Dès le 25 mai 2018, la protection des données privées des résidents européens sera régie par une nouvelle loi : le Règlement général sur la protection des données. Si cette nouvelle loi fait trop parler d’elle, c’est à cause de son caractère extraterritorial : le RGPD s’applique à toutes les entreprises qui traitent des données de résidents européens ― où qu’elles soient dans le monde !
Les entreprises tunisiennes seront, de ce fait, concernées par l’application de la nouvelle réglementation ; ceci sera vrai même pour celles évoluant exclusivement sur le territoire national. Les banques, par exemple, seront amenées à se conformer à la nouvelle loi puisqu’elles comptent parmi leurs clients des Tunisiens résidents en Europe (le RGPD protège les données de tous les résidents de l’Union européenne et ne se limite pas aux citoyens européens). Idem pour les cliniques, les hôtels et toute autre entreprise collectant ou traitant des données à caractère personnel de résidents européens.
De même, étant donné que la loi tunisienne de protection des données personnelles est non conforme aux exigences européennes, la délocalisation du traitement des données vers la Tunisie “ne se fera plus avec les mêmes facilités qu’auparavant”, a déclaré Chawki Gaddes, président de l’Instance nationale de protection des données personnelles, lors d’un entretien avec Le Manager. En effet, un organisme “ne pourra transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de droit effectives”, stipule l’article 46 du RGPD. Ces “garanties appropriées” sont complexes et nécessitent souvent l’approbation d’une autorité de contrôle européenne.
Les entreprises tunisiennes souhaitant se conformer à la nouvelle réglementation doivent, entre autres, assurer la sécurité des données stockées et renforcer la protection de leurs systèmes d’information contre les vols et les pertes des données. “Il faut mettre en place des dispositifs de sécurité et de sauvegarde et effectuer des audits pour s’assurer de l’absence de toute faille susceptible d’exposer les données traitées”, a indiqué au Manager Sahbi Gargouri, président de la Chambre syndicale des centres de contact. “Toutes ces mesures nécessitent des investissements considérables”, a-t-il ajouté.
Toutefois, Gargouri a souligné l’importance de se conformer aux exigences de la loi: “Entre deux entreprises à prix et à qualité identiques, un client optera toujours pour celle en conformité avec le RGPD”, insiste-t-il.
En cas de violation, les entreprises peuvent se voir infliger une amende pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ― le montant le plus élevé étant retenu.
Les principes de base du RGPD
Le guide présenté ci-après résume les principes sur lesquels se base la nouvelle loi afin de mieux assimiler la réglementation.
Données à caractère personnel
Les données qui ne sont pas associées à un individu donné ne sont pas concernées par le RGPD. Exception les données réassociables avec l’ individu ,telles que les publications sur les réseaux sociaux, ou encore les antécédents médicaux, etc. Le RGPD précise que les entreprises ne sont pas les propriétaires de ces données, elles ne font que les gérer tout en mettant en place l’infrastructure nécessaire pour assurer leur sécurité. Les entreprises seront également tenues de supprimer ou de corriger les données qu’elles détiennent sur une personne dès la réception d’une demande effectuée par l’utilisateur.
Consentement
Les conditions de consentement ont été renforcées dans la nouvelle loi. La demande de consentement et les conditions d’utilisation doivent être claires et succinctes, en utilisant un langage simple et compréhensible. Les entreprises sont tenues de spécifier le but de traiter les données jointes à ce consentement. Il doit être aussi facile de retirer son consentement que de le donner.
Notification de violation
En vertu du RGPD, la notification de l’autorité de contrôle de violation des données (vol, perte, …) deviendra obligatoire sous les 72 heures car elle est susceptible de porter atteinte aux droits et aux libertés des individus. Les responsables du traitement des données seront également tenus d’informer leurs clients après avoir pris connaissance de leur violation.
Droit d’accès
Le RGPD donne aux utilisateurs le droit d’obtenir, gratuitement, une copie des données à caractère personnel qui les concernent. La loi précise que ces données doivent être fournies dans un format couramment utilisé et lisible par la machine. Ceci vise à permettre aux utilisateurs d’un service de migrer facilement à un service concurrent sans risquer de perdre leurs données.
Droit à l’oubli
Également connu sous le nom de Data Erasure, le droit à l’oubli permet à la personne concernée d’effacer les données personnelles qui la concernent et d’exiger la cessation de la diffusion de ces informations ainsi que la suspension du traitement des données par des tiers. Les conditions d’effacement, telles qu’énoncées à l’article 17, ont trait au fait que les données ne sont plus pertinentes pour les fins auxquelles elles ont été colectées, ou que les personnes concernées retirent leur consentement.
Privacy by design
La protection de la vie privée doit être pensée dès la conception du service ou du produit. Ce concept qui existe déjà depuis des années est désormais une exigence légale du RGPD. À la base, la protection de la vie privée exige, sa prise en considération dès la conception de tout système qui intègre des données. Il ne s’agit pas de l’ajouter à un moment ultérieur. L’article 23 prévoit ainsi que les contrôleurs ne conservent et ne traitent que les données absolument nécessaires à l’accomplissement de leurs tâches (minimisation des données), ainsi que la limitation de l’accès aux données personnelles à ceux qui ont besoin d’effectuer le traitement.
Agents de protection des données
Dans le cadre du RGPD, il y aura des obligations internes de tenue des registres, et la nomination des Data Protection Officer (DPO) ne sera obligatoire que pour les contrôleurs et transformateurs. Les activités principales de ces derniers consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées, des catégories des données ou des données relatives aux condamnations et infractions pénales.
