Chawki Gaddes, Président de l'INPDP: "Les gens doivent être conscients du danger de disperser leurs données personnelles"

Dans le cadre du lancement par l'Université Dauphine Tunis de la deuxième session de son certificat Data Protection Officer, Espace Manager a rencontré dans les locaux de l'institution M. Chawki Gaddes, Président de l'Instance nationale de protection des données personnelles (INPDP). 

Dans cet entretien, l'expert nous parle de du rôle de l'INPDP, du niveau et de l'importance de la protection des données, des enjeux économiques mais aussi de la nécessité d'introduire, à l'instar de Dauphine Tunis, une formation sur la protection des données dans les facultés de médecine et de sciences tunisiennes. 

Espace Manager : Vous êtes le président de l'Instance nationale de protection des données personnelles (INPDP). En quoi consiste cette Instance et quel est son rôle?

Chawki Gaddes : Cette instance, à l'image de toutes les instances qui se trouvent un peu partout dans le monde (entre 120 et 130) ont toutes le même rôle. A savoir quand il y a un droit humain qui doit être protégé, généralement la législation d'un Etat ne suffit pas. En démocratie moderne, on a compris que les instances gouvernementales et même parlementaires ne suffisent pas. Et donc, l'on a créé ce qu'on appelle des instances indépendantes qui, elles, contrôlent la conformité de ce traitement aux normes établies aussi sur le plan national qu'international.

L'instance contrôle, mais aussi accompagne, éduque et sensibilise et elle permet d'être en quelque sorte la dynamo catalyseur de tout ce qui permettrait de rehausser le niveau de protection sur un territoire déterminé. Mais je n'arrête pas de le dire à toutes les personnes qui me posent la question, aujourd'hui vous pouvez me poser une question sur une problématique qui concerne la protection des données, mais la réponse, la même, vous la trouverez chez presque tous les protecteurs de données. C'est la variante tunisienne du modèle de protecteurs de données qui se trouve un peu partout dans le monde.

L'article 24 de la Constitution est censé protéger "la vie privée" des citoyens. Y aurait-il pas un fossé entre les textes juridiques et la réalité du terrain en matière de protection des données personnelles?

Oui, vous savez, c'est quelque chose que je redis depuis 2011, un texte ne fait pas le printemps, même s'il est arabe. Et donc un article 24 qui n'est pas une nouveauté pour la Tunisie, puisqu'il n'est que la reproduction (en plus développé) de l'ancien article 9 qu'on a eu dans la Constitution tunisienne en 2002. Et d'ailleurs, à ce propos, il faut dire que la Tunisie n'a pas introduit dans son corpus juridique la protection des données avec la révision de 2002, mais bien avec le premier texte sur le commerce électronique qui a été édicté en 2000.

Donc c'est en août 2000 que l'on a eu le premier texte en Tunisie qui parle de protection des données dont les dispositions sont aujourd'hui abrogées. Alors est-ce que tout le corpus juridique actuel permet, bien sûr en tête il y a la Constitution et l'article 24, de protéger ou pas. Comme je vous le dis, le texte ne change pas la réalité des choses. Le texte met en place un projet, un but à atteindre. Pour pouvoir le réaliser, il faut qu'il y ait d'autres éléments très très importants. Et je pense que l'élément le plus important pour pouvoir rendre cet article vécu par les Tunisiens, c'est de développer la culture. Et la culture passe par l'enseignement, la sensibilisation, la médiatisation de cette question. Et c'est ce que nous sommes en train de faire depuis à peu près trois ans.

A quel niveau se situe aujourd'hui la Tunisie en matière de protection des données personnelles et quels obstacles rencontrez-vous?

La pire réplique qu'un protecteur de données puisse entendre, quand il essaye de défendre ce droit, c'est d'entendre les gens dire: "moi je n'ai rien à cacher".C'est le premier obstacle et c'est une question de culture premièrement. Les gens doivent être convaincus, conscients et avoir connaissance des dangers qu'ils encourent à disperser leurs données personnelles, parce qu'on ne peut pas protéger les gens, il faudrait que les gens se protègent. Et en cas de problème, recourir à l'instance. 

Le deuxième problème, j'ai du mal à le dire, mais je vais le dire quand même. Notre problème, c'est que nous sommes une instance qui n'a pas le droit de sanctionner. Et donc nous avons besoin de la justice. Et nous avons transmis énormément de dossiers à la justice, comme le spécifie notre texte actuel, et la justice n'a encore statué sur aucun dossier depuis trois ans. Quand on a un texte, c'est très beau de l'avoir, de le citer, de le mettre en avant, mais quand on ne peut pas l'appliquer, c'est comme s'il n'existait pas. Pour l'appliquer, il faudrait que les gens le respectent et aient peur du juge qui pourrait appliquer des sanctions à leur encontre.

Aujourd'hui, la justice n'est pas coopérative, parce que les juges aussi n'ont jamais eu de formation sur la protection des données.

Quels sont les enjeux économiques d'une meilleure protection des données personnelles en Tunisie ?

L'impact économique est que nous sommes un pays qui, à mon avis en tout cas, dont l'avenir est d'être un pays de service. L'agriculture et le tourisme sont très importants, mais les services promettent beaucoup de choses dans un monde actuel numérisé et digitalisé. Pour pouvoir être attractif, je pense qu'il faut être au diapason des normes internationales et de la protection des droits. Parce que l'investisseur, pour se déplacer, pour s'installer dans un pays déterminé, c'est vrai qu'il y a beaucoup de critères. Nos entreprises doivent acquérir ces reflexes de protection, parce qu'elles ne peuvent plus travailler dans le monde et faire de la coopération de partenariat sans se conformer aux normes de protection.

Que vous inspire le lancement par l'université Dauphine/ Tunis de cette session du certificat Data Protection officer?

Je ne peux que me féliciter de voir cela se réaliser en Tunisie. Cela est très important d'introduire cette problématique et amener les institutions d'enseignement et d'éducation. Je suis très content que Dauphine ait initié cela. En espérant que les institutions publiques aussi suivent. 

Dauphine est actuellement en Tunisie la seule institution qui dispense un enseignement concernant la protection des données. Et je n'ai pas arrêté de dire qu'il faudrait introduire ces questions dans les facultés de médecine et de sciences. Car il n'est pas normal qu'un médecin diplômé ou un ingénieur en informatique n'ait jamais fait une heure de protection des données. Là c'est une spécialisation qui est orientée pour former la personne qui va devenir axial pour la protection des données. 

Je prédis en tout cas que dans l'avenir les DPO auront un poids plus important que les autorités de contrôle. Et c'est donc important d'initier une formation pour les DPO, et les entreprises tunisiennes sont demandeurs de cette formation. Donc je félicite Dauphine Tunis pour cette initiative. La preuve du succès, c'est qu'elle prépare une deuxième session et j'espère que les universités tunisiennes publiques suivront.

Propos recueillis par O.D. et C.B.