La sé­cu­ri­té in­for­ma­tique à la por­tée de Tous So­pra HR So­pra HR Nou­velle lé­gis­la­tion sur les don­nées per­son­nelles Que doivent pré­voir les en­tre­prises

NOU­VELLE LÉ­GIS­LA­TION SUR LES DON­NÉES PER­SON­NELLES

Le Manager - - Sommaire -

L’en­trée en vi­gueur de la nou­velle ré­gle­men­ta­tion eu­ro­péenne sur la pro­tec­tion des don­nées per­son­nelles et l’évo­lu­tion de la ré­gle­men­ta­tion na­tio­nale en la ma­tière ont fait l’ob­jet d’une ren­contre pro­fes­sion­nelle au siège de So­pra HR. L’avo­cate Em­na Kri­chène a pré­sen­té un ex­po­sé ex­haus­tif sur le su­jet. Compte ren­du.

D ate à re­te­nir pour les en­tre­prises tunisiennes : 25 mai 2018. C’est la date d’en­trée en vi­gueur en Eu­rope du Rè­gle­ment Gé­né­ral de Pro­tec­tion des Don­nées (RGPD) qui consti­tue le nou­veau texte de ré­fé­rence eu­ro­péen en ma­tière de pro­tec­tion des don­nées à ca­rac­tère per­son­nel. L’eu­rope se pro­tège Cette nou­velle lé­gis­la­tion vise à pro­té­ger la vie pri­vée des ci­toyens eu­ro­péens à l’ère de la mi­gra­tion mas­sive des don­nées per­son­nelles vers le cloud. Les don­nées per­son­nelles - toute in­for­ma­tion re­la­tive à une per­sonne phy­sique iden­ti­fiée ou qui peut être iden­ti­fiée, di­rec­te­ment ou in­di­rec­te­ment - sont col­lec­tées mas­si­ve­ment et sou­mises à tous types de trai­te­ments au­to­ma­ti­sés. Les gou­ver­ne­ments s’en servent à des fins de sur­veillance des ci­toyens et les en­tre­prises dans le mar­ke­ting à très haute gra­nu­la­ri­té. C’est d’ailleurs la rai­son pour la­quelle plu­sieurs en­tre­prises, à l’ins­tar de Google, Fa­ce­book ou Lin­ke­din, se per­mettent au­jourd’hui d’of­frir leurs ser­vices gra­tui­te­ment: le but est de col­lec­ter le maxi­mum de don­nées. Ces der­nières se­ront par la suite “ven­dues” aux an­non­ceurs. En quoi cette ré­gle­men­ta­tion eu­ro­péenne in­té­res­se­rait-elle les en­tre­prises tunisiennes? Parce qu’en plus des en­tre­prises eu­ro­péennes, la RGPD dis­pose d’un champ d’ap­pli­ca­tion par­ti­cu­lier. Toute en­tre­prise, même celles im­plan­tées au-de­là des fron­tières de l’union Eu­ro­péenne, trai­tant des don­nées per­son­nelles de ré­si­dents eu­ro­péens doit se confor­mer à cette nou­velle ré­gle­men­ta­tion, a ex­pli­qué Em­na Kri­chène. Ain­si,

la libre cir­cu­la­tion des don­nées per­son­nelles en de­hors de l’union Eu­ro­péenne se­ra per­mise uni­que­ment vers les pays se confor­mant à cer­tains cri­tères. Il s’agit no­tam­ment de l’état de droit, du res­pect des li­ber­tés fon­da­men­tales, de l’ap­pli­ca­tion d’une lé­gis­la­tion per­ti­nente liée à la pro­tec­tion des don­nées per­son­nelles, de l’exis­tence et le fonc­tion­ne­ment ef­fec­tif d’une ins­tance in­dé­pen­dante et des en­ga­ge­ments in­ter­na­tio­naux pris par les pays. La Tu­ni­sie, se­lon les res­pon­sables eu­ro­péens, ne fait tou­jours pas par­tie de cette ca­té­go­rie. Cette non-adé­qua­tion est due, d’après l’avo­cate, à un manque d’in­dé­pen­dance de L’INPDP et la non-sou­mis­sion des au­to­ri­tés pu­bliques à la lé­gis­la­tion re­la­tive à la pro­tec­tion des don­nées per­son­nelles. Dans le cas de pays non-adé­quats, la loi a pré­vu des mécanismes per­met­tant aux en­tre­prises eu­ro­péennes d’y trans­fé­rer les don­nées à ca­rac­tère per­son­nel, vi­sant à as­su­rer la pro­tec­tion de la confi­den­tia­li­té de la­dite da­ta. Par­mi ces ou­tils, Maître Kri­chène a ci­té les Bin­ding Cor­po­rate Rules (BCR) qui sont un en­semble de règles contrai­gnantes pour le trans­fert in­tra-groupe des don­nées, vers des en­ti­tés (du même groupe) qui sont dans des pays non-adé­quats. Ces BCR doivent être mises en place confor­mé­ment à des ré­fé­ren­tiels qui se­ront émis par la com­mis­sion en dé­cembre 2017. Pour les échanges in­ter-en­tre­prises (entre don­neur d’ordre et sous-trai­tant, par exemple) les clauses contrac­tuelles types peuvent être utiles. “Pour fa­ci­li­ter les échanges, la meilleure confi­gu­ra­tion est d’être un pays fai­sant l’ob­jet d’une dé­ci­sion d’adé­qua­tion et je pense que c’est le che­min qui a été en­ga­gé par L’INPDP”, a-t-elle dé­cla­ré. “L’adhé­sion à la con­ven­tion 108 et au pro­to­cole 181 s’in­sère dans cette éven­tuelle pers­pec­tive”. Il s’agit de la Con­ven­tion pour la pro­tec­tion des per­sonnes à l’égard du trai­te­ment au­to­ma­ti­sé des don­nées à ca­rac­tère per­son­nel du Con­seil de l’eu­rope (da­tant de 1981), pre­mier ins­tru­ment in­ter­na­tio­nal contrai- gnant qui a pour ob­jet de pro­té­ger les per­sonnes contre l’usage abu­sif du trai­te­ment au­to­ma­ti­sé des don­nées. Cette con­ven­tion a été com­plé­tée par le pro­to­cole 181, cou­vrant l’éta­blis­se­ment d’ins­tances na­tio­nales de pro­tec­tion des don­nées pri­vées dans les pays eu­ro­péens, et ré­gis­sant le trans­fert des don­nées au-de­là des fron­tières eu­ro­péennes. La Tu­ni­sie se pré­pare

En Tu­ni­sie, une nou­velle loi sur la pro­tec­tion des don­nées per­son­nelles, dé­sor­mais ré­di­gée par l’ins­tance Na­tio­nale de Pro­tec­tion des Don­nées Per­son­nelles, fait ac­tuel­le­ment l’ob­jet de consul­ta­tion na­tio­nale avant d’être sou­mise au Con­seil mi­nis­té­riel pré­vu le 25 oc­tobre. Elle de­vrait en­trer en vi­gueur en mai 2018. Ce pro­jet de loi a été conçu en adé­qua­tion avec la ré­gle­men­ta­tion vou­lue par la Com­mis­sion eu­ro­péenne, a dé­cla­ré Maître Kri­chène. Ain­si, il vient ren­for­cer et pré­ci­ser les droits dé­jà exis­tants dans la loi de 2004, ac­tuel­le­ment en vi­gueur. Par­mi ces droits, rap­pelle Em­na Kri­chène, le droit d’ac­cès des per­sonnes concer­nées à leurs don­nées, le droit à l’in­for­ma­tion (no­ti­fier la per­sonne concer­née de tout trai­te­ment en­vi­sa­gé sur ses don­nées), le droit au consen­te­ment libre et le droit d’op­po­si­tion au trai­te­ment (à quelques ex­cep­tions près). De plus, plu­sieurs nou­velles dis­po­si­tions ont fait éga­le­ment leur in­tro­duc­tion dans ce pro­jet de loi, no­tam­ment le droit à l’ou­bli. Il se ma­ni­feste sous deux formes : la sup­pres­sion de don­nées qui pour­raient nuire à la per­sonne concer­née, sur des ac­tions pas­sées (ap­pe­lé aus­si droit à l’ef­fa­ce­ment); et le re­trait de ré­fé­rences vers de telles in­for­ma­tions sur les mo­teurs de re­cherche (bap­ti­sé droit à l’ou­bli ou droit au dé­ré­fé­ren­ce­ment). Mais pas uni­que­ment ! “Un prin­cipe très im­por­tant a été in­tro­duit par le nou­veau pro­jet: l’ac­coun­ta­bi­li­ty”, a in­sis­té Maître Kri­chène. Ce prin­cipe se ma­ni­feste par une res­pon­sa­bi­li­sa­tion des ac­teurs, et une co-res­pon­sa­bi­li­té ci­vile et pé­nale, a-t-elle ex­pli­qué à l’as­sis­tance. Dans ce cadre, le pro­jet de loi a pré­vu des pé­na­li­tés en cas d’in­frac­tion, des sanc­tions pé­cu­niaires importantes pou­vant at­teindre les 4% du chiffre d’af­faires hors taxes du der­nier exer­cice clos ! Et ce n’est pas tout : en cas de ré­ci­dive, l’amende peut être dou­blée (avec un pla­fond de 4 mil­lions de di­nars). La loi a même pré­vu des peines pri­va­tives de li­ber­té, “mais avec la pos­si­bi­li­té de sub­sti­tu­tion par amendes”, a ras­su­ré l’avo­cate. Autre point im­por­tant : les sanc­tions de L’INPDP font l’ob­jet d’une com­mu­ni­ca­tion pu­blique ! Tou­jours d’après le pro­jet de loi, “les per­sonnes mo­rales pu­bliques ou celles pri­vées em­ployant plus de cin­quante em­ployés ou trai­tant des don­nées sen­sibles et ef­fec­tuant un trai­te­ment des don­nées à ca­rac­tère per­son­nel sont te­nues de dé­si­gner un dé­lé­gué à la pro­tec­tion des don­nées à ca­rac­tère per­son­nel”. Ce dé­lé­gué, bien qu’em­ployé de l’en­tre­prise, doit être in­dé­pen­dant. Sa no­mi­na­tion doit faire l’ob­jet d’une no­ti­fi­ca­tion de L’INPDP, et sa dé­mis­sion ne peut se faire qu’après consul­ta­tion avec l’ins­tance. L’avan­tage d’avoir un DPO pour les en­tre­prises, ré­torque Em­na Kri­chène, est que toutes les au­to­ri­sa­tions de­viennent de simples dé­cla­ra­tions. En ce qui concerne le trans­fert des don­nées per­son­nelles vers l’étran­ger, le pro­jet de loi garde l’au­to­ri­sa­tion comme règle gé­né­rale, avec no­tam­ment deux nou­velles ex­cep­tions, a no­té l’avo­cate. En ef­fet, les trans­ferts vers les pays en adé­qua­tion (d’après une liste pré­pa­rée et mise à jour par L’INPDP) et ceux ef­fec­tués par des en­tre­prises em­ployant un dé­lé­gué à la pro­tec­tion des don­nées à ca­rac­tère per­son­nel (DPO, Da­ta Pri­va­cy Of­fi­cer) ne né­ces­sitent qu’une dé­cla­ra­tion. Mal­gré tous ces ef­forts, le che­min de la pro­tec­tion des don­nées per­son­nelles est en­core long.

Les par­ti­ci­pants

Newspapers in French

Newspapers from Tunisia

© PressReader. All rights reserved.