11 décembre 2024

Avant-projet de loi relatif à la protection des données à caractère personnel : Ce qu'il faut savoir

protection des donneesAprès avoir été au centre de débats, de discussions et de réflexions lors de séminaires et de rencontres entre spécialistes
et professionnels de la question, la future loi pour la protection des données à caractère personnel est maintenant à un stade avancé, la prochaine étape étant son passage à l’assemblée nationale pour être débattue, si besoin, et être adoptée.
Nous y arrivons finalement bien que nous ignorions encore le temps nécessaire avant que l’avant-projet de loi ne devienne loi et ne régisse ce qui s’échange sur Internet comme données à caractère personnel. Quelles sont les grandes lignes que comporte l’avant-projet de loi relatif à la protection des données à caractère personnel ? Grandement inspiré par les législations tunisienne et belge en la matière, selon une source du ministère de la Justice, institution à qui revient la paternité du document après que la première ébauche eut été esquissée par le ministère des TIC, le document spécifie d’emblée ce qu’il est entendu par son propos : « La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données à caractère personnel […] Elle veille à ce que les technologies de l’information et de la communication ne portent pas atteinte aux libertés individuelles ou publiques, notamment à la vie privée. » Passés la section dédiée aux définitions d’usage et le chapitre consacré au champ d’application de la future loi, nous entrons dans le vif du sujet.
Naissance de l’ANPDCP
L’avant-projet de loi sur la protection des données personnelles signe l’acte de naissance d’une autorité nationale appelée à devenir l’unique interlocuteur de toute personne concernée par la collecte, le traitement ou encore le stockage de ces données et c’est également le seul vis-à-vis des utilisateurs que nous sommes. En vertu de cette future loi, « il est institué une Autorité nationale de protection des données à caractère personnel ». Elle est doté du statut juridique d’une autorité administrative indépendante, sur le modèle de l’Autorité de régulation de la poste et des télécoms (ARPT), et son budget inscrit sur celui de l’Etat. Quelles en sont les attributions ? L’Autorité nationale de protection des données à caractère personnel a pour mission d’« accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement des données à caractère personnel ou les retirer dans les cas prévus par la loi, de recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée […] accéder aux données à caractère personnel faisant l’objet d’un traitement afin de procéder à leur vérification […] élaborer des règles de conduite relatives au traitement » de ces même données. Comme autre attribution, celle l’autorisant à « procéder aux investigations requises en recueillant les déclarations de toute personne dont l’audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et lieux où a eu lieu le traitement à l’exception des [espaces] d’habitation ». Sur ce dernier point précisément, que les professionnels qui sont concernés de près ou de loin par la collecte et le traitement des données à caractère personnel sachent qu’ils ne peuvent en aucun cas « apposer » à l’autorité nationale le sacro-saint principe du « secret professionnel ».  Ceci pour les attributions. Passons à la composition de l’organigramme de cette autorité. Celui-ci est constitué d’un président, un membre, choisi parmi ses paires, de l’Assemblée populaire nationale, un autre encore mais issu du Conseil de la nation, un représentant du Premier ministère, de deux magistrats de la Cour suprême ; deux autres du Conseil d’Etat, puis un seul représentant des ministères de l’Intérieur, de la Défense nationale, de la Justice, de la Poste et des TIC et enfin un chercheur du ministère de la Recherche scientifique, un médecin pour représenter son ministère de tutelle et un membre de la Commission nationale pour les droits de l’homme. La liste ne semble pas définitivement close mais ce qui est sûr, c’est que, autant le président que les membres seront désignés par décret présidentiel et siégeront dans cette autorité pour une période de trois ans.
Comment, quoi…
Le document dédie toute une section à des généralités qui reviennent sur l’ensemble des aspects liés aux données à caractère personnel. Cela va du cadre dans lequel cette donnée est collectée, comment elle est traitée et à quelle fin de même que les procédures liées à son stockage. La section qui suit consacre, pour sa part, le « principe de consentement » et surtout celui de se rétracter et de demander jusqu’à la suppression de ces données par l’utilisateur bien sûr. Evidemment, en adressant la demande à l’autorité nationale qui prendra le relais.
Bouleversement à venir
Parmi les transformations majeures auxquelles nous devons nous attendre, en plus de voir la naissance d’une nouvelle autorité publique dans le paysage institutionnel national, celle qui concerne la réorganisation de l’activité de la prospection directe. Noir sur blanc, il est écrit : « Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. »
Alors, au sens de cet avant-projet de loi, « constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services, ou l’image d’une personne vendant des biens ou fournissant des services ». D’après ce document, ne sont pas concernées, selon toute vraisemblance, les prospections « business-to-business ». Il faut bien comprendre que, pour le moment, ce n’est qu’un volet du document qui reste un avant-projet, une sorte de « brouillon » qui, par définition, est prompt à tout changement. En ce qui concerne la prospection directe via le courrier électronique, elle est autorisée dans le cas où les coordonnées du destinataire auraient été récoltées directement auprès de lui lors d’une vente ou d’une prestation de service sous réserve que lui soit accordée de manière explicite la possibilité de s’opposer à l’utilisation de ses coordonnées pour des prospections à l’égard des tiers. Dans tous les cas de figure, il ne sera plus possible aux opérateurs économique dont l’activité repose en partie ou en totalité sur la prospection directe de le faire sans qu’il soit indiqué une coordonnée valable à laquelle le prospect pourrait se référé pour demander et obtenir que la communication cesse. Encore une fois, rien n’est définitif.
Interlocuteur unique
Si l’avant-projet de loi sur les données à caractère personnel devient loi; le traitement de ces données doit faire l’objet soit d’une autorisation préalable, soit d’une déclaration simplifiée. Evidemment, tout se passe et se passera au niveau de l’Autorité nationale qui spécifiera quelles données seront sous l’un ou l’autre régime. Toutefois, les données à caractère sensible, c’est-à-dire toute information dite de « souveraineté », comprendre les données récoltées pour la constitution d’un document administratif –carte d’identité, passeport, permis, etc.- sont l’exclusivité de l’autorité publique, donc de l’Etat.
Et Facebook ?
A ceux qui se demandent qu’en est-il ou qu’en sera-t-il des données à caractère personnel qui circulent sur les réseaux sociaux, Facebook en premier, le document spécifie : « En cas de collecte de données en réseaux ouverts, la personne concernée doit être informée, sauf si elle sait déjà que les données personnelles la concernant peuvent circuler sur les réseaux sans garantie de sécurité et qu’elles risquent d’être lues et utilisées par des tiers non autorisés ». Ici, c’est à prendre avec des pincettes. Le document ne mentionne pas –pas encore en tout cas au stade de l’avant-projet- quelle est la démarche à suivre si jamais des données personnelles d’un utilisateur sont circulent sur les réseaux à son insu ou sont carrément utilisées par des tiers non autorisés.
Peut-il recourir à l’autorité nationale qui diligente une procédure afin de l’assister ? Pas de réponse. En revanche, à ceux qui se demandent qu’en est-il ou qu’en sera-t-il de ceux qui manipulent des données personnelles mais les hébergent dans des serveurs à l’étranger, la réponse est apportée par le « chapitre dédié au transfert de données vers un pays étranger ». L’article qui le concerne stipule : « Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat étranger que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l’égard du traitement dont ces données font ou peuvent faire l’objet ».
Encore que, il faut attendre que l’autorité nationale établisse la liste des Etats répondant à ces critères. Question : et si cet Etat, ce sont les Etats-Unis, pays du Patriot Act ? En tout cas, sur le sol national, il est possible que les fichiers constituant des données personnelles soient interconnectés entre eux en perspective de services qui seraient lancés « dans le cadre de l’administration électronique ».
Juste un avant-projet
Enfin, si jamais l’avant-projet de loi relatif à la protection des données à caractère personnel est maintenu en l’état, les personnes dont l’activité est liée à ce domaine seront tenues de s’y conformer dans un délai de deux ans. Cependant, en l’état, beaucoup d’aspects liés à la vie privée ne sont pas pris en compte. Parmi ces problématiques, le GPS rentre-t-il dans la catégorie donnée à caractère personnel ? Les applications qui ont accès aux données d’identification sont-elles concernées ? Le droit à l’image, ces images que récupèrent les systèmes de vidéosurveillance ? Et le fameux « Cloud » dans tout ça ? Ce ne sont pas les seules questions d’ailleurs sachant que ce qui est lié aux nouvelles technologies de l’information et de la communication évolue très vite. Dans le domaine du cyberespace, le législateur n’est plus seul et ne peut plus faire cavalier seul. Même le droit n’est plus seul dans le sens  où les « normes de régulation » se font en dehors du droit lui-même à travers l’autorégulation qui est très présente et assez forte. Une « soft-law » qui finit par avoir des conséquences normatives et va jusqu’à supplanter la loi, dépassant par là même le pouvoir du législateur.
Exemple de référence : les réseaux sociaux et leur gestion de la protection des données des utilisateurs. Encore que, ce n’est qu’Internet. De plus en plus ; tous les équipements se recoupent, et c’est une tendance très forte, au point que le champ d’application doit viser de façon neutre tous les environnements à partir desquels nous nous connectons pour échanger nos données – tablettes, smartphones, téléviseurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *