Ministère de l’enseignement Supérieur

Université de Carthage
Institut Supérieur des Sciences l’infromation et des Techniques de Communication
ISTIC Borj Cédria

COURS : DROIT DE L’INFORMATIQUE

Protection des données à caractère personnel
ENSEIGNANT : HICHEM MANAI

1
Introduction :
L’informatique est domaine d’activité scientifique, technique et industriel
concernant le traitement automatique de l’information par l’exécution de
programme informatiques par des machines : des ordinateurs, des robots, des
automates, etc.
Plusieurs termes en anglais désignent l’informatique :
« Informatics », computer science ou information technology, souvent utilisé
pour désigner le secteur industriel des technologies de l’information.
Le terme informatique résulte de l’association du terme « information » avec le
terme « automatique » en appropriant le suffix « -ique » signifiant « qui est
propre à »
➢ Comme adjectif , il s’applique à l’ensemble des traitements liés à l’emploi
des ordinateurs et systèmes numériques.
➢ Comme substantif , il désigne les activités liées à la conception et à la mise
en œuvre de ces machines. (Des questions de télécommunications comme
le traitement du signal ou la théorie de l’information, aussi bien que
des problèmes mathématiques comme la calculabilité s’y rattachant)
➢ Dans le vocabulaire universitaire américain, l’informatique désigne surtout
l’informatique théorique : un ensemble de sciences formelles qui ont pour
objet d’étude la notion d’information et des procédés de traitement
automatique de celle-ci, l’algorithmique.
➢ Les applications de l’informatique depuis les années 1950 forment la base
du secteur d’activité des technologies de l’information et de la
communication TIC.
Ce secteur industriel et commercial est lié à la fois aux procédés (logiciel ,
architecture de systèmes) et au matériel (électronique, télécommunication)
HISTORIQUE :
En 1957 l’ingénieur allemand Karl Steinbuch crée le terme « informatik » pour
son essai intitulé « Informatik : Automatische Informationsverarbeitung »,
pouvant être traduit en français par informatique : traitement automatique de
l’information »

2
En mars 1962, Philippe Deryfus, ancien directeur du centre national de calcul
électronique de Bull, utilise pour la première fois en France le terme
« Informatique » pour son entreprise Société d’Informatique appliquée » (SIA).
En 1966, l’Académie française consacre l’usage officiel du mot pour désigner la
« science du traitement de l’information ». La presse, l’industrie et le milieu
universitaire l’adoptent dès cette époque.
Dans l’usage contemporain, le substantif « informatique » devient un mot
polysémique qui sésigne autant le domaine industriel en rapport avec l’ordinateur
(au sens de calculateur fonctionnant avec des algorithmes.
Les expressions « Science informatique » , « informatique fondamentale » ou
« informatique théorique » désignent sans ambiguïté la science, tandis que
« technologies de l’information » ou « technologies de l’information et de la
communication « désignent le secteur industriel et ses produits.

La protection des données à caractère personnel en droit tunisien

Le droit à la protection des données à caractère personnel a une valeur
constitutionnelle en droit Tunisien. A cet égard, l’article 24 de la constitution
Tunisienne dispose que « L’Etat protège la vie privée, l’inviolabilité du domicile,
la confidentialité des correspondances, des communications et des données
personnelles ». Cette protection est assurée par la loi organique du 27 juillet 2004
portant sur la protection des données à caractère personnel qui a imposé les
principes fondamentaux applicables aux traitements informatiques de données
nominatives et institué l’instance Nationale de protection des données à caractère
personnel (INPDCP).

A travers cette protection, le législateur cherche, en premier lieu, à garantir le

respect de la vie privée.

En ce sens l’article premier de la loi du 27 juillet 2004 dispose que « Toute

personne a le droit à la protection des données à caractère personnel relative à sa
vie privée comme étant l’un des droits fondamentaux garantis par la constitution
et ne peuvent être traitées que dans le cadre de la transparence, la loyauté et le
respect de la dignité humaine ».

Le développement des technologies a mis l’outil informatique à la disposition de

tous des dispositifs très sophistiqués, qui nécessitaient une capacité technique et
économique importante, sont devenus d’usage courant pour la plupart des
entreprises. L’informatique est partout, envahit tout, la vie personnelle comme la
vie professionnelle.
3
En effet, l’informatique doit être au service de chaque citoyen. Elle ne doit donc
porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée,
ni aux libertés individuelles ou publiques.

L’usage des technologies nouvelles induit, directement ou indirectement, le

traitement, la collecte, le stockage et la diffusion des données personnelles.

A ce niveau, la finalité doit être légitime pour le gestionnaire des informations et

utile ou nécessaire pour la personne concernée qui a besoin d’informations
préalables.

Il convient avant tout de définir la notion de « données personnelles ». Selon

l’article 4 de la présente loi « On entend par données à caractère personnel
toutes les informations quelle que soit leur origine ou leur forme et
permettent directement ou indirectement d’identifier une personne pgysique
ou la rendent identifiable, à l’exception des informations liées à la vie
publique ou considérées comme telles par la loi »

Le législateur de 2004 explique quels sont les éléments permettant l’identification

d’une personne. Il s’agit des données et symboles qui concernent notamment
l’identité d’un individu, ses caractéristiques physiques, physiologiques,
génétiques, psychologiques, sociales, économiques ou culturelles.

Il existe des données d’identification directes ou indirectes.

Les premières (directes) sont relatives aux données directement nominatives, sous
forme de données alphanumériques (càd toute application mémorisant les noms
et prénoms des personnes physiques) et les images (fixes ou animées).

Pour les données d’identification indirectes, il s’agit d’une définition

extrêmement large, allant du numéro de téléphone ou de sécurité sociale à
l’adresse postale ou électronique en passant par la voix ou le numéro de la carte
bancaire…

La loi objet de notre étude, s’applique au traitement automatisé ou manuel des

données à caractère personnel qu’il soit fait par des personnes physiques ou
personnes morales (article 2 loi 2004).

Par traitement on entend « Toutes les opérations réalisées d’une façon automatisée
ou manuelle par une personne physique ou morale et qui ont pour but notamment
la collecte, l’enregistrement, la conservation, l’organisation, la modification,
l’exploitation, l’utilisation, l’expédition, la distribution, la diffusion ou la
4
destruction ou la consultation des données à caractère personnel, ainsi que toutes
les opérations relatives à l’exploitation des données, des index, des répertoires,
des fichiers ou l’interconnexion » (article 6 de la loi de 2004).

Etant donné l’importance du droit de chaque personne à ce que ses données soient
protégées, le législateur a conditionné leur traitement. On ne doit pas toucher à
l’identité, à la dignité et à l’intimité de la vie privée.

En fait, l’absence de frontière en matière des technologies nouvelles permet la

création de « paradis de données » comme il existe des paradis fiscaux, pour
échapper à tout contrôle, à l’application des lois nationales de protection des droits
et libertés, ce qui permet aux Etats de moins assurer un niveau suffisant de
protection de leurs citoyens ou de faire respecter leur souveraineté.

Pour toutes ces raisons, la loi du 27 Juillet 2004 exige que le traitement soit fait
dans le cadre de la transparence, la loyauté et le respect de la dignité humaine.

1. Les conditions relatives au traitement des données personnelles :

Ainsi, le traitement de ces données doit satisfaire aux conditions suivantes :

• Les données doivent être traitées de manière loyale et licite.

• Le traitement doit être effectué pour des finalités déterminées, explicites et
légitimes.
• Les données doivent être exactes, complètes et si nécessaire, mises à jour
• Les données traitées doivent être conservées sous une forme permettant
l’identification des personnes concernées pendant une durée qui n’excède
pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et
traitées.

Ces règles déontologiques régissant le traitement des données personnelles,

sont issues de la directive européenne du 25 octobre 1995 et ont été reprises
par le législateur tunisien dans les articles 9 et suivants de la loi de 2004 pour
l’énumération des obligations du maître du traitement.

Il est à noter que le danger réel provient du détournement de finalité de

l’information. C’est pour cette raison que le législateur a prévu des dispositions
spécifiques à certaines catégories de données dites « sensibles ». D’ailleurs on
a interdit, sauf les cas prévus par la loi, le traitement des données personnelles
concernant l’origine raciale ou génétique, les convictions religieuses, les

5
opinions politiques ou syndicales et la santé de l’individu envisagée (Art. 14
de la loi de 2004).

De même sont interdites du traitement, les données relatives aux infractions, à

leur constatation, aux poursuites pénales, aux mesures préventives ou aux
antécedents judiciaires (article 13 loi du 27 juillet 2004).

2. Les formailtés préalables à la mise en œuvre d’un traitement de

données personnelles :

La création de l’INPDCP constitue la pierre angulaire du dispositif (càd le

mécanisme) protecteur de toute personne physique dont les données à
caractère personnel font l’objet d’un traitement. D’ailleurs l’article 17 de la loi
de 2004 précise les missions qui sont dévolues à l’INPDCP.

Une des mission confiée à l’instance est celle d’accorder les autorisations et
recevoir les déclaration pour la mise en œuvre des traitements.

En effet, en application de l’article 7 de la présente loi, toute opération de

traitement des données personnelles est soumise à une déclaration préalable de
la personne concernée par n’importe quel moyen laissant une trace écrite de la
nature des données personnelles concernées par le traitement, le caractère
obligatoire ou facultatif de leur réponse, le nom des bénéficiaires des données
et du responsable du traitement, une description sommaire des mesures mises
en œuvre pour garantir la sécurité des données personnelles et la durée de
conservation des dites données.

Ces formalités démontrent le degré de formalisme qui caractérise le traitement

des données personnelles visant à protéger au mieux l’individu concerné.

3. Les attributs (les droits) des personnes dont les données sont traitées :

Il s’agit notamment :

Le droit à l’information : L’article 31 de la présente loi parle de ce droit à

l’information tout en évoquant le consentement de la personne concernée par
le traitement.

Toute personne sujet de traitement doit être informé du caractère du traitement,

de ses étendus, de ses conséquences, de sa destination et leurs droits à l’égard
du maître du traitement pour qu’elle puisse donner son consentement, lequel

6
constitue une obligation pour le responsable du traitement avant d’être un droit
pour les personnes envisagées par une telle opération.

Le consentement : conformément à l’article 27 de la loi, le traitement des

données à caractère personnel ne peut, en principe, être effectué qu’avec le
consentement exprès et écrit de la personne concernée.

La personne envisagée ou son tuteur peut ,à tout moment, se rétracter et le juge

de la famille peut ordonner le traitement même sans le consentement de celle-
ci, lorsqu’il s’avère manifestement que ce traitement est effectué dans son
intérêt, et que son contact se révèle impossible ou lorsque l’obtention de son
consentement implique des efforts disproportionnés ou si le consentement des
données personnelles est prévu par la loi ou une convention dans laquelle la
personne concernée est partie (l’article 29 de la loi de 2004).

Le droit d’accès et de rectification :

Ce nouveau droit confère à toute personne, dont les données personnelles font
l’objet d’un traitement, la possibilité de prendre connaissance du détail des
informations la concernant ainsi que le droit de les corriger, compléter,
rectifier, mettre à jour, si des erreurs apparaissent ou lorsqu’elles s’avèrent
inexactes ou que le traitement est interdit.

Ce droit couvre également, suivant l’article 32 de la présente loi, le droit

d’obtenir une copie des données dans une langue claire et conforme au contenu
des enregistrements, et sous une forme intelligible lorsqu’elles sont traitées à
l’aide de procédés automatisés.

En fait, il s’agit de la possibilité de chaque citoyen fiché, de consulter sa fiche

personnelle, autrement dit, son fichier.

On entend par fichier au terme de l’article 6 de la présente loi « l’ensemble des

données à caractère personnel structurées et regroupées susceptibles d’être
consultées selon des critères déterminés et permettant d’identifier une
personne déterminée ».

Le droit d’accès et de rectification n’est accordé qu’à la personne concernée,

ses héritiers ou son tuteur, à condition, bien évidemment, de justifier de leurs
identités respectives, et qui ne peuvent y renoncer au préalable.

7
Il est à noter, que le législateur tunisien n’exige la notification des
rectifications, aux tiers auxquels les données ont été communiquées comme
l’ont fait son homologue français et la législation européenne en la matière.

Le droit d’opposition : La personne concernée, a conformément à l’article 42

de la loi du 27 juillet 2004, le droit de s’opposer à tout moment au traitement,
à la collecte et à la communication des données à caractère personnel la
concernant pour des raisons valables, légitimes, et sérieuses, à l’exception des
cas où les dites opérations sont prévues par la loi ou exigées par la nature de
l’obligation.

En outre, la loi a chargé l’INPDCP de statuer sur les litiges relatifs à l’exercice
de ce droit.

Ce droit d’opposition n’est pas limité dans le temps et permet de suspendre le

traitement. Il s’agit là aussi d’une garantie supplémentaire pour l’individu
fiché, à condition de ne pas abuser de son droit d’opposition.

4. Les recours juridictionnels :

L’INPDCP est chargé de recevoir les plaintes portées dans le cadre de ses
compétences. De même, elle peut procéder aux investigations requises, et peut
décider de retirer l’autorisation ou d’interdire le traitement portant atteinte aux
droits ou obligations prévus par la loi.

Toutefois, les décisions de l’instance sont susceptibles de recours devant la

cours d’appel de Tunis dans un délai d’un mois (30 jours), à partir de leur
notification aux personnes concernées par un huissier de justice.

Les arrêts de la cours d’appel de Tunis sont susceptibles de pourvoi en

cassation devant la cour de cassation comme le prévoit l’article 82 de la loi.

5. Les sanctions :

La loi portant protection des données à caractère personnel prévoit des

sanctions assez importantes à l’encontre de ceux qui violent les dispositions de
la présente loi. On cite à titre d’exem ple les sanctions suivantes :

Est puni d’un emprisonnement de deux à cinq ans et d’une amende de 5000
mille dinars à 50.000 dinars, quiconque qui communique ou fait le transfert
vers un pays étranger des données susceptibles de porter atteinte à la sécurité
publique ou aux intérêts vitaux de la Tunisie (article 86 de la loi de 2004).

8
De même, il sanctionne par une peine d’emprisonnement d’un an associée à
une amende de 10 000 dinars, celui qui porte une personne à donner son
consentement pour le traitement de ses données personnelles en utilisant la
fraude, la violence ou la menace (article 88 de la loi de 2004).

C’est le cas aussi de la violation des règles relatives au traitement des données
« sensibles » (un an d’emprisonnement et de 5 000 dinars par application de
l’article 90 de la présente loi).

En conclusion, on peut dire que le droit de protection des données à caractère

personnel ainsi établi par la loi de 27 juillet 2004 consolide le respect de la
dignité humaine, des droits de l’Homme, de la vie privée et des libertés
individuelles dans la société de l’information.

Les enjeux de la gestion des données à caractère personnelles

Le développement des échanges électroniques s’est accompagné de
l’accroissement exponentiel du traitement des DP

• Les données personnelles (DP), « e carburant du

numérique » comme l’a dit « Isabelle Falque-Pierrotin,
présidente de la CNIL).
• La gratuité d’internet n’a pas comme seule contrepartie la
publicité mais aussi l’accès aux DP : « L’individu lui-
même est le produit cible »
• Collecte automatique des données à l’insu de l’internaute
par les automate, les blogs, les historiques de navigation,
les objets connectées, et autres techniques de traçage et de
profilage.
• La divulgation volontaire des utilisateurs de leurs DP à
travers les réseaux sociaux, les objets connectées….
• « Culture de l’exposition de soi » est devenue très répandu
suite à la STORY facebook et LIVE et TikTok ….
• Une société de surveillance où on est tous « surveillants et
surveillés »
- Dangers d’une surveillance massive et systématique

9
• Le numérique, l’IOT , l’IA, le Big data et la collecte
massive des données même les plus intimes.
• Le respect des DP , est un impératif de la
transformation digitale.
• Le respect des DP , un enjeu de souveraineté
numérique
• Le RGPD émanant du parlement européen , une
nouvelle ère de la protection des DP.
• En Tunisie il existe une loi relative à la protection des
DP celle du 27 juillet 2004 un pas nécessaire pour jeter
les bases mais reste insuffisant à l’épreuve de la
pratique.
• Un projet de loi soumis le 19 avril 2018 à l’examen de
la commission parlementaire des droits et des libertés
de l’ARP.

10