Un impératif démocratique et économique

LA PROTECTION DES DONNÉES PERSONNELLES Un impératif démocratique et économique Chawki GADDES

VÉCU TUNISIEN Mise en ligne de vidéos de surveillance Finalité de la vidéo surveillance : Sécuriser un espace ou des personnes Usage récent en Tunisie : Publier les enregistrements sur YouTube Atteinte à la vie privée des individus

VÉCU TUNISIEN Mise en ligne de vidéos de surveillance

VÉCU TUNISIEN Mise en ligne de vidéos de surveillance

VÉCU TUNISIEN Mise en ligne de vidéos de surveillance

VÉCU TUNISIEN Spamming par SMS Le numéro de GSM est une donnée personnelles Communiqué pour une finalité précise Il ne peut servir au «harcèlement» commercial par SMS et sa communication à des tiers sans consentement

Le VÉCU TUNISIEN Spamming par SMS

VÉCU TUNISIEN Publication du numéro de CIN Le numéro de CIN est une donnée personnelle Ne peut être rendu public ou diffusé Il est interdit de le communiquer sans consentement de l intéressé

VÉCU TUNISIEN Publication du numéro de CIN Des demandeurs d emploi présentent leur CV à l ONETI Mis en ligne par l Office Contient le numéro de CIN et de GSM

VÉCU TUNISIEN Publication du numéro de CIN Un CV trouvé par Google sur le site de l ONET Méconnaissance des règles sur la privacy par les citoyens

VÉCU TUNISIEN Publication du numéro de CIN

VÉCU TUNISIEN Publication du numéro de CIN http://www.bct.gov.tn/bct/siteprod/documents/concours_1.pdf

VÉCU TUNISIEN Publication du numéro de CIN

VÉCU TUNISIEN Carte de fidélité Enquête de l Institut National de la Consommation 70% des enquêtés ignorent les conditions générales d'adhésion... La plupart des consommateurs ne sont pas au courant des conditions générales de l utilisation des cartes de fidélité, et de l usage qui peut être fait des données personnelles consignées dans le document d'adhésion. 92% des enquêtés n ont pas exprimé leur refus de l'utilisation de leurs données personnelles lors de l'adhésion, compte tenu de leur ignorance de cette possibilité ou par inattention. Les formulaires d adhésion ne prévoient pas, dans la plupart des cas, une rubrique spécifique à l'approbation du consommateur de l'utilisation de ses données personnelles par l'enseigne.

VÉCU TUNISIEN Carte de fidélité

VÉCU TUNISIEN Carte de fidélité Art. 8 - Informatique et liberté : Les informations demandées sont nécessaires à l obtention de la carte de fidélité... En communiquant ces informations, le titulaire de la carte se met en situation de recevoir des Informations, des offres commerciales au titre du programme de fidélité. 10 - Informatique et liberté : En souscrivant au «Programme de Fidélité» l adhérent consent à l utilisation des données personnelles qui le concernent pour des études et analyses commerciales. Les données personnelles qui sont collectées permettent de mieux connaître l adhérent pour lui adresser des informations et des offres ciblées en fonctions de ses achats, de ses centres d intérêts et de ses attentes. Céder les données collectées, autres que nominatives, à toutes sociétés du Groupe ainsi qu à des sociétés tierces afin de lui adresser des informations commerciales

VÉCU TUNISIEN Carte de fidélité Le formulaire d adhésion ne comprend aucune case à cocher pour indiquer l acceptation et surtout l opposition à voir ces données utilisées et communiquées Pourtant les conditions générales prévoient la communication des données aux tiers

VÉCU TUNISIEN Carte de fidélité Le ticket de caisse est édité automatiquement Il est laissé par le client à la caisse ou jeté avec le sac par la suite Il comporte une donnée personnelle : Le nom du client, quelle finalité?

VÉCU TUNISIEN Cloud téléphonie mobile Les CGU du service comprennent cette mention Le client a le droit de s y opposer, pourtant rien n est prévu L article 17. «Il est strictement interdit de lier la prestation d'un service ou l'octroi d'un avantage à une personne à son acceptation du traitement de ses données personnelles ou de leur exploitation à des fins autres que celles pour lesquelles elles ont été collectées»

Données de santé mises en ligne sur la page web d un laboratoire Est-ce que les mesures de sécurité ont été prises pour éviter l intrusion? VÉCU TUNISIEN Données de santé en ligne

VÉCU TUNISIEN Constats Insouciance à fournir ces données : numéro de CIN et celui du GSM au dos d un chèque!!! Utilisation des données personnelles sans respect de la finalité pour laquelle elles ont été obtenues Absence de sensibilisation et d éducation à propos de l obligation de les fournir et des précautions à prendre

VÉCU TUNISIEN Constats Etude réalisée en France en 2014

JUSTIFICATION A LA COLLECTE MASSIVE DES DONNEES LE BIG DATA

DONC Le traitement des données personnelles est aujourd hui et pour le futur incontournable Ces opérations doivent se faire dans le cadre d une relation de confiance, de loyauté de transparence Sous le contrôle des citoyens et des instances de contrôle de par le monde Mais le préalable à tout cela, c est la nécessaire éducation, sensibilisation des citoyens, des personnes concernées

QUESTIONNEMENTS Une multitudes de question se posent à ce propos : L objet des informations, personnelles La nature des opérations réalisées dessus, traitement Le but de ces opérations, finalité La protection des droits, dignité humaine L accord préalable, consentement éclairée L opposition au traitement, droit inaliénable L obligation du responsable, sécurité des données La consultation des données, droit d accès de la personne La véracité des données, droit de rectification et mise à jour La Limite temporelle du traitement, droit à l oubli La dispersion des données, communication et transfert à l étranger

DONNÉES PERSONNELLES Une donnée personnelle est toute information qui permet d identifier ou de rendre indentifiable une personne Les données anonymes n en font pas partie, mais pas celles pseudonomisées Les données des personnes morales en sont exclues

DONNÉES PERSONNELLES I d é o l o g i e B i o m é t r i e I d e n t i f i a n t s I D E N T I T É V i d é o s u r v e i l l a n c e C a s i e r j u d i c i a i r e P r e s t a t i o n s É TAT D o s s i e r m é d i c a l S A N T É C O N T E X T E G é o l o c a l i s a t i o n N a v i g a t i o n C o n s o m m a t i o n C O M P O R T E M E N T F I N A N C E S R e v e n u s T r a n s a c t i o n s C O M M U N I C AT I O N R e l a t i o n s R é s e a u x s o c i a u x C O N T E N U S M é d i a s C o n v e r s a t i o n s

TRAITEMENT DES DONNÉES Ce sont toutes les opérations réalisées sur ces données Article 4 de la loi 2004 : «la collecte, l enregistrement, la conservation, l organisation, la modification, l exploitation, l utilisation, l expédition, la distribution, la diffusion ou la destruction ou la consultation des données à caractère personnel, ainsi que toutes les opérations relatives à l exploitation de bases des données, des index, des répertoires, des fichiers, ou l interconnexion»

FINALITÉ DU TRAITEMENT Tout traitement a un but, le pourquoi du traitement, c est la finalité Elle doit être : Déclarée : Transparence Loyale : Honnêteté Respectueuse de la dignité humaine Légale : Conforme à la loi

DROIT FONDAMENTAL Cette protection est constitutionnalisée en Tunisie, article 24 : «L État protège la vie privée, l inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles» L article premier de la loi numéro 36 de 2004 : «Toute personne a le droit à la protection des données à caractère personnel relatives à sa vie privée comme étant l un des droits fondamentaux garantis par la constitution et ne peuvent être traitées que dans le respect de la dignité humaine» Article 9. «Le traitement des données à caractère personnel doit se faire dans le cadre du respect de la dignité humaine, de la vie privée et des libertés publiques. Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, ne doit pas porter atteinte aux droits des personnes protégés par les lois et les règlements en vigueur, et il est, dans tous les cas, interdit d utiliser ces données pour porter atteinte aux personnes ou à leur réputation»

DROIT FONDAMENTAL Droit fondamental dans la constitution : Toutes les législations et les pratiques de l Etat doivent veiller à sa concrétisation La société internationale a créée la fonction de rapporteur spécial des Nations Unies pour la vie privée Respect de la dignité humaine : Traiter la personne intéressée comme un être humain et non comme un chiffre, un dossier ou un cas

CONSENTEMENT La personne permet le traitement de ses données personnelles à travers un consentement Celui-ci doit être éclairée : Donné sur la base d une connaissance de l opération de traitement : Obligation d information (Art. 31) Donné de manière explicite : Laisse une trace (Art. 27) Réversible : On peut revenir dessus (Art. 27)

LE DROIT D OPPOSITION La personne a le droit de s opposer au traitement de ces données personnelles (Art. 31) Les héritiers et les tuteurs peuvent s opposer au traitement (Art. 42) L opposition peut intervenir à n importe quel moment (Art. 42) L opposition doit se baser sur des raisons valables, sérieuses et légitimes (Art. 42) On ne peut s y opposer si le traitement est prévu par la loi (Art. 42)

SÉCURISATION DES DONNÉES Les données personnelles sont «confiées» à la personne responsable du traitement, il en est civilement et pénalement responsable Art. 18. «Toute personne qui effectue, personnellement ou par une tierce personne, le traitement des données à caractère personnel est tenue à l égard des personnes concernées de prendre toutes les précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l autorisation de la personne concernée».

LE DROIT D ACCÈS Toute personne qui donne ces données personnelles ne s en dessaisit pas, elle peut revendiquer à n importe quel moment le droit d y accéder Art. 32. «Au sens de la présente loi, on entend par droit d accès, le droit de la personne concernée, de ses héritiers ou de son tuteur de consulter toutes les données à caractère personnel la concernant, ainsi que le droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer lorsqu elles s avèrent inexactes, équivoques, ou que leur traitement est interdit. Le droit d accès couvre également le droit d obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu elles sont traitées à l'aide de procédés automatisés».

MISE À JOUR DES DONNÉES Les données personnelles servent de base à la prise de décision concernant les personnes concernées. Le responsable du traitement est tenu de mettre à jour continuellement ces données et les effacer si elles s avèrent inexactes. Art. 21. «Le responsable du traitement et le sous-traitant doivent corriger, compléter, modifier ou mettre à jour les fichiers dont ils disposent, et effacer les données à caractère personnel de ces fichiers s ils ont eu connaissance de l inexactitude ou de l insuffisance de ces données».

LE DROIT A L OUBLI Nouveau droit humain issu du recours massif aux TIC C est le droit pour le citoyen de voir ces données personnelles gardées pour un temps limité, celui nécessaire pour atteindre la finalité à la base de leur collecte Art. 45. «Les données à caractère personnel doivent être détruites dès l expiration du délai fixé à sa conservation ou en cas de réalisation des finalités pour lesquelles elles ont été collectées ou lorsqu elles deviennent inutiles pour l activité du responsable du traitement»

COMMUNICATION & TRANSFERT Les données sont fournies au responsable, il ne peut les communiquer et les transférer sans consentement Art. 47. «Il est interdit de communiquer des données à caractère personnel aux tiers sans le consentement exprès donné par n importe quel moyen laissant une trace écrite, de la personne concernée, de ses héritiers ou de son tuteur» Art. 51. «Le transfert vers un autre pays des données personnelles faisant l objet d un traitement ne peut avoir lieu que si ce pays assure un niveau de protection adéquat»

La sonnette d alarme a été tirée par la décision de la Cour de justice de l Union européenne du 6 octobre 2015 Il faut méditer sur cet acte et prendre les décisions qui s imposent car c est de la dignité du tunisien qu il est question A MEDITER

POUR CONCLURE Pour vivre en société l individu est amené à confier ces données à l Etat, à des opérateurs économiques, à des tiers de confiance Données personnelles, attribut de la personnalité de l individu, l individu ne peut s en dessaisir Il lui revient d être vigilant, alerte, responsable concernant le sort réservé à ces données personnelles et d exercer les droits que consacre le corpus juridique tunisien à parfaire L INPDP aux côté des citoyens et protecteur de leurs droits, avec le soutien des intéressés, de la société civile et des médias, veillera à expliquer, vulgariser, éduquer, sensibiliser, veiller, alerter, proposer, s opposer, contrôler et à sanctionner si nécessaire toutes les atteintes à la relation de confiance sur laquelle se base le traitement des données personnelles

Merci pour votre attention Site web de l INPDP Une page, car site en construction www.inpdp.nat.tn