Le 25 mai 2018 entrera en vigueur le règlement européen sur la protection des données personnelles, RGPD, qui, bien qu'il soit européen, ne concerne pas que les entreprises européennes et, bien qu'il traite de la protection de données personnelles, ne concerne pas que les entreprises spécialisées dans les traitements de données : il concerne toutes les entreprises qui sont susceptibles de traiter des données personnelles de ressortissants européens, que ces traitements soient automatisés ou non, y compris les entreprises tunisiennes de tout secteur d'activité qui, dans le cadre de leur activité peuvent avoir à traiter les données personnelles de leurs clients. Il concerne donc les compagnies aériennes, les sites de commerce électroniques, mais aussi les banques, les hôtels, les cliniques ou les hôpitaux qui prestent des services au profit de ressortissants européens et qui, dans ce cadre, sont appelés à collecter des données personnelles sur leurs clients.
Remontons, d'abord légèrement le temps. Afin de ne pas priver les entreprises tunisiennes des opportunités offertes par les possibilités de réaliser des activités de sous-traitance au profit des entreprises européennes ou de collecter des données personnelles dans le cadre d'activités économiques avec des ressortissants européens, la Tunisie a adhéré à la convention 108, Convention [européenne] pour la protection des personnes à l''égard du traitement automatisé des données à caractère personnel. Cette convention qui date du 28 janvier 1981, soit depuis trente sept ans, est le premier instrument international contraignant qui a pour objet de protéger les personnes contre l''usage abusif du traitement automatisé des données à caractère personnel et qui réglemente les flux transfrontaliers des données dans les Etats où il n''existe aucune protection équivalente. L'Union européenne a gardé cette convention ouverte en permettant aux pays non-européens d'y adhérer, lui conférant une dimension universelle.
L'adhésion de la Tunisie a pu être concrétisée suite à un processus de plus de trois ans entamé en 2014 et achevé le 1er novembre 2017. Ainsi, la Tunisie est le 51ème pays et le 4ème pays non-européen ayant adopté la Convention 108 après l'Uruguay, l'île Maurice et le Sénégal. D'autres pays, comme l'Argentine, le Burkina Faso, le Cap vert, le Maroc et le Mexique, ont été invités à y adhérer mais n'ont pas encore concrétisé. En vertu de cette convention, la Tunisie a été reconnue comme étant un Etat protecteur des données personnelles dont les entreprises sont habilitées à traiter les données personnelles des ressortissants européens. Cependant, ceci n'est que le début du chemin.
L'évolution technologique permet un développement exponentiel des capacités de collecte et de traitement des données personnelles, au même titre que les risques et les dangers qui y sont associés de manière à présenter des menaces sérieuses pour les libertés individuelles. Aussi, et près de quarante ans après la publication de la version initiale et les différents amendements apportés, et pour éviter tout abus en termes de traitement de données personnelles, quelles que soient les données collectées, par qui et pour quelque raison que ce soit, l'Union Européenne, UE, a publié, en mai 2016, le Règlement Général sur la Protection des Données[1], RGPD ou GDPR en anglais. Cet instrument juridique majeur, qui entrera en application à partir du 25 mai 2018, représente le changement le plus significatif survenu dans le droit de l'UE sur la protection des données personnelles depuis 1995.
En effet, le RGPD est un texte d'envergure qui aura un impact significatif pour toutes les entreprises qui mettent en œuvre des traitements de données personnelles, automatisés ou manuels, y compris pour celles situées en dehors de l'UE. En plus des entreprises spécialisées dans le traitement des données à caractère personnel, à l'instar des centres de contacts ou des entreprises spécialisées dans la BPO, Business Process Outsourcing, il concerne aussi et surtout toutes les entreprises tunisiennes qui sont amenées à collecter des données personnelles sur leurs clients qu'elles démarchent ou prospectent directement en Europe et : * les ramènent en Tunisie dans le cadre d'une prestation de services comme cela est le cas des compagnies aériennes ou de navigation, des banques, des agences de voyage et des hôtels, des cliniques ou le cas échéant des hôpitaux qui prestent des services au profit de ressortissants européens. * leurs livrent directement les produits commandés chez eux comme cela est le cas du commerce électronique. Les entreprises qui ne pourront se conformer aux prescriptions du GDPR ne pourront plus avoir comme clients des résidents de l'UE, et toutes les entreprises tunisiennes dont le plus gros du chiffre d'affaire est réalisé avec l'Europe, qu'elles soient publiques ou privées, même si leurs clients sont tunisiens mais résidents en Europe, voient leurs survies menacées par l'entrée en vigueur du RGDP le 25 mai 2018 et risquent de disparaitre si elles ne s'y conforment pas et si la Tunisie ne met pas son arsenal juridique de protection des données personnelles en conformité avec le GDPR. La menace est vraiment sérieuse même si elle ne semble pas être appréciée à sa juste valeur ni par les pouvoirs publics, ni par les opérateurs économiques.
A part l'Instance Nationale de la Protection des Données personnelles et quelques opérateurs économiques, rien : * la mise en conformité de la législation actuelle qui nécessite la révision de la loi organique numéro 63 en date du 27 juillet 2004 portant sur la protection des données à caractère personnel, avec la législation européenne n'a pas à ce jour été étudiée en Conseil des ministres pour être présentée à l'Assemblée des Représentants du Peuple alors que nous sommes à peine à trois mois de l'échéance fatidique du 25 mai 2018 * Le respect par les entreprises des obligations imposées par le GDPR et qui ne sont pas des moindres Aux pouvoirs publics de voir s'ils veulent donner à la Tunisie les moyens de continuer à commercer avec l'Union Européenne, notre premier partenaire économique, et, surtout, mettre la Tunisie sur une black list européenne de plus après les paradis fiscaux et les pays exposés au blanchiment des capitaux et au financement du terrorisme.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l''égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
