Un débat sur les défis liés à la conformité au RGPD, intitulé “Les défis de la conformité au RGPD: un moteur pour les échanges entre l’Union Européenne-Tunisie”, a été organisé conjointement par la Chambre de Commerce Tuniso-Belgo-Luxembourgeoise et la Chambre de Commerce & d’Industrie Tuniso-Suisse.

Chawki Gaddes, ancien président de l’Instance nationale de la protection des données personnelles (INPDP), met en avant l’importance d’aborder la question des données personnelles d’un point de vue culturel, avant même de considérer ses implications légales.

En effet, à dire vrai, outre la gouvernance des données, une culture robuste en matière de données repose sur des individus dotés des compétences nécessaires pour comprendre, partager et utiliser les données, ce qui constitue un élément essentiel pour résoudre les problèmes liés à la protection des données personnelles.

Selon le juriste Gaddes, cela représente également un secteur dynamique propulseur de l’économie.

Le débat a également permis de discuter de l’état d’avancement de la Tunisie en matière de conformité avec le RGPD, des défis à venir pour les entreprises du secteur numérique, ainsi que des opportunités d’évolution et d’innovation. Quelle stratégie l’État et les entreprises tunisiennes devraient-ils adopter pour se conformer à ce cadre juridique, sachant que la conformité peut se traduire par un avantage concurrentiel, une crédibilité accrue et une meilleure compétitivité pour la Tunisie dans le secteur des TIC, comme l’a souligné Rached Hachouch, SG CCITS. Et de poursuivre:” Le pourcentage des sanctions est plafonné à 5 % du chiffre d’affaires annuel d’une entreprise, et en termes monétaires, est plafonné à environ 4 millions d’euros.”

Chawki Gaddes a observé que dans le cas de la Tunisie, les entreprises se retrouvent pénalisées, étant contraintes de rester dans le pays et ne pouvant pas coopérer avec des partenaires étrangers, car ces derniers s’intéressent désormais à la conformité en matière de protection des données personnelles. Il a ajouté que la plupart des entreprises ne respectent pas les procédures de traitement des données personnelles, avec une mention spéciale pour les entreprises publiques, pointant du doigt leur non-respect de ces règles.

L’article RGPD: les solutions pour mettre votre entreprise en conformité est apparu en premier sur Managers.

L’Instance nationale de protection des données personnelles (INPDP) a révélé, hier, la violation des données personnelles de milliers d’étudiants et de centaines de structures d’enseignement supérieur.

En effet, les données personnelles relatives à 13 universités, 203 établissements publics d’enseignement supérieur et 72 établissements privés sont quotidiennement violées. Ce qui équivaut à 300 structures d’enseignement et à des milliers d’étudiants.

Ainsi, elle appelle les autorités de tutelle à intervenir pour protéger les données personnelles des étudiants et de tout le personnel travaillant dans le secteur de l’enseignement supérieur.

Il s’agit, prévient-elle, de violations répétées de la Constitution, des conventions internationales, de la loi et des décrets et circulaires organisant la protection des données personnelles.

L’INPDP appelle à cesser définitivement le recours aux services gratuits offerts par les plateformes étrangères comme Microsoft Forms et Google Forms pour collecter les données personnelles des étudiants, des enseignants et du personnel des établissements universitaires.

Elle invite les responsables à recourir au Centre Al-Khawarizmi ou à la direction de l’Informatique du ministère de tutelle afin de développer des plateformes spécifiques qui seront hébergées sur les sites des établissements concernés.

Elle rappelle également l’interdiction de publier les données personnelles des étudiants sur les réseaux sociaux et les sites web ouverts au public, comme l’intégralité du numéro de la carte d’identité nationale ou la date de naissance.

L’INPDP souligne, par ailleurs, qu’il faut une autorisation préalable délivrée par ses services pour l’installation de caméras de surveillance, insistant sur l’impératif de respecter les dispositions légales dans ce cadre.

L’article Violation de données personnelles de milliers d’étudiants est apparu en premier sur Managers.

Nouvelle législation sur les données personnelles

L’entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles et l’évolution de la réglementation nationale en la matière ont fait l’objet d’une rencontre professionnelle au siège de Sopra HR. L’avocate Emna Krichène a présenté un exposé exhaustif sur le sujet. Compte rendu.

Date à retenir pour les entreprises tunisiennes : 25 mai 2018. C’est la date d’entrée en vigueur en Europe du Règlement Général de Protection des Données (RGPD) qui constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel.

L’Europe se protège

Cette nouvelle législation vise à protéger la vie privée des citoyens européens à l’ère de la migration massive des données personnelles vers le cloud. Les données personnelles — toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement — sont collectées massivement et soumises à tous types de traitements automatisés. Les gouvernements s’en servent à des fins de surveillance des citoyens et les entreprises dans le marketing à très haute granularité. C’est d’ailleurs la raison pour laquelle plusieurs entreprises, à l’instar de Google, Facebook ou LinkedIn, se permettent aujourd’hui d’offrir leurs services gratuitement: le but est de collecter le maximum de données. Ces dernières seront par la suite “vendues” aux annonceurs.

En quoi cette réglementation européenne intéresserait-elle les entreprises tunisiennes? Parce qu’en plus des entreprises européennes, la RGPD dispose d’un champ d’application particulier. Toute entreprise, même celles implantées au-delà des frontières de l’Union Européenne, traitant des données personnelles de résidents européens doit se conformer à cette nouvelle réglementation, a expliqué Emna Krichène. Ainsi, la libre circulation des données personnelles en dehors de l’Union Européenne sera permise uniquement vers les pays se conformant à certains critères. Il s’agit notamment de l’État de droit, du respect des libertés fondamentales, de l’application d’une législation pertinente liée à la protection des données personnelles, de l’existence et le fonctionnement effectif d’une instance indépendante et des engagements internationaux pris par les pays.

La Tunisie, selon les responsables européens, ne fait toujours pas partie de cette catégorie. Cette non-adéquation est due, d’après l’avocate, à un manque d’indépendance de l’INPDP et la non-soumission des autorités publiques à la législation relative à la protection des données personnelles. Dans le cas de pays non-adéquats, la loi a prévu des mécanismes permettant aux entreprises européennes d’y transférer les données à caractère personnel, visant à assurer la protection de la confidentialité de ladite data. Parmi ces outils, Maître Krichène a cité les Binding Corporate Rules (BCR) qui sont un ensemble de règles contraignantes pour le transfert intra-groupe des données, vers des entités (du même groupe) qui sont dans des pays non-adéquats.

Ces BCR doivent être mises en place conformément à des référentiels qui seront émis par la commission en décembre 2017. Pour les échanges inter-entreprises (entre donneur d’ordre et sous-traitant, par exemple) les clauses contractuelles types peuvent être utiles.

“Pour faciliter les échanges, la meilleure configuration est d’être un pays faisant l’objet d’une décision d’adéquation et je pense que c’est le chemin qui a été engagé par l’INPDP”, a-t-elle déclaré. “L’adhésion à la convention 108 et au protocole 181 s’insère dans cette éventuelle perspective”. Il s’agit de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (datant de 1981), premier instrument international contraignant qui a pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données. Cette convention a été complétée par le protocole 181, couvrant l’établissement d’instances nationales de protection des données privées dans les pays européens, et régissant le transfert des données au-delà des frontières européennes.

La Tunisie se prépare

En Tunisie, une nouvelle loi sur la protection des données personnelles, désormais rédigée par l’Instance Nationale de Protection des Données Personnelles a fait l’objet de consultation nationale avant d’être soumise au Conseil ministériel prévu le 25 octobre dernier. Déposée à l’ARP, cette loi devrait être votée et entrer en vigueur en mai 2018. Ce projet de loi a été conçu en adéquation avec la réglementation de la Commission européenne, a déclaré Maître Krichène. Ainsi, il vient renforcer et préciser les droits déjà existants dans la loi de 2004, actuellement en vigueur.

Parmi ces droits, rappelle Emna Krichène, le droit d’accès des personnes concernées à leurs données, le droit à l’information (notifier la personne concernée de tout traitement envisagé sur ses données), le droit au consentement libre et le droit d’opposition au traitement (à quelques exceptions près). De plus, plusieurs nouvelles dispositions ont fait également leur introduction dans ce projet de loi, notamment le droit à l’oubli. Il se manifeste sous deux formes : la suppression de données qui pourraient nuire à la personne concernée, sur des actions passées (appelé aussi droit à l’effacement); et le retrait de références vers de telles informations sur les moteurs de recherche (baptisé droit à l’oubli ou droit au déréférencement). Mais pas uniquement ! “Un principe très important a été introduit par le nouveau projet: l’accountability”, a insisté Maître Krichène. Ce principe se manifeste par une responsabilisation des acteurs, et une co-responsabilité civile et pénale, a-t-elle expliqué à l’assistance.

Dans ce cadre, le projet de loi a prévu des pénalités en cas d’infraction, des sanctions pécuniaires importantes pouvant atteindre les 4% du chiffre d’affaires hors taxes du dernier exercice clos ! Et ce n’est pas tout : en cas de récidive, l’amende peut être doublée (avec un plafond de 4 millions de dinars). La loi a même prévu des peines privatives de liberté, “mais avec la possibilité de substitution par amendes”, a rassuré l’avocate. Autre point important : les sanctions de l’INPDP font l’objet d’une communication publique !

Toujours d’après le projet de loi, “les personnes morales publiques ou celles privées employant plus de cinquante employés ou traitant des données sensibles et effectuant un traitement des données à caractère personnel sont tenues de désigner un délégué à la protection des données à caractère personnel”.

Ce délégué, bien qu’employé de l’entreprise, doit être indépendant. Sa nomination doit faire l’objet d’une notification de l’INPDP, et sa démission ne peut se faire qu’après consultation avec l’Instance.

L’avantage d’avoir un DPO pour les entreprises, rétorque Emna Krichène, est que toutes les autorisations deviennent de simples déclarations. En ce qui concerne le transfert des données personnelles vers l’étranger, le projet de loi garde l’autorisation comme règle générale, avec notamment deux nouvelles exceptions, a noté l’avocate. En effet, les transferts vers les pays en adéquation (d’après une liste préparée et mise à jour par l’INPDP) et ceux effectués par des entreprises employant un délégué à la protection des données à caractère personnel (DPO, Data Privacy Officer) ne nécessitent qu’une déclaration.

Malgré tous ces efforts, le chemin de la protection des données personnelles est encore long.

L’article Que doivent prévoir les entreprises tunisiennes pour se préparer au GDPR? est apparu en premier sur Managers.