actualités

• Autorité de contrôle indépendante :

Il est institué, en vertu de la loi organique n° 2004-63 du 27 juillet 2004, relative à la protection des données à caractère personnel, une Instance dénommée « L’Instance Nationale de Protection des Données à Caractère Personnel » (INPDCP) disposant de la personnalité morale et jouissant de l’autonomie financière. Son siège est fixé à Tunis. (Article 75).

• Soumission des entreprises étrangères implantées en Tunisie aux lois et réglementations tunisiennes prévues en matière de protection des données :

Les entreprises étrangères sont soumises à la loi organique n° 2004-63 du 27 juillet 2004, relative à la protection des données à caractère personnel. Cette loi ne prévoit pas d’exceptions en rapport avec la nationalité ou le statut juridique de l’entité responsable du traitement des données.

L’article 2 de la loi précitée prévoit que cette « loi s’applique au traitement automatisé, ainsi qu’au traitement non automatisé des données à caractère personnel mis en œuvre par des personnes physiques ou par des personnes morales. »

• Application de la loi portant sur la protection des données à caractère personnel aux données des étrangers établis en Tunisie

Les dispositions de la loi précitée s’appliquent aux données quelle que soit la nationalité de leurs titulaires. La personne concernée par le traitement a été définie par l’article 6 comme « Toute personne physique dont les données à caractère personnel font l’objet d’un traitement. ».

L’article 4 de la même loi souligne qu’on entend par données à caractère personnel toutes les informations quelle que soit leur origine.

Il n’y a pas un régime particulier prévu pour les personnes n’ayant pas la nationalité tunisienne.

• Loi Tunisienne relative à la protection des données personnelles et RGPD-UE (complémentarité ou risque de contradiction ?)

La législation tunisienne est entrée en vigueur depuis 2004 et n’a pas été mise à jour sauf à travers la ratification de la convention n°108 du conseil de l’Europe en 2017.Elle a été modifiée suite à la ratification de la convention n°108 du conseil de l’Europe en 2017.

Le respect de la loi tunisienne contribue au respect des normes européennes. Les mêmes principes sont généralement consacrés par les deux normes tunisiennes et européennes. 

• Transfert des données dans l’EEE

La loi organique n° 2004-63 du 27 juillet 2004, relative à la protection des données à caractère personnel impose l’autorisation de transfert des données personnelles vers l’étranger.

L’INPDP a établi une liste des États qu’elle considère comme ayant une protection adéquate et vers lesquels le transfert des données ne devrait pas poser de problème. Toutefois, cela ne dispense pas de l’obligation d’obtenir une autorisation.

Seule l’INPDP a la compétence d’évaluer l’existence des critères suivants :

• si la protection est suffisante,
• si le cadre juridique de la protection des données personnelles prévu dans l’Etat destinataire est adéquat
• si des précautions ont été prises par l’exportateur des données personnelles pour garantir la sécurité des données.

Sur la base de ces critères L’INPDP peut prendre une décision favorable ou défavorable concernant le transfert des données personnelles dans les pays destinataires.

Ces décisions peuvent faire l’objet de recours en appel devant la Cour d’Appel de Tunis.

• Règles interdisant ou limitant le transfert de données à caractère personnel en dehors de la Tunisie

Le principe qui a été consacré par l’article 47 de la loi précitée est l’interdiction de communiquer des données à caractère personnel aux tiers sans le consentement exprès donné par n’importe quel moyen laissant une trace écrite de la personne concernée.

Certaines règles interdisent le transfert des données à l’étranger et d’autres règles limitent le transfert :

• Règles interdisant le transfert :

L’article 50 interdit dans tous les cas, de communiquer ou de transférer des données à caractère personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie.

• Règles qui limitent le transfert :

• L’article 51 prévoit que le transfert vers un autre pays des données personnelles faisant l’objet d’un traitement ou destinées à faire l’objet d’un traitement, ne peut avoir lieu que si ce pays assure un niveau de protection adéquat apprécié au regard de tous les éléments relatifs à la nature des données à transférer, aux finalités de leur traitement, à la durée du traitement envisagé et le pays vers lequel les données vont être transférées ainsi que les précautions nécessaires mises en œuvre pour assurer la sécurité des données.

• En application de cet article le transfert des données vers un pays faisant partie de l’Union Européenne ne devrait pas poser de problème.

• L’article 52 impose dans tous les cas l’obtention de l’autorisation de l’Instance pour effectuer le transfert des données à caractère personnel vers l’étranger.

L’Instance doit statuer sur la demande d’autorisation dans un délai maximum d’un mois à partir de la présentation de la demande. Lorsque les données à caractère personnel à transférer concernent un enfant, la demande est présentée au juge de la famille.

Cette obligation est d’ordre public, l’article 90 prévoit une peine d’un an d’emprisonnement et d’une amende de cinq mille dinars, pour toute personne qui procède au transfert des données à caractère personnel à l’étranger sans l’autorisation de l’Instance.

• Règles relatives au respect de la confidentialité des données et à leur destruction après une période déterminée :

L’article 18 impose à toute personne qui effectue, personnellement ou par une tierce personne, le traitement des données à caractère personnel à l’égard des personnes concernées de prendre toutes les précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l’autorisation de la personne concernée.

L’article 19 précise que ces précautions doivent être prises pour « empêcher que les données puissent être lues, copiées, modifiées, effacées ou radiées, lors de leur communication ou du transport de leur support ». 

L’article 23 prévoit que le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou la perte de leur qualité, doivent préserver la confidentialité des données personnelles et les informations traitées à l’exception de celles dont la diffusion a été acceptée par écrit par la personne concernée ou dans les cas prévus par la législation en vigueur.

Selon l’article 45 les données à caractère personnel doivent être détruites dès l’expiration du délai fixé à leur conservation dans la déclaration ou l’autorisation ou les lois spécifiques ou en cas de réalisation des finalités pour lesquelles elles ont été collectées ou lorsqu’elles deviennent inutiles pour l’activité du responsable du traitement. A cet effet, un procès-verbal est établi par huissier de justice et en présence d’un expert désigné par l’Instance.

L’article 74 exige la destruction des enregistrements vidéo lorsqu’ils ne sont plus nécessaires à la réalisation des finalités pour lesquelles ils ont été effectués ou lorsque l’intérêt de la personne concernée exige sa suppression à moins que ces enregistrements ne s’avèrent utiles pour la recherche et les poursuites d’infractions pénales.

Dans le même contexte le président et les membres de l’INPDCP N P D à caractère personnel doivent sauvegarder le caractère secret des données à caractère personnel et des informations dont ils ont eu connaissance. (Article 80).

• Respect des exigences en matière d’enregistrement : règles spécifiques en matière d’enregistrement vidéo 

Le traitement est un terme général qui englobe plusieurs types de manipulations des données y compris les enregistrements sous quelque forme que ce soit.

La loi prévoit des règles spécifiques en matière d’enregistrement vidéo :

– L’enregistrement vidéo ne peut être utilisé que dans des lieux bien déterminés énumérés limitativement comme : les lieux ouverts au public et leurs entrées, les parkings, les lieux de travail collectifs.

– L’utilisation des moyens de vidéo-surveillance est soumise à une autorisation préalable de l’INPDCP .

– les enregistrements vidéo ne peuvent être accompagnés d’enregistrements sonores.

– Le public doit être informé d’une manière claire et permanente de l’existence de moyens de vidéo-surveillance

Il est interdit de communiquer les enregistrements vidéo collectés à des fins de surveillance sauf dans les cas suivants :

• Lorsque la personne concernée donne son consentement.
• Lorsque la communication est nécessaire à l’exercice des missions dévolues aux autorités publiques.
• Lorsque la communication s’avère nécessaire pour la constatation, la découverte ou la poursuite d’infractions pénales.

• Mécanismes de contrôle de L’INPDP

L’INPDP contrôle l’ensemble des traitements des données publiques par les structures publiques à trois niveaux :

1. A l’occasion des avis qu’elle rend sur les projets de textes ou la mise en place de traitement au sein des structures publiques
2. A l’occasion des déclarations de traitement ou les demandes d’autorisation
3. A l’occasion des plaintes déposées par les personnes concernées.

 L’INPDP a également le droit de s’autosaisir et dans ces cas elle peut saisir le procureur de la République concernant toute violation de la législation sur la protection des données.

• Recours en justice par les personnes ayant subi un dommage suite au traitement illicite de leurs données à caractère personnel

Les recours en justice par des personnes ayant subi un dommage suite au traitement illicite de leurs données à caractère personnel, sont possibles sur la base des dispositions générales prévues dans le code des obligations et des contrats.

Plusieurs articles traitent de la responsabilité et de la réparation du dommage causé à autrui :

• Article 82 COC « Tout fait quelconque de l’homme qui, sans l’autorité de la loi, cause sciemment et volontairement à autrui un dommage matériel ou moral, oblige son auteur à réparer le dommage résultant de son fait, lorsqu’il est établi que ce fait en est la cause directe. »

• Article 83 COC « Chacun est responsable du dommage moral ou matériel qu’il a causé, non seulement par son fait, mais par sa faute, lorsqu’il est établi que cette faute en est la cause directe.
  Toute stipulation contraire est sans effet.
  La faute consiste, soit à omettre ce qu’on était tenu de faire, soit à faire ce dont on était tenu de s’abstenir, sans intention de causer un dommage.

• Application de la législation tunisienne sur la protection des données par les autorités et les tribunaux

La non-conformité aux normes nationales pourrait déclencher d’éventuelles actions devant la justice.

L’INPDP a transféré une trentaine de dossiers au procureur de la République en juillet 2023 pour non-respect de l’article 7 par des structures privées et publiques qui réalisent des traitements sans déclaration préalable auprès de l’INPDCP.

Actuellement des centaines d’affaires sont pendantes devant les tribunaux soit suite à des plaintes des personnes concernées soit sur la base de transfert des dossiers directement par l’INPDCP.

Les magistrats appliquent généralement les normes de la protection des données et les jugements sont souvent fondés sur les décisions réglementaires de l’INPDCP.