Protection des données personnelles en Tunisie
Publié le 12/01/2009 par
aaa
“L’inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis, sauf dans les cas exceptionnels prévus par la loi ". – Article 09 de la Constitution. Le mot informatique est devenu si répandu, qu’il est si fréquent d’oublier de le définir. Ce mot sert à définir : l’ensemble des techniques de collecte, du tri, de la mise en mémoire, du stockage et de l’utilisation des informations traitées automatiquement par des logiciels mis en œuvre par des unités centrales plus communément appelées ordinateurs( ). L’informatique résulte principalement de la conjonction de deux découvertes : D’abord, de l’invention de calculateurs automatiques les premiers ordinateurs pendant la seconde guerre mondiale simultanément en Allemagne par Konrad Zuse et aux Etats-Unis par Howard Aiken avec l’aide de la société IBM. Ensuite de la démonstration effectuée par Shannon que toute information peut être exprimée sous une forme numérique binaire de 0 et 1 (bit en anglais) contraction de binary digit, (nombre binaire 8 bits = 1 octet ). Désormais l’ordinateur se trouve au centre des innovations techniques catalyseur d’un grand nombre d’activité humaine, et par conséquent l’informatique est devenu omniprésente et s’est immiscée progressivement dans l’environnement de tout un chacun. Ces innovations technologiques ont suscité la naissance d’une nouvelle branche de droit. En effet l’informatique engendra un droit de l’informatique ce droit sui – generis, ne s’est pas édifié sur une table rase ; il emprunte l’essentiel de ses mécanismes au droit commun, à l’exception de quelques textes particuliers qui ont été spécifiquement promulgués dans ce domaine pour tenter de coller à la technique et le développement si important et si rapide des nouvelles technologies de l’information et de la communication. Une des métamorphoses les plus notables apportées par l’informatique dans notre monde a été l’incorporation croissante de connaissances dans les appareils, les processus et les services. L’informatique est le domaine par excellence de la matérialisation de l’intelligence, celui de l’intelligence intégrée au plus haut degré. Par ailleurs, l’Internet, qui fut conçu en 1969 à l’usage de l’armée américaine avant de connaître son essor au début des années 80, a accéléré prodigieusement le rythme et le volume du traitement informatique et a permis l’interconnexion des contenus qui n’aurait pas été passible sous l’informatique. Le XXIème siècle sera marqué, plus que tout autre dans l’histoire jusqu’à présent, par la communication, donc, par la circulation des informations comme des connaissances( ). En effet, une révolution tranquille mais prodigieuse continue de s’opérer grâce au développement jumelé de l’informatique et de l’Internet, leur conjonction constitue, plus qu’une révolution technique, une révolution aux conséquences considérables se ramifiant dans divers domaines comme l’avait été l’invention de l’imprimerie au XVème siècle. La numérisation des l’informations de toute nature et des connaissances de tout ordre se généralise au point qu’on a commencé à parler de la "société digitale". L’Internet est aussi appelé le réseau des réseaux. Cette dénomination lui vient de son architecture unique basée sur l’utilisation combinée de multiples réseaux informatiques interconnectés. Il est fondé sur le principe d’échange des informations et de partages des ressources entre différents ordinateurs se transmettant mutuellement des informations à l’aide de protocoles universels. Ces nouveaux vecteurs de communications n’ont pas pour seule vertu le rapprochement d’individus géographiquement distants, bien plus, ils nous offrent une nouvelle façon de penser le travail, les rapports, le droit et le monde. La toile étant mondiale et ouverte, tous les pays peuvent disposer désormais de cet outil prodigieux. Nous vivons dans une société de l’informatique au sein de laquelle le travail intellectuel a supplanté définitivement le travail physique. L’informatique est, donc, surabondante et facilement disponible, en même temps plus personne ne domine réellement les connaissances diffusées en masse, d’où la désinformation et la manipulation peuvent bénéficier des mêmes facilités que l’information et il est souvent difficile de distinguer ou de discerner l’une de l’autre surtout sur la toile( ). Or, la désinformation ou les rumeurs peuvent causer des dommages très réels. Les nouvelles technologies de l’information peuvent être le vecteur d’un asservissement à une pensée unique, écartant toute réflexion et favorisant les idées socialement correctes et les impostures. La démocratie court elle-même des dangers, résultant l’uniformisation des opinions publiques et de leurs manipulations et il n’est pas possible d’imaginer des guerres virtuelles par l’envoi massif de virus et les attaques multiples dans un secteur d’activité ou dans un pays. La toile peut être un vecteur de culture et de diversité culturelle, toutefois, elle véhicule principalement la culture américaine et occidentale et risque, donc, de conduire à une uniformité culturelle appauvrissante. Cependant, démocratiser la toile exige ou implique que les pays du nord accordent à ceux du sud une aide considérable, non seulement de fourniture de réseaux de télécommunications, de systèmes informatiques, et d’appareils, mais surtout de formation afin de ne pas renforcer l’écart redoutable entre les nantis et les pauvres en information. Il est urgent de créer cette solidarité numérique souhaitée, à juste titre par le président sénégalais A. wade, lors du premier sommet mondial sur la société de l’information tenu à Genève en décembre 2003. Le deuxième sommet, qui se tiendra à Tunis en novembre 2005, devra œuvrer à réduire la fracture numérique afin de diminuer le fossé entre pays riches et pays pauvres à cet égard. Mais comment sécuriser les transactions et le flux informationnels tant du côté de la confidentialité que de l’intégrité de l’information ? La société moderne a-t-elle réellement conscience des enjeux risques et des dangers sur les droits et les libertés que présentent les nouvelles technologies ? Est –il nécessaire d’établir un code de bonne conduite pour définir les droits et les devoirs des différents intervenants dans ce domaine ? En réalité, l’Etat rencontre des difficultés pour se positionner face aux technologies nouvelles bien que Les solutions émergent en partie sans contenir ou encadrer le flux informationnel. En effet, le lien qui unit la population à l’Etat s’atténue vu que les réseaux informatiques organisent des nouveaux regroupements, qui ignorent toute identification au territoire national, et la souveraineté des Etats paraît elle aussi menacée par la diffusion transnationale des informations. Désormais le pouvoir de contrainte qui caractérise la puissance publique est contesté par les techniques actuelles qui fixent des normes technologiques et s’immiscent dans tous les niveaux. Ce pendant lorsque les techniques nouvelles sont mises au service d’un projet étatique, elles servent la puissance publique qui adapte son mode de fonctionnement pour se recentrer sur ses premières missions. C’est la proximité des liens entres les NTIC et les principes fondamentaux de l’Etat du droit qui détermine les obligations de différents intervenants et qui légitime ou nécessite le recours au droit. L’Etat, en étant à l’origine des règles, procède à leurs exécutions et organise leurs conditions d’application ; l’irruption de l’informatique n’a pas, en réalité, remis en cause l’exercice de ses compétences. Au contraire, l’Etat trouve, en tant qu’initiateur du droit, les fondements de son action en la matière ( ). Pour organiser la vie en société, l’Etat a recours au droit, et l’outil juridique s’avérant particulièrement nécessaire en matière d’informatique pour sauvegarder les grands principes liés à la liberté d’expression, tout en garantissant le respect des dispositions d’ordre public qui offrent aux libertés les conditions véritables de leur effectivité. Désormais, la numérisation des données rend l’information universelle et disponible sur une très large gamme de supports mais elle ôte leur pertinence aux régimes juridiques applicables. Le droit n’est pourtant pas disqualifié, s’il ne peut plus appréhender une activité, en l’occurrence l’informatique, par son support, il retrouve sa force et son emprise en l’envisageant sous l’angle du service proposé en réglementant les contenus informationnels. Certains auteurs ont pu évoquer l’impérialisme du numérique pour déplorer le glissement juridique provoqué par ce vaste mouvement de convergence entre les secteurs des télécommunications, de l’audiovisuel et de l’informatique. Bien ancrée dans la tradition juridique, la liberté d’émission d’information, voit consacrer à ses côtés la liberté de réception. A cet égard les NTIC ne remettent pas en cause les obligations essentielles de l’Etat, et l’utilisation de la règle de droit permet à la puissance publique d’entourer d’un cadre protecteur l’exercice des libertés liées au traitement de l’informatique en général, néanmoins la conciliation de ces dispositions avec l’ordre public entre aussi dans le champ de compétence de l’Etat. Mais faut-il encore que l’action étatique soit adaptée aux nouvelles technologies afin de sauvegarder les droits et libertés des personnes. La constitution des réseaux informatiques transforme l’ordinateur, simple outil de bureautique, en un véritable moyen de communication offrant à chacun la possibilité de travailler sur le son et l’image. Par ailleurs, une évolution concomitante fait des nouveaux ordinateurs des objets de communications à part entière : ils s’équipent de modems, peuvent envoyer des télécopies, se relier au réseau minitel et à tous les réseaux télématiques, mais aussi servir de répondeur téléphonique ou de banques d’images ou de données de toute nature, se connecter à un magnétoscope ou intégrer une messagerie multimédia. Le caractère multimédia des ordinateurs est le résultat de l’application des procédés de numérisation au son et à l’image et des capacités de compression de données qui en rendent possible l’exploitation, en temps réel, et le stockage de l’information. Un tel bouleversement donne à la question du régime juridique applicable aux activités proposées toute son importance. Les possibilités remarquables des ordinateurs, dans le stockage et le traitement de données, leur utilisation croissante dans le domaine de la gestion publique et privée ainsi que la constitution des gros fichiers nominatifs, devaient amener à relativiser leurs conséquences bénéfiques pour la société. Facteur d’une transparence totale, l’informatique peut dévoiler tous nos secrets les plus intimes, en traitant des données et informations, qui s’étendent à tous les aspects de la vie privée et publique des activités collectives et individuelles. L’informatisation de la société a engendré, donc, une prise de conscience des menaces qu’un tel processus fait peser sur la vie privée et les libertés individuelles de tout un chacun( ). A cet égard, on doit souligner que nombreux pays ont jugé nécessaire de se doter de règles spécifiques pour protéger les données personnelles. De même, le droit communautaire s’est intéressé à la question, en consacrant un certain nombre de directives relatives au droit de l’informatique et spécifiquement au sujet des données personnelles, dont la première remonte à 1981 et la dernière est celle du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. La France, s’est dotée, parmi les premiers pays, d’une législation concernant la protection des données nominatives, et ce par le biais de la loi n°17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce texte a été maintes fois modifié, notamment par la loi n°801 du 06 Août 2004 afin de transposer la directive européenne précitée. En droit tunisien, la protection des données personnelles fait partie d’un vaste ensemble de règle de protection des droits et libertés de personnes et de la promotion des droits de l’homme. A ce sujet, l’article 9 (nouveau) de la constitution prévoit que « l’inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis, sauf dans les cas exceptionnels prévus par la loi »( ). La protection constitutionnelle des données personnelles atteste désormais de l’importance accordée à cette question, pour garantir les libertés individuelles contre le risque que leur fait courir la multiplication du fichage, automatisé ou manuel, des données personnelles et leur utilisation. Les données à caractère personnel sont celles qui non seulement définissent l’identité des personnes, mais aussi celles qui peuvent les rendre identifiable. Désormais, toute personne a le droit à la protection des données à caractère personnel comme étant l’un des droits fondamentaux garantis par la constitution conformément aux dispositions de la loi organique n° 2004-63 du 27 juillet et 2004 portant sur la protection des données à caractère personnel( ). I/ Le rapport entre le droit à la protection des données personnelles et le droit au secret de la vie privée : A partir des années 70, on a assisté dans plusieurs pays occidentaux à une multiplication de commission, de rapport d’études, de projets de loi autour du thème "informatique et libertés". En mai 1973, à la suite de la publication d’un rapport "informatique et intégrité", la Suède adopte une loi sur la protection des données. En janvier 1974, le Congrès Américain avait promulgué un texte relatif à la création et l’utilisation de banques de données à caractère personnel. La République Fédérale d’Allemagne avait aussi adopté une loi fédérale sur la protection des données qui s’appliquent à toutes les informations personnelles stockées sur le territoire Allemand. Actuellement, plus d’une cinquantaine de pays sont dotés d’une législation protectrice des données personnelles. Le conseil de l’Europe a joué un rôle de premier plan dans le rapprochement très souhaitable des législations européennes en l’espèce, un effort qui s’est soldé par la signature de plusieurs directives dont la dernière en date remonté au 24/10/1995. De son côté le législateur tunisien a attaché, dans la loi du 27 juillet 2004, une importance particulière à la vie privée, et a clairement considéré la protection des dites données comme une défense des libertés et droits de l’homme. De même plusieurs organisations internationales, traditionnellement attachées à la défense des droits de l’homme, se sont également préoccupées du problème, elles se sont référées essentiellement à : – La déclaration des droits de l’homme et du citoyen du 26 août 1789. – La déclaration universelle des droits de l’homme adoptée par l’assemblée générale de l’ONU dans sa résolution (217 A III) du 10/12/1948. – Le pacte relatif aux droits civils et politiques et le pacte relatif aux droits économiques, sociaux et culturels adoptés le 16/12/1966 par l’assemblée générale de l’ONU. – La convention de sauvegarde des droits de l’homme et des libertés fondamentales signée à Rome le 04 novembre 1950 dans le cadre du conseil de l’Europe( ). Par ailleurs, sur la base de la convention de 1950 sus- indiquée, la cour européenne des droits de l’homme (CEDH) a développé une jurisprudence riche et importante, notamment sur la liberté individuelle et spécialement sur le droit à la vie privée entendu d’une manière extensive. Dans un arrêt récent (Ms s/ Suède) du 27 Août 1997, la CEDH rappelle que la protection de données à caractère personnel, revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la convention. La cour de Strasbourg, dans un arrêt en date du 04 mai 2000, a interprété largement la notion de vie privée, elle a estimé que les données personnelles, relatives aux activités politiques et passées du requérant, détenues et traitées par un service de sécurité relevaient de la vie privée. De son côté, la cour de justice des communautés européennes (CJCE) considère constamment que les droits fondamentaux font partie intégrante des principes généraux du droit communautaire dont la cour assure le respect, c’est ce qui peut avoir des conséquences sur l’interprétation de la directive de 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, par le juge communautaire. Il est évident que la dite directive, par sa finalité et son contenu, peut se trouver, donc, au cœur des débats juridiques et servir de support aux institutions européennes et de modèle aux législations nationales. A ce niveau, parmi les libertés fondamentales des personnes, un intérêt particulier a été accordé à la défense de la vie privée visée à l’article premier de la loi du 27 juillet 2004 et de la directive de 1995. La vie privée apparaît désormais comme une nécessité particulièrement importante et sensible, qui légitime l’existence d’un droit à la protection des données à caractère personnel. La difficulté réside dans le fait que le contenu du droit à la vie privée n’est pas défini par les textes instituant un tel droit fondamental de valeur constitutionnelle. En l’absence de toute définition légale, c’est auprès de la doctrine et la jurisprudence qu’il convient de rechercher une définition. Il apparaît, de l’examen des approches relatives à la notion de vie privée, qu’une définition unique de la vie privée est difficile à établir. Il revient à la jurisprudence d’apprécier la portée du droit à la vie privée. Au-delà du caractère mouvant des limites de la vie privée, qui ne sont pas les mêmes pour chaque individu, la doctrine et la jurisprudence s’accordent à admettre que certains éléments, relatifs que ce soit à l’intimité corporelle ou à la vie personnelle, font partie intégrante de la vie privée( ). En ce qui concerne les éléments ayant trait à l’intimité corporelle, on peut citer la nudité, la santé, la maternité, la sexualité, le décès, etc. Quant aux éléments faisant référence à l’aspect dynamique et volontaire de l’individu pour la recherche de son meilleur épanouissement, ils recouvrent plusieurs réalités telles que la vie familiale, la vie sentimentale et amoureuse, la vie religieuse et la vie financière. Certains considèrent que le domicile et l’image de la personne( ) en tant qu’éléments d’identification des personnes comme faisant partie intégrante de la vie privée. Le droit à la vie privée, est, en quelque sorte, le droit d’avoir "un jardin secret" une intimité, et la possibilité de se défendre contre les indiscrétions, les investigations et les divulgations de tierces personnes, y compris les autorités publiques. La conception et le contenu du droit à la vie privée varient dans l’espace et le temps. La dite notion s’inscrit dans une culture individuelle et collective évolutive, et il convient, comme le font les tribunaux, de tenir compte du contexte situationnel, du comportement du titulaire du droit et des limitations prévues par la loi. A l’évidence toutes les informations relatives à la vie privée sont incontestables des informations personnelles. La notion de vie privée, dont le contenu est trop étroit, est aujourd’hui à reconsidérer. Il y a des nouvelles formes d’intimité et des comportements à protéger face à des formes nouvelles d’intrusions systématiques ou ciblées. Le droit à la vie privée peut évoluer et se conjuguer avec le droit à la protection de la vie personnelle. Par ailleurs, si le droit de l’informatique accorde une importance particulière à la vie privée, la protection bénéficie, naturellement, à l’ensemble des libertés fondamentales et même au-delà. A côté de la liberté individuellement et personnelle, il convient d’ajouter les libertés publiques consacrées directement ou indirectement par les conventions ratifiées, par exemple, les libertés de pensée, de conscience et de religion, d’opinion, d’expression, de communication, d’information, de réunion et d’association, ainsi que les libertés politique et syndicale, de circulation, la liberté de presse et d’entreprendre, le principe d’égalité, etc( ). A ce propos, la loi organique du 27 juillet 2004 affiche explicitement l’objectif d’assurer un haut niveau de protection des droits et des libertés grâce à la protection des données personnelles, qui établit "des droits créances" pour la personne concernée" ( art.1 de la loi ). Mais l’exercice des dites prérogatives n’autorise pas tout, même si le droit à la protection des données personnelles se voit attribuer une valeur constitutionnelle (art. 9 – nouveau) de la constitution. L’intervention de l’autorité publique sera justifiée pour autant qu’elle sera prévue par la loi, et elle devra être strictement nécessaire dans une société démocratique à la protection de la sécurité nationale, de la sûreté publique, à l’ordre public, à la prévention des infractions pénales, à la protection d’intérêts majeurs et à la protection des droits et libertés d’autrui. D’ailleurs l’art. 7 de la constitution précise que "les citoyens exercent la plénitude de leurs droits dans les formes et conditions prévues par la loi. L’exercice de ces droits ne peut être limité que par une loi prise pour la protection des droits d’autrui, le respect de l’ordre public, la défense nationale, le développement de l’économie et le progrès social". Toutefois, les nouveaux problèmes soulevés par les NTIC amènent à observer les inadaptations, les insuffisances du contenu classique et des modes traditionnels de protection des droits et libertés fondamentales. Les solutions envisageables, en l’espèce, pour limiter les dérives et les abus relèvent d’abord du bon sens. C’est ainsi que se dégagent de principes tels que le principe de finalité de transparence, de proportionnalité, de loyauté, d’exactitude des données, de sécurité des traitements et autres. Leurs adoptions par la loi constituent le moyen le plus adéquat pour parvenir à un équilibre entre les intérêts du responsable du traitement de données personnelles et les personnes concernées par ce traitement. Quel est alors le régime juridique applicable au traitement des données personnelles ? II / Les conditions de licéité du traitement : A/ Les principes généraux gouvernant le traitement : L’informatique doit être au service de chaque citoyen. Elle ne doit donc porter atteinte ni à l’identité humaine, ni aux droits de l’homme ni à la vie privée, ni aux libertés individuelles ou publiques( ). Ces principes adoptés par la plupart des législations reflètent une prise de conscience des dangers de l’informatique. En effet, on a commencé partout à relativiser les conséquences bénéfiques de l’informatique pour la société( ). Nouvel impérialisme, l’informatique est partout, envahit tout, la vie personnelle comme la vie professionnelle. L’usage des technologies nouvelles induit, directement ou indirectement, le traitement, la collecte, le stockage et la diffusion de données personnelles. Cette pratique constitue, en réalité, un problème d’ordre politique, philosophique ou déontologique ( ) avant que d’être de nature juridique. A ce niveau, la finalité doit être légitime pour le gestionnaire des informations, utile ou nécessaire pour la personne concernée qui a besoin d’information préalable, d’une capacité du choix éclairé et personnel pour déterminer son autonomie informationnelle. Au début, c’était le fichier qui faisait plus peur que l’informatique puisque pratiquement toutes les relations administration – administrés passent par un fichage. A cette époque, la crainte était que l’Etat puisse enserrer le citoyen, dans un système le rendant transparent par le biais des grandes bases de données, des fichiers policiers, de justice, de santé, de situation sociale ou professionnelle. On avait accordé une attention particulière aux données dites sensibles, celles relatives à la santé, les opinions politiques ou syndicales, les convictions religieuses ou philosophiques. Au début, des années 80, on a assisté à la généralisation de l’utilisation de l’informatique dans la gestion de ces données. Toutefois, la nature de données, éventuellement connectées, a changé. On a, dés lors, commencé à parler d’un Etat "liberticide" susceptible avec les nouvelles technologies de porter atteinte à la liberté individuelle des personnes concernées. Les traitements informatiques ne s’intéressent plus uniquement aux données précitées, mais aussi aux comportements, habitudes et tendances, à l’identité culturelle et sociale, et à l’aspect physique et psychologique de la personne envisagée. Bref, le traitement peut se faire de façon déloyale à l’insu de la personne concernée, qui n’a plus les moyens de maîtriser les données la concernant. Pour lutter contre la création de "paradis de données", qui échappent à tout contrôle et à l’application des lois en vigueur( ), le législateur a précisé que le traitement de données personnelles doit répondre à certaines exigences. En effet, la loi organique n° 63 du 27 Juillet 2004 dispose que les données personnelles "ne peuvent être traitées que dans le cadre de la transparence, la loyauté et le respect de la dignité humaine et conformément aux dispositions de la présente loi". Suivant une technique législative peu habituelle en droit tunisien, la dite loi comporte des articles donnant une définition de certains termes-clés. Il importe de s’y référer pour déterminer son champ d’application. A priori, le texte concerne aussi bien les traitements manuels des données personnelles que les traitements automatisés des dites données, mis en œuvre par des personnes physiques ou par des personnes morales (art. 2 de la loi). On entend par données à caractère personnel, aux termes de l’art. 4 de la loi, "toutes les informations quelle que soit leur origine ou leur forme et qui permettent, directement ou indirectement, d’identifier une personne physique ou la rendent identifiable, à l’exception des informations liées à la vie publique ou considérées comme telles par la loi" Alors qu’en droit français, "constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres" (art. 2 de la loi du 06 janvier 1978 modifiée). Cette définition, qui est en harmonie avec la directive du parlement européen et du conseil du 24 octobre 1995, marque le passage de donnée nominative à celui de donnée à caractère personnel, beaucoup plus protecteur compte tenu des innovations technologiques, qui permettent des traitements sur les caractéristiques de la personne autres que les éléments d’identité. Constitue, alors, un traitement de donnée à caractère personnel, toute opération ou tout ensemble d’opérations, portant sur des telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Cette définition adoptée par la directive européenne et transposée dans la loi française relative à l’informatique, aux fichiers et aux libertés (art. 2 al.2), a semble-t-il, inspiré les rédacteurs de la loi n° 2004-63 qui l’ont vraisemblablement retenu dans l’art. 6 de la loi n° 2004-63. Le dit texte précise que le traitement peut être automatisé ou manuel. Par conséquent, tout traitement qui n’est pas exclusivement manuel est automatisé ( ). Cela inclut évidement le cas général de l’informatisation mais aussi tout aménagement mécanographique qui a pour objet d’accélérer la recherche manuelle ou d’autoriser les recherches croisées. On a préféré, donc, à juste titre, l’expression "automatisé" à "informatisé" pour élargir le champ des traitements visés et incorporer aisément toute forme de technologie à venir. A cet égard, "La Toile" donne une très grande mobilité aux données personnelles sous forme de textes, de fichiers, de son, d’images qui circulent plus vite et plus rapidement grâce à la croissance des capacités techniques des réseaux. En effet, le Net favorise l’intégration des techniques et des services informatiques, des télécommunications et de communication audiovisuelle pour la vie personnelle. A cet égard, l’absence de frontière permet la création de "Paradis de données" comme il existe des paradis fiscaux, pour échapper à tout contrôle, à l’application des lois nationales de protection des droits et libertés, ce qui permet aux Etats de moins assurer un niveau suffisant de protection de leurs citoyens ou de faire respecter leur souveraineté. A l’heure actuelle, les technologies nouvelles rendent plus trouble la distribution entre données réellement anonymes, et données directement ou indirectement personnelles. Les dangers réels et potentiels pour les droits et libertés des personnes, présentés par certains usages des nouvelles technologies de l’information et de la communication, sont, actuellement, incontestables et prennent constamment des formes nouvelles. Pour toutes ces raisons, la loi du 27 juillet 2004 exige que le traitement soit fait dans le cadre de la transparence, la loyauté et le respect de la dignité humaine. On ne doit pas alors toucher à l’identité, à la dignité, à l’intimité de la vie privée et aux éléments intrinsèques de la personne. En droit français, le traitement des données personnelles doit satisfaire aux conditions suivantes : – Les données doivent être traitées de manière loyale et licite. – Le traitement doit être effectué pour des finalités déterminées, explicites et légitimes et ne sont pas traités ultérieurement de manière incompatible avec ces finalités. – Les données traitées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles sont collectées et de leurs traitements ultérieurs. – Les données doivent être exactes, complètes et, si nécessaire, mises à jour. – Les données traitées doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Ces règles déontologiques régissant le traitement des données personnelles, qui sont issue de la directive de 1995( ), ont été reprises par le législateur tunisien, dans le cadre de l’énumération des obligations du maître du traitement (art. 9 et s. de la loi n° 2004-63 ). Eriger de l’ensemble de ces dispositions des principes gouvernant le traitement des données à caractère personnel en général est souhaitable. Le danger, provient en fait du caractère inadéquat, équivoque, imprécis et disproportionné des données collectées parfois de manière illicite, par rapport à une finalité critiquable qui peut s’abriter derrière une argumentation la présentant de manière favorable. Le danger provient aussi du détournement de finalité de l’information, à ce sujet, certains avancent qu’en pratique, il n’y a de données anodines, et que la notion de données "sensibles" (santé, opinion, politique ou syndicale, vie privée…) définie à priori doit être considérée de manière relative. En effet, le législateur a prévu des dispositions spécifiques à certaines catégories de données dites "sensibles". D’ailleurs, on a interdit, sauf dans les cas prévus par la loi, le traitement des données personnelles concernant l’origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicale et la santé de l’individu envisagé. De même en raison de leur nature ou de leur fonction, certaines données présentent des risques, jugés supérieurs, d’atteinte aux droits et libertés des personnes concernées par le traitement, autrement dit jugées sensibles, sont interdites du traitement. C’est le cas des données relatives aux infractions, à leur constatation, aux poursuites pénales, aux mesures préventives ou aux antécédents judiciaires. Le législateur a ainsi souhaité empêcher la création sauvage et discrète des fichiers pénaux, sortes de casiers judiciaires privés et parallèles à l’insu des personnes concernées. B/ Les formalités afférentes au traitement des données personnelles : La création de l’instance nationale de protection des données à caractère personnel constitue la pierre angulaire du dispositif protecteur de l’individu et plus précisément toute personne physique dont les données à caractère personnel font l’objet d’un traitement. Bien avant cette législation, le décret n° 94-488 du 28 Février 1994 avait porté création de la commission supérieure de l’information juridique et du système national d’information juridique, qui avait été chargée, entre autres, de l’élaboration des normes relatives à la présentation des textes et des documents à caractère juridique. Ce décret intervenait juste après la création du conseil supérieur de l’informatique et des télécommunications par le décret n° 1289 du 15 Juillet 1988, et peu avant la loi n° 96-73 du 29 Juillet 1996 portant création du centre national de l’informatique pour enfant. Le dispositif légal protecteur en matière informatique s’est renforcé par la création de l’Agence nationale de la sécurité informatique par la loi n° 2004-05 du 03 Février 2004 relative à la sécurité informatique. La nouvelle instance est, donc, censée être responsable essentiellement de la mise en œuvre de la nouvelle réglementation. D’ailleurs l’art. 76 de la loi n° 63 du 27 juillet 2004 précise que l’Instance nationale de protection des données à caractère personnel est chargée des missions suivantes: – accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement des données à caractère personnel, ou les retirer dans les cas prévus par la loi. – recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée en vertu de la présente loi. – déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel. – accéder aux données à caractère personnel faisant l’objet d’un traitement afin de procéder à leur vérification, et collecter les renseignements indispensables à l’exécution de ses missions. – donner son avis sur tout sujet en relation avec les dispositions de la présente loi. – élaborer des règles de conduite relatives au traitement des données à caractère personnel. – participer aux activités de recherche, de formation et d’étude en rapport avec la protection des données à caractère personnel, et d’une manière générale à toute activité ayant un rapport avec son domaine d’intervention. A ce niveau, une des conditions d’une probable efficacité de la nouvelle réglementation tiendrait à l’exigence de certaines obligations à l’égard du responsable du traitement( ). Une des missions confiée, en l’espèce, à la toute nouvelle instance est celle d’accorder les autorisations et recevoir les déclarations pour la mise en œuvre du traitement, qui constitue par la même occasion une formalité nécessaire pour réaliser tout traitement, dont l’inobservation est sanctionnée par la loi. En effet, en application de l’art. 7 de la loi, toute opération de traitement des données personnelles est soumise à une déclaration préalable déposée au siège de l’Instance nationale de protection des données à caractère personnel. La dite déclaration doit être effectuée par le responsable du traitement ou son représentant légal. Toutefois, afin de protéger la personne concernée, la loi précise que la dite déclaration n’exonère pas de la responsabilité à l’égard des tiers. De même, l’art. 8 de la loi exige l’obtention d’une autorisation de l’Instance pour le traitement des données personnelles qui concernent directement ou indirectement l’origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicales. Les données relatives à la santé sont soumises à un formalisme accentué (art. 62 et suivant). Néanmoins, la loi met à la charge du responsable du traitement une obligation d’information préalable de la personne concernée par n’importe quel moyen laissant une trace écrite de la nature des données personnelles concernées par le traitement, le caractère obligatoire ou facultatif de leur réponse, le nom des bénéficiaires des données et du responsable du traitement, une description sommaire des mesures mises en œuvre pour garantir la sécurité des données personnelles et la durée de conservation des dites données. La notification adressée doit rappeler aux personnes envisagées leurs droits à cet égard. Cette formalité qui doit intervenir un mois avant la date fixée par le traitement, en vertu de l’art. 31 de la loi, démontre le degré de formalisme qui caractérise le traitement des données personnelles visant à protéger au mieux l’individu lequel bénéficie de plusieurs prérogatives. III/ Le dispositif protecteur de l’individu à l’égard du traitement : La loi relative à la protection des données à caractère personnel a mis en œuvre plusieurs instruments juridiques de protection des personnes concernées par les traitements informatiques de tout ordre( ). Ce dispositif protecteur de l’individu, à l’égard de toute opération portant sur des données personnelles, s’est traduit d’une part, par l’établissement, au profit des personnes concernées, d’un ensemble d’attributs et de droits avant et après le traitement des données personnelles la concernant, et d’autre part, par la répression des violations constatées à ce sujet. A/ Les attributs accordés au préalable aux personnes concernées par le traitement : Le droit à la protection des données personnelles apparaît comme un complément nécessaire et adapté établissant des nouveaux droits pour l’individu tenant mieux compte du contexte situationnel ( ). Les obligations qui incombent au maître du traitement constituant des garanties supplémentaires pour les personnes physiques envisagées par toute opération de traitement informatique. Mais le texte reconnaît, aux personnes identifiées ou qui peuvent être identifiées grâce à ce traitement, un ensemble d’attributs. Ces attributs sont notamment : * Le droit à l’information : La directive européenne exige que la personne auprès de laquelle sont recueillies les données personnelles la concernant doit être informée de : – L’identité du responsable du traitement, le cas échéant, de celle de son représentant. – La finalité poursuivie par le traitement auquel les données sont destinées. – Caractère facultatif ou obligatoire des réponses. – Conséquences éventuelles, à son égard, d’un défaut de réponse. – Destinataires ou catégories de destinataires de données. – Droit des personnes à l’égard du traitement. Ce droit à l’information a été retenu par le législateur tunisien à l’art. 31 de la loi du 27 juillet 2004 en parlant du consentement de la personne concernée par le traitement. Toute personne sujet de traitement doit être, donc, informé du caractère du traitement de ses étendus, de ses conséquences, de sa destination et de leurs droits à l’égard du maître du traitement pour qu’elle puisse donner son consentement, lequel constitue une obligation pour le responsable du traitement avant que d’être un droit pour les personnes envisagées par une telle opération. * Le consentement : Conformément à l’art. 27 de la loi, le traitement des données à caractère personnel, ne peut, en principe, être effectué qu’avec le consentement exprès et écrit de la personne concernée. La personne envisagée ou son tuteur peut, à tout moment se rétracter, et le juge de la famille peut ordonner le traitement même sans le consentement du tuteur lorsque l’intérêt supérieur de l’enfant l’exige. Toutefois, le traitement ne dépend pas toujours de la volonté de l’individu concerné, puisque la loi l’autorise sans le soumettre au consentement de celle-ci, lorsqu’il s’avère manifestement que ce traitement est effectué dans son intérêt, et que son contact se révèle impossible ou lorsque l’obtention de son consentement implique des efforts disproportionnés, ou si le traitement des données personnelles est prévu par la loi ou une convention dans laquelle la personne concernée est partie ( art. 29 de la loi ). En France, suite à la réforme du 06 août 2004, la nouvelle législation, relative à l’informatique, aux fichiers et aux libertés, n’exige pas le consentement de la personne concernée lorsque le traitement satisfait certains critères tels que : le respect d’une obligation légale, la sauvegarde de la personne concernée, l’exécution d’une mission de service public ou la réalisation de l’intérêt légitime tout en préservant les droits et libertés fondamentaux de la personne envisagée par le traitement. B/ Les nouveaux droits découlant du traitement : Les individus qui sont identifiés ou qui peuvent être identifiés grâce au traitement de leurs données personnelles disposent d’un certain nombre de droits à l’occasion d’une telle opération, notamment : * Le droit d’accès et de rectification : Ce nouveau droit confère à toute personne, dont les données personnelles font l’objet d’un traitement, la possibilité de prendre connaissance du détail des informations la concernant ainsi que le droit de les corriger, compléter, rectifier, mettre à jour, si des erreurs apparaissent ou lorsqu’elles s’avèrent inexactes, équivoques ou que leur traitement est interdit. Ce droit couvre également, suivant l’article 32 de la loi, le droit d’obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu’elles sont traitées à l’aide de procédés automatisés. Ces attributs dépassent largement le strict cadre de droit d’accès, tel que le présente le législateur, pour englober le droit de rectification tel qu’il est perçu par les spécialistes en la matière. Il s’agit de la possibilité, pour chaque citoyen fiché, de consulter sa fiche personnelle, autrement dit son fichier. On entend par fichier, aux termes de l’al. 2 de l’art. 6 de la loi n°2004-63, l’ensemble des données à caractère personnel structuré et regroupé, susceptible d’être consulté selon des critères déterminés et permettant d’identifier une personne déterminée. La directive 95/46/CE du parlement européen et du conseil du 24 octobre 1995 semble avoir adopté une définition plus large en disposant dans son art. 2, qu’il s’agit de tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Par ailleurs, le droit d’accès et de rectification n’est accordé qu’à la personne concernée, ses héritiers ou son tuteur, à condition, bien évidemment, de justifier de leurs identités respectives, et qui ne peuvent y renoncer au préalable. Ceci implique le droit de savoir, pour la personne fichée, si les données personnelles la concernant figurent dans un traitement manuel on automatisé ou d’en obtenir communication ou copie du responsable de traitement. Au cas où celui-ci lui refuse l’accès, il peut saisir l’Instance nationale de la protection des données à caractère personnel. Le fiché a aussi le droit de demander la rectification, la modification, la correction ou l’effacement de ses données personnelles ( ). A cet égard, l’art. 40 al.1 de la loi précise que la personne concernée, ses héritiers ou son tuteur, peut demander de rectifier les données à caractère personnel la concernant, les compléter, les modifier, les clarifier, les mettre à jour, les effacer lorsqu’elles s’avèrent inexactes, incomplètes ou ambiguës, ou demander leur destruction lorsque leur collecte ou leur utilisation a été effectuée en violation de la présente loi. Cependant, la législation tunisienne n’exige pas la notification des rectifications, aux tiers auxquels les données ont été communiquées, comme l’a fait son homologue français et la législation européenne en la matière. Ceci s’explique peut être par le caractère très exceptionnel de la communication et du transfert des données personnels aux tiers dans la loi n° 2004-63. En effet, la communication des donnés personnelles n’est autorisée que lorsqu’elle satisfait aux conditions de fond et de forme préétablies par les articles 47 et suivants de la dite loi. Le même formalisme caractérise tout transfert de données personnelles vers un pays étranger (art. 50 et s.). * Le droit d’opposition : La législation relative à la protection des données à caractère personnel permet à toute personne concernée par un traitement en l’espèce d’exercer, en quelque sorte, un contrôle sur les informations personnelles la concernant, en leur donnant, d’une part un droit d’accès et de rectification, et d’autre part un droit d’opposition. En effet, la personne concernée, a, conformément à l’art. 42 de la loi du 27 juillet 2004, le droit de s’opposer à tout moment au traitement, à la collecte et à la communication des données à caractère personnel la concernant pour des raisons valables, légitimes, et sérieuses, à l’exception des cas où les dites opérations sont prévues par la loi ou exigées par la nature de l’obligation. En outre, la loi a chargé l’Instance nationale de la protection des données à caractère personnel de statuer sur les litiges relatifs à l’exercice du droit d’opposition. Ce droit n’est pas limité dans le temps et permet de suspendre le traitement, c’est ce qui constitue une garantie supplémentaire pour l’individu fiché, à condition de ne pas abuser de son droit d’opposition. En tout état de cause, il appartient à l’instance chargée de la protection des données personnelles ainsi qu’aux juridictions compétentes en la matière d’apprécier, la légitimité et la validité de l’opposition. C/ Les recours juridictionnels et les sanctions : A l’instar de la quasi-totalité des instances ou autorités de contrôle chargées de veiller au respect des règles relatives au traitement des données personnelles, l’instance créée par le texte de 2004 a été chargée d’élaborer des règles de conduite relatives au traitement des données personnelles. En outre, l’instance nationale de protection des données à caractère personnel reçoit les plaintes portées dans le cadre de ses compétences, peut procéder aux investigations requises, et peut décider de retirer l’autorisation ou d’interdire le traitement portant atteinte aux droits ou obligations prévus par la loi. Toutefois, les décisions de l’instance sont susceptibles de recours devant la cour d’appel de Tunis dans un délai d’un mois, à partir de leur notification aux personnes concernées par un huissier de justice. Les arrêts rendus par la cour d’appel de Tunis sont, conformément à l’art. 82 in-finé de la loi, susceptibles de pourvoi en cassation devant la cour de cassation. L’instance doit informer le procureur de la République territorialement compétent de toutes les infractions dont elle a eu connaissance dans le cadre de son travail. Par ailleurs, la loi prévoit des sanctions assez importantes à l’encontre de ceux qui violent les dispositions de la loi du 27 juillet 2004, et plus particulièrement concernant la communication et le transfert vers un pays étranger de données susceptibles de porter atteinte aux intérêts vitaux de la Tunisie. C’est le cas aussi de la violation des règles relatives au traitement des données "sensibles", celles relatives à la santé, ou l’obtention du consentement des personnes concernant le traitement de leurs données personnelles en utilisant la fraude, la menace ou la violence. Cependant, les poursuites, en vertu de l’al.4 de l’art. 93 de la loi, ne peuvent être déclenchées qu’à la demande de la personne concernée. Le désistement arrête la poursuite, le procès ou l’exécution de la peine. C’est ce qui démontre, une fois de plus, que l’individu constitue la pierre angulaire de la nouvelle législation relative à la protection des données personnelles, et que la personne concernée par n’importe quel traitement de données personnelles la concernant bénéficie d’un cadre protecteur assez satisfaisant, qui accorde à la volonté de l’être humain toute son importance. Le droit à la protection des données personnelles ainsi établi par la loi n° 2004-63 du 27 juillet 2004 consolide, donc, le respect de la dignité humaine, des droits de l’homme, de la vie privée et des libertés individuelles dans la société de l’information.