في ظل ما للمعطيات الشخصية في عصرنا الحاضر من أهمية على المستويين الاقتصادي و الإعلامي و المدى الذي أصبحت تحظى به من اهتمام خصوصا في المجالات الاستثمارية، شهد هذا المجال تطورا قانونيا متسارعا على الصعيد العالمي في كل ما يتعلق بطرق الحماية و إجراءات النفاذ و طرق المعالجة. أما على المستوى الوطني فقد شرع مفهوم المعطيات الشخصية يلتمس مكانه في النصوص القانونية بدءا من التنقيح الدستوري لسنة 2002 الذي أدرج هذا المفهوم لأول مرة في الدستور مرورا بالقانون عدد 63 لسنة 2004 الذي يظل إلى اليوم الإطار التشريعي الحالي المنظم للمسائل المتعلقة بحماية المعطيات الشخصية. ثم تعززت الترسانة القانونية المتعلقة بهذا الموضوع عبر مصادقة مجلس نواب الشعب على المعاهدة 108 للمجلس الأوروبي المتعلقة بحماية الأشخاص تجاه المعالجة الآلية لحماية المعطيات الشخصية و البروتوكول الإضافي رقم 181 الخاص بسلطات المراقبة و انسياب و تدفق المعطيات عبر الحدود و ذلك بمقتضى القانون الأساسي عدد 42 لسنة 2017 المؤرخ في 30 ماي 2017.
ضمن هذا السياق يأتي مشروع القانون بمجموعة من الأطر الإجرائية الجديدة في مجال المعطيات الشخصية تماشيا مع سياق التحولات التشريعية العالمية في هذا المجال حيث يبرز شرح الأسباب المرفق بمشروع القانون بعضا من مظاهر التجديد خصوصا على مستوى المفاهيم حيث ورد تعريف المعطيات الحساسة و المعطيات البيومترية و المعطيات الجينية التي لم يتعرض لها التشريع الحالي إضافة إلى تناول المشروع عديد المسائل المهمة و من ذلك التخلي عن شرط الجنسية التونسية في الذوات الطبيعية أو المعنوية لممارسة نشاط معالجة المعطيات الشخصية إضافة إلى تضمين مفهوم “المعرف الوحيد للمواطن” و هو المشروع الذي تم الشروع في تركيزه منذ سنة 2015 فضلا عن إرساء إطار قانوني ينظم اعتماد منظومتي المراقبة البصرية للطريق العام بالكاميرات المركزة و الكاميرات المحمولة. كما شملت أوجه التجديد كذلك تنظيم هيئة حماية المعطيات الشخصية لتصبح هيئة عمومية مستقلة وفي اتجاه تعزيز صبغتها القضائية باعتبارها قضاء درجة أولى في القضايا المتعلقة بالجوانب الإدارية و المالية إضافة إلى الصلاحيات التقريرية التي تتمثل في إصدار قرارات باعتبارها سلطة تعديلية في مجال حماية المعطيات الشخصية.
بالرغم من هذا التطور المحمود في نص المشروع المقترح إلا أن عديد الآراء الآتية من المجتمع المدني و من هيئة النفاذ إلى المعلومة قد رصدت بعض الثغرات التي ألمت به و من ذلك عدم استشارة هيئة النفاذ إلى المعلومة حوله ضمن حلقات النقاش و ورشات العمل التي نظمتها سلطة الإشراف حول مشروع القانون خصوصا و أن القانون المتعلق بحق النفاذ إلى المعلومة يخول لها مثل هذه الصلاحية. إضافة إلى ذلك فقد أبدت الهيئة و المكونات الجمعياتية اعتراضها على التعريف المخصص للمعطيات الشخصية حيث لم يتضمن التفرقة بين الحياة الخاصة و الحياة العامة في علاقة بحق النفاذ .
لكن في الواقع يبدو التعريف المقترح في مشروع القانون متوائما مع مختلف المفاهيم المتبناة سواء في التجارب التشريعية المقارنة ذات الريادة أو في النصوص الدولية المتعلقة بحماية المعطيات الشخصية إلا أن الوجاهة في التفرقة بين هاتين الفئتين من المعطيات تتجه خاصة في مسألة الإجراءات المنظمة للنفاذ إليها و هو ما يمكن أن يتم اقتراح تعديلات جدية حوله.
إضافة إلى ذلك فهنالك عدد من النقاط الأخرى التي لم يتم التعرض إليها بشكل دقيق من وجهة نظرنا على غرار التعامل مع المعطيات الشخصية الموجودة في قواعد البيانات المفتوحة للسلطات العمومية . حيث طرحت حالات مشابهة في القانون المقارن عديد الاشكاليات القانونية في ما يخص معالجة السلطات العمومية للمعطيات الشخصية و في ما يتعلق بقواعد البيانات المفتوحة او ال open-data.
حيث تتجه ضرورة تمييز الوثائق المنشورة من قبل الادارة بين الوثائق التي تتخذ صبغة الزامية وبين الوثائق ذات الصبغة الاختيارية وهو ما يجعل حماية المعطيات الشخصية في هذا الصنف الأخير تحتاج إلى حماية كاملة. إضافة إلى ذلك فإن إعادة استعمال المعطيات الشخصية الواردة بالوثائق الادارية يجب ألا تتعارض مع غايات المصلحة العامة خصوصا و أن تطبيق الحماية يسري على الوثائق الكاملة أو التامة ولا ينطبق على الوثائق التحضيرية أو الوثائق التي في مرحلة الإنجاز. لذا يجب تفعيل عملية الرقابة على احتواء الوثائق الادارية على معطيات شخصية في مراحل مبكرة من إعداد الوثائق.
كذلك من الضروري وضع عدد من المعايير المهمة في مجال اعادة استعمال المعطيات الشخصية من قبل الهياكل العمومية مثل:
- تقديم إطار قانوني واضح يهيكل عملية حجب المعطيات الشخصية
- تحديد حجم المعطيات او امكانية التقليل منها
- القيام بإجراءات خاصة لحماية المعطيات الشخصية المعتبرة كمعطيات حساسة
- عملية تحليل البيانات يجب أن تخضع لنقاشات تتم بين الشخص المكلف بمراقبة المعطيات والأطراف المطالبين باستعمال المعطيات و كذلك المناولين . وفي صورة عدم التوصل الى اتفاق واضح بهذا الشأن يمكن الاسترشاد الهيئة المكلفة بحماية المعطيات الشخصية لطلب المزيد من التوضيحات.
و يمكن في هذا الاطار اقتراح جملة من التوصيات في مجال معالجة المعطيات الشخصية بالنسبة للسلطات العمومية من بينها
- القيام بشرح أسباب معلل لنشر كل ما يتم تصنيفه كمعطيات شخصية في وثائق للعموم مع القيام بعملية اخفاء الاسماء l’anonymisation كلما تطلب الأمر ذلك.
- طرح اطار قانوني خاص يتلائم مع عملية نشر المعطيات الشخصية ضمن قواعد البيانات المفتوحة open-data للهياكل العمومية .
- القيام بعملية مراقبة مستمرة للمعطيات الشخصية المنشورة في الانترنت او المعاد استعمالها .
- القيام بإقصاء تام للمعطيات الشخصية من قائمة المعطيات التي تخضع لرخصة الاستعمال المفتوح
وفي خصوص ما يسمى بالحق في النسيان تعرض مشروع القانون في فصله 27 إلى عدد من الاستثناءات لهذا الحق لكن يمكن إضافة عدد من الاستثناءات الأخرى اعتمادا على المعايير الأوروبية في هذا المجال على غرار الاستثناءات المتعلقة بالحق في حرية التعبير و الإعلام أو في حالة تنفيذ مهمة متعلقة بالمصلحة العامة.
تبقى نقطة أخيرة في حاجة إلى مزيد من العناية في النقاش داخل لجنة الحقوق و الحريات ألا و هي إعادة النظر في عدد أعضاء مجلس الهيئة على اعتبار أن الصيغة الحالية المطروحة تجعل هذا المجلس مضيقا (رئيس و عضوين) و هو ما من شأنه أن لا يفسح المجال لتشاركية كبيرة في أخذ القرار داخل الهيئة.
تعريف المصطلحات:
المعطيات البيومترية : هي المعطيات الشخصية الناتجة عن معالجة فنية خصوصية و المتعلقة بالخصائص الجسدية أو الفيزيزلوجية لشخص طبيعي و التي تمكن من التعرف على هويته الفريدة أو تأكدها مثل صور الوجه أو معطيات البصمات.
النقل إلى الخارج : تمكين الشخص المعني بالمعالجة في نقل معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر ببلد أجنبي.
المراقبة البصرية : هي المراقبة التي تتم عن طريق وسائل بصرية ثابتة أو محمولة و تخضع للتشريعات الجاري بها العمل
المصادر:
- قانون أساسي عدد 63 بتاريخ 27 جويلية 2004 يتعلق بحماية المعطيات الشخصية
- أمر عدد 3003 لسنة 2007 مؤرخ في 27 نوفمبر 2007 يتعلق بضبط طرق سير الهيئة الوطنية لحماية المعطيات الشخصية
- أمر عدد 3004 لسنة 2007 مؤرخ في 27 نوفمبر 2007 يتعلق بضبط شروط وإجراءات التصريح و الترخيص لمعالجة المعطيات الشخصية.
- موقع الهيئة الوطنية لحماية المعطيات الشخصية
- Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel Strasbourg, 28.1.1981
- La protection des données personnelles dans l’Open Data : une exigence et une opportunité ,mission d’information de la commission des lois du sénat.
- Convention de l’union africaine sur la cyber sécurité et la protection des données à caractère personnel
- Handbook on European data protection law
