Les entreprises tunisiennes opérant avec des partenaires européens et qui ne sont pas en conformité à la GDPR (General Data Protection Regulation), le règlement général sur la protection des données, en vigueur en Union européenne (UE), risquent d’importantes sanctions financières.
Par Christian Jean *
«En juillet 2017, la CNIL (Commission nationale de l’informatique et des libertés- France, NDLR) a été informée d’une «fuite de données conséquentes» concernant la société X. Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.
«Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.
«Un contrôle sur place a été mené dans les locaux de la société X, durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site www.ZZZ.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel («espace client») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.
«La présidente de la CNIL a donc désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société X.
«La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés» **.
Une amende de 4% du chiffre d’affaires
Les premières sanctions tombent. Pour mémoire la loi prévoit qu’en cas de non-conformité à la GDPR, les entreprises sont sanctionnées par une amende de 4% de leur chiffre d’affaires mondial ou 20 M€ (le plus fort montant étant retenu).
Ce qui se passe en France prend immédiatement effet en Tunisie, notamment avec l’effet transfrontalier du RGDP, qui s’applique à toutes les entreprises du monde qui gèrent des données personnelles de citoyens européens.
A ce jour 99% des entreprises tunisiennes ne sont pas conformes à la GDPR, hors l’économie tunisienne dépend à 80% de l’Europe et les entreprises du tourisme, des centres d’appel et des services informatiques ne peuvent vivre sans leurs clients européens.
Pourtant, à ce jour, un nombre considérable d’entreprises tunisiennes ne sont pas conformes.
Chawki Gaddes, président de l’Instance nationale de protection des données personnelles (INPDP), l’autorité de contrôle tunisienne, précise que les sociétés tunisiennes ne sont toujours pas conformes avec les lois tunisiennes existantes : «La preuve. La loi est là depuis 2004. Aucune sanction malgré les 80 dossiers devant la justice. Aucun respect de la loi. C’est simpliste. Je donne un autre exemple. La loi sur la sécurité informatique qui impose l’audit de sécurité. Presque personne ne s’y soumet car l’obligation n’est pas assortie de sanction. Pas d’obligation sans sanction la norme est claire.»
La société du numérique est une société basée sur la confiance. La Tunisie vend dans ses contrats des compétences, mais également la confiance, comment maintenir cette confiance quand les entreprises ne sont pas conformes à la loi et aux normes internationales ?
Pensez-vous que le Maroc ou la Roumanie ne sont pas capables de réaliser les mêmes prestations aux mêmes prix, tout en donnant, eux, les niveaux de garanties demandées?
Contrairement à ce que l’on croit, la Tunisie n’est pas un out sourceur pas cher, seul aujourd’hui la dévaluation du dinar permet de maintenir un semblant de compétitivité dans de nombreux domaines.
En France, aujourd’hui, en cumulant les aides des collectivités et de l’Etat, les entreprises arrivent à proposer des coûts d’informaticiens ou d’opérateurs de centres d’appel équivalent à 10% près de ceux proposés par les entreprises tunisiennes.
Au-delà du risque individuel, un risque national
Pensez-vous qu’un grand donneur d’ordre va continuer à prendre des risques pour quelques dizaines de milliers d’euros alors que la non-conformité de son sous-traitant tunisien pourrait lui coûter quelques centaines de millions d’euros voire un milliard d’euros ?
Combien de sociétés tunisiennes ont des accès sécurisés, un mot de passe de 12 caractère alphanumériques, un antivirus et un firewall à jour, des collaborateurs formés à la GDPR, un registre des traitements, une procédure en cas de violation de la sécurité, des archives papiers sécurisées, des agendas sans commentaires interdits, un registre des traitements ?
Un diagnostic de maturité et de conformité GDPR ne dure que 48h dans la majorité des cas et les résultats sont connus dans les 72H, pour un budget de départ de 2000 TND (www.gdprlab.tn/diag) contre un risque d’amende de 10M€ !
Au-delà du risque individuel, c’est un risque national que font courir ces entreprises, la première à être sanctionnée et à faire sanctionner son client français, belge ou italien, ce qui entraînera une réaction en chaîne du fameux principe de précaution et le blacklisting de toutes les entreprises tunisiennes.
Le patriotisme se lit dans les actes, pas dans les manifestations, M. de Unamuno disait : «Il y a des moments ou se taire c’est mentir». Aujourd’hui, en Tunisie, il y a des moments où ne rien faire c’est trahir !
* Secrétaire général du GDPRLAB.
** Ne cherchez pas la société tunisienne qui a été condamnée, elle n’existe pas encore, nous avons simplement copié le site de la CNIL.
A3T : Hâter l’adoption des règles de protection des données personnelles
Données personnelles : La Tunisie membre de la Convention 108
Protection des données personnelles : Un projet de loi est en préparation
Donnez votre avis