Tunis, Tunisia, 18-19 June 2012
CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN
TUNISIE
HÉLA BEN MILED MAGISTRAT,MEMBRE DE L’INPDP
ITU Workshop on “Cloud Computing”
(Tunis, Tunisia, 18-19 June 2012)
La loi organique n°2004-63 du 27 juillet 2004 portant sur la protection des données personnelles a institué un régime juridique spécifique et protecteur des données relatives à la vie privée
Cette même a prévu la création d'un organisme chargé de la protection des données personnelles:
l'Instance Nationale de Protection des Données à Caractère Personnel.
UNE LOGIQUE DE PROTECTION DE LA VIE PRIVÉE
La loi : - fait peser des OBLIGATIONS à la charge des personnes mettant en œuvre des traitements
de données personnelles
- accorde à l'inverse des DROITS pour les personnes dont les données sont traitées.
Qu’est-ce qu’une donnée à caractère personnel?
Il s’agit de:«Toutes les informations quelle que
soit leur origine ou leur forme et qui permettent directement ou indirectement d'identifier une personne physique ou la rendent identifiable, à l'exception des informations liées à la vie publique ou considérées comme telles par la loi»
(Article 4 de la loi organique n°2004-63 )
Introduction de la notion de donnée sensible
Il s’agit des données personnelles qui concernent directement ou indirectement:
- L'origine raciale ou génétique,- Les convictions religieuses,- Les opinions politiques,- Les opinions philosophiques,- - Les opinions syndicales,- la santé (article 14 de la loi).
Les conditions relatives à un traitement de données
personnelles
1- Le traitement doit s'effectuer dans le respect de la dignité humaine, de la vie privée et des libertés publiques
2- Obligation de loyauté 3- Les finalités du traitement doivent
être licites, déterminées et explicites 4- Les données collectées doivent être
exactes5- La collecte directe des données
Les obligations à la charge des personnes mettant en œuvre un traitement de données personnelles
- Obligation de sécurité- Obligation de confidentialité- - Obligation d'informer la
personne concernée -
Les droits des personnes dont les données sont traitées
- Le consentement préalable de la personne concernée
- Le droit d'accès - - Le droit d'opposition - -Le droit à l’oubli
Toute opération de traitement de données à caractère personnel doit être préalablement déclarée à l'Instance Nationale de Protection des Données à Caractère Personnel ou soumise à autorisation.
QUELLES SONT LES FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE D’UN TRAITEMENT DE
DONNÉES PERSONNELLES?
10
LES QUESTIONS POSÉES PAR LE CLOUD COMPUTING
• La protection des données personnelles constitue un enjeu majeur dans le cadre du Cloud computing.
Les 2 questions essentielles pour l’Instance posées par le cloud computing
1-Les obligations du responsable du traitement sont-elles respectées?
2-Les droits des personnes concernées sont-ils respectés?
1ère question: Les obligations du responsable du traitement sont-elles respectées?
Est-ce que le cloud computing garantit les obligations de sécurité et de confidentialité?
2de question: Les droits des personnes concernées sont-ils respectés?
Est-ce que le cloud computing garantit :-Le consentement préalable-Le droit d’accès aux données-Le droit d’opposition-Le droit à l’oubli
Problème de responsabilité posé par le cloud computing
Il est important de déterminer qui est le responsable du traitement et le ou les sous-traitants des données pour:
- Connaitre la ou les personnes chargées de faire respecter les règles en matière de protection des données
- Savoir auprès de qui les personnes concernées peuvent exercer leurs droits dans la pratique.
LES QUESTIONS POSÉES PAR LE CLOUD COMPUTING
Le Cloud computing étant basé sur l’utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes.
Droit applicable
La détermination du responsable du traitement des données et du sous-traitant des données est fondamentale pour connaitre le droit national applicable, celui du responsable ou du sous-traitant
La réglementation relative au Transfert de données peut-elle s’appliquer au
cloud computing? Les données à caractère
personnel ne peuvent faire l’objet d’un transfert que si l’Etat dans lequel se situe le destinataire de données assure un niveau de protection adéquat
(article 51 de la loi 2004-63)
Un contrat
Nécessité d’un contrat pour:
-Matérialiser les exigences en termes de sécurité et de confidentialité-assurer les modalités d’exercice des droits des parties-Définir clairement les responsabilités-Déterminer les juridictions compétentes
Vers un droit universel?
La seule réponse: L’uniformisation des législations
Un droit international de la protection des données personnelles
Tunis, Tunisia, 18-19 June 2012 22
Slide title in Verdana 32
Level 1 text to appear in Verdana font, Point size 32If too much text gets added, the fonts size gets reduced, alerting the author that it is time to continue on an additional slide.
Level 2 text (numbered or bullet) to appear in Verdana font, point size 28This is a hyperlink: www.itu.int
Tunis, Tunisia, 18-19 June 2012 23
0
10
20
30
40
50
60
70
80
90
1997 1998 1999 2000
Americas
Asia
Africa
Arab States
Here is the text that introduces the chart Verdana point size 28
Example with a chart
Tunis, Tunisia, 18-19 June 2012 24
Slide title in Verdana 32example with two columns
This shows the use of two columns. It uses Verdana Font, Point size 24that gives about 6 to 9 months for scheduling its release, researching the background, reviewing the text, consulting authors about review, etc.
This shows the use of two columns. It uses Verdana Font, Point size 24that gives about 6 to 9 months for scheduling its release, researching the background, reviewing the text, consulting authors about review, etc.
Recommended