SA Consulting – Votre partenaire du conseil

Protection des données personelles

Non-respect des données personnelles et responsabilité civile

Par Slim ABDELJELIL – Juriste

Depuis l’adhésion de la Tunisie à la Convention 108 du Conseil de l’Europe sur la
protection des données personnelles, les entreprises européennes pourront
bénéficier du transfert des données vers la Tunisie (selon Chawki Gaddes,
Président de l’instance Nationale de Protection des Données Privées – INPDP).
Cela suppose que la conformité soit identique dans les deux sens.

Or, En Europe et à titre indicatif la fin de l’année 2022 fut marqué par des
sanctions financières assez lourdes à la charge de grandes sociétés sensées être
un exemple de conformité avec la protection des données personnelles. Il s’agit
de EDF (l’équivalent de notre STEG) qui a manqué à ses obligations : Recueil du
consentement, obligation d’information, respect de l’exercice des droits d’accès
et d’effacement, sécurité des données. Telles sont les obligations qu’EDF n’a pas
respectées en matière de données personnelles. En conséquence, une amende de
600 000 €. Dans un autre cas, le fournisseur d’accès à Internet (Free) écope d’une
amende de 300 000 €. Premier manquement, ne pas avoir tenu compte des
demandes de clients qui souhaitaient accéder ou effacer leurs données
personnelles. Deuxième manquement : avoir failli à assurer la sécurité des
données de ses clients, en leur fournissant un mot de passe trop faible, qui plus
est stocké en clair dans sa base de données.

Rappelons que ces amandes n’exclues pas la possibilité de recours en
responsabilité civile pour réparation des préjudices subis par les clients.

La question :
Qu’en est-il en Tunisie en termes de conformité en attendant la réforme ?

Le constat est affligeant. La question de la conformité à loi organique n°63-2004
est quasiment ignorée. Dans l’état actuelle des choses, la loi semble obsolète et
oubliée par la pratique !

Et pourtant …!

La Tunisie est sensé avoir commencé l’application effective de la convention 108
du Conseil de l’Europe, depuis le 1er novembre 2017, et est ainsi devenu le 51ème
pays ayant adhéré à cet instrument juridique international. En vertu de cette
convention, la Tunisie a été reconnu comme étant un Etat protecteur des données
personnelles et doit ainsi travailler sur l’amendement de la loi de 2004 afin qu’elle

soit conforme aux dispositions de la Convention 108.

Les cas EDF et Free ne se limitent pas à des cas d’école. Leurs transpositions
dans le contexte tunisien exposerait des entreprises notoires à des amandes et
sanctions privatives de liberté.

Au-delà de la panoplie des textes dans la loi de 2004 qui établissent des
sanctions à l’encontre de toute entité qui collecte, qui traite et qui transmet ou
permets l’accès à des données personnelles, l’action en responsabilité civile reste
envisageable.

Devant, d’une parts l’inaction du ministère public devant les infractions répétées
et banalisées ainsi que l’ampleur du phénomène de la non-conformité de plusieurs
opérateurs volontairement ou non et malgré le caractère coercitif de la loi 2004; il
y a lieux de se poser la question si des actions individuelles basées sur la
responsabilité civile pour demander la réparation des préjudices sont
envisageables dans la loi tunisienne ?

L’entité qui procède à des opérations de traitement de données personnelles sans
respect de la loi 2004 relative encours elle au-delà de la responsabilité pénale
des responsabilités civiles liées à la réparation des préjudices que pourrait subir
une personne dont les informations personnelles ont été collecté, traitées ou
transmises en infraction à la réglementation.

L’action en responsabilité civile est envisageable, mais suscite certaines
difficultés de mise en œuvre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut