Le projet de loi sur la protection des données personnelles comporte plusieurs lacunes selon Me Kamel Rezgui, membre de l’Instance nationale de protection des données personnelles (INPDP) et enseignant chercheur en droit des TICs. Dans sa lecture de ce projet de texte de loi – actuellement en examen au sein de la Commission parlementaire des droits et libertés -, il a indiqué que certains articles peuvent avoir de dangereuses répercussions.
L’INPDP, “une instance non indépendante et inondée de prérogatives”
En tant qu’autorité de contrôle et selon les normes européenne, l’INPDP doit être indépendante. Or, ni dans le passé, ni aujourd’hui avec l’actuel projet de loi sur la protection des données personnelles, l’INPDP n’a pu obtenir un statut organique et fonctionnel indépendant, selon Me Rezgui. L’INPDP et ses membres étaient en effet tributaires d’une nomination par décret présidentiel (selon la loi de 2004). “Dans le cas présent et selon le projet de loi de protection des données personnelles, la nomination des membres de l’INPDP se fait par la Présidence du gouvernement, l’instance est donc non indépendante”, a indiqué Me Rezgui soulignant que l’INPDP est soumise à la tutelle du ministère des Relations avec les instances constitutionnelles, la société civile et des droits de l’homme.
En plus de l’atteinte à l’indépendance de l’autorité de contrôle, le projet du texte de loi, dans sa forme actuelle, touche également à la collégialité du Conseil de l’INPDP, selon Me Rezgui. “Le collège de l’INPDP se compose d’une quinzaine de membres, tous des représentants des organismes intéressés par la protection des données personnelles. Il regroupe un magistrat administratif, un magistrat judiciaire et des représentants des ministères de la Défense, de l’Intérieur, des TICs, de l’Enseignement supérieur, un médecin de la Santé publique et un moi-même, un expert en droit des technologies de la communication. Ce conseil sera réduit à trois membres dont le président de l’instance, selon le nouveau projet de loi”, a expliqué Me Rezgui notant les répercussions de cette proposition de composition sur la prise de décision au sein de l’instance.
“Ceci est un recul par rapport à la loi de 2004”, a-t-il signalé ajoutant que les membres disposent d’un mandat de trois ans seulement renouvelable une fois. Une durée que Me Rezgui a jugée insuffisante pour la mise en place des contributions des membres de l’instance.
Me Rezgui a également pointé du doigt le modèle d’organisation et le fonctionnement de l’autorité de contrôle tels que énoncés dans le projet de loi sur la protection des données personnelles. Un modèle centralisateur dans lequel il n’y a pas de séparation entre les processus de délibération, d’instruction et de gestion, selon Me Rezgui.
Il a indiqué, par ailleurs, que l’INPDP a été inondée de nouvelles prérogatives et attributions pouvant causer des conflits de compétences entre l’autorité de contrôle (INPDP), l’Instance nationale de télécommunications (INT), l’Agence nationale de sécurité informatique (ANSI) ou encore le Centre d’études et de recherche des télécommunications (CERT). “Pour les entreprises par exemple, le texte de loi prévoit, en cas d’attaque, l’obligation d’alerte auprès de l’INPDP en plus de l’ANSI. L’INPDP peut aussi intervenir sur le traitement des données sur les réseaux électronique – bien que du ressort de l’INT – et sur l’homologation des équipements terminaux initialement du ressort du CERT”, a fait savoir Me Rezgui.
Un projet de loi autant révolutionnaire que dangereux ?
Après avoir dénoncé la non indépendance de l’INPDP et son fonctionnement classique et centralisateur, Me Rezgui s’est penché, dans sa lecture du projet de loi sur la protection des données personnelles, sur certains articles qu’il a qualifié de dangereux pour les droits et libertés.
Dans ce sens, il est revenu sur le droit à la portabilité des données et le droit à l’oubli que le projet de loi a consacré “avec certaines limites en terme de champs d’application”.
Me Rezgui a cité aussi un autre exemple, celui de l’article 48 qui, selon sa propre lecture, “permet aux héritiers de demander auprès de l’INPDP l’accès aux données personnelles de la personne décédée”.
“L’article 58 donne, quant à lui, aux agents de la police judiciaire la possibilité d’avoir accès à des enregistrements vidéos sans mandat judiciaire”, a ajouté Me Rezgui considérant que ceci porte atteinte à la vie privée et la liberté de circulation.
Dans ce même contexte, il a signalé que les réglementations relatives à l’utilisation de la vidéosurveillance ont été assouplies dans le projet de loi sur la protection de données personnelles. La vidéosurveillance n’est plus soumise à l’autorisation de l’INPDP, selon Me Rezgui. “Seule une déclaration suffit”. Cela dit, l’utilisation de la vidéosurveillance reste limitée aux seuls cas de protection et de sécurité, ou de contrôle de l’accès aux lieux publics. “Limiter la vidéosurveillance à ces trois cas classiques d’utilisation implique automatiquement l’interdiction de l’utilisation des drones et de la technologie de géolocalisation”, a précisé Me Rezgui.
En ce qui concerne les données médicales, “leur traitement reste limité au corps médical et soignant d’après le projet de loi de protection des données personnelles, ce qui peut entraver le développement d’entreprises spécialisées dans la télémédecine, la e-Santé ou l’IoT”, selon Me Rezgui.
“Ce texte de loi, dans sa forme actuelle, risque de momifier la technologie et son avancée”, a-t-il conclu.
Une version en arabe du projet de loi actuellement en discussion au sein de la Commission parlementaire des droits et libertés et disponible ici.
Nadya Jennene