Afterwork "Conformité aux normes de protection des données personnelles"
Le Club-DSI Tunisie invite tous ses adhérents au deuxième afterwork de l'année 2021 le mardi 5 Octobre de 17h30 à 20h.
Cet afterwork fait partie du programme de partenariat entre le Club-DSI Tunisie et EMA dans le cadre du projet « Partner Africa ».
Le thème de l'afterwork sera « Conformité aux normes de protection des données personnelles ».
L'afterwork sera animé par Mr. Chawki Gaddes, Président - INPDP (Instance nationale de protection des données personnelles).
Agenda:
17h30 - 18h15 : Café de bienvenue et réseautage
18h15 - 19h15 : Présentation de Mr. Chawki Gaddes
19h15 - 20h00 : Débat et questions / réponses
La présentation de Mr. Gaddes couvre les axes suivants:
- Contrôle de l'INPDP sur la conformité aux normes de protection des données personnelles
- Contrôle des responsables de traitement afin d’évaluer leur niveau de conformité aux normes de protection.
* Désignation d'un chargé de la protection des données
* Réalisation de la Cartographie des traitements de données
* Accompagnement des structures par l'instance pour la mise en conformité
Les places sont limitées. L’afterwork sera aussi diffusé en direct sur le groupe privé des adhérents du Club.
Contexte:
=========
Les autorités de protection des données personnelles de par le monde ne sont pas en charge seulement d’autoriser ou de refuser d’autoriser des traitements de données personnelles, mais ces instances contrôlent la conformité des traitements réalisées au cadre juridique national. Une mission qui a disparu dans le cadre par exemple du RGPD européen, car il s’avère que cette mission classique a prouvé son manque d’intérêt. Premièrement au vu de l'encombrement des instances à traiter ces dossiers mais surtout sur le manque d'intérêt de ces procédures basées sur une déclaration sur l'honneur du responsable de traitement. L'Inpdp après six années de fonctionnement, s'est arrêté sur le caractère purement formel et sans intérêt pour rehausser le niveau de protection.
C'est pour cela que les instances de contrôlée ont développé une autre activité plus importante, celle du contrôle des responsables de traitement afin d’évaluer leur niveau de conformité aux normes de protection.
La loi tunisienne sans citer le terme contrôle permet à l'INPDP de réaliser ces opérations à travers plus spécialement l'article 76 qui lui permet "d'accéder aux données à caractère personnels faisant l'objet d'un traitement afin de procéder à leur vérification et collecter les renseignements indispensables à l'exécution loi”. L'article 77 dispose aussi que "L'Instance peut procéder aux investigations requises en défeuillant les déclarations de toutes personne dont l’audition est jugée utile et en ordonnant de procéder à des constations dans les locaux et lieu où a lieu le traitement ... le secret professionnel ne peut être opposé à l'instance".
Sur cette base l'instance a édicté une décision spécifique numéro 6 réservée aux opérations de contrôle datée du 2 juillet 2019. Suite à quoi l'instance a débuté l'année même ces premiers contrôles. On fait l’objet de ces contrôles plusieurs entreprises privées et publiques. Mais, l’évaluation de ces missions a mis le doigt sur la lourdeur de la procédure et de l'implication très lourde des membres permanents ce qui perturbe le fonctionnement de l'instance.
Pour cette raison, l'instance a pris la décision en juin 2021 d'organiser une mission de plus grande ampleur, les missions de contrôle sur dossier. Une décision qui permettra de réaliser aussi une labélisation des structures.
Depuis juin 2021, 313 structures privées et publiques ont reçu un courrier de contrôle. Il leur a été demandé de nommer un interne, un vis à vis de l’instance qui préfigurera la mise en place du chargé de la protection des données. 112 structures ont deja contacte l'instance dont 94 ont nommés le chargé de cette mission de contrôle.
Ces personnes ont été chargés par l'instance de commencer à réaliser en interne la cartographie des traitements.
Une fois cette opération réalisée ces structures avec l’accompagnement de l'instance répondront à quelques 23 questions et entameront sur cette base leur mise en conformité.