Cybersécurité
&
Protection des Données Personnelles
Mohamed MDELLAH
Directeur Contentieux Tunisie Telecom
Retour sur l’expérience de Tunisie Telecom

Introduction
I- De l’intérêt de la protection de l’information en général et des données à caractère
personnel en particulier.
Les enjeux de la sécurité des données : Sécurité des données informatiques,
Ciblage de la population en fonction de leurs intérêts, Identification des
données nécessaires à la protection de la santé, Secret des affaires, Marketing,
veille concurrentielle, Recherche et développement, Traçabilité et preuve et
Protection des données personnelles… etc
Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une
source de l’économie moderne.
Un but: La collecte, la propriété voire même l’expropriation de l’information
permet une meilleure compréhension des situations.
L’importance: Avec le développement des ordinateurs L’information a acquis
une «une valeur marchande» et est devenu «un bien commercial» utilisé dans
« les batailles » commerciales
Favorisation de la confidentialité, L'intégrité, La disponibilité des données
Le besoin/intérêt: la société, en tant que structure socio-économique, a
prouvé un besoin et un intérêt à la protection des données à caractère
personnel.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 2

II- Pourquoi protéger les données à caractère personnel
La collecte des données à caractère personnel n’est pas un
phénomène nouveau mais l’évolution de l’automatisation à travers
des ordinateurs à performance accrue a fait développer une activité
lucrative connexe basée sur la collecte des données personnelles à
l’insu même des personnes concernées
Le traitement automatisé des informations en général et des
données personnelles à des moyens informatiques divers a fait
augmenter les risques d’accès non autorisées et aux manipulations
inopinées de ces données (des buts autres que ceux énoncés).
La perte de contrôle de ces données suite traitement par des
ordinateurs non ou peu sécurisés rendant facile le vol de ces
données
La protection des données à caractère personnel est une porte à
affranchir vers la sécurisation globale des informations/données. Le
besoin se sent généralement sur le plan juridique (insuffisance des
textes)
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 3

Les fondements juridiques de
la sécurité des données à caractère personnel
De l’obligation nait le Droit et le droit
Le Droit de la personne à une protection optimale de ses données personnelles
La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère
personnel de mettre en application les principes et les règles juridiques obligatoires.
Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions,
Conventions Internationales, lois, décrets..)
Textes Juridiques
 les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation
nationales relatives à la protection de la vie privée et les données personnelles et les flux
transfrontalières des données à caractère personnel,
 les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers
informatisés des données à caractère personnel,
 la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel
 la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques
à l’égard du traitement des données personnelles et à la libre circulation de ces données,
 La convention africaine sur la cybersécurité et la protection des données à caractère
personnel du 27/06/2014.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 4

Sur le plan national
 L'article 24 de la constitution (2014)
 Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à
caractère personnel.
 Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure
indépendante pour les élections, article 23 faisant allusion à la législation relative à la
protection des données personnelles
 Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la
prévention de la torture, Article 14 faisant allusion à la législation relative à la protection
des données personnelles
 Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de
déclaration et d'autorisation pour le traitement des données à caractère personnel.
 Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation
des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été
modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)
 Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des
télécommunications et fixant son organisation administrative, financière et les modalités
de son fonctionnement (Article 2).
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 5

Des principes interdépendants
 Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des
mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise,
exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.
 La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle
 Justification des finalités de la collecte (à priori ou pendant l’opération),
 Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont
à le retirer en tout temps sous réserves des restrictions légales
 Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées.
Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être
conservées que durant les périodes nécessaire à la réalisation des fins
 La qualité des données collectées exige que les données collectées doivent être justes, exactes,
complète et mises à jour
 La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter
l’accès
 L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et
l’intégralité des données
 Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire
l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 6

Retour sur
L’expérience de Tunisie Telecom
Pionnière du secteur des télécoms en Tunisie et en tant
qu’opérateur global, Tunisie Telecom assure à sa clientèle une
panoplie de produits, services de téléphonie, fixe et mobile ainsi
que de l’internet en plus des prestations y attachés.
 Procède de façon quotidienne à des opérations de collecte
des Données à Caractère Personnel:
– Directement à travers ses différents services
compétents.
– Indirectement à travers des sous-traitants (ex. les
distributeurs, les FSI et les FSVA…)
 A l’instar des autres entreprises, Tunisie Telecom assure la
pérennité de ses biens et la protection de ses locaux à
travers les moyens de vidéo-surveillance,
Dans les deux cas, On se trouve devant des opérations de
Traitement des données à caractère personnel soumises à des
dispositions légales à respecter dont l’enjeu dépasse le simple
devoir légal pour toucher la sécurité voire encore la réputation.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 7

Retour sur L’expérience de Tunisie Telecom
Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales
imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère
personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et
d'autorisation pour le traitement des données à caractère personnel.
 2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les
décisions correspondantes:
NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que
responsable de traitement des données à caractère personnel
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 8

Retour sur L’expérience de Tunisie Telecom
 Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de
sécurité de l’information y compris celle relative à la protection des données à caractère
personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la
pertinence, la durée limitée de conservation des données, sécurité et confidentialité,
transparence des données et au respect du droit de la personne à l’information, à l’accès, à la
rectification et à l’opposition
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 9

Retour sur L’expérience de Tunisie Telecom
 Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de
supervision sur les opérations de collecte et de traitement des données à caractère personnel,
 Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire,
 Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la
collecte et du traitement des données à caractère personnel et de devoir à leur préserver la
diligence nécessaire,
 Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au
préalable auprès de la DCSI des log in et MP,
 Prendre les mesures nécessaires à l’égard des contrevenants.
22/12/2016
Cybersécurité et Protection des DP-Retour
sur l'expérience de TT
10

Les problématiques liées au Cloud Computing
Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un
Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…)
En raison de sa structure, différents types de risques doivent être pris en considération y compris
ceux d’ordre juridique:
 la perte de contrôle sur les données
 Non respect des dispositions légales
 Usage abusif des données
 La détermination des personnes du responsable de traitement et du sous-traitant
 La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger
 Le droit applicable
En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au
cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur
la protection des données à caractère personnel.
La nécessité d’un cadre contractuel fiable qui:
 - Matérialiser les exigences de sécurité et de confidentialité
 - assurer l’exercice des droits des parties
 - Définir clairement les responsabilités
 - Déterminer les juridictions compétentes
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 11

Les réponses juridiques aux problématiques liées au Cloud
De point de vu droit des données à caractère personnel, le traitement des données personnelles
découlant du Cloud Computing impose au prestataire de:
 Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même
que le sous traitant
 Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous
traitant ne sont pas transmis à l’utilisateur de service.
 Les données personnelles doivent être protégées contre tout traitement non autorisé par
des mesures techniques et organisationnelles
 Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles
 L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment
et dans le respect total des dispositions légales en vigueur
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 12

Position de Tunisie Telecom?
Des services cloud offerts depuis le 16 juin 2015 avec,
une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC
27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce
qui prouve le niveau de sécurité atténué)
Une situation régularisée à l’égard de la loi régissant la protection des données à caractère
personnel
Une nouvelle charte adoptée en matière de la politique suivie en matière des données
personnelles
Des engagements formelles pour protéger la vie privée et les données personnelles.
Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les
obligations des parties.
Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un
système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service.
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 13

Avant de clôturer:
22/12/2016 Cybersécurité et Protection des DP-Retour sur l'expérience de TT 14

Merci de votre attention