Le projet de loi fondamentale sur la protection des données personnelles, que le bureau de l'Assemblée des représentants du peuple a soumis mercredi dernier à la commission des droits et libertés, vise à garantir le droit de chaque personne à la protection de ses données personnelles. Il définit également les conditions et les procédures à respecter lors du traitement de ces données. Selon les initiateurs de cette proposition de loi, celle-ci a pour objectif de fournir « un cadre législatif nouveau et moderne, conforme aux normes juridiques les plus élevées adoptées mondialement, et en accord avec les engagements internationaux de la Tunisie, notamment les conventions des Nations Unies et de l'Union européenne concernant la protection des données et les droits de l'homme ». C'est ce qui est indiqué dans le document explicatif publié sur le site web du Parlement. Ils ajoutent que la protection des données personnelles est devenue un véritable défi pour les législateurs, compte tenu de la profonde transformation numérique que le monde a connue au cours de la dernière décennie, notamment le développement de l'intelligence artificielle, l'expansion d'Internet, l'utilisation massive des données biométriques et la prolifération des dispositifs de surveillance intelligents. Les législateurs ont souligné que l'ancien cadre législatif est incapable de répondre aux exigences de l'époque, et ce, malgré le rôle pionnier de la Tunisie dans la promulgation d'une loi sur la protection des données personnelles en 2004. L'expérience pratique a révélé plusieurs lacunes structurelles, dont la plus importante est « l'incapacité de la loi actuelle à réglementer le traitement des données sensibles, ou à imposer des obligations aux institutions concernant le respect des droits numériques des individus ». Ils ont estimé à cet égard que le vide institutionnel, résultant de l'absence d'un rôle efficace de l'Autorité Nationale de Protection des Données Personnelles, qui a cessé d'exercer ses fonctions de contrôle et d'orientation depuis des années, a permis la prolifération de traitements illégaux de données personnelles sans responsabilisation. De plus, la loi actuelle n'a pas conféré à l'Autorité le pouvoir d'imposer des sanctions dissuasives ou pénales, ce qui a limité sa capacité à faire face aux violations graves et à exercer un contrôle efficace. Parmi les lacunes mentionnées dans le document figure également « l'absence de toute réglementation légale précise pour le traitement des données dans des secteurs sensibles tels que la presse et les médias, les caméras de surveillance, et le traitement des données par l'intelligence artificielle et ses répercussions sur les individus », ainsi que « la faiblesse de la protection des données lors de leur transfert à l'étranger en l'absence d'un cadre garantissant la réciprocité ou la vérification d'un niveau de protection suffisant dans les pays destinataires ». Conformité internationale et stimulation de l'économie numérique Le document explicatif a souligné le « retard du cadre juridique par rapport aux normes internationales, malgré les engagements internationaux de la Tunisie (Union européenne, conventions des Nations Unies, initiatives africaines…), ce qui menace sa capacité à s'intégrer dans l'économie numérique mondiale ». Cette proposition vise également, selon le document, à stimuler l'économie numérique et à attirer les investissements dans les domaines de la technologie et de la conformité juridique, grâce à la clarté du cadre législatif et à l'encouragement de l'innovation responsable. Cela devrait créer de nouveaux emplois dans des spécialités telles que la protection des données, la cybersécurité, la vérification d'identité utilisant les données biométriques et l'intelligence artificielle éthique. La proposition de loi est composée de 132 articles répartis en 6 chapitres, qui définissent les principes généraux du traitement des données personnelles, les droits de la personne concernée par le traitement, les systèmes de traitement des données personnelles et les sanctions. Le quatrième chapitre est consacré à la création d'une nouvelle entité publique indépendante, dénommée Autorité de protection des données personnelles. Cette autorité jouira de la personnalité morale et de l'autonomie administrative et financière, et sera placée sous la tutelle du ministère des Technologies de la Communication. La composition de l'Autorité, selon la proposition de loi, comprendra un président et deux vice-présidents choisis parmi les juges du tribunal administratif, quatre juges judiciaires, un représentant du ministère de la Santé, un représentant du ministère de l'Enseignement supérieur, une personnalité reconnue pour ses compétences dans le domaine du droit numérique et une personnalité reconnue dans le domaine des technologies de la communication. Le président et les membres de l'Autorité seront nommés par décret présidentiel pour un mandat de 5 ans non renouvelable.
