Vous êtes sur la page 1sur 88

CHAPITRE II

La protection des données


personnelles
« Ceux qui détiennent les données possèdent le pouvoir »
Introduction :
Les données personnelles concernent tout individu à
chaque moment de sa vie de la maternité à l’université, en
passant par les soins qu’il prend, ses activités
professionnelles, ses loisirs.
La quantité de données générée n’a cessé d’augmenter
L’utilisation faites de ces données est déterminante pour le
respect de la vie privée et l’exercice des libertés
individuelles comme: la liberté d’opinion ou la liberté de
circulation.
Le Contexte

• Augmentation de la quantité de données, cette tendance est due à


la numérisation de l’ensemble de l’ensemble des sphères de la
société et au développement des capacités informatiques de
traitement des informations disponibles :
 Dématérialisation des activités professionnelles, personnelles et
administratives
 vidéosurveillance dans les espaces publics et privés
 Exposition sur les réseaux sociaux
 Géolocalisation permanente par les smartphones
 Profilage des utilisateurs par les services en ligne
• Les enjeux

• L’espace numérique est porteur aussi bien de progrès que de risques renforcées sur les
droits et libertés des personnes
• Les données personnelles sont devenues un enjeu du marketing
• Les géants du net exploitent des milliards d’informations sur les individus
• Les Etats multiplient les fichiers de police et de renseignement pour faire face à une
menace terroriste accrue
• La multiplication exponentielle des traces numériques ( le développement des objets
connectés, des techniques de profilage, des outils de contrôle et algorithmes )
• Les données personnelles sont à la base du développement de l’économie numérique
Les risques liées à l’utilisation des données personnelles
• La profusion des données personnelles représente un réel danger pour
nos droits et libertés
• Ainsi par exemple nos habitudes de vie peuvent facilement être
déduites grâce à l’historique de nos localisations enregistrées par nos
smartphone
• La vulnérabilité de la confidentialité des données liées à l’état de santé
d’une personne, sa religion ou ses opinions
• Les atteintes aux libertés individuelles et publiques
• Par exemple la vidéo surveillance met les personnes dans une situation
de contrôle permanent au travail ou dans des lieux publics
.
Tunisie
• La Constitution tunisienne du 27 janvier 2014 garantie dans son
article 24 le droit à la vie privée et le secret des correspondances,
des communications et des données personnelles.
• La loi organique Nº 2004-63 du 27 juillet 2004 portant sur la
protection des données à caractère personnel encadre le
traitement des données à caractère personnel, elle fixe les
conditions dans lesquelles de telles données peuvent être
légalement collectées, conservées et exploitées par les
organismes.
• Ces conditions visent à éviter que l’utilisation de ces informations
portent atteintes aux droits et libertés des personnes concernées.
Tunisie
• La loi organique n°2017-42 du  30 mai 2017 portant approbation de
l’adhésion de la Tunisie à la Convention pour la protection des
personnes à l'égard du traitement automatisé des données à
caractère personnel, Strasbourg, 28.1.1981 du conseil de l’Europe
(dite Convention 108 ) et son Protocole n°181 relatif aux autorités de
contrôle et aux flux transfrontalières de données.
• Décret Présidentiel n° 2017-75 du 30 mai 2017, portant ratification
de l’adhésion de la République Tunisienne à la Convention n° 108 du
Conseil de l'Europe pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel et de son
protocole additionnel n° 181 concernant les autorités de contrôle et
les flux transfrontières de données.
Qu’est que les données à caractère personnel?
• Il s’agit de « toutes les informations quelque soit leur origine,
ou leur forme et qui permettent directement ou indirectement
d’identifier une personne physique ou la rendent identifiable, à
l’exception des informations liées à la vie publique ou
considérées comme telles par la loi » (article 4 de la loi de
2004).
• Exemples : nom, numéro d’identifiant unique, numéro de la carte
d’identité nationale, numéro de la carte bancaire, identifiant en ligne
(mail, Facebook), des données de localisation, un ou plusieurs
éléments spécifiques propres à son identité physique, physiologique,
génétiques (ADN), psychique, économique, culturelle et social.
Les types de données personnelles

Les données à caractère personnel peuvent être :


1 Des données directement identifiantes
2 Des données indirectement identifiantes
3 Toute combinaison d’informations permettant
d’identifier la personne
• Différents supports peuvent contenir des données à
caractère personnel :
Une note sur un post-it
Un document papier
Un fichier informatique
Une photo
Une vidéo
Un enregistrement audio
A quoi correspond le traitement de données à caractère
personnel?
• « Traitement des données à caractère personnel : les
opérations réalisées d'une façon automatisée ou manuelle
par une personne physique ou morale, et qui ont pour but
notamment la collecte, l'enregistrement, la conservation,
l'organisation, la modification, l'exploitation, l'utilisation,
l'expédition, la distribution, la diffusion ou la destruction ou
la consultation des données à caractère personnel, ainsi que
toutes les opérations relatives à l'exploitation de bases des
données, des index, des répertoires, des fichiers, ou
l'interconnexion ». (Article 6).
Traitement
La collecte La modification
L’enregistrement L’exploitation
La Conservation L’utilisation
L’organisation La consultation
L’expédition  La destruction
La diffusion
Le Traitement

Traitements liés aux fonctionnement


interne Traitements liés aux activités
Gestion RH, gestion administrative et comptable, Gestion des fichiers de prospection commerciale,
dispositif de sécurisation des locaux (contrôle gestion de la liste des donateurs d’une association
d’accès par badge, vidéosurveillance)
A qui s’applique la loi sur la protection des données à caractère
personnel?
La loi sur la protection des données à caractère personnel (LPDP) s’applique à toute personne
physique ou morale qui détermine les finalités et les moyens du traitement des données
personnelles
Les organismes concernés
Tous les organismes concernés qu’ils soient publics ou privés quelque soit leur taille ou leur
secteur d’activité, sont ainsi notamment concerné :
 Les entreprises ( PME, …),
Les Métiers libérales ( Avocats, architectes, médecin, ingénieurs en informatique)
 Les administrations (centrales, déconcentrées)
 Les collectivités (municipalités)
 Les associations (associations culturelle, éducative, sportive,…)
Entités concernées
par la LPDP

Le responsable de
traitement
Le sous-traitant
 Le responsable de traitement (RT) : toute personne
physique ou morale qui détermine les finalités (objectifs
poursuivis) et les moyens du traitement des données à
caractère personnel (conditions de mise en œuvre, sur le
plan technique, matériel et organisationnel).

 Sous-traitant (ST) : toute personne physique ou morale


qui traite des données à caractère personnel pour le
compte du responsable du traitement.
Le responsable de traitement

• Le responsable de traitement, qui doit être porté à la connaissance des personnes


concernées, est considéré comme étant l’organisme pour lequel le traitement est mis en
œuvre
• C’est donc sur lui que pèse la responsabilité du respect des obligations.
• Pour le secteur privé : il s’agira ainsi de son dirigeant (président, directeur
général, PDG, gérant)
• Pour le secteur public : il s’agira selon l’organisme du ministre, du maire, du
PDG d’EPNA, du département, du chef de service
Le sous-traitant
• Un organisme est sous-traitant lorsqu’il traite des données personnelles pour le compte et
sur instruction d’un autre organisme ayant la qualité de responsable de traitement.

• Ces activités de sous traitement peuvent concerner une tâche bien précise ( sous-traitance
d’envoi de courriers de prospection commerciale) ou être plus générales et étendues
( gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion
de la paie des salariés ou des agents par exemple.
• Les prestataires de services informatiques ( hébergement, maintenance, …), les intégrateurs
de logiciels, les entreprises de service numérique (ESN) et celle de sécurité informatique
• Les agences de marketing ou de communication qui traitent des données personnelles pour
le compte de clients
• Plus généralement, tout organisme offrant un service ou une prestation impliquant un
traitement de données à caractere personnel pour le compte d’un autre organisme
Ne sont pas considérés comme sous-traitants dans la mesure
où ils n’ont pas accès et ne traitent pas de données
personnelles, les éditeurs de logiciels ou les fabricants de
matériels ( badgeuse, matériel biométrique, matériel médical)
qui ne font que fournir un outil « vierge » sans données
D’autres prestataires de service auront une double casquette :
• Responsable de traitement pour les opérations effectuées
pour leur propre compte ( ex: gestion clients) ,
• Sous traitant pour les opérations effectuées pour le compte de
leurs clients ( hébergement de données, envoi de courriels)
L’exception domestique
• Dans la vie privée, sphère familiale par exemple des données personnelles peuvent etre
utilisées quotidiennement par des individus pour un usage strictement personnel

• Exemples :
• Les contacts enregistrés dans le repertoire d’un téléphone portable à usage personnel,
l’hebergement sur une plateforme cloud de photos de famille, ou l’utilisation d’un réseau
social ( Facebook, Tweeter, Instagram, …),

• La loi de 2004 relative à la protection des données à caractere personnel ne s’applique pas
au traitement de données effectués au cours des activités strictement personnelles.
• (Sans lien avec une activité professionnelle ou commerciale)
L’exception domestique
• En revanche le responsable de traitement ou le sous-traitant
qui fournit la solution ou le dispositif utilisé dans ce cadre
privé est soumis aux conditions prévues par la LPDP

Exemple :
• Le fabricant d’une enceinte connectée utilisée dans un cadre
familial doit respecter les obligations imposées par la LPDP :
respect des informations des personnes
Comment protéger nos données personnelles?
Les principes de la protection des données personnelles
• La LPDP encadre la collecte, l’utilisation et la conservation des données personnelles par
des règles auxquelles tout organisme public ou privé doit se conformer.
• 1 La déclaration / autorisation
• 2 Finalité du traitement
• 3 Licéité du traitement
• 4 Minimisation des données
• 5 Protection particulière de certaines données
• 6 Conservation limitée des données
• 7 Droit des personnes
• 8 Obligation de sécurité
• 9 Transparence
1. Principe de la déclaration/autorisation
Décret n° 2007-300 du 27 novembre 2007, fixant les
conditions et les procédures de déclaration et
d’autorisation pour le traitement des données à
caractère personnel
La déclaration

• Toute opération de traitement de DP est soumise à une


déclaration préalable auprès de l’Instance Nationale
pour la protection des données à caractère personnel
(INPDP).

• La non opposition de l’INPDP au traitement des données


personnelles dans un délai d’un mois (30 jours) à compter
de la présentation de la déclaration vaux acceptation
L’autorisation
• La loi de 2004 spécifie les cas où l’obtention de l’autorisation
de l’INPDP est obligatoire pour le traitement de certaines
données :
 utilisation de moyens de vidéo surveillance dans les lieux
publics,
 La communication des données à caractère personnel aux
tiers en l’absence du consentement de l’intéressé ou de ses
héritiers ou de son tuteur,
le transfert des données à caractère personnel vers
l’étranger,
 la communication des données à caractère personnel relatives à la
santé aux personnes ou établissements effectuant de la recherche
scientifique dans le domaine de la santé,
 le traitement des données à caractère personnel qui concernent
directement ou indirectement les origines raciales ou génétiques, les
convictions religieuses, les opinions politiques, philosophiques ou
syndicales ou la santé.

L’absence de réponse de l’INPDP après un délai de 30 jours de la date de


dépôt signifie refus implicite.
L’instance peut décider l’octroi de l’autorisation après engagement du
responsable de traitement de prendre des précautions et des mesures
préventives nécessaires.
2. Finalité du traitement
• Le pourquoi du traitement
C’est l’objectif en vue duquel les données sont collectées, enregistrées,
exploitées, transmises, conservés, etc… par l’organisme.

Exemple :
La finalité du traitement peut être la gestion du personnel, de la
clientèle, ou des usagers d’un service public ( la gestion des étudiants
et des enseignants par le ministère de l’enseignement supérieur).
Ainsi à titre d’exemple un fichier de recrutement ne pourra être utilisé
pour de la prospection commerciale.
• Tout traitement de données personnelles doit suivre une
finalité déterminée et légitime
• Il n’est pas possible de collecter et de traiter des données
personnelles «  à toutes fins utiles » ou dans l'éventualité où
elles pourraient, un jour servir quelque chose
• Tout traitement de données doit être nécessaire à la
poursuite d’un objectif déterminé au préalable par
l’organisme.
• En plus d’être légal, cet objectif doit être légitime par
rapport à la nature et aux activités de l’organisme
• La finalité doit être déterminée et explicite
• C’est-à-dire qu’un objectif précis à atteindre doit avoir
été arrêté avant la mise en œuvre d’un traitement
• Son caractère explicite est vérifié lorsque la finalité est
énoncée ( en interne à l’égard des personnes
concernées) de manière compréhensible et
suffisamment claire
• La finalité doit être légitime
• La légitimité de la finalité s’apprécie au regard ne doit pas
porter atteinte aux droits des personnes protégées par les
lois et les règlements
• Il est également interdit d’utiliser ces données dont
l’objectif de porter atteinte aux personnes ou è leur
réputation.
• La légitimité pourra être remise en cause si la finalité est
jugée peu justifiée ou trop intrusive pour les personnes
concernées.
Détournement de finalité
• Le principe de finalité permet de délimiter le champ des usages des
données.
• L’objectif est d’éviter qu’elles fassent l’objet, par la personne chargée
du traitement d’une utilisation qui n’aurait pas été initialement
prévue par lui, ni portée à la connaissance de la personne concernée
lors du recueil de ses données
• La connaissance de cette seconde cause aurait pu conduire la
personne concernée à ne pas accépter le recueil de ses données
• Le non-respect de la délimitation des usages initialement définis est
considéré comme un détournement de finalité
• Exemples de détournement de finalité
 Fichiers de caisse de sécurité sociale constitués par l’administration afin de
calculer le montant des aides aux personnes. Détournement de finalité :
transmission des adresses emails à une entreprise qui va les utiliser pour
faire de la prospection commerciale
 Dispositif de géolocalisation installé dans les véhicules du personnel pour
assurer le suivi des livraisons. Détournement de finalité : l’employeur utilise
ce système pour contrôler le temps de travail des livreurs
 Fiches des inscriptions scolaires établies afin de prévenir les parents/ élèves
en cas de modification des emplois du temps. Détournement de finalité, le
directeur utilise des données contenues dans les fiches d’inscription scolaires
pour faire de la communication politique
Le traitement des données pour autres finalités
• Le traitement des données peut être effectué pour
d’autres finalités que celles pour lesquelles elles ont été
collectées dans les conditions suivantes :
Si la personne concernée a donné son consentement,
 Si le traitement est nécessaire à la sauvegarde d’un
intérêt vital de la personne concernée
 Si le traitement mis en œuvre à des fins scientifiques
certaines.
• Les données personnelles traitées pour des finalités
particulières peuvent être communiquées en vue d’être
traitées une autre fois pour des fins historiques ou
scientifiques, à condition d’obtenir le consentement de
la personne concernée, de ses héritiers ou de son
tuteur, ainsi que l’autorisation de l’INPDP.
• L’instance décide, selon les cas , de supprimer les
données susceptibles d’identifier la personne
concernée ou de les laisser .
3. Licéité du traitement
• Signifie «  La base légale de la démarche poursuivie »
• L’appréciation de la licéité d’un traitement ne s’effectue pas uniquement au regard des dispositions prévues
par la LPDP, mais aussi au regard de sa conformité au droit en général
• La licéité s’apprécie au regard de l’une de ces conditions :
• -1. Le consentement de la personne concernée pour le traitement de ses données personnelles pour une ou
plusieurs finalités spécifiques
• 2. le traitement est nécessaire à l’exécution d’un contrat
• 3. Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est
soumis
4. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique
5. Le traitement est nécessaire à la sauvegarde d’une mission d’intérêt public ou relevant de l’exercice de
l’autorité publique dont est investi le responsable de traitement
6. Le traitement est nécessaire aux fins des intérêts légitimes poursuivies par le responsable de traitement ou
par un tiers
Traitement doit être loyal
• La loyauté du traitement désigne les modalités selon
lesquelles les données sont collectées.
• Ce principe fait référence au droit à l’information des
individus, Le responsable de traitement devra fournir une
information complète en termes clairs sur le traitement
• Exemple : Mise en ligne d’une politique ou charte
« données personnelles  », panneau d’information pour une
vidéo surveillance
4. Minimisation des données ou la pertinence

• Il s’agit de collecter que ce dont vous avez besoin pour répondre à l’objectif défini (la finalité)
• Ce principe signifie que les données collectées doivent être « adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
• Une donnée est pertinente si elle a un lien direct avec la finalité du traitement.

Exemple :
Recueillir des informations sur la situation familiale d’un candidat à l’embauche n’apparait pas
pertinent.
Ces données ne permettent pas de répondre à la finalité de vérification des compétences d’un
candidat.
En revanche, la collecte de données sur l’entourage familial peut être justifiée pour l’attribution
d’avantages sociaux à un salarié embauché ou à sa famille.
• La minimisation pose aussi la question de la proportionnalité
• Certaines données peuvent être jugées pertinentes mais ne sont
pas forcément indispensables au traitement
• Le principe de minimisation limite la collecte aux données
strictement nécessaires par rapport à la finalité du traitement.
Exemple :
• La collecte de la date de naissance doit être facultative lors de la
souscription à une carte de fidélité si cette information permet
uniquement l’octroi d’avantages supplémentaires à la personne
concernée ( ex. offre pour l’anniversaire)
Exactitude des données
• Les données personnelles doivent être  exactes et, tenues à jour
• Toutes les mesures raisonnables doivent être prises pour que les données
à caractère personnel qui sont inexactes, eu égard aux finalités pour
lesquels elles sont traitées, soient effacées ou rectifiées sans retard.
• Exemple :
• Une personne a été inscrite sur le fichier des personnes recherchées pour
une condamnation par contumace pour non accomplissement du service
militaire
• Cette personne a régularisé sa situation à l’égard de la justice
• L’absence de mise à jour du fichier des personnes recherchées serait
particulièrement pénalisant pour cette personne.
5. Protection particulière de certaines données
Infractions, à
leur
constatation

Poursuites
Peines pénales

Traitement strictement
interdit

Antécédents Mesures
judiciaires préventives
• Exemples :
1 Des données collectées par la police dans le cadre d’une enquête où
l’affiliation politique de la personne concernée n’a pas d’importance
ne peuvent pas être utilisées pour déterminer l'appartenance
politique de la personne concernée, sauf si la loi l’autorise.
2 Les données rassemblées à des fins fiscales auprès d'une personne
concernée ne peuvent être traitées pour des fins de police que si la loi
l'autorise, si elles sont utilisées dans un but légitime et d'une manière
nécessaire et proportionnée au but recherché. Dans le cadre concret
d'une enquête sur le blanchiment d'argent, l'utilisation des données
de déclarations fiscales d'un particulier peut être envisagée pour
établir ou nier un lien entre l'individu et les opérations de
blanchiment d'argent.
Traitement
exceptionnel

Opinions politiques,
philosophiques ou Santé
syndicales

vie Données
génétiques ou
sexuelle biométriques

Origines
raciales ou
Convictions
ethniques religieuses
• Le traitement des données précédentes est autorisé dans les
conditions suivantes si :
- Le traitement est effectué avec le consentement exprès de la
personne concernée,
- les données ont acquit un aspect manifestement public,
- le traitement est nécessaire à des fins historiques, ou
scientifiques,
- le traitement est nécessaire pour la sauvegarde des intérêts
vitaux de la personne concernée.
• Le traitement des données personnelles concernant la situation
professionnelle de l’employé, n’est pas soumis aux conditions
prévues par la loi, lorsque ledit traitement a été effectué par
l’employeur et s’avère nécessaire au fonctionnement du travail et à
son organisation.
Le traitement de données personnelles relatives à la santé
• Les données à caractère personnel relatives à la santé peuvent faire l’objet d’un traitement
dans les cas suivants :
 1. La personne concernée, ses héritiers ou son tuteur a donné son consentement, lorsque
la personne concernée est un enfant qu’après l’obtention du consentement de son tuteur
ou de l’autorisation du juge de la famille
 2. le traitement est nécessaire à la réalisation de la finalité prévue par la loi ou les
règlements
 3. Le traitement s’avère nécessaire pour le développement et la protection de la santé
publique entre autres pour la recherche sur les maladies.
 4. Lorsqu’il s’avère des circonstances que le traitement est bénéfique pour la santé de la
personne concernée ou qu’il est nécessaire, à des fins préventives ou thérapeutiques, pour
le suivi de son état de santé
 5. le traitement s’effectue dans le cadre de la recherche scientifique dans le domaine de la
santé
• Exemple :
En France, une application « Stop Covid » a été mise en place pour alerter les personnes
l’ayant chargées du fait qu’elles ont été à proximité de personnes diagnostiquées positives au
COVID-19 et disposant de la même application, L’application repose sur un usage volontaire,
et permet la « recherche de contacts » (« contact tracing »), grâce à l’utilisation de la
technologie « Bluetooth », sans recourir à une géolocalisation des individus. Il s’agit donc
d’alerter les personnes, utilisant l’application et exposées au risque de contamination.
L’application respecte le concept de protection des données dès la conception, car l’application
utilise des pseudonymes et ne permettra pas de remontée de listes de personnes
contaminées.
L’application traite de données personnelles, notamment l’enregistrement liés au
développement d’une application de suivi qui enregistre les contacts d’une personne, parmi
les autres utilisateurs de l’application, pendant une certaine durée.
L’utilisation doit être temporaire et les données doivent être conservées pendant une durée
limitée
• Le traitement des données à caractère personnel relatives à la santé
ne peut être mis en œuvre que par des médecins ou des personnes
soumises, en raison de leur fonction, à l’obligation de garder le
secret professionnel.
• Le médecin peut communiquer les données à caractère personnel en
leur possession à des personnes ou des établissements effectuant de
la recherche scientifique dans le domaine de la santé suite à une
demande émanant de ces personnes ou établissements et sur la
base de l’autorisation de l’INPDP
• Le traitement ne peut dépasser la durée nécessaire pour la
réalisation de l’objectif pour lequel il est effectué.
6. Conservation limitée des données
• Les données personnelles doivent être traitées pendant une durée limitée et cohérente
avec l’objectif poursuivi.
• Ainsi l’organisme doit déterminer :
• une durée fixe de conservation
Le critère objectif utilisé pour déterminer cette durée (exp. le temps de la relation
contractuelle).
• Une fois l’objectif de la collecte des données personnel est atteint, ces données doivent être
effacées ou faire l’objet d’un processus d’anonymisation.
Ou être archivées sous certaines conditions
• La durée du traitement est définie soit :
 dans la déclaration ou dans l’autorisation,
 des lois spécifiques,
Ex. Conservation d’un double des bulletins de paie pendant 5 ans à compter de leur remise au
salarié

 en cas de la réalisation des finalités pour lesquelles


elles ont été collectées
Ex. les enregistrements de vidéosurveillance sont détruites lorsqu’ils ne sont plus nécessaires à la
réalisation de la f()inalité.

 lorsqu’elles deviennent inutiles pour l’activité du


responsable du traitement
7. Droits des personnes concernées sur leurs données
personnelles
Droits des
Personnes sur
les DP
Droit à
l’information

Droit à Le
l’effacement consentement

Droit droit
d’opposition d’accès
Droit de
rectification
• 1. Le consentement de la personne concernée
• Le traitement des données à caractère personnel ne peut être effectué
qu’avec le consentement exprès et écrit de la personne concernée
• Si la personne concernée est incapable ou interdite ou incapable de
signer, le consentement est donné par son tuteur
• La personne concernée ou son tuteur peut, à tout moment, se
rétracter
• Le traitement des données à caractère personnel qui concerne un
enfant ne peut s’effectuer qu’après l’obtention du consentement de
son tuteur et de l’autorisation du juge de la famille
Le juge de la famille peut ordonner le traitement même sans le
consentement du tuteur lorsque l’intérêt supérieur de l’enfant l’exige
Les personnes incapables
-Les mineurs jusqu’à l'âge de 13
ans révolus
- les majeurs atteints d’une
aliénation mentale, qui les privent
complètement de leurs facultés
Les personnes interdites
-Les interdits pour faiblesse d’esprit
- Les interdits pour prodigalité
• Le consentement de la personne concernée n’est pas
nécessaire :
Lorsqu’il s’avère manifestement que le traitement est effectué dans
son intérêt et que son contact se révèle impossible
L’obtention de son consentement impliquedes efforts
disproportionnés
Le traitement des données à caractere personnel est prévu par la loi
ou une convention dans laquelle la personne concernée est partie
•Il est interdit d’utiliser le traitement des
données à caractère personnel à des fins
publicitaires sauf consentement exprès et
particulier de la personne concernée, de ses
héritiers ou de son tuteur.

•Le consentement à cet égard est soumis aux


règles générales de droit
Le consentement au traitement
des données à caractère
personnel sous une forme
déterminée ou pour une finalité
déterminée ne s’applique pas
aux autres formes ou finalités
• 2. Le droit d’accès
Le d’accès permet à la personne concernée, ses héritiers ou son tuteur
de consulter toutes les données personnelles la concernant, ainsi que le
droit de les corriger, rectifier, mettre à jour, modifier, clarifier ou
effacer, lorsqu’elle s’avèrent inexactes, équivoques ou que leur
transmission est interdite
Toute personne concernée peut s’adresser directement au responsable
de traitement pour exercer son droit d’accès
Il pourra cependant y accéder de manière indirect par l’intermédiaire de
l’INPDP
• Le droit d’accès permet d’obtenir une copie des données
dans une langue claire et conforme au contenu des
enregistrements, et sous une forme intelligible lorsqu’elle
sont traitées à l’aide
• Le droit d’accès peut être limité dans les cas suivants :
 traitement des données personnels à des fins scientifiques
à condition que ces données n’affectent pas la vie privée de
la personne concernée que d’une facon limitée
 Si le motif recherché par la limitation du droit d’accès est la
protection de la personne concernée elle-même ou des tiers
3 . Le droit de rectification
Le droit de rectification permet de corriger des données
inexactes concernant la personne ( changement d’adresse) ou
de compléter des données ( adresse sans le numéro de
l’appartement), en lien avec la finalité du traitement
4. Le droit d’opposition
La personne concernée, ses héritiers ou son tuteur peuvent s’opposer au
traitement des données à caractère personnel le concernant pour des
raisons valables, légitimes et sérieuses, sauf dans les cas ou le
traitement est prévu par la loi ou est exigé par la nature de l’obligation
Le droit d’opposition concerne la communication des données
personnelles aux tiers en vue de les exploiter à des fins publicitaires.
L’opposition suspend immédiatement le traitement
Ex :Une personne reçoit des emails publicitaires sur sa boite e-mail
personnelle et ne souhaite plus figurer dans la base de prospection
5. Le droit à l’effacement
Les personnes concernées peuvent demander au responsable de traitement l’effacement des
données personnelles les concernant, dans les cas suivants :
- Les données ne sont plus nécessaires au regard des finalités pour lesquels elles sont
collectées ou traitées
- La personne retire son consentement au traitement de ses données
- La personne s’oppose au traitement et il n’existe pas de motif légitime impérieux
- Le traitement est illicite
- Les données doivent être effacées pour respecter une obligation légale
- Les données ont été collectées auprès de mineurs dans le cadre de l’offre de services de la
société d’information
6.Le droit à l’information
La personne concernée par le traitement de ses données
personnelles doit être informée au préalable et par
n’importe quel moyen laissant une trace écrite de ce qui
suit :
- la nature des données à caractère personnel concernées
par le traitement;
- les finalités du traitement;
le caractère obligatoire ou facultatif de leur réponse;
- les conséquences du défaut de réponse;
- le nom de la personne physique ou morale bénéficiaire
des données, ou de celui qui dispose du droit d’accès et de
son domicile;
- Le nom et prénom du responsable du traitement ou sa
dénomination socaile et, le cas échéant, son représentant
et son domicile;
- leur droit d’accès aux données personnelles les
concernant;
- leur droit de s’opposer au traitement de leurs données
personnelles
- la durée de conservation des données à caractère
personnel
- une description sommaire des mesures mises en œuvre
pour garantir la sécurité des données à caractère
personnel
- le pays vers lequel le responsable du traitement entend le
cas échéant, transférer les données à caractère personnel
Traitement des données à caractère personnelle à des fins
de vidéo-surveillance
• L’utilisation des moyens de vidéosurveillance est soumise à une
autorisation préalable de l’INPDP
• L’instance doit statuer sur la demande d’autorisation dans un délai
maximum d’un mois à partir de la date de présentation de la
demande
• Les moyens de vidéo-surveillance ne doivent être utilisés
que dans les lieux suivants :
 1. lieux ouverts au public et leurs entrées ;
 2. Les parkings, les moyens de transport public, les
stations, les ports maritimes et les aéroports;
 3. Les lieux de travail collectif.
La finalité de la vidéo-surveillance
• Les moyens de vidéo-surveillance mis en place ont pour
finalité :
 assurer la sécurité des personnes
 La prévention des accidents,
 La protection des biens
 l’organisation de l’entrée et de la sorite de ces espaces.
-
• Le public doit être informé d’une manière claire et permanente de l’existence de moyens
de vidéo-surveillance
• Par exemple par des affiches
• Exemple d’information pour un dispositif de vidéosurveillance sur les lieux de travail
• Une société installe dans ses locaux, non ouverts au public, un système de vidéosurveillance
afin d’assurer la sécurité de ses biens et celle de ses salariés.
• Pour informer ses salariés et les visiteurs occasionnels de la présence de moyens de
vidéosurveillance, la société peut procéder comme suit :
• Soit par la mise en place de panneau d’information affiché dans les locaux
de la société 
• Soit par le Règlement intérieur ou intranet propre à la société.Une notice
d’information plus complète relative à la gestion des données personnelles
et aux droits des personnes est remise aux salariés. Elle peut être adressée
par courriel à l’ensemble du personnel et remise à l’embauche du salarié, lors
de la signature du contrat.
• Il est interdit de communiquer les enregistrements de vidéo
collectées à des fins de surveillance sauf dans les cas suivants
:
lorsque la personne concernée, ses héritiers ou son
• 1.

tuteur, ont donné leur consentement


• 2. lorsque la communication est nécessaire à l’exercice
des missions dévolues aux autorités publiques
• 3. lorsque la communication s’avère nécessaire pour la
constations, la découverte ou la poursuite d’infractions
pénales.
• Les enregistrements de vidéo-surveillance doivent être détruits
lorsqu’ils ne sont plus nécessaires à la réalisation des finalités pour
lesquelles ils ont été effectuées ou lorsque l’intérêt de la personne
concernée exige sa suppression à moins que ces enregistrements ne
s’avèrent utiles pour la recherche et les poursuites d’infractions
pénales.
• Les sanctions des infractions relatives à la protection des données
personnelles
Infraction Sanction
Communiquer ou transférer des Emprisonnement de 2 à 5 ans et une
données personnelles vers un pays amende de 5 mille dinars à 50 mille
étranger lorsque ceci est susceptible de dinars.
porter atteinte à la sécurité publique ou La tentative est punissable
aux intérêts vitaux de la Tunisie (art.50)
1. Le traitement des données personnelles relatives aux infractions, à Est puni d’ un emprisonnement de 2 ans et une amende
leur constatation, aux poursuites pénales, aux peines, aux mesures de 10 mille dinars
préventives ou aux antécédents judiciaires
2. Les traitement des données personnelles qui concernent directement
ou indirectement, l’origine raciale ou génétique, les convictions
religieuses, les opinions politiques, philosophiques ou syndicales, ou la
santé.
3. Le traitement de données personnelles sans le consentement de la
personne concerné, ou de ses héritiers
4. Le traitement de données personnelles relatif à un enfant, sans le
consentement de son tuteur ou sans l’autorisation du juge de la
famille
5. Le non respect de l’obligation d’information de la personne concernée,
de ses héritiers ou de son tuteur
6. La collecte des données personnelles auprès des tiers sans le
consentement de la personne concernée.
7. Le traitement de données personnels relatives à la santé effectué par
des personnes non autorisées
8. La diffusion de données personnelles faisant l’objet d’un traitement
dans le cadre de la recherche scientifique sans le consentement de la
personne concernée, ses héritiers ou son tuteur
9. Mise en place de moyens de vidéosurveillance dans des endroits non
autorisés
10. Utilisation de moyens de vidéosurveillance pour autres objectifs que la
sécurité des personnes, la prévention des accidents, la protection des
biens ou l’organisation de l’entrée et de la sortie de ces espaces.
 Celui qui porte une personne à donner son Est puni d’un an d’emprisonnement et d’une amende de
consentement pour le traitement de ses données dix milles dinars
personnelles en utilisant la fraude, la violence ou la
menace
 Celui qui intentionnellement communique des Est puni d’un an d’emprisonnement et d’une amende de 5
données à caractère personnel pour réaliser un profit mille dinars
pour son compte personnel ou le compte d’autrui ou
pour causer un préjudice à la personne concernée

1. Effectue intentionnellement un traitement des Est puni d’un an d’emprisonnement et d’une amende de 5
données personnelles sans présenter la déclaration mille dinars
ou sans l’obtention de l’autorisation ou continue
d’effectuer le traitement des données après
l’interdiction de traitement ou le retrait de
l’autorisation
2. Diffuse les données à caractère personnel relatives à
la santé nonobstant l’interdiction de l’INPDPD
3. Transfert les données personnels à l’étranger sans
l’autorisation de l’INPDP
4. Communique les données personnelles sans le
consentement de la personne concernée ou l’accord
de l’INPDP
Le raisponsable de traitement ou le sous-traitant qui Est puni d’un an d’emprisonnement et d’une amende de
continue de traiter des données à caractère personnel cinq mille dinars
malgré l’opposition de la personne concernée faite
conformément à la loi

Le responsable de traitement ou le sous-traitant qui Est puni de huit mois d’emprisonnement et d’une amende
intentionnellement limite ou entrave l’exercice du droit de 3 mille dinars
d’accès aux données personnelles

Quiconque diffuse intentionnellement des données à 3 mois d’emprisonnement et une amende de 3 mille dinars
caractère personnel, à l’occasion de leur traitement, d’une
manière qui nuit à la personne concernée ou à sa vie privée

Quiconque qui diffuse des données personnelles à l’occasion


du traitement sans l’intention de nuire
Un mois d’emprisonnement et une amende de 3 mille
dinars
La victime peut demander au tribunal d’ordonner la
publication d’un extrait du jugement dans un ou plusieurs
journaux quotidiens, paraissant en Tunisie choisis par la
personne concernée. Les frais de publication sont
supportés par le condamné
 Le détournement de finalité. 3 mois d’emprisonnement et une amende de 1 mille
 La non prise des précautions nécessaires pour assurer dinars
la sécurité des données personnelles traitées
 Non respect par le sous-traitant des dispositions de la
loi relatives aux conditions de traitement des données
personnelles
 La négligence du raisonnable de traitement ou du
sous-traitant à corriger, compléter, modifier ou effacer
les données personnelles , dont ils ont eu connaissance
de leur inexactitude ou de leur insuffisance
 Le responsable de traitement automatisé ou le sous-
traitant qui n’a pas mis en œuvre les moyens
techniques nécessaires pour que la personne
concernée, ses héritiers ou son tuteur puissent envoyer
leur demande de rectification, de modification, de
correction, ou d’effacement des données à caractère
personnel
 Le non respect de l’obligation de destruction des 3 mois d’emprisonnement et une amende de 1 mille
données personnelles à l’expiration du délai de leur dinars
conservation
 Le traitement des données personnelles a dépassé la
durée nécessaire pour la réalisation du but pour
lequel il est effectué.
 La non destruction des enregistrements de
vidéosurveillance, après la réalisation de la finalité
pour lesquelles ils ont été effectués ou lorsque
l’intérêt de la personne concernée exige leur
suppression
 Quiconque collecte des données à caractère
personnel à des fins illégitimes ou contraires à l’ordre
public ou traite intentionnellement des données
personnelles inexactes, non mise à jour ou qui ne
sont pas nécessaires à l’activité du traitement
La personne à qui les données ont été communiquées qui Est puni d’une amende de 10.000 dinars
ne respecte pas les garanties et les mesures de l’INPDP
 Entrave le travail de l’INPDP en l’empêchant d’effectuer Est puni d’une amende de 5.000 dinars
les investigations ou en refusant de délivrer les
documents requis
 Communique de mauvaise foi à l’instance ou notifie à la
personne concernée, intentionnellement, des
informations inexactes

Le responsable de traitement, le sous-traitant, leurs Sont punis de six mois d’emprisonnement et de cent vingt
agents, le président de l’INPDP et ses membres qui dinars d’amende
divulguent le contenu des données personnelles
Le responsable de traitement, le sous-traitant, le syndic Est puni de 1000 dinars
de faillite ou le liquidateur qui viole qui n’informe pas
l’INDPD
Le responsable de traitement ou le sous-traitant qui ne
mentionne pas l’existence d’un litige concernant
l’exactitude des données personnelles

Vous aimerez peut-être aussi