Le dernier débat de l’ATUGE (Association des Tunisiens des Grandes écoles) a été consacré à la protection de la vie privée à travers le prisme de l’exploitation des données personnelles. La question est sensible, à l’ère du big data et de la digitalisation à outrance de la société. Le traitement des données personnelles est devenu un élément de l’activité économique et de l’expansion des entreprises privées.
Mais dans cette euphorie générale, il convient de veiller à tous débordements. Le traitement commercial des données personnelles tout le temps qu’il sert le développement des affaires convient à tous. Mais s’il déborde vers le fichage, il y a risque sur la vie privée. Les citoyens commencent à en prendre conscience et expriment des attentes claires en matière de respect de la vie privée. Ce faisant, ils poussent les Etats et les entreprises privées à définir des limites strictes et des règles internes d’exploitation des données personnelles des usagers et des clients.
Où en sommes-nous de la question, en Tunisie? Et, c’est Chawki Gaddes, président de l’Instance nationale de protection des données personnelles, qui était l’invité d’honneur de ce débat. Il a gracieusement accepté de répondre aux questions de WMC.
WMC : Comment définir une donnée personnelle?
Chawki Gaddes : C’est toute information qui permet d’identifier une personne, directement ou indirectement. Le numéro minéralogique d’une plaque d’immatriculation d’une voiture est une donnée basique et pourtant elle permet de remonter jusqu’à son propriétaire. C’est donc une identification indirecte de l’individu, par conséquent elle a un caractère de donnée personnelle.
Et là on tombe dans le champ de la vie privée. Comment définir ce concept?
Une réponse à minima serait de dire que la vie privée comporte toutes les données qui ne relèvent pas du champ public. En dehors du nom d’une personne, le reste, c’est-à -dire à commencer par son adresse, son lieu de travail ainsi de suite, relève de la vie privée. Par conséquent, le périmètre de la vie privée et la réticence -qui en découle autour de la divulgation des données personnelles- vient de ce que le droit autorise l’exploitation des données personnelles pour une finalité bien définie et consentie par la personne concernée.
Comment présenter la problématique de la protection des données personnelles?
A l’heure actuelle, l’Etat, les collectivités publiques et dans leur sillage les entreprises privées disposent d’informations sur les individus. L’on est bien dans l’ère du big data, et c’est une tendance générale. Et l’exploration du big data, en vue de son exploitation, peut dériver hors les sentiers de la finalité définie entre l’individu et le détenteur de l’information. Le premier risque est qu’elle s’oriente vers la surveillance généralisée, ce qui est une menace sur la vie privée.
Comment définir la cloison entre le moral et le délictuel?
C’est le droit qui le définit. Le principe général stipule que toute personne a droit à une vie privée. Elle a donc le pouvoir de divulguer certaines données et d’en taire d’autres. La volonté d’expression de l’individu fait la différence entre les deux. C’est donc la propre décision de l’individu qui peut autoriser un tiers, une entité publique ou privée à exploiter les données de vie privée. Le consentement de l’individu est donc obligatoire. La preuve est que la loi lui reconnaît le pouvoir de s’opposer à l’exploitation et à la divulgation, ainsi qu’au transfert à l’étranger des données personnelles. C’est cela, la protection.
Quand est-ce qu’il y a malveillance?
En l’absence d’un consentement personnel autour d’une finalité bien définie, il y a abus d’usage. Le tiers qui collecte des données personnelles doit en préciser l’usage, au préalable, à l’attention de l’individu concerné. En général, la collecte se fait autour d’un motif avouable et qui convient aux deux parties. Ce peut être de la part d’une entreprise privée pour améliorer la qualité de ses prestations. Le but, en l’occurrence convient aux deux. Et cela reste du ressort de la propre décision de l’individu.
Les collecteurs de données, toutes catégories confondues, se rendent comptent qu’ils disposent d’un gisement de valeurs considérable. Ils peuvent être tentés de le monnayer, en le transférant à d’autres utilisateurs pour d’autres finalités, à l’insu de la personne concernée. Et cela constitue une violation de la vie privée des individus.
Quels sont les recours de défense des individus, en cas de violation de la vie privée?
Les individus sont tenus d’être conscients et vigilants. La protection commence par leur propre comportement. Or, avec l’invasion des réseaux sociaux, il y a comme un relâchement en matière de données personnelles. Le déballage sur les réseaux sociaux endort la vigilance des gens quant à la dangerosité de voir leurs données personnelles circuler dans le champ public. Heureusement que le droit confère aux individus des normes précises de protection. En l’absence d’un consentement de l’individu sur une finalité définie de traitement de ses données personnelles, l’individu est fondé à s’opposer à tous les tiers. La loi, en effet, institue le principe du droit d’accès, pour protéger la vie privée. Ce droit d’accès est la protection légale des données personnelles. Une personne peut aller à n’importe quelle structure, du public ou du privé, et réclamer la totalité des données qui sont en sa possession. Tout refus est punissable d’une peine de huit mois de prison ferme.
Cependant, les Tunisiens ne portent pas plainte car la lenteur des procédures les inhibe. L’avantage, en Tunisie, est qu’ils peuvent saisir l’instance, laquelle se charge de faire le nécessaire auprès de la justice.
Est-ce qu’il y a eu des cas concrets?
Naturellement. Et je peux vous garantir qu’en dehors de la capitale où le procureur est surchargé de dossiers, dans les régions les affaires se dénouent plus vite. A tire d’exemple, l’instance a saisi le procureur du Kef, et au bout de deux semaines les procédures ont été engagées et le dossier est transféré pour jugement.
Propos recueillis par Ali Abdessalam