Par Mohamed Gargouri, Juriste.
 
  • 821 lectures
  • Parution : 20 janvier
  • 4.97  /5
 

La protection du mineur à l’égard des atteintes menaçant ses données personnelles en droit tunisien.

L’internet apparaît comme le plus important canal d’information en apportant des innovations qui ont un impact sur la vie des internautes. On entend par internautes, tous les acteurs qui interconnectent sur la toile. Parmi eux, figure le mineur, qui se définit, conformément à l’article 1er de la convention relative aux droits de l’enfant de 1989 comme étant « tout être humain âgé de moins de dix-huit ans, sauf si la majorité est atteinte plus tôt en vertu de la législation qui lui est applicable ». Bien que « l’article premier reconnaisse que dans certains cas, la majorité peut être atteinte plus tôt, certains droits figurant dans la convention continuent de s’appliquer à tout être humain âgé de moins de dix-huit ans, quel que soit l’âge légal de la majorité ».

La mise en place d’un cadre protecteur des droits des mineurs se révèle essentiellement à travers la consécration de son droit à la vie privée et à la dignité. La vie privée et la dignité sont deux concepts de valeur constitutionnelle. En effet, la vie privée, qui exprime le droit à « l’intimité », se trouve consacrée par la constitution de 2014 dans le cadre de l’article 24 d’une façon explicite.
Cette protection de la vie privée, a pour vocation de sauvegarder le droit à l’image et les données personnelles, quelle que soit son origine ou sa forme. De même, la dignité humaine, qui s’exprime comme un droit inaliénable de la personnalité se trouve consacrée dans l’article 23 de la constitution tunisienne de 2014, qui prévoit que « l’Etat garantit la dignité humaine (…) ».

La protection de la vie privée et de la dignité du mineur sur Internet reste tributaire d’un traitement particulier adapté à son âge et à sa situation psychologique, en permettant de donner la priorité aux mesures préventives comme la sensibilisation. Nous envisageons d’analyser, la protection du mineur face aux dangers qui menacent sa vie privée dont les données personnelles constituent un signe d’identification.

D’après une lecture analytique des articles 4 et 5 de la loi organique n° 2004-63 du 27 juillet 2004 portant sur la protection des données à caractère personnel, deux remarques peuvent être suscitées. La première est que la définition des Données à caractère personnel (D.C.P) s’avère très large, puisqu’elle englobe toutes les données, quelles que soient leurs origines ou leurs formes et même les D.C.P qui sont présentées sur supports numériques. La seconde est que la définition des D.C.P n’est applicable qu’aux personnes physiques.

L’assurance d’une bonne protection des D.C.P du mineur est basée sur deux éléments, le premier concerne les principes nécessaires sur lesquels la protection est instaurée (para 1), le second concerne les droits dont jouit l’internaute mineur (para 2).

Paragraphe 1 : Les principes qui instaurent la transparence et la sécurité à l’égard du traitement des données à caractère personnel du mineur.

En s’opposant à l’opacité, la transparence tend à établir une relation de confiance. Elle est destinée à « qualifier une pratique sociale guidée par la sincérité et une parfaite accessibilité de l’information ». C’est aussi le souci de rendre compte d’une activité, de reconnaître ses erreurs à travers l’instauration non seulement du principe de transparence (A), mais aussi du principe de sécurité à l’égard du traitement des D.C.P du mineur (B).

A) L’instauration du principe de transparence.

La transparence est la qualité qui permet de « (…) laisser apparaître la vérité ». Cette vérité, qui est déclarée par le responsable du traitement, doit être en conformité avec toute opération de traitement (a). Parmi les opérations de traitement figure l’opération de collecte (b).

a) La transparence instaurée par l’opération du traitement.

Le législateur tunisien a défini la notion du traitement des D.C.P dans l’article 6 de la loi organique du 27 juillet 2004 comme étant :
« (…) les opérations réalisées d’une façon automatisée ou manuelle par une personne physique ou morale, et qui ont pour but notamment la collecte, l’enregistrement, la conservation, l’organisation, la modification, l’exploitation, l’utilisation, l’expédition, la distribution, la diffusion ou la destruction ou la consultation des données à caractère personnel ainsi que toutes les opérations relatives à l’exploitation de bases de données, des index, des répertoires, des fichiers, ou l’interconnexion ».

Une lecture interprétative de cette définition est susceptible de dégager les remarques suivantes :
- la première remarque s’intéresse au contenu du traitement, plus précisément la liste des opérations du traitement. Cette liste n’est pas limitative car le législateur utilise le terme "notamment" qui laisse la porte ouverte devant les internautes mineurs d’inclure d’autres opérations comme l’adaptation, l’extraction, la communication par la transmission, la mise à disposition, le rapprochement, le verrouillage et l’effacement.
La jurisprudence a élargi la définition en considérant que le traitement automatisé est « (…) l’extraction, la consultation, l’utilisation, la commercialisation par transmission, la diffusion ou toute autre forme de mise à disposition des D.C.P ».
- la deuxième remarque concerne les formes de traitement puisque les opérations peuvent être effectuées soit d’une façon automatisée soit d’une façon manuelle. Vu le nombre élevé des D.C.P des mineurs collectées, le traitement automatisé montre son efficacité sur l’internet par rapport au traitement manuel. On entend par traitement automatisé l’ensemble des opérations réalisées par « des moyens automatiques relatifs à la collecte, l’enregistrement, l’élaboration, la modification, la conservation, la destruction d’informations nominatives ; ainsi que toutes les opérations de même nature se rapportant à l’exploitation de fichiers ou de bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives ».

La transparence exige que le traitement des D.C.P soit loyal. L’article 11 de la loi organique prévoit que « les données à caractère personnel doivent être traitées loyalement(…) ». Pour que le traitement soit loyal, il doit être conforme à l’ordre public et aux bonnes mœurs. De même, pour que le traitement soit licite, il faut obtenir une autorisation ou une déclaration préalable. L’article 90 de la loi organique punit celui qui effectue intentionnellement un traitement des D.C.P sans présenter la déclaration prévue à l’article 7 ou sans l’obtention de l’autorisation prévue aux articles 15 et 69 de la présente loi d’un an d’emprisonnement et d’une amende de dix mille dinars.

Les finalités envisagées au traitement doivent être marquées par la transparence. Le principe de finalité signifie que le responsable du traitement est tenu d’informer la personne concernée, qui est le mineur, des objectifs du traitement et de s’y conformer.

Lorsque ce traitement exige l’obtention d’une autorisation, les finalités du traitement doivent même être précises à l’Instance Nationale de Protection des Données à Caractère Personnel (I.N.P.D.C.P). En effet, l’article 10 de la loi organique considère que « la collecte des D.C.P ne peut être effectuée que pour des finalités licites déterminées et explicites ». Cependant, la finalité se trouve, dans certains cas, bien précisée et non explicite parce que le responsable du traitement utilise des termes vagues.

La directive européenne du 24 octobre 1995 exige, dans l’article 6-C, que les finalités du traitement des D.C.P soient adéquates, pertinentes et non excessives. Le législateur tunisien cherche à protéger les internautes mineurs contre ces pratiques déloyales en exigeant, dans l’article 11 de la loi organique, que « les D.C.P doivent être traitées loyalement et dans la limite nécessaire au regard des finalités pour lesquelles elles ont été collectées ».
La formulation de l’article 11 s’avère maladroite, puisqu’elle annonce que le critère de nécessité ne s’établit qu’au moment d’effectuer le traitement après l’opération de collecte. Il était préférable qu’un tel critère soit proposé même au moment de la collecte des D.C.P. L’article 93 de la loi organique sanctionne quiconque diffuse intentionnellement des D.C.P pendant leur traitement, d’une manière qui nuit à la personne concernée ou à sa vie privée, d’une peine d’emprisonnement de huit mois et d’une amende de trois mille dinars.
Cet article a diminué la peine lorsque la diffusion des D.C.P est effectuée sans l’intention de nuire. Le même article donne la possibilité à la personne lésée, d’être réparée en nature en prévoyant qu’elle « peut demander au tribunal d’ordonner la publication d’un extrait du jugement dans un ou plusieurs journaux quotidiens, paraissant en Tunisie » choisis par lui-même. La troisième remarque concerne l’utilisation des notions d’exploitation et d’utilisation.
Le législateur semble vouloir protéger des D.C.P du mineur contre toute forme électronique non sollicitée via le courrier électronique ("Spamming"). Conformément aux dispositions de la loi du 9 août 2000, la loi organique du 27 juillet 2004 et à ses deux décrets d’application (datant du 27 novembre 2007 : le décret n° 2007-3003 fixant les modalités de fonctionnement de l’instance nationale de protection des données à caractère personnel et le décret n° 2007-3004 fixant les conditions et les procédures de déclaration et d’autorisation pour le traitement des données à caractère personnel), on constate que ces textes juridiques visent la protection des D.C.P qui subissent un traitement automatisé.

Pour l’exercice d’un traitement des D.C.P, il faut obtenir une autorisation de la part de l’I.N.P.D.C.P à l’exception des données relatives à la santé conformément à l’article 15 de la loi organique n° 2004-63 du 27 juillet 2004. Dans le même sens, les commerçants doivent utiliser des bases de données constituées comme data-mining et data-warehouse, qui se fondent sur des techniques de collecte de l’information, contre toute diffusion à peu de frais des publicités non souhaitées par spamming ou de faire offre des ventes par la technique dite du push. La collecte est la base de toutes les opérations qui cherchent à effectuer le traitement.

b) La collecte.

Le législateur n’a pas défini la notion de collecte, mais cela « n’empêche pas d’affirmer que même le fait de récupérer une D.C.P sans la conserver est une sorte de traitement ». La collecte des D.C.P dans le "cyberspace" s’effectue de deux manières : directe (1), et indirecte (2).

1) La collecte directe.

La collecte directe ne peut être effectuée que par l’obtention du consentement exprès et écrit de la personne concernée (mineur), ou par son tuteur, conformément à l’article 27 de la loi organique. En dépit de l’exigence du consentement, cette condition n’a pas été définie par le législateur. La directive européenne du 24 octobre 1995 a défini ce concept dans l’article 2.h comme étant « (…) toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Dans le but de protéger l’internaute contre toutes les atteintes, le législateur tunisien exige la formalité d’écrit conformément à l’article 27 de la loi organique du 27 juillet 2004. En effet, puisque la signature de la personne concernée est exigée par la loi dans le même article, l’écrit prévu prend la forme d’un acte sous seing privé. Le traitement des D.C.P du mineur ne peut être effectué qu’en cas d’existence du consentement de son tuteur et d’obtention de l’autorisation du juge de la famille conformément à l’article 28 de la loi organique du 27 juillet 2004.

En effet, puisque la signature de la personne concernée est exigée par la loi dans le même article, l’écrit prévu prend la forme d’un acte sous seing privé. Pour que le traitement des D.C.P d’un mineur soit effectué, il faut obtenir non seulement le consentement de son tuteur, mais aussi l’autorisation du juge de la famille conformément à l’article 28 de la loi organique du 27 juillet 2004.

Le législateur sanctionne la violation de cette condition dans les articles 87 et 88 de la loi organique du 27 juillet 2004. En effet, l’article 87 prévoit que « est puni d’un emprisonnement de deux ans et d’une amende de dix mille dinars, celui qui viole les dispositions (…) du paragraphe premier de l’article 27(…) ». De même, l’article 88 dispose : « est puni d’un an d’emprisonnement et d’une amende de dix mille dinars, celui qui porte une personne à donner son consentement pour le traitement de ses données personnelles en utilisant la fraude, la violence ou la menace ».

L’exigence de consentement n’est pas absolue puisque l’article 29 de la loi organique prévoit certaines exceptions. Cet article dispose que « (…) lorsqu’il s’avère manifestement que ce traitement est effectué dans son intérêt et que son contact se révèle impossible, ou lorsque l’obtention de son consentement implique des efforts disproportionnés ou si le traitement des données à caractère personnel est prévu par la loi ou une convention dans laquelle la personne concernée est partie ».

La collecte des D.C.P, quelle que soit son origine ou sa forme, ne doit pas porter atteinte aux personnes ou à leur réputation. En effet, l’article 94 de la loi organique sanctionne, celui qui collecte des D.C.P à des fins illégitimes ou contraires à l’ordre public ou traite intentionnellement des D.C.P inexactes, non mises à jour à l’activité de traitement, d’une peine de 3 mois d’emprisonnement et d’une amende de mille dinars.

La collecte directe est une forme de traitement efficace parce qu’elle utilise essentiellement la technique des cookies qui constitue le point de ressemblance avec la collecte indirecte.

2) La collecte indirecte.

La collecte indirecte est définie comme étant « les opérations de collecte des données personnelles lors de l’utilisation d’Internet telles que les données livrées par la personne concernée elle-même, les données de connexion et les données de navigation ». La collecte indirecte est possible dans les forums de discussions et par le biais de captation d’adresse email (les cookies). Dans les forums de discussion, l’internaute mineur se trouve en danger puisque ses données personnelles peuvent être exploitées d’une façon frauduleuse et déloyale.
Dans la collecte indirecte par la technique des cookies, les mineurs sont plus vulnérables que les autres utilisateurs du net. Cette vulnérabilité est constatée d’une double façon, « d’une part les responsables de sites collectent à leur insu leurs données personnelles, d’autre part, leurs parents ou tuteurs légaux peuvent exercer un contrôle détaillé de leur navigation sur Internet, par date et par heure grâce à l’historique automatiquement mise à jour par les cookies ».

Le contrôle parental exerce une surveillance absolue sur la navigation du mineur sur Internet, mais ce traçage peut être effacé au fur et à mesure par un mineur expérimenté. En fait, il est quasiment impossible d’exercer un contrôle absolu du responsable de loyauté.

Parmi les principes nécessaires à étudier, reste le principe de sécurité qui devient une exigence vitale dans le ’cyberspace’ en tant qu’espace dématérialisé.

B) L’instauration du principe de sécurité.

Devant régir la collecte des D.C.P des internautes, la sécurité est exercée, soit par le responsable du traitement (a) soit par l’instance nationale de protection des données à caractère personnel (I.N.P.D.C.P) (b).

a) La sécurité effectuée par le responsable du traitement.

Nécessitant la prise en compte de tous les aspects de sa gestion, la sécurité d’un système informatique est exercée par le responsable du traitement. En effet, l’article 18 de la loi organique prévoit que « toute personne qui effectue personnellement ou par une tierce personne, le traitement des D.C.P est tenue à l’égard des personnes concernées de prendre toutes les précautions pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l’autorisation de la personne concernée ».

D’après une lecture interprétative de cet article, on peut conclure que dans le but de protéger l’internaute mineur, le responsable du traitement est astreint à une obligation de sécurité informatique. Dans le but d’assurer la confidentialité des informations et de limiter leur divulgation, il doit prendre les dispositions nécessaires.

Ce responsable peut trouver sa responsabilité engagée même si le traitement est effectué par une tierce personne. Dans le même contexte, l’article 20 alinéas 3 de la loi organique prévoit que « le responsable du traitement et le sous-traitant engagent leur responsabilité civile en cas de violation des dispositions de la présente loi ». Cette obligation de sécurité a un caractère préventif dans la mesure où le responsable du traitement est chargé de prendre « les précautions nécessaires ». Ces précautions sont analysées dans l’article 19 de la loi organique de 2004.

En effet, cet article empêche les personnes non autorisées d’accéder aux équipements et installations utilisés pour le traitement des D.C.P des internautes. Le même article empêche que les données puissent être lues, copiées, modifiées, effacées ou radiées, lors de leur communication ou du transport de leur support. Le législateur tunisien sanctionne, celui qui viole les dispositions des articles 12,18 et 19 ainsi que les paragraphes 1er et 2ème de l’article 20, d’une peine d’emprisonnement de trois mois et d’une amende de mille dinars conformément aux dispositions de l’article 94 de la loi organique du 27 juillet 2004.

De même, l’article 97 de la même loi prévoit que l’article 254 du C.P s’applique au responsable du traitement qui divulgue le contenu des D.C.P sauf dans les cas prévus par la loi. L’article 254 du C.P prévoit que sont punies de six mois d’emprisonnement et de cent vingt dinars d’amende toutes les personnes qui, de par leur état ou profession, sont dépositaires de secrets, auront hors le cas où la loi qui les oblige ou les autorise à se porter comme dénonciateurs qui révèlent ces secrets.

L’application des articles 18 et 19 peut confronter plusieurs difficultés telles que l’impossible exercice du contrôle du respect du principe de sécurité notamment en ce qui concerne le traitement des D.C.P, sur l’internet, même par la personne concernée. Le recours à un organe compétent comme l’I.N.P.D.C.P peut constituer une solution adéquate à ce problème complexe.

b) La sécurité effectuée par l’instance nationale de protection des données à caractère personnel.

L’article 77 de la loi organique présente la seule possibilité de contrôler le respect du principe de sécurité en accordant à l’I.N.P.D.C.P un droit d’investigation et d’autres missions visant l’élargissement de ses pouvoirs. L’aspect technique qui marque les mesures de sécurité engendre des doutes sur l’efficacité des contrôles exercés. La sécurité exige, parfois, un droit à l’oubli. Ce droit, consacré d’une manière implicite dans le cadre de l’article 45 de la loi organique, signifie qu’après une période bien déterminée, l’internaute a le droit de voir ses données oubliées.

En cas de flux des D.C.P, l’instauration de la sécurité est une tâche indispensable. La loi distingue entre le flux extrême appelé transfert et le flux interne appelé communication. En ce qui concerne la communication des D.C.P, l’article 47 de la loi organique consacre un principe et des exceptions. Le principe se révèle lorsque les D.C.P sont empêchées d’être communiquées « (…) sans le consentement exprès donné par n’importe quel moyen laissant une trace écrite ». En effet, l’article 90 de la loi organique prévoit que celui qui communique les D.C.P sans le consentement de la personne concernée ou l’accord de l’instance dans les cas prévus par la présente loi, sera exposé à une peine limitative de liberté et d’une amende de cinq mille dinars.

Cependant, deux régimes d’exceptions au principe d’interdiction sont prévus par l’article 47. Pour le premier régime objet du premier paragraphe de l’article 47, l’obtention d’une autorisation de l’I.N.P.D.C.P ne constitue pas une condition obligatoire. Pour le deuxième régime objet du deuxième paragraphe de l’article 47, l’obtention d’une autorisation de l’I.N.P.D.C.P est une condition nécessaire. Seule l’instance autorise la communication des D.C.P en cas de refus écrit et explicite de la personne concernée, de ses héritiers ou de son tuteur. Lorsqu’il s’agit d’un mineur, cette communication est importante pour la réalisation des intérêts personnels. Lors d’une opération de vente électronique, il est impossible d’apprécier des intérêts vitaux des D.C.P.

La personne, à qui les données ont été communiquées, ne respecte pas les garanties et les mesures que l’instance lui a fixées conformément aux dispositions du deuxième paragraphe de l’article 47, sera sanctionnée d’une amende de dix mille dinars, et ce conformément à l’article 95 de la loi organique. En ce qui concerne le transfert des D.C.P de l’internaute mineur, l’article 51 prévoit quelle transfert des données personnelles vers un autre pays faisant l’objet d’un traitement, « ou destinées à faire l’objet d’un traitement, ne peut avoir lieu que si ce pays assure un niveau de protection adéquat apprécié au regard de toutes les précautions nécessaires mises en œuvre pour assurer la sécurité des données. Dans tous les cas, le transfert des D.C.P doit s’effectuer conformément aux conditions prévues par la loi ».

Le transfert des D.C.P exige l’obtention, dans tous les cas, d’une autorisation de l’I.N.P.D.C.P. L’article 90 sanctionne celui qui fait transférer des D.C.P sans l’autorisation de l’instance d’un an d’emprisonnement et de cinq mille dinars d’amende. Le transfert des D.C.P d’un mineur ne sera licite que s’il y a l’obtention du consentement de son parent ou de son tuteur. Malgré toutes les précautions, le principe de la sécurité informatique se trouve parfois violé, ce qui indique son insuffisance devant les problèmes confrontés. En effet, l’exercice d’un contrôle du respect du principe de sécurité s’avère très difficile lorsque les D.C.P du mineur se trouvent collectées à l’insu d’une personne concernée.

Paragraphe 2 : La protection des données à caractère personnel du mineur à travers l’exercice de ses droits.

Les lois relatives à l’informatique protègent les internautes de tous les dangers survenues liés aux fichiers et à l’exploitation des D.C.P. Les internautes connectés sont protégés par les dispositions de la protection des D.C.P qui leur garantissent certains droits. Les mineurs, qui sont considérés comme des citoyens du cyberspace, jouissent de certains droits spécifiques qu’ils peuvent exercer de différentes manières, soit au moment de la collecte (A), soit au moment de la conservation des D.C.P (B).

A) Les droits exercés au moment de la collecte des données à caractère personnel concernant le mineur.

Pour combattre les pratiques déloyales sur l’Internet, la conscience impose à la législation tunisienne d’élaborer plusieurs droits à savoir le droit d’information (a) et le droit d’opposition (b).

a) Le droit d’information.

Le droit d’information relatif aux DCP concernant le mineur constitue une nécessité pour les internautes mineurs faisant l’objet d’un traitement de leurs D.C.P. En fait, ce droit peut amener à un traitement licite, transparent et loyal. Il est le premier droit pour que tout internaute mineur puisse savoir s’il est fiché et dans quel fichier il est recensé. Il s’agit d’un droit de surveillance exercé sur ses informations personnelles. Cela concerne, aussi bien la collecte des informations, que leur utilisation. Chaque personne doit être informée, au moment de la collecte des D.C.P de l’utilisation qui va en être faite.

Le droit d’information est un droit exceptionnel, puisqu’il se distingue, non seulement de l’obligation d’information du côté de la charge du professionnel lors d’une transaction électronique mais même aussi de l’obligation d’information de l’I.N.P.D.C.P aussi bien en cas de la déclaration préalable, ou en cas de l’autorisation.

Le formalisme d’écrit se révèle important. L’information doit être faite préalablement et par n’importe quel moyen qui laisse une trace écrite, conformément à l’article 31 de la loi organique. La protection de la personne concernée contre toute forme d’abus est l’objectif nécessaire de l’écrit. La critique s’adresse au législateur en ce qui concerne la non détermination de la sanction civile applicable en cas de non-respect de cette formalité. En présentant l’exemple d’une notification effectuée par lettre recommandée avec accusé de réception, le législateur tunisien a rappelé dans le dernier alinéa de l’article 31 l’utilisation d’un formalisme écrit. L’information doit s’effectuer dans un délai limité prévu par le dernier alinéa de l’article 31 qui est « d’un mois au moins avant la date fixée pour le traitement des D.C.P ».

Pour compter le délai d’un mois prévu par l’article 31 de la loi organique, il faut prendre en considération la date fixée pour le traitement des données. Par conséquent, l’information doit être effectuée avant la date fixée pour le traitement des D.C.P. Cet article a été critiqué dans la mesure où « en réalité, il était plus précis de parler de la collecte et non de traitement, car comment le responsable pourrait-il faire le traitement s’il n’a pas collecté les D.C.P auparavant ? ».
Le législateur tunisien vise, dans l’article 31, la protection des personnes concernées. Or, en réalité, la personne faisant l’objet d’un traitement des D.C.P doit être diligente pour respecter le droit de l’information. Lorsqu’ il y a un manquement à ce droit, l’intéressé doit informer l’I.N.P.D.C.P.

Dans l’objectif de consolider le respect du droit d’information de la part du responsable du traitement, le tuteur, en tant que représentant de l’internaute mineur, peut aussi exiger la présence d’un label. Quant au responsable du traitement, il doit mettre en œuvre des cookies qui ont pour objectif l’information de l’internaute. Néanmoins, le responsable de traitement peut désigner un tiers pour effectuer cette information. Dans ce cas, le consentement et l’information ne doivent pas être utilisés deux fois. Ainsi, « si la régie publicitaire fournit l’information et recueille le consentement de l’internaute, le site Internet sur lequel la publicité est diffusée n’a pas à répéter cette opération ».

L’exercice du droit d’information se trouve, dans certains cas, impossible. D’abord, c’est le cas des fichiers relatifs à la police. Ensuite, lorsque les fichiers sont relatifs à des jugements de condamnations pénales. Enfin, lorsqu’il s’avère impossible d’informer la personne concernée. Dans le cyberspace, les fichiers contenant un mauvais traitement de données personnelles pourraient porter atteinte aux personnes concernées. Ces dernières peuvent défendre leurs D.C.P contre toute utilisation illégale à travers le droit d’opposition.

b) Le droit d’opposition.

Le droit d’opposition est une prérogative donnée à la personne concernée pour refuser de figurer dans un fichier. Chaque personne a la possibilité de s’opposer, pour des raisons légitimes à figurer dans un fichier si ces données sont utilisées en vue d’une prospection, en particulier commerciale. Le mineur, peut refuser sans avoir à justifier sa position, en ce qui concerne l’utilisation illégale de ses données. Son refus peut être justifié, lorsqu’il apparaît dans certains fichiers et que ses données personnelles sont communiquées à des tiers.
Ce droit reflète une politique législative de protection, qui peut se traduire par les actes suivants :

D’abord, en s’opposant à répondre lors d’une collecte non exigée de données. Ensuite, en refusant, en premier lieu de donner l’accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses, et en deuxième lieu de voir ses données transmises ou commercialisées, notamment au moyen d’une case à cocher dans les formulaires de collecte.

Enfin, en demandant la suppression des données contenues dans des fichiers commerciaux. Ce droit d’opposition qui a des motifs légitimes, est considéré comme étant « (…) le seul moyen pour la personne concernée de se prémunir contre les possibilités de téléchargement de bases de données et le détournement de leur finalité (…) ».

Sans doute, la personne concernée doit exercer ce droit si elle a été informée du traitement. L’article 42 de la loi organique prévoit que « la personne concernée, ses héritiers ou son tuteur, a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant pour des raisons valables, légitimes et sérieuses, sauf dans les cas où le traitement est prévu par la loi ou est exigé par la nature de l’obligation. En outre, la personne concernée, ses héritiers ou son tuteur, a le droit de s’opposer à ce que les données à caractère personnel la concernant soient communiquées aux tiers en vue de les exploiter à des fins publicitaires. L’opposition suspend immédiatement le traitement ».

On constate d’après une lecture interprétative de cet article que la liste des personnes pouvant exercer le droit d’opposition a été élargie dans le but de protéger les D.C.P. L’article 42 permet au mineur de protéger ses D.C.P à travers son représentant légal qui est le tuteur. Le même article prévoit que ce droit peut être exercé à tout moment.

Dans la pratique, l’exercice du droit d’opposition se fait au moment de la collecte d’information « ou plus tard, en s’adressant au responsable du fichier ». L’article 42 a précisé le moment d’exercice de ce droit qu’en cas de « (…) raisons valables légitimes et sérieuses (…) qui reflètent une exigence implicite de motivation de ce droit. Il faut signaler que ce droit s’exerce par l’intéressé gratuitement », bien que la loi organique n’ait pas mentionné ce caractère. Le droit d’opposition peut s’exercer, en pratique, à travers deux méthodes, soit le fait de remplir un formulaire disponible sur lnternet, soit par un clic sur une icône qui existe sur le site du responsable du traitement.

Le droit d’opposition, qui a été considéré comme étant un véto a pour conséquence l’achèvement du traitement. L’article 42 prévoit que « l’opposition suspend immédiatement le traitement ». Mais ce droit peut s’affronter à plusieurs restrictions au niveau de son application telle que l’immatérialité qui limite la poursuite de traitement des D.C.P. De même, puisque ses D.C.P ont été collectées et traitées, la collecte indirecte peut constituer une entrave empêchant l’internaute mineur d’exercer son droit d’opposition. L’exercice du droit d’opposition qui constitue une exigence est accepté seulement en cas de données ordinaires et non en cas des données sensibles, car ces dernières nécessitent une protection élevée.

B) Les droits exercés au moment de la conservation des données à caractère personnel du mineur.

Les droits exercés au moment de la conservation des D.C.P du mineur sont au nombre de deux : le droit d’accès (a) et le droit de rectification (b).

a) Le droit d’accès.

Le droit d’accès est un droit fondamental pour l’internaute mineur, qui cherche l’accès à des données protégées. Ce droit est d’une grande importance parce qu’il donne la possibilité aux mineurs de savoir si leurs D.C.P sont en train d’être traitées ou non. En effet, le législateur tunisien a consacré une sous-section dans la loi organique du 27 juillet 2004 pour régler le droit d’accès. L’article 32 le définit comme étant « le droit de la personne concernée, de ses héritiers ou de son tuteur de consulter toutes les données à caractère personnel la concernant, ainsi que le droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier, effacer lorsqu’elles s’avèrent inexactes, équivoques, ou que leur traitement est interdit. Le droit d’accès couvre également le droit d’obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu’elles sont traitées à l’aide de procédés automatisés ».
On constate que cet article est consacré à la protection des internautes mineurs contre toute atteinte à leurs D.C.P. Il faut préciser que la liste des personnes concernées aptes à exercer le droit d’accès aux D.C.P a été élargie par le législateur tunisien. La liste des personnes reste quand même limitative puisque le législateur n’utilise pas l’expression "notamment".

Il existe une dépendance de la part des héritiers et du tuteur à la personne concernée. En principe, ce dernier est une personne physique dont les D.C.P font l’objet d’un traitement. Elle n’est en principe apte à exercer ses droits qu’en cas de décès ou en cas de non émancipation. Lorsque la personne concernée est un mineur, ses droits seront exercés par un représentant légal en qualité de tuteur. Les données sensibles sont des informations qui ont un lien étroit avec l’origine raciale, les opinions politiques, religieuses, syndicales, et avec la vie sexuelle et l’état de santé. Le traitement des données fait l’objet d’une attention particulière visant la réglementation de l’utilisation.

Même dans ce cadre, la personne concernée, qui peut être un mineur représenté par son tuteur légal, n’est pas obligé de recourir à un tiers pour l’exercice de son droit. L’accès aux D.C.P se fait directement alors que l’accès aux données médicales traitées ne peut être qu’indirectement. Ce droit d’accès qui est un droit d’ordre public peut être exercé gratuitement bien que la loi n’ait pas prévu cela expressément. Ce raisonnement se trouve confirmé dans les dispositions de l’article 40 paragraphe 2. Le droit d’accès ne peut être exercé, conformément à l’article 34, que dans "des intervalles raisonnables et de façon non excessive".
L’article 35 de la loi organique prévoit que le droit d’accès aux D.C.P se trouve limité dans les cas suivants « lorsque le traitement des D.C.P est effectué à des fins scientifiques et à condition que ces données n’affectent la vie privée de la personne concernée que d’une façon limitée : Si le motif recherché par la limitation du droit d’accès est la protection de la personne concernée elle-même ou des tiers ».

La protection des D.C.P de l’internaute mineur se manifeste à travers la formalité de la demande présentée lors du droit d’accès. Mais cette demande pose un problème qui se traduit par les dispositions de l’article 38 de la loi organique qui dispose que « la demande d’accès est présentée par la personne concernée ou ses héritiers ou son tuteur par écrit ou par n’importe quel moyen laissant une trace écrite ».
Le législateur a consacré la solution adéquate dans l’article 37 de la loi organique qui prévoit que « le responsable du traitement automatisé des D.C.P et les sous-traitant doivent mettre en œuvre les moyens techniques nécessaires pour permettre à la personne concernée à ses héritiers ou à son tuteur l’envoi par voie électronique de sa demande de rectification, de modification de correction ou d’effacement des D.C.P ».

La demande d’accès qui suppose la diligence de la personne concernée, est nécessaire pour exercer son droit d’accès. Lorsque la personne concernée est un mineur, elle doit être diligente quand elle envoie sa demande pour exercer son droit d’accès à travers son tuteur. Le responsable du traitement ou le sous traitant peut être sanctionné de huit mois d’emprisonnement et d’une amende de trois mille dinars, au cas où il limiterait ou entraverait l’exercice du droit d’accès, d’une manière intentionnelle, dans les autres cas que ceux prévus à l’article 35 de la loi organique, conformément à l’article 92 de la même loi.

Contrairement à la demande d’accès, le délai de la demande d’obtention de copies des données se trouve déterminé. L’article 38 fixe le délai de la demande d’obtention des données qui « ne dépassant pas un mois à compter de la dite demande ».

L’I.N.P.D.C.P est l’organe compétent pour saisir les litiges relatifs à l’exercice du droit d’accès ou d’obtenir des copies des données. Malgré son importance, le droit d’accès ne pourra être utilisé dans certains cas. Il « (…) reste largement ignoré, ce qui explique en partie sa faible mise en œuvre et son efficacité pratique limitée, ce qui est tout à fait regrettable ». Pour que la personne concernée change ses D.C.P, l’exercice du droit d’accès est une tâche essentielle conformément à l’article 40 de la loi organique qui dispose que « la personne concernée, ses héritiers ou son tuteur, peut demander de rectifier les données à caractère personnel la concernant (…) ». L’article 56 de la loi organique relative aux données traitées de la personne concernée et son tuteur prévoit que ces derniers « (…) peuvent pour des raisons valables, demander de corriger, de compléter, de rectifier, de mettre à jour, de modifier ou d’effacer les données lorsqu’elles s’avèrent inexactes et qu’ils en ont pris connaissance ».
Cet article montre qu’il existe un rapport dialectique entre le droit d’accès et le droit de rectification. Il s’avère impossible de distinguer entre eux.

b) Le droit de rectification.

Le droit de rectification signifie « compléter ou effacer des informations qui nous concernent si on a repéré des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Le droit de rectification des données constitue une conséquence des droits d’accès. En effet, la personne concernée n’a le droit de changer ses D.C.P que si elle exerce le droit d’accès. Le droit de rectification est considéré comme un complément essentiel du droit d’accès. L’article 40 de la loi relative à l’informatique, aux fichiers et aux libertés permet à la personne concernée de rectifier ou d’effacer des données inexactes en procédant aux modifications nécessaires.

En pratique, l’exercice du droit de rectification exige d’écrire à l’organisme qui détient les informations. La personne concernée qui a écrit la demande de rectification peut demander au responsable du traitement de procéder aux rectifications exigées, et de les notifier aux tiers à qui on aurait transmis les fausses informations pour garantir l’effectivité de sa demande.

Le demandeur a le droit d’obtenir gratuitement une copie de l’enregistrement modifié. En général, le responsable du traitement est chargé de montrer à la personne concernée, qui a fait la demande de rectification, toutes les opérations qu’il a effectuées sans frais. Les modifications devront également être réalisées sans délai. Dans le but d’obtenir une copie des données transmises par le responsable du traitement, il est nécessaire que la personne ayant demandé la rectification des D.C.P, soit également en droit pour demander le remboursement des frais déboursés. Par conséquent, hormis des cas exceptionnels liés à la sûreté de l’Etat et à la sécurité publique, toutes les personnes faisant l’objet d’un traitement des D.C.P ont des droits face à ces fichiers. Vu l’évolution technologique qui permet la collecte des données d’une personne, il est nécessaire aujourd’hui de créer des solutions et des méthodes techniques visant la garantie de la personne concernée.
Cette garantie, peut s’exprimer par la révision du régime de protection des D.C.P d’une manière perpétuelle pour que le droit ne soit pas dépassé par les nouvelles technologies. L’instauration de cette protection cherche l’amélioration de la confiance et de la sécurité des personnes concernées par le traitement sur l’internet.

Mohamed Gargouri, Juriste.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs