faire l’objet d’une notification de l’INPDP, et sa démission ne peut se faire qu’après consultation avec l’Instance.
L’avantage d’avoir un DPO pour les entreprises, rétorque Emna Krichène, est que toutes les autorisations deviennent de simples déclarations. En ce qui concerne le transfert des données personnelles vers l’étranger, le projet de loi garde l’autorisation comme règle générale, avec notamment deux nouvelles exceptions, a noté l’avocate. En effet, les transferts vers les pays en adéquation (d’après une liste préparée et mise à jour par l’INPDP) et ceux effectués par des entreprises employant un délégué à la protection des données à caractère personnel (DPO, Data Privacy Officer) ne nécessitent qu’une déclaration.
Malgré tous ces efforts, le chemin de la protection des données personnelles est encore long.
