Cybersécurité & protection des données personnelles

Cybersécurité &

Protection des Données Personnelles

Mohamed MDELLAHDirecteur Contentieux Tunisie Telecom

Retour sur l’expérience de Tunisie Telecom

02/05/2023 2

IntroductionI- De l’intérêt de la protection de l’information en général et des données à caractère personnel en particulier.

Les enjeux de la sécurité des données : Sécurité des données informatiques, Ciblage de la population en fonction de leurs intérêts, Identification des données nécessaires à la protection de la santé, Secret des affaires, Marketing, veille concurrentielle, Recherche et développement, Traçabilité et preuve et Protection des données personnelles… etc Une réalité: l’émergence de l’information dans sa globalité a fait de celle-ci une source de l’économie moderne.Un but: La collecte, la propriété voire même l’expropriation de l’information permet une meilleure compréhension des situations.L’importance: Avec le développement des ordinateurs L’information a acquis une «une valeur marchande» et est devenu «un bien commercial» utilisé dans « les batailles » commerciales

Favorisation de la confidentialité, L'intégrité, La disponibilité des donnéesLe besoin/intérêt: la société, en tant que structure socio-économique, a prouvé un besoin et un intérêt à la protection des données à caractère personnel.

Cybersécurité et Protection des DP-Retour sur l'expérience de TT

02/05/2023 3

II- Pourquoi protéger les données à caractère personnel

La collecte des données à caractère personnel n’est pas un phénomène nouveau mais l’évolution de l’automatisation à travers des ordinateurs à performance accrue a fait développer une activité lucrative connexe basée sur la collecte des données personnelles à l’insu même des personnes concernées Le traitement automatisé des informations en général et des données personnelles à des moyens informatiques divers a fait augmenter les risques d’accès non autorisées et aux manipulations inopinées de ces données (des buts autres que ceux énoncés).La perte de contrôle de ces données suite traitement par des ordinateurs non ou peu sécurisés rendant facile le vol de ces donnéesLa protection des données à caractère personnel est une porte à affranchir vers la sécurisation globale des informations/données. Le besoin se sent généralement sur le plan juridique (insuffisance des textes)


02/05/2023 4

Les fondements juridiques de la sécurité des données à caractère personnel

De l’obligation nait le Droit et le droit

Le Droit de la personne à une protection optimale de ses données personnelles La nécessité et l’obligation d’imposer aux structures qui collectent des données à caractère personnel de mettre en application les principes et les règles juridiques obligatoires. Des principes fondamentaux qui sont édictés dans des textes juridiques (Constitutions, Conventions Internationales, lois, décrets..)Textes Juridiques les lignes directrices de l’OCDE adoptés le 23/09/1980 portant harmonisation des législation

nationales relatives à la protection de la vie privée et les données personnelles et les flux transfrontalières des données à caractère personnel,

les lignes directrices de l’ONU adoptées le 14/12/1990, pour la réglementation des fichiers informatisés des données à caractère personnel,

la convention européenne du 28/01/1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel

la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données,

La convention africaine sur la cybersécurité et la protection des données à caractère personnel du 27/06/2014.


02/05/2023 5

Sur le plan national

L'article 24 de la constitution (2014) Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à

caractère personnel. Loi organique n°2012-23 du 20 décembre 2012 relative à l'instance supérieure

indépendante pour les élections, article 23 faisant allusion à la législation relative à la protection des données personnelles

Loi organique n° 2013-43 du 23 octobre 2013, relative à l’instance nationale pour la prévention de la torture, Article 14 faisant allusion à la législation relative à la protection des données personnelles

Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel.

Décret n°2008-3026 du 15 septembre 20008 fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès tel qu’il a été modifié et complété par le décret n°2014-53 du 10 janvier 2014 (Article 6 par. B, C et D)

Décret n°2013-4506 du 6 novembre 2013 relatif à la création de l'agence technique des télécommunications et fixant son organisation administrative, financière et les modalités de son fonctionnement (Article 2).


02/05/2023 6

Des principes interdépendants

Une obligation de sécurité (d’ordre légal): les données collectées doivent être protégées par des mesures de sécurité appropriées selon le degré et le niveau de leur sensibilité, l’entreprise, exposée à des risques et menaces à la sécurité, doit en mesure de contrôler l’accès.

La responsabilité de l’organisation des données personnelles qu’elle détient sous son contrôle Justification des finalités de la collecte (à priori ou pendant l’opération), Le consentement libre de l’individu à propos de la collecte, le traitement de ses données et sont

à le retirer en tout temps sous réserves des restrictions légales Limitation de la collecte au strict nécessaire pour atteindre les finalités déjà exprimées et fixées.

Les données ne doivent être utilisées à des fins autres que celles approuvées et ne doivent être conservées que durant les périodes nécessaire à la réalisation des fins

La qualité des données collectées exige que les données collectées doivent être justes, exactes, complète et mises à jour

La transparence: l’organisation doit assurer à l’individu la disponibilité des données et lui faciliter l’accès

L’accès libre de l’individu à ses données collectées et la possibilité de contester l’exactitude et l’intégralité des données

Le droit de se plaindre du non respect des principes et l’obligation de l’organisation de faire l’enquête nécessaire pour déterminer les responsabilités et donner suite aux plaintes.


02/05/2023 7

Retour surL’expérience de Tunisie Telecom

Pionnière du secteur des télécoms en Tunisie et en tant qu’opérateur global, Tunisie Telecom assure à sa clientèle une panoplie de produits, services de téléphonie, fixe et mobile ainsi que de l’internet en plus des prestations y attachés.

Procède de façon quotidienne à des opérations de collecte des Données à Caractère Personnel:– Directement à travers ses différents services

compétents.– Indirectement à travers des sous-traitants (ex. les

distributeurs, les FSI et les FSVA…)

A l’instar des autres entreprises, Tunisie Telecom assure la pérennité de ses biens et la protection de ses locaux à travers les moyens de vidéo-surveillance,

Dans les deux cas, On se trouve devant des opérations de Traitement des données à caractère personnel soumises à des dispositions légales à respecter dont l’enjeu dépasse le simple devoir légal pour toucher la sécurité voire encore la réputation.


02/05/2023 8

Retour sur L’expérience de Tunisie Telecom

Attentive à ces prescriptions Tunisie Telecom n’a pas tardé à se conformer aux dispositions légales imposées par loi organique du 27 Juillet 2004 portant sur la protection des données à caractère personnel et le Décret du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel. 2 obligations majeures qu’elle a accomplie auprès de l’INPDP (art.7 et 69 de la loi) et a obtenu les

décisions correspondantes:

NB: TT est tenue, en cas de nécessité, de saisir l’Instance pour mettre à jour son statut en tant que responsable de traitement des données à caractère personnel


02/05/2023 9


Elle a adopté récemment une charte de sécurité qui détermine les politiques spécifiques de sécurité de l’information y compris celle relative à la protection des données à caractère personnel basée sur les principes de PDCP à savoir; la finalité, la proportionnalité, la pertinence, la durée limitée de conservation des données, sécurité et confidentialité, transparence des données et au respect du droit de la personne à l’information, à l’accès, à la rectification et à l’opposition


02/05/2023 Cybersécurité et Protection des DP-Retour sur l'expérience de TT

10


Personnaliser l’accès pour la délimitation des responsabilité et pouvoir garder un droit de supervision sur les opérations de collecte et de traitement des données à caractère personnel,

Centraliser au niveau de la DCAJ, le traitement des requêtes et réquisitions de l’appareil judiciaire, Mesures d’ordre interne ayant pour but de sensibiliser les employés de TT de l’importance de la

collecte et du traitement des données à caractère personnel et de devoir à leur préserver la diligence nécessaire,

Limiter l’accès aux applications dédiées, aux employés compétents sous condition d’obtenir au préalable auprès de la DCSI des log in et MP,

Prendre les mesures nécessaires à l’égard des contrevenants.

02/05/2023 11

Les problématiques liées au Cloud Computing

Le Cloud Computing est un mode évolué de traitement des données (sur Internet ou au sein d’un Réseau Privée Virtuel) à travers la location des capacités de (stockage, logiciel, environnement…)En raison de sa structure, différents types de risques doivent être pris en considération y compris ceux d’ordre juridique: la perte de contrôle sur les données Non respect des dispositions légales Usage abusif des données La détermination des personnes du responsable de traitement et du sous-traitant La garantie d’un niveau de protection des DP en cas de transfert des données à l’étranger Le droit applicable

En raison de l’absence d’un cadre réglementaire spécifique au Cloud Computing, il faut se référer au cadre général en la matière à savoir la loi du Loi organique n°2004-63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel. La nécessité d’un cadre contractuel fiable qui: - Matérialiser les exigences de sécurité et de confidentialité - assurer l’exercice des droits des parties - Définir clairement les responsabilités - Déterminer les juridictions compétentes


02/05/2023 12

Les réponses juridiques aux problématiques liées au Cloud

De point de vu droit des données à caractère personnel, le traitement des données personnelles découlant du Cloud Computing impose au prestataire de:

Se conformer entièrement aux dispositions légales et aux clauses contractuelles de même que le sous traitant

Superviser/contrôler le sous-traitant étant donné que les rapports prestataire/Sous traitant ne sont pas transmis à l’utilisateur de service.

Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles

Assurer la confidentialité, la disponibilité et l’intégralité des données personnelles L’utilisateur doit avoir le droit d’accès, de rectifier et d’effacer ses données à tout moment

et dans le respect total des dispositions légales en vigueur


02/05/2023 13

Position de Tunisie Telecom?

Des services cloud offerts depuis le 16 juin 2015 avec, une capacité d’hébergement à travers ses (3) Data Center dont un est certifié ISO/IEC 27001:2013 attestant sa conformité aux normes internationales de sécurité informatique (ce qui prouve le niveau de sécurité atténué)Une situation régularisée à l’égard de la loi régissant la protection des données à caractère personnelUne nouvelle charte adoptée en matière de la politique suivie en matière des données personnellesDes engagements formelles pour protéger la vie privée et les données personnelles.Coté cadre contractuel: des CG d’abonnement au services cloud déterminant les droits et les obligations des parties.

Cela n’empêche qu’un cadre réglementaire cohérent et spécifique au Cloud Computing et un système de veille réglementaire et juridique pourrait favoriser les avantages d’un tel service.


02/05/2023 14

Avant de clôturer:


Merci de votre attention

Cybersécurité & protection des données personnelles

Law

Transcript of Cybersécurité & protection des données personnelles