Menu

هيئة حماية المعطيات الشخصية تكشف عن تجاوزات في التعامل مع المعطيات تعتدي على السيادة الوطنية


سكوب أنفو-تونس

أكدّت الهيئة الوطنيّة لحماية المعطيات الشخصيّة، عديد الإشعارات حول عدم احترام مقتضيات الإطار القانوني الوطني الحامي للمعطيات الشخصيّة من قبل الهياكل العموميّة والخاصّة.

وكشفت الهيئة، اليوم السبت، عن توّصل بعض هياكل التعليم الخاصّ بقائمات الناجحين في البكالوريا ومناظرة القبول في المعاهد النموذجيّة وأرقام هواتفهم الجوّالة، ما سمح لها بتوجيه إرساليّات قصيرة إشهاريّة إلى الأشخاص المعنيّين.

وفي هذا السياق أصدرت الهيئة الوطنية لحماية المعطيات الشخصية توصيات حول الإشكاليّات المطروحة في مجال حماية المعطيات الشخصية.

تلقت الهيئة الوطنيّة لحماية المعطيات الشخصيّة في هذه الظروف الخاصّة عديد الإشعارات حول عدم احترام مقتضيات الإطار القانوني الوطني الحامي للمعطيات الشخصيّة من قبل الهياكل العموميّة والخاصّة والتي تفيد بما يلي:

1. توصّلت بعض هياكل التعليم الخاصّ بقائمات الناجحين في الباكلوريا ومناظرة القبول في المعاهد النموذجيّة وأرقام هواتفهم الجوّالة. وهو ما سمح لها بتوجيه إرساليّات قصيرة إشهاريّة إلى الأشخاص المعنيّين.

ويتّضح من التحقيق في هذه الحادثة أنّ الهيكل المعالج لهذه المعطيات هو المركز الوطني للتكنولوجيات في التربية الذي يقوم بإرسال النتائج عبر إرساليّات قصيرة على المعنيّين بالأمر. ويكون من المستوجب أن يقوم المركز طبقا للفصل 18من القانون المتعلّق بحماية المعطيات الشخصيّة بتأمين هذه المعطيات إذ ينصّ الفصل المذكور صراحة على أنّ "كلّ شخص يقوم بنفسه أو بواسطة الغير بمعالجة المعطيات الشخصيّة ملزم إزاء الأطراف المعنيّة بأن يتّخذ جميع الاحتياطات اللّازمة للمحافظة على أمان المعطيات ومنع الغير من تعديلها أو الإضرار بها أو الاطلاع عليها دون إذن صاحبها". وهكذا يكون المركز مسؤولا مدنيّا وجزائيّا عن تسريب هذه المعطيات التي يقوم بمعالجتها.

وننوّه إلى أنّ المركز الوطني للتكنولوجيّات في التربية قد تحصّل على رخصة من الهيئة لتركيز واستعمال هذه المنظومة التي تبرهن اليوم على عدم تأمينها للمعطيات الشخصيّة المعالجة ممّا يقتضي إعادة النظر في الترخيص ودراسة إمكانيّة سحبه بعد سماع المركز كما يخوّل ذلك القانون الأساسي عدد 63 لسنة 2004.

2. تستسهل الهياكل العموميّة والخاصّة اللّجوء إلى المنظومات المجانيّة المتاحة على الخط والتي تسمح عبر استمارات بتجميع معطيات شخصيّة. ولقد قامت بذلك وزارة التعليم العالي والبحث العلمي لتسجيل الأشخاص الذين يرغبون في التلقيح والمنتمين لسلك التدريس باللّجوء إلى استمارة على الخط متاحة من قبل شركة مايكروسفت. وتكرّر ذلك مؤخرا من قبل عمادة الأطبّاء لتسجيل العيادات الخاصّة التي ترغب في حملة التلقيح.

وبذلك تكون المعطيات المجمّعة مخزّنة عند شركة أجنبيّة يقع مقرّها خارج التراب التونسي. وهو ما يعتبر إحالة لمعطيات شخصيّة إلى الخارج ويستوجب ترخيصا من قبل الهيئة. وتحتوي هذه الاستمارات عادة على معطيات حسّاسة تتعلّق برقم الهاتف وبطاقة التعريف وتاريخ الولادة والأمراض التي يعاني منها الشخص وخاصّة تلك التي تتعلّق بإصابته بالكوفيد 19. وتشكّل هذه المعطيات خطرا على الحياة الخاصّة للأشخاص المعنيّين. بالإضافة إلى ذلكن ونظرا لطابعها الاستراتيجي، تمثّل معالجة تلك المعطيات من قبل مؤسّسات أجنبيّة حكوميّة أو تجاريّة اعتداء على السّيادة الوطنيّة للدّولة التونسيّة.

كما أنّ هذا التعامل يمثّل خرقا للمنشور عدد 24 المؤرّخ في 5 نوفمبر 2020 الذي ينصّ صراحة على أنّ الهياكل العموميّة مطالبة بـــــ"إيواء مواقع الواب ومواقع الخدمات الإلكترونيّة في مراكز الإيواء بالبلاد التونسيّة...". وتقوم اليوم عديد الهياكل العموميّة والخاصّة والجمعيّات والمنظمات، خاصّة في إطار مدّ يد المساعدة لهياكل الدّولة في الحرب على جائحة كورونا، باللّجوء إلى هذه الاستمارات المجانيّة المشبوهة والتي تمسّ من حماية المعطيات الشخصيّة للأشخاص ومن سيادة الدّولة التونسيّة.

لذلك، تطلب الهيئة الوطنيّة لحماية المعطيات الشخصيّة الحرص على إيواء هذه الاستمارات على الموقع المؤسّساتي الرّسمي للهياكل المعنيّة عبر تطوير الخدمة داخليّا كما قامت بذلك وزارة التعليم العالي والبحث العلمي أو استعمال البرمجيّات المتاحة التي تسمح بذلك. وفي كلّ الأحوال، يجب إدماج الرّابط والتطبيقة وتخزين المعطيات المجمّعة على موقع الواب للهيكل تحت رقابة المسؤول عن المعالجة.

3. تتمادي الهياكل العموميّة في عدم تطبيق منشور السيّد رئيس الحكومة عدد 8 المؤرّخ في 25 فيفري 2019 والمتعلّق باستعمال معطيات بطاقة التعريف الوطنيّة وخاصّة المقتضيات المتعلّقة باستلام الشيكات إذ نصّ على أنّه "على الهياكل العموميّة عند تلقي شيكات الاقتصار بالتنصيص بظهرها على الأرقام الثلاثة الأخيرة من عدد بطاقة التعريف الوطنيّة ...".

وتتلقى الهيئة يوميّا شكايات من قبل المواطنين ضدّ هياكل عموميّة يرفض فيها القابض، خاصّة، تطبيق هذا الإجراء. لذلك، تؤكّد الهيئة على أنّ الاكتفاء بالأرقام الثلاثة الأخيرة من عدد البطاقة يثبت أنّ القابض قد تحقّق من هويّة الشخص المعني دون إفشاء المعطى الشخصي الحسّاس لدى كلّ الأشخاص الذين سيتداولون الشيك.

وتؤكّد الهيئة أنّ دولة القانون تفرض على الهياكل العموميّة احترام القواعد الصّادرة عن الدّولة وتطلب بكلّ إلحاح من كلّ المسؤولين على الهياكل العموميّة تطبيق ما انتهى إليه المنشور المذكور عندما نصّ على ما يلي: "المرجو منكم تعميم هذا المنشور على الهياكل العموميّة الرّاجعة إليكم بالنظر وإسداء التعليمات اللّازمة إلى منظوريكم ودعوتهم إلى الالتزام بالإجراءات الواردة به بكلّ دقة".

كما تطلب الهيئة الوطنيّة لحماية المعطيات الشخصيّة من الأشخاص الذين يتعرّضون لعدم تفهّم الهياكل العموميّة إبلاغها بذلك عبر الهاتف (71799853 – 71 799 711) أو عبر بريدها الإلكتروني [email protected]

4. تواصل الهياكل العموميّة الاعتماد على صفحات التواصل الاجتماعي وخاصّة منها "فايسبوك" في غياب تامّ للمسؤوليّة وفي خرق واضح لقواعد حماية المعطيات الشخصيّة الوطنيّة. ولن تطلب الهيئة، كما فعلت الهيئة الألمانيّة في جولية 2021، من الهياكل العموميّة عدم استعمال هذه الصّفحات. لكنّها تضع قواعد الحذر التي يجب احترامها لحماية معطيات الزائرين وصيانة السّيادة الوطنيّة.

وتتفهّم الهيئة السّهولة التي تجدها الهياكل العموميّة في اعتماد هذه الخدمة المجانيّة التي أصبحت وسيلة أساسيّة للتواصل في تونس. كما أنّ الهيئة لا تطالب بالكف على اللّجوء إلى هذه الصفحات، لكنّها تدعو إلى استعمال هذه الخدمة بكلّ الحذر المستوجب خاصّة أنّ هذه الصّفحات هي على ملك شركات عملاقة أمريكيّة أو صينيّة تجمع المعطيات وتسمح بمعالجتها في خرق واضح لقواعد الحماية، بل تسمح فوق ذلك بإحالتها إلى الهياكل الحكوميّة لتحليل واقع بلادنا وشعبنا ووضعيّتنا السّياسيّة والاقتصاديّة والاجتماعيّة.

ولقد وقفت الهيئة مؤخّرا على تجاوزات خطيرة ترجع إلى سهولة استعمال تلك الصّفحات بطريقة مجانيّة من قبل أشخاص غير مختصّين في التواصل الحديث ووسائله. ومن بين هذه التجاوزات الحادثة التي تسبّبت فيها وزارة الصحّة يوم 3 أوت 2021 عندما تمّ نشر - على وجه الخطإ - قائمة المراكز المبرمجة للتلقيح في إطار حملة يوم 8 أوت 2021 مع أسماء المسؤولين وأرقام هواتفهم الجوّالة وعناوين IP للوحاتهم. وقد تسبّب هذا الخطأ في إتاحة معطيات شخصيّة منها ما يسمح بالتعرّف على الأجهزة الطرفيّة ويتيح إمكانيّة الهجوم على برمجيّاتها وتعطيل عملها.

لكلّ هذه الأسباب، قامت الهيئة الوطنيّة لحماية المعطيات الشخصيّة في بيانها الصّادر بتاريخ 3 جويلية 2021 بالتأكيد على كيفيّة استعمال صفحات التواصل الاجتماعي وخاصة منها "الفايسبوك" بجعلها بمثابة واجهة تتاح عبرها للزائرين روابط نحو الموقع المؤسّساتي للهيكل الذي يختصّ بنشر المعطيات من قبل فريق مهنيّ مختص.

وطبقا للمنشور عدد 24 المؤرّخ في 5 نوفمبر 2020 المذكور أعلاه فإنّه يتوجّب على الهياكل العموميّة "تعيين مسؤول مختصّ لإدارة مواقع الواب العموميّة توكل إليه مهامّ إدارة الموقع والتصرّف في السّلامة والمعالجة الفوريّة للثغرات الأمنيّة..." وهو ما من شأنه تأمين المعطيات المنشورة وخاصّة عدم السّماح بالانتشار السّريع ودون إمكانيّة التحكم فيه لأخطاء في نشر معطيات من قبل شخص غير متخصّص يكلّف عادة بالتصرّف في الصّفحة الرّسمية للمؤسّسة على "الفايسبوك" كما تعوّد القيام به على صفحته الشخصيّة.

كما تطالب الهيئة الهياكل العموميّة بعدم السّماح للزائرين على صفحتها للتواصل الاجتماعي بالتعليق على ما تقوم بنشره. وهو ما يمنع التجاوزات ويحجب على الشركة المانحة للمنصّة آراء الزائرين ويساعد بذلك على حماية سيادة الدّولة التونسيّة.

5. عاينت الهيئة عددا من التطبيقات الوطنيّة الهامّة التي تحتوي على قواعد بيانات ضخمة لا تقبل الهياكل المتصرّفة فيها ببسطها على الهيئة للتثبّت من مدى حماية المعطيات الشخصيّة التي تقوم بمعالجتها. ونذكر مثلا السّجل الانتخابي الوطني الذي رفضت الهيئة العليا المستقلة للانتخابات صراحة القيام بالإجراءات القانونيّة لدى الهيئة الوطنية لحماية المعطيات الشخصيّة لحمايته متعلّلة باستقلاليّتها. وهي وضعيّة مماثلة لخدمات عموميّة متعدّدة على غرار خدمة D17 المطروحة من قبل البريد التونسي الذي يعالج معطيات حسّاسة دون مصادقة الهيئة، أو منظومة Sajalni التي لم تصادق الهيئة عليها إلّا في جزئها المتعلّق بمعالجة معطيات جوزات السّفر للوافدين على التراب التونسي الذين يقومون بتسجيل هواتفهم الجوّالة. وهي نفس وضعية المنظومة الوطنيّة للإمضاء الإلكتروني الذي تقوم الوكالة الوطنيّة للمصادقة الإلكترونيّة بمعالجة بياناته دون التشاور مع الهيئة الوطنيّة لحماية المعطيات الشخصيّة بخصوص معالجة المعطيات المجمّعة والنظر في مشروعيّة الإجراءات المعتمدة في تجميع هذه المعطيات.

وفي هذا السّياق، تؤكّد الهيئة أنّ الهياكل العموميّة ملزمة، على غرار الهياكل الخاصّة، بتطبيق قوانين الدّولة التونسيّة واحترامها. ولقد نصّ الفصل 7 من القانون الأساسي عدد 63 لسنة 2004 على أنه "تخضع كلّ عمليّة معالجة معطيات شخصيّة لتصريح مسبق يودع بمقرّ الهيئة الوطنيّة لحماية المعطيات الشخصيّة...". وهذه هي الطريقة الوحيدة لاحترام مبدإ الشفافيّة المبيّن بالفصل الأوّل من نفس القانون والذي يسمح للهيئة بالوقوف على المعطيات المعالجة والغاية من تلك المعالجة وكيفيّة حماية تلك المعطيات من قبل المسؤول عن المعالجة.

6. تستغرب الهيئة تواصل استعمال الهياكل العموميّة وموظفيها عناوين إلكترونيّة غير رسميّة، في خرق واضح لمقتضيات منشور السيّد رئيس الحكومة عدد 24 المؤرّخ في 5 نوفمبر 2020 الذي ينصّ صراحة على أنّ الهياكل العموميّة مطالبة بوجوب "اعتماد البريد الإلكتروني الوطني ".tn"   في المعاملات الرّسمية مع تحجير استعمال حسابات إلكترونيّة غير رسميّة في كافة المعاملات الإداريّة".

وتؤكد الهيئة أنّ اللّجوء إلى هذه الحسابات هو خرق صريح لمقتضيات القانون المتعلّق بحماية المعطيات الشخصيّة فضلا عن أنّه يسبّب مسّا خطيرا بالسّيادة الوطنيّة للدّولة التونسيّة ويمكن اعتباره إحالة معطيات شخصيّة إلى الخارج دون ترخيص مسبق من قبل الهيئة.

7. تواترت عبر نفس صفحات التواصل الاجتماعي الأخبار الزّائفة التي يتمّ نشرها من قبل هياكل أو أشخاص يخفون هويّتهم الحقيقيّة. ويقوم مستعملو هذه الصفحات بالترفيع في نسق انتشارها منشئين بذلك حقيقة مزيّفة يصعب دحضها.

وتؤكّد الهيئة أنّ الأخبار الزّائفة تعطل النشاط الاقتصاديّ وتعكّر المناخ السّياسي والاجتماعي. وهي جائحة عالميّة تحاول الهياكل المختصّة وعلى رأسها الأمم المتّحدة الحدّ من تأثيراتها السّلبية والخطيرة على البشريّة جمعاء. وقد تطوّرت حدّة هذه الجائحة بفعل دمقرطة وسائل التواصل الاجتماعي التي أصبحت تسمح للأشخاص والمنظمات بالتخفّي وراء صفحات مأجورة لنشر الأخبار الزّائفة وإكسائها المصداقيّة التي تفتقر لها.

وإذ تعمل الهيئة على رصد هذه الظاهرة والوقوف على خطورتها، فإنّها تستغرب أن يقوم صحفيّون أو ناشطون مدنيّون أو سياسيّون بنشر الأخبار الزّائفة التي تحتوي على معطيات شخصيّة على صفحاتهم دون التثبّت من مصداقيّة المصدر ودون تمحيص تلك الأخبار اعتمادا على ما تنشره المصادر المعروفة والمؤسّساتيّة.

وتدعو الهيئة الوطنيّة لحماية المعطيات الشخصيّة كلّ الناشطين على وسائل التواصل الاجتماعي إلى تجنّب نشر معطيات شخصيّة تهمّ أشخاصا وإلى التحقّق من مصداقيّة تلك المعطيات قبل نشرها. كما تعتبر الهيئة أنّ نشر الأخبار الزّائفة من قبل الصحفيّين أو السّياسيّين أو الناشطين في المجتمع المدني دون التثبّت من مصداقيّتها عمل غير مسؤول من شأنه إلحاق الأذى بالغير.

8. عاينت الهيئة في الآونة الأخيرة قيام بعض الهياكل القضائيّة أو المتحدّثين باسمها وكذلك بعض وسائل الإعلام بإتاحة معطيات شخصيّة تتعلّق بشخصيّات عامّة للعموم. وتذكّر الهيئة بهذه المناسبة أنّ كلّا من القضاء والإعلام حرّ ولا سلطان عليه إلّا للقانون وأنّ المهمّة النبيلة التي يقوم بها كلّ منهما هي من أعمدة الدّيمقراطية الناشئة ببلادنا. ولئن كرّس القانون حق الإعلامي في عدم البوح بمصادره، إلّا أنّ أخلاق المهنة توجب عليه عدم الإفصاح عن أسماء الأشخاص ولو كانوا شخصيّات عامّة تحوم حولها شبهات لكنّ القضاء لم يدنهم.

كما تذكّر الهيئة بتعريف المعطيات الشخصيّة على معنى القانون الأساسي عدد 63 لسنة 2004 الذي نصّ على أنّها "...كلّ البيانات مهما كان مصدرها أو شكلها والتي تجعل شخصا طبيعيّا معرّفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة باستثناء المعلومات المتّصلة بالحياة العامّة أو المعتبرة كذلك قانونا". وإن اعتبر الاستثناء تبريرا لنشر المعطيات الشخصيّة للشخصيّات العامّة، إلّا أنّ القانون التونسي لم يعرّف المعلومات المتصلة بالحياة العامّة. وحيث أنّ الجمهوريّة التونسيّة قد انضمّت إلى المعاهدة 108 لمجلس أوروبّا في 2017، فقد أصبحت تلك المعاهدة تبعا لذلك أعلى من القانون الأساسي هرميّا ويمكنها بالتالي إلغاء البنود المخالفة لها. وقد أكّد التقرير الفنّي لمجلس أوروبّا في تقييمه للفصل المذكور على عدم تطابق هذا الاستثناء مع فلسفة الاتفاقيّة عدد 108 وبنودها. كما برّر التقرير ذلك بأنّ الاستثناء واسع المجال بحيث يسمح بإدراج كمّ هائل من المعطيات التي لا يمكن حمايتها أو تأطير نشرها بنزعه صفة المعطيات الشخصيّة عنها.

وتؤكد الهيئة أنّ المعطيات الشخصيّة لا يمكن نشرها للعموم من أيّ طرف وذلك طبق مقتضيات الفصل 47 من القانون الأساسي عدد 63 لسنة 2004 الذي ينصّ على أنّه "تحجّر إحالة المعطيات الشخصيّة إلى الغير دون الموافقة الصّريحة للمعني بالأمر أو ورثته أو وليّه بأيّ وسيلة تترك أثرا كتابيّا...". ويكون التحجير مبدئيّا بحيث يشترط تجاوزه الحصول على الموافقة المسبقة للمعني بالأمر. أمّا بقيّة الفصل فهي تؤطر إحالة المعطيات بين الهياكل والأشخاص التي نص عليها الاستثناء كما يلي: "...إلّا إذا كانت هذه المعطيات ضروريّة لتنفيذ المهام التي تقوم بها السّلطة العموميّة في إطار الأمن العام أو الدّفاع الوطني أو للقيام بالتتبّعات الجزائيّة أو إذا كانت ضروريّة لتنفيذ المهامّ التي تقوم بها طبقا للقوانين والتراتيب الجاري بها العمل". ولا يدخل النشر للعموم في مجال هذه المهامّ ممّا ينزع للقضاة الحق في نشر المعطيات الشخصيّة المتعلّقة بالملفّات التي يقومون بالنظر فيها للعموم. وهو ما يؤكّد أنّ القرارات القضائيّة لا يمكن نشرها إلّا بعد حجب أسماء الأطراف والأشخاص المذكورين في نصّها.

وتدعو الهيئة الوطنيّة لحماية المعطيات الشخصيّة إلى عدم نشر المعطيات الشخصيّة وإلى الحرص، عند سرد الوقائع أو الإعلام بالإجراءات، على حجب أسماء الأشخاص المعنيّين وخاصّة إذا كانوا أطفالا أو مصابين بمرض.

9. ينصّ الفصل الأوّل من قــــرار الهيئة الوطنيّة لحماية المعطيات الشخصيّة عـــدد 6 المؤرّخ في 2 جويلية 2019 والمتعلّق بأعمال الرّقابة على أنّه "يهدف (...) إلى تنظيم أعمال الرّقابة التي تقوم بها الهيئة الوطنيّة لحماية المعطيات الشخصيّة للتّثبّت من مدى مطابقة عمليّات معالجة المعطيات الشخصيّة للأحكام القانونيّة الجاري بها العمل". كما ينصّ الفصل السّابع من نفس القرار على أنّ عمليّات الرّقابة يمكن أن تجرى "... بمقرّ الهيئة على ضوء الوثائق المدلى بها من قبل المسؤول عن المعالجة أو المناول بطلب من الهيئة ...". وفي هذا الإطار، تعتزم الهيئة القيام بمهامّ رقابة لهياكل عمومية وخاصّة وتقوم حاليّا بتوزيع أو إرسال رسائل الإعلام بالمهمّة الرّقابيّة.

وتعمل الهيئة على نشر على موقعها السجل المتعلّق بالعمليّات الرّقابيّة مسندة لكلّ هيكل قرصا يحمل أحد الألوان التالية اعتمادا على 17معيارا :

اللّون الأحمر: غير مطابق، أو لا ينوي الهيكل المعني العمل على المطابقة.

اللّون البرتقالي: الهيكل يعمل على احترام الالتزام القانوني.

اللّون الأخضر: الهيكل في مطابقة للالتزامات الحامية للمعطيات الشخصيّة.

تقوم الهيئة بإتاحة للعموم السجل المحين يوميا على موقعها المؤسساتي عبر الرابط www.inpdp.nat.tn/Etat_controle.pdf والذي سيسمح للمواطنين من الوقوف على المؤسسات العمومية والخاصة الحامية للمعطيات الشخصية.

10. تعتبر الهيئة أنه لا يمكن الترفيع من مستوى حماية المعطيات الشخصية الا بتركيز ثقافتها في المجتمع وهو ما يتطلب إمكانيات بشرية ومادية لا تتمتع بها الهيئة الوطنية. كما أن الإطار القانوني للحماية يلعب دورا هام في هذا الإطار غير أن القانون الأساسي عدد 63-2004 لم يعدل ولو مرّة واحدة منذ إصداره مما يفرض تعويضه لتطوير الحماية في تونس.

تذكر الهيئة أن الحكومة قامت في مارس 2018 ببسط على أنظار مجلس نواب الشعب مشروع جديد لقانون أساسي متعلق بحماية المعطيات الشخصية الذي أدرج أحدث القواعد في هذا المجال. ول

{if $pageType eq 1}{literal}