Les entreprises publiques n'ont pas l'obligation de respecter les données à caractère personnel La cybersécurité est un concept qui connaît un plein essor dans le monde des Technologies de l'information et de la communication. Dans un monde où la circulation des données est devenue un réel enjeu pour les entreprises, la sécurisation des données est un must pour préserver la confidentialité. Un thème auquel l'Organisation arabe des TIC (Aicto) a dédié un workshop régional, organisé les 5 et 6 décembre 2016 à El Ghazala, en partenariat avec l'Union internationale des télécommunications (UIT) et le parc technologique El Ghazala sur « Les politiques de confidentialité des données et de cybersécurité ». L'Aicto est une organisation panarabe spécialisée dans les technologies de l'information et de la communication, sous l'égide de la Ligue des Etats arabes. Son rôle est de coordonner les activités de ses Etats membres, d'effectuer une veille technologique et contribuer au développement des TIC. Mohamed Ben Amor, secrétaire général de l'Aicto, affirme que le workshop vise à éclairer les décideurs arabes en matière d'élaboration de politiques de sécurisation des données, en termes d'équipements relatifs, tels que les data-centers et le cloud-computing et aussi en termes d'expertise mobile. Politiques adéquates M. Ben Amor a, d'ailleurs, indiqué que la protection des données personnelles et la propriété intellectuelle est une question très sensible, surtout que la révolution technologique a fait que toutes les données soient numérisées, ce qui facilite leur utilisation et leur manipulation. Ceci exige l'établissement de politiques et de réglementations juridiques adéquates pour les protéger. « A ce niveau, je peux vous dire que la Tunisie est l'un des pays les plus avancés dans le monde arabe. En 2002, elle a créé l'Agence nationale de sécurité informatique. En 2004, la loi relative à la protection des données personnelles a été promulguée. En termes de services, l'offre et l'expertise sont disponibles », indique-t-il. Mais il précise que la loi de 2004 comporte quelques insuffisances, notamment en matière d'obligation aux entreprises publiques de la protection des données. La loi actuelle exclut ces entreprises, ce qui n'est pas bien perçu par les entreprises privées qui accordent une attention particulière à cette question. « Une entreprise étrangère qui veut s'établir en Tunisie ou toute autre entreprise qui va autoriser le traitement de ses données en Tunisie ne sera pas très rassurée en sachant que les entreprises publiques n'ont pas l'obligation de respecter les données à caractère personnel », souligne M. Ben Amor. Système de protection L'autre enjeu concerne le manque de conscience de l'importance de la sécurisation des données de la part des entreprises privées. Selon le responsable de l'Aicto, les services de sécurisation peuvent présenter des solutions de back-up en cas de perte de données. Mais cette prise de conscience commence à se développer, surtout après la révolution, durant laquelle plusieurs cas de saccages ont été opérés. Un avis que partage Zaineb Gouider, business developer dans un data-center à Tunis, précisant qu'avant la révolution, plusieurs entreprises étaient réticentes à ce genre de services ; mais qui ont changé d'avis juste après. « Durant la révolution, certaines entreprises ont perdu leurs données, suite aux perturbations sécuritaires. Elles ont eu recours aux data-center pour protéger leur infrastructure informatique. Par ailleurs, en dépit des risques externes, les risques internes liés aux conflits au sein des entreprises devraient aussi les inciter à externaliser le stockage des données », ajoute-t-elle. De son côté, Abdessabour Arous, security analyst, affirme que la cybersécurité est un enjeu vital pour les entreprises, auquel elles doivent élaborer une stratégie adéquate. Ceci par la gouvernance, le contrôle des données, le suivi de la sécurité et l'élaboration d'une réponse aux attaques, tout en mettant en place un système pour détecter et mettre en échec ces attaques. Selon lui, ce système doit reposer sur l'évaluation de la vulnérabilité et du système de contrôle et sur le déploiement d'une plateforme et d'un plan d'action adéquat.
