Projet de loi organique n° 25/2018 relatif à la protection des données à caractère personnel - Tunisie

Latest laws

>

c. Protection des données à caractère personnel

Projet de loi organique n° 25/2018 relatif à la protection des données à caractère personnel

Traduction préliminaire non officielle faite par le Bureau de Tunis du Centre pour le contrôle démocratique des forces armées – Genève (DCAF).

CHAPITRE I – DISPOSITIONS GENERALES

Article premier – La présente loi vise à garantir le droit de toute personne à la protection de ces données à caractère personnel et fixe les conditions et les procédures à respecter dans le cadre du traitement de ces données.

Art. 2 – Les dispositions de la présente loi s’appliquent au traitement automatisé et au traitement non automatisé des données à caractère personnel mis en œuvre sur le territoire national à moins qu’il ne soit contraire aux exigences de la sûreté publique et la défense nationale conformément à la législation en vigueur.

Elles ne s’appliquent pas toutefois au traitement des données à caractère personnel ayant pour finalité un usage personnel ou familial.

Art. 3 – Le traitement des données à caractère personnel doit être fait conformément aux règles de la transparence, de sécurité, du respect de la dignité humaine ainsi qu’aux dispositions de la présente loi sous le contrôle de l’instance de protection des données personnelles.

Il est, dans tous les cas, interdit d’utiliser ces données pour porter atteinte aux personnes ou à leur réputation, ou pour tout but criminel.

Art. 4 – Au sens de la présente loi, on entend par :

Données à caractère personnel : Toutes les données quelle que soit leur origine ou leur forme se rapportant à une personne physique identifiée ou identifiables, directement ou indirectement, à travers plusieurs informations ou symboles notamment par référence à un identifiant tel que le nom, le numéro d’identification, la situation familiale ou des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à la personne en relation avec son identité physique, génétique, psychique ou à ses comportements économiques, culturels ou sociaux.
Traitement des données à caractère personnel : Les opérations réalisées d’une façon automatisée ou non automatisée et qui ont pour but notamment la collecte, la consultation, l’enregistrement, la reproduction, la conservation, le stockage, l’organisation, la modification, l’exploitation, l’utilisation, l’expédition, la distribution, la diffusion, l’interconnexion, la communication, la conversion, le transfert ou toute autre forme de mise à disposition, l’anonymisation, le codage, la suppression (l’effacement) ou la destruction des données à caractère personnel.
Instance : Instance de protection des données à caractère personnel
Données sensibles : Les données à caractère personnel dont le traitement constitue un risque ou une discrimination pour la protection de la vie privée de la personne concernée par le traitement, telle que celle qui pourraient indiquer l’origine autochtone ou génétique, les opinions, les affiliations, les croyances religieuses, idéologiques ou philosophiques de cette personne, ou celles se rapportant à sa santé, sa vie sexuelle, ou toute poursuite pénale à son encontre ou jugement pénal contre lui.
Données génétiques : Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations distinctives sur lui ou sur son état de santé et qui résultent, notamment, d’une analyse d’un échantillon biologique de cette personne.
Données biométriques : Les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
Données de santé : Les données à caractère personnel relatives à la santé physique ou psychique de la personne concernée par le traitement.
Personne concernée par le traitement : Toute personne physique dont les données à caractère personnel font l’objet d’un traitement ainsi que son tuteur ou ses héritiers sauf si la personne a manifesté son opposition de manière expresse avant son décès.
Responsable du traitement : Toute personne physique ou morale, tunisienne ou étrangère, privée ou publique, et toute autorité publique chargées de déterminer la nature des données à caractère personnel, l’objectif du traitement et ses modalités.
Tiers : Une personne physique ou morale, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes placées sous leur autorité et qui sont autorisées par la loi à traiter les données à caractère personnel.
Sous-traitant : Toute personne physique ou morale publique ou privée qui traite des données à caractère personnel pour le compte et sous le contrôle du responsable du traitement.
Hébergeur des données : Tout fournisseur d’un service externe, quel que soit les moyens utilisés, héberge et sécurise les données personnelles pour le compte du responsable du traitement.
Structure publique : Toute autorité ou personne publique.
Chargé de protection des données à caractère personnel : La personne désignée par le responsable du traitement chargée de veiller au respect des règles de protection des données à caractère personnel et de répondre aux demandes d’accès aux données à caractère personnel.
Fichier : Tout ensemble structuré de données accessible selon des critères spécifiques qu’elles soient groupées ou réparties de manière fonctionnelle ou géographique.
Consentement de la personne concernée par le traitement : Tout acte laissant une trace écrite ou électronique émanant d’une la volonté, libre, expresse et éclairée, par lequel la personne concernée par le traitement accepte que ses données à caractère personnel soient traitées.
Accès direct : Accès de toute personne concernée par le traitement à ses données à caractère personnel faisant l’objet d’un traitement et son droit à obtenir une copie de ces dernières s’il en demande.
Accès indirect : Accès de la personne concernée par le traitement à ses données à caractère personnel par des autorités habilitées par la loi à cet effet.
Portabilité des données à caractère personnel : Permettre à la personne concernée par le traitement de transférer ses données à caractère personnel d’un responsable de traitement à un autre.
L’oubli : Permettre à la personne concernée par le traitement de supprimer ses données à caractère personnel ou de cacher son identité (anonymisation) dans les cas fixés par la loi.
Communication : Mettre des données à caractère personnel à la disposition des tiers ou leur permettre de les consulter ou les stocker.
Transfert : transférer des données à caractère personnel en dehors du territoire tunisien.
Profilage : Toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels d’une personne physique et ayant pour finalité la connaissance des ses spécificités, ses préférences, ses choix, ses comportements d’une manière affectant son statut juridique.
Anonymisation : Traitement de données à caractère personnel d’une manière qui ne permet nullement d’identifier la personne concernée par le traitement.
Pseudonymisation : Traitement des données à caractère personnel d’une manière ne permettant plus d’identifier directement la personne concernée par le traitement et ce à travers le recours à un code conservé séparément et soumis à des mesures techniques et organisationnelles afin de garantir la non-identification de la personne concernée par le traitement à travers ses données à caractère personnel.
Marketing et publicité : L’ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d’offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population par le moyen du courrier, du téléphone portable ou d’autres moyens directs dans le but d’information ou afin de solliciter une réaction de la part de la personne concernée par le traitement.
Localisation : L’utilisation d’une technique permettant de déterminer le lieu où se trouve la personne concernée par le traitement.
Dispositifs électroniques liés : Des appareils électroniques généralement connectés à des réseaux de communication qui permettent la collecte, le stockage, le traitement et la transmission de données à caractère personnel.

CHAPITRE II – DES DROITS DE LA PERSONNE CONCERNEE PAR LE TRAITEMENT

Section première – Du droit à l’information

Art. 5 – Le responsable du traitement est tenu d’informer, au préalable et par n’importe quel moyen laissant une trace écrite ou électronique, la personne concernée par le traitement, de la nature de ses données à caractère personnel objet du traitement, l’objectif du traitement et ses modalités ainsi que les droits qui lui sont garantis par la loi dans ce cadre. Les conditions et les procédures de cette notification sont fixées par une décision de l’Instance.

Le responsable du traitement est également tenu d’informer la personne concernée de l’existence d’une prise de décision automatisée, y compris le profilage et la détermination des informations utiles pour le traitement ainsi que les conséquences qui en découlent.

Section 2 – Du droit au consentement

Art. 6 – Est interdit, tout traitement de données à caractère personnel sans consentement préalable de la personne concernée.

Art. 7 – Le traitement des données à caractère personnel d’un mineur ou d’une personne incapable ne peut être effectué qu’après l’obtention du consentement de son tuteur ou d’une autorisation judiciaire.

Le juge peut ordonner le traitement même sans le consentement du tuteur lorsque l’intérêt supérieur de l’enfant l’exige, ou pour réaliser un profit pour la personne incapable. Le juge peut, à tout moment, revenir sur son autorisation.

Art. 8 – Le traitement des données à caractère personnel n’est pas conditionné par le consentement de la personne concernée par le traitement, lorsqu’il s’avère que la collecte de ces données est nécessaire pour l’exercice de la liberté de presse, ou le respect d’une obligation juridique ou contractuelle, ou dans le cadre de l’intérêt général dans les domaines de la sureté publique ou la défense nationale ou la santé publique ou pour des fins de documentation ou statistiques, ou de recherche scientifique ou historique.

Art. 9 – À l’exception des données à caractère personnel dont le traitement se fait obligatoirement en vertu des lois spécifiques, la personne concernée a le droit de revenir sur le consentement qu’elle a donné à n’importe quel moment, y compris le traitement des données de localisation utilisées pour le marketing, sans que cette décision ait un effet rétroactif.

Art. 10 – Le traitement des données à caractère personnel sous des formes ou pour des finalités autres que celles qui ont fait l’objet du consentement de la personne concernée, ne peut être effectué qu’avec un nouveau consentement de la personne concernée ou après autorisation de l’Instance.

Art. 11 – Si le traitement des mêmes données à caractère personnel vise d’autres finalités que celles consenties, le consentement de la personne concernée doit être fait sous une forme et d’une manière qui le distingue clairement par rapport à chaque finalité du traitement.

Art. 12 – Il est interdit d’utiliser le traitement des données à caractère personnel à des fins publicitaires ou de marketing sauf avec le consentement de la personne concernée.

Section 3 – Du droit d’accès

Art. 13 – Le droit d’accès direct ou indirect est exercé compte tenu de la nature des données à caractère personnel traitées. Il n’est pas possible de renoncer préalablement au droit d’accès.

L’instance fixe par une décision les types des données à caractère personnel dont l’accès est permis conformément à la législation en vigueur.

Le responsable du traitement ne peut limiter le droit d’accès que si le but recherché est la protection de la personne concernée par le traitement, ou les droits d’autrui, ou en cas d’abus dans l’exercice du dit droit.

Art. 14 – La demande d’accès direct est présentée par la personne concernée au responsable du traitement, par tout moyen laissant une trace écrite ou électronique, et doit être jointe de ce qui prouve son identité.

La personne concernée par le traitement peut aussi demander de la même manière l’obtention d’une copie de ses données qui lui sera fournie dans un délai ne dépassant pas 15 jours à compter de la date de présentation de la demande.

Art. 15 – Lorsqu’il y a plusieurs responsables du traitement des données à caractère personnel, ou lorsque le traitement est effectué par un sous-traitant, le droit d’accès est exercé auprès de chacun d’eux.

Art. 16 – La personne concernée par le traitement peut, dans le cadre de l’exercice de son doit d’accès direct, demander la mise à jour ou la suppression de ses données à caractère personnel.

Si le traitement est automatisé, le responsable du traitement ou le sous-traitant doivent fournir tous les moyens techniques nécessaires pour permettre à la personne concernée d’envoyer sa demande d’accès par voie électronique et lui permettre également de demander la rectification, la modification, la correction la suppression de ses données ainsi que l’envoie par le même procédé d’un accusé de réception.

Art. 17 – Une redevance peut être instituée pour toute opération d’accès aux données à caractère personnel et qui sera perçue par le responsable du traitement. Le montant de cette redevance est fixé par une décision de l’Instance.

Le responsable du traitement doit rembourser le montant de la redevance à la personne concernée, si les données à caractère personnel s’avèrent inexactes ou ne devant pas être traitées par ce responsable.

Art. 18 – L’Instance est compétente pour statuer sur tout litige relatif à l’exercice du droit d’accès direct et rend sa décision dans un délai de 60 jours à compter de la date l’introduction de la requête.

Art. 19 – La demande d’accès indirect est adressée à l’Instance lorsqu’elle concerne le traitement des données à caractère personnel relatives à la santé. Le droit d’accès s’exerce par l’intermédiaire d’un médecin que la personne concernée désigne à cet effet dans la demande.

Le médecin consulte les données à caractère personnel objet de la demande, rédige un rapport à cet effet et le soumet à l’Instance, qui peut ordonner au responsable du traitement de rectifier ces données ou les supprimer si la personne concernée le demande. Un procès-verbal est rédigé à cet effet et notifié à la personne concernée.

Section 4 – Du droit d’opposition

Art. 20 – Sauf les cas du traitement nécessaires à l’exécution d’une obligation juridique ou contractuelle, la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel par une demande adressée au responsable du traitement par tout moyen laissant une trace écrite ou électronique. L’opposition doit être fondée sur des motifs pertinents et légitimes.

L’opposition suspend immédiatement le traitement, à moins que le responsable du traitement présente des motifs légitimes et sérieux justifiant la continuité du traitement et qui prévalent sur les motifs présentés par la personne concernée.

Art. 21 – L’instance est compétente pour statuer sur tout litige relatif à l’exercice du droit d’opposition, elle rend ses décisions dans un délai de 60 jours à compter de la date de l’introduction de la demande d’opposition.

Si la personne concernée est un mineur ou incapable, l’Instance transfère le dossier, joint de son avis, au juge compétent qui sera saisi du litige.

Section 5 – Du droit à la portabilité

Art. 22 – La personne concernée par le traitement a le droit de transférer une copie de ses données à caractère personnel d’un responsable du traitement à un autre. Aucun des deux responsables du traitement ne peut s’opposer à ce transfert.

Art. 23 – Si le responsable du traitement dispose des moyens techniques nécessaires, la personne concernée par le traitement a le droit de lui demander de transférer directement ses données à caractère personnel.

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.

Section 6 – Du droit à l’oubli et au déréférencement

Art. 24 – La personne concernée a le droit de demander la suppression de ses données à caractère personnel ou son anonymisation et le responsable du traitement est tenu d’y procéder immédiatement pour l’un des motifs suivants :

Si le traitement des données à caractère personnel a été fait sous une forme ou pour une finalité autres que celles pour lesquelles elles ont été collectées ;
Si la personne concernée par le traitement a retiré le consentement sur lequel est fondé le traitement ;
Si les données à caractère personnel ont fait l’objet d’un traitement illicite ;
Si les données à caractère personnel devaient être supprimées suite à l’exécution ou l’extinction d’une obligation juridique ou contractuelle à laquelle le responsable du traitement serait soumis.

Art. 25 – Le responsable du traitement doit effacer ou anonymiser les données à caractère personnel qu’il traite dans les cas prévus dans l’article précédent ou lorsque la finalité du traitement est atteinte.

Art. 26 – Lorsque le responsable du traitement reçoit une demande de suppression des données à caractère personnel, il doit prendre les mesures nécessaires y compris les mesures techniques, et en informer les responsables du traitement auxquels ces données ont été communiquées ou transférées.

Art. 27 – Le droit à l’oubli ne s’applique pas dans le cas où le traitement est nécessaire pour :

Respecter des exigences légales que requiert la continuité du traitement ;
Des motifs d’intérêt public dans le domaine de la santé ;
Des fins archivistiques dans l’intérêt public, de recherches scientifiques ou historiques, statistiques.
L’affirmation des droits, leur exercice ou leur défense en justice.

Art. 28 – Toute personne a le droit de demander à tout responsable d’un moteur de recherche national de supprimer le lien avec le résultat de recherche lié à son nom et prénom et le responsable est tenu d’effectuer cette suppression.

Le déréférencement n’implique pas la suppression des données de la source.

CHAPITRE III – DES REGIMES DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

Art. 29 – Toute opération de traitement des données à caractère personnel doit être connue du public, et pour ce, l’Instance doit être obligatoirement informée de ces opérations et doit à cet effet tenir un fichier soumis à la disposition du public sur son site électronique.

Art. 30 – Le responsable du traitement doit être établi en Tunisie, quant au sous-traitant et son représentant légal ils doivent y être résidents. Ils doivent tous ne pas avoir des antécédents judiciaires.

Art. 31 – Est interdit le traitement des données à caractère personnel relatives à l’origine raciale ou génétique d’une personne, ou à ses convictions religieuses, ou à ses opinions et ses appartenances politiques ou philosophiques ou syndicales, ou à ses données biométriques, ou de santé ou sexuelles.

Toutefois, il est exceptionnellement permis de traiter les données susvisées y compris les données biométriques, après autorisation de l’Instance et ce exclusivement pour identifier des personnes physiques et dans la limite de ce qui est permis par la législation en vigueur.

Art. 32 – Il est interdit de conditionner la prestation d’un service ou l’octroi d’un avantage à la personne concernée par le traitement, par à son acceptation du traitement de ses données à caractère personnel ou par leur exploitation à des fins autres que celles pour lesquelles ont été collectées.

Section première – Du régime général de traitement des données à caractère personnel

Art. 33 – A l’exception des articles 63 et 53, les dispositions de cette section ne s’appliquent pas aux autorités ou structures publiques chargées, conformément à la législation en vigueur, de la prévention, l’enquête, l’instruction, la poursuite des infractions et l’exécution des sanctions pénales, ainsi que celles chargées de la prévention des menaces à la sécurité publique, à la défense nationale ou aux intérêts monétaires de l’État.

Sous-section 1 – Des obligations du responsable du traitement

Art. 34 – Toute opération de traitement des données à caractère personnel est soumise à une notification préalable faite auprès de l’Instance. La même procédure est également appliquée pour toute modification intervenant au cours de l’opération de traitement.

La présente loi fixe les catégories de données à caractère personnel, dont le traitement est soumis à l’autorisation de l’Instance.

Art. 35 – A l’exception des structures publiques autorisées par la loi pour traiter des données à caractère personnel, les autres structures publiques traitant ces données doivent être obligatoirement autorisées par un décret gouvernemental pris sur avis l’Instance. L’autorisation doit comprendre l’identité de la structure responsable du traitement, les finalités du traitement et les parties auxquelles ces données seront transférées.

Art. 36 – Le responsable du traitement et le sous-traitant sont solidairement responsable de toute violation des dispositions de la présente loi.

Le responsable du traitement doit prendre, lors de la visualisation et la conception de l’opération du traitement, toutes les précautions nécessaires et les mesures techniques adéquates garantissant la protection des données à caractère personnel.

Il doit documenter toutes les preuves de compatibilité du traitement avec les critères de protection prévus par la présente loi.

Art. 37 – Le responsable du traitement ou le sous-traitant doivent prendre toutes les mesures nécessaires pour assurer la sécurité des données et empêcher les tiers de les consulter, modifier ou altérer.

Art. 38 – Le responsable du traitement doit procéder d’une manière périodique et selon la nature du traitement à des études de risque et informer l’Instance de leurs résultats. La périodicité de l’étude des risques selon la nature du traitement, est fixée par décret gouvernemental.

Art. 39 – Le responsable du traitement et le sous-traitant doivent rectifier les données à caractère personnel dont ils disposent, les compléter, les modifier, les mettre à jour et les raturer soit à la demande de la personne concernée par le traitement, ou lorsqu’elles s’avèrent non exactes ou incomplètes, ou lorsque la finalité recherchée est atteinte.

Ils doivent informer la personne concernée par le traitement de toutes les opérations susvisées par tout moyen laissant une trace écrite ou électronique, et ce dans un délai maximum d’un mois à partir de la date de la réalisation des opérations.

En cas de dépassement de délai sans réponse de la part du responsable du traitement ou du sous-traitant, la personne concernée peut s’en opposer devant l’Instance.

Art. 40 – Le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou la perte de leur qualité, doivent préserver la confidentialité des données à caractère personnel et les informations traitées.

Art. 41 – Il est interdit au responsable du traitement de collecter les données à caractère personnel auprès des tiers à moins que la personne concernée y consente ou que la loi l’autorise.

Art. 42 – En cas de litige portant sur la véracité des données à caractère personnel, le responsable du traitement et le sous-traitant doivent en faire mention dans un fichier jusqu’à ce le litige soit résolu.

En cas d’incident pouvant porter préjudice à ces données ou les affecter, le responsable du traitement ou le sous-traitant doit en informer l’Instance et des mesures prises à cet effet dans les 72 heures depuis la constatation de l’incident. Si le préjudice persiste, le responsable du traitement ou le sous-traitant est tenu d’en informer les personnes concernées par traitement dans un délai de 15 jours à compter de la constatation de l’incident par tout moyen laissant une trace écrite ou électronique.

Art. 43 – Il est interdit de communiquer les données à caractère personnel aux tiers sans le consentement de la personne concernée.

Toutefois, l’Instance peut, sur demande du responsable du traitement, autoriser leur communication, si ces données sont nécessaires pour réaliser des recherches et des études historiques ou documentaires ou statistiques ou pour l’ exécution d’une obligation juridique ou contractuelle, à condition que le bénéficiaire de la communication des données s’engage à fournir les garanties nécessaires à leur protection ainsi que les droits qui s’y rattachent conformément aux conditions prévues par l’autorisation et d’assurer qu’elles ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été communiquées.

La demande d’autorisation est adressée à l’Instance dans un délai d’un mois à compter de la date de refus de la personne concernée de communiquer ses données à caractère personnel aux tiers.

Art. 44 – Les données à caractère personnel traitées pour des finalités particulières peuvent être communiquées en vue d’être traitées de nouveau pour des fins historiques ou scientifiques ou documentaires ou statistiques, à condition d’obtenir le consentement de la personne concernée.

Art. 45 – Il est interdit dans tous les cas de transférer des données à caractère personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou la défense nationale.

Art. 46 – Est soumis à une notification préalable auprès de l’Instance, le transfert des données à caractère personnel vers des Etats étrangers dont la liste est fixée par une décision de l’Instance.

L’instance fixe cette liste par rapport aux garanties fournies par les Etats en matière de protection des données à caractère personnel.

Le transfert des données à caractère personnel vers les autres Etats étrangers est soumis à l’autorisation préalable de l’Instance.

Art. 47 – Le responsable du traitement ou le sous-traitant le cas échéant, doit immédiatement détruire les données à caractère personnel conformément aux dispositions de l’article 27 de la présente loi et ce soit de sa propre initiative, soit à la demande de la personne concernée.

Art. 48 – Le responsable du traitement et le sous-traitant qui envisagent de cesser définitivement leur activité doivent en informer l’Instance un mois avant la cessation de l’activité.

En cas de décès ou de faillite du responsable du traitement ou du sous-traitant, ou en cas de dissolution de la personne morale ou sa confiscation, les héritiers ou le syndic de faillite ou le liquidateur, selon le cas, doivent en informer l’instance dans un délai ne dépassant pas trois mois à partir de la date de la survenance du fait.

L’Instance peut décider la communication des données à caractère personnel en cas de cessation d’activité pour les motifs indiqués au présent article, et ce, dans les deux cas suivants :

Si elle juge que ces données sont utiles pour une exploitation à des fins historiques ou documentaires ou statistiques ou scientifiques ;
Si celui qui a procédé à la notification propose de communiquer toutes les données à caractère personnel ou une partie à une personne physique ou morale en déterminant avec précision son identité. La communication effective ne s’effectue qu’après l’obtention de l’accord des personnes concernées par le traitement dans un délai de trois mois à partir de la date de la formulation de la demande, à défaut, la personne qui a procédé à la notification doit détruire ces données.

Art. 49 – En cas de cessation d’activité du responsable du traitement ou du sous-traitant pour les motifs indiqués dans l’article précédent, la personne concernée ou ses héritiers ou toute personne ayant intérêt ou le ministère public peuvent, à tout moment demander de l’Instance de prendre toutes les mesures adéquates pour la conservation et la protection des données à caractère personnel, ou leur destruction.

L’Instance doit rendre sa décision dans un délai d’un mois à compter de la date de la demande. Sa décision doit être motivée.

Art. 50 – Lorsque le responsable du traitement est tenu de détruire les données à caractère personnel, il doit informer les parties auxquelles ces données ont été communiquées de la nécessité de les détruire.

Sous-section 2 – Du chargé de protection des données à caractère personnel

Art. 52 – Les personnes morales publiques ou privées traitant des données à caractère personnel et employant plus que cinquante agents ou traitant des données sensibles, doivent désigner un chargé de protection des données à caractère personnel, et en informer l’Instance et le public dans un délai de 15 jours.

Le responsable du traitement doit fournir au chargé de protection des données à caractère personnel toutes les ressources humaines et financières qui sont requises par ses fonctions.

Art. 52 – Le chargé de protection des données à caractère personnel est chargé des attributions suivantes :

Tenir un registre comprenant les opérations de traitement réalisées par les responsable du traitement ou le sous-traitant ;
Recevoir les demandes d’accès aux données à caractère personnel ;
Organiser toutes les activités internes relatives à la protection des données à caractère personnel ;
Préparer un programme d’action afin d’améliorer la protection des données à caractère personnel en collaboration avec le responsable du traitement.
Elaborer un rapport annuel sur les activités relatives à la protection des données à caractère personnel qui doit être transmis à l’Instance par voie électronique et publié sur le site web de la structure ;
Créer le lien entre la structure à laquelle il appartient et l’Instance de protection des données personnel.

Section 2 – Des régimes spéciaux de traitement des données à caractère personnel

Sous-section 1 – Du traitement des données à caractère personnel relatives à la sécurité publique ou la défense nationale ou les poursuites pénales

Art. 53 – Le traitement des données à caractère personnel relatives à la défense nationale ou la sécurité publique, ou les poursuites pénales et les jugements rendus dans ce cadre, est soumis à des règles spécifiques imposées par la nature de ces données et les attributions accordées aux autorités publiques chargées de les traiter et fixées par la législation en vigueur.

Le droit d’accès indirect est exercé par l’intermédiaire d’un membre du conseil de l’Instance si le traitement concerne des données à caractère personnel relatives à la sécurité publique ou la défense nationale et par l’intermédiaire d’un avocat désigné par la personne concernée si les données à caractère personnel concernent l’enquête ou l’instruction des infractions.

Le membre de l’Instance ou l’avocat, selon les cas, demande l’accès aux données à caractère personnel objet de la requête et établit un rapport à cet effet qu’il soumet à l’Instance, celle-ci peut autoriser, à la demande de la personne concernée, le responsable du traitement à corriger ces données ou les supprimer. Un procès verbale est rédigé à cet effet et notifié à la personne concernée.

S’il s’avère à l’Instance que l’accès de la personne concernée par le traitement aux données à caractère personnel ne s’oppose pas aux finalités du traitement et ne porte pas atteinte à la sécurité publique ou la défense nationale, elle l’autorise à obtenir une copie de ces données à moins que le responsable du traitement s’y oppose vue la confidentialité des dites données.

L’Instance est compétente de statuer sur les litiges résultant du traitement de ce type de données à caractère personnel dans un délai de 60 jour à compter de sa saisine.

Sous-section 2 – Du traitement des données à caractère personnel à des fins de vidéosurveillance

Art. 54 – Les moyens de vidéosurveillance ne peuvent être utilisés que s’ils sont nécessaires pour assurer la sécurité des personnes, la prévention des accidents, la protection des biens ou l’organisation des mouvements d’entrée et de sortie dans les espaces publics, à conditions qu’ils ne soient installés qu’après notification faite à l’Instance et dans les lieux suivants :

Les espaces ouverts au public et leurs entrées ;
Les espaces de transport terrestre, maritime, aérien des voyageurs et des marchandises ainsi que les abris ;
Les lieux de travail collectif.

Il est interdit dans tous les cas que les enregistrements vidéo soient accompagnés d’enregistrements sonores.

Il est également interdit d’installer ces moyens d’une manière permettant de mettre à découvert des établissements sécuritaires ou militaires.

L’utilisation des moyens de vidéosurveillance qu’elles soient portables ou mobiles par les agents de l’Etat ou des collectivités locales, doit être notifiée à l’Instance et dans ce cas ils seront autorisés de procéder à des enregistrement sonores.

L’installation des moyens de vidéosurveillance sur la voie publique n’est possible que par les autorités publiques et après notification à l’Instance,

Art. 55 – L’installation des moyens de vidéosurveillance dans les milieux d’enseignement, de santé ou dans les cellules de garde à vue et dans les prisons et centres de réhabilitation, est soumise à l’autorisation préalable de l’Instance.

Art. 56 – Les notifications et les demandes d’autorisation peuvent être présentées soit par le responsable du traitement ou le sous-traitant soit par la personne qui a installé le système de vidéosurveillance.

L’Instance fixe par une décision les critères d’installation des moyens de vidéosurveillance, les modalités d’en informer le public informé d’une manière claire et permanente de l’existence de ces moyens ainsi que les procédures de visualisation à distance des images issues de système de vidéosurveillance.

Art. 57 – La durée de conservation des enregistrements est fixée à trente jours et peut être prolongée jusqu’à 60 jours en ce qui concerne les systèmes de surveillance spécifiques à la sécurité publique. Cette durée peut être prolongée jusqu’à trois mois sur autorisation du ministère public avec la possibilité de renouvellement le cas échéant.

Art. 58 – Il est interdit de communiquer les enregistrements vidéo sauf dans les cas suivants :

Lorsque la personne concernée a donné son consentement ou à sa demande ;
Lorsque la communication est nécessaire à l’exercice des missions de sécurité publique ou de défense nationale dévolues aux autorités publiques ;
Lorsque la communication s’avère nécessaire pour la constatation ou la divulgation des infractions pénales, ou la poursuite des auteurs de ces infractions.

Le responsable du traitement doit consigner ces communications dans un registre numéroté et signé dont les caractéristiques sont fixées par la décision de l’Instance prévue par l’article 56 de la présente loi.

Si les autorités chargées de la sécurité publique ou de la défense nationale font recours à des systèmes de vidéosurveillance installés par des particuliers, ces derniers doivent en informer l’Instance.

Art. 59 – La reconnaissance faciale des personnes physiques ou par les plaques d’immatriculation des véhicules réalisée par les services publics ou privés à travers les enregistrements issus des systèmes de vidéosurveillance installés conformément à la législation en vigueur, est soumise à l’autorisation préalable de l’Instance.

Sous-section 3 – Du traitement des données à caractère personnel relatives à la santé

Art. 60 – Le traitement des données à caractère personnel relatives à la santé est soumis à l’autorisation préalable de l’Instance qui peut reporter l’examen de la demande jusqu’à consultation des structures spécialisées dans le domaine médical.

L’Instance peut fixer les précautions et procédures qui doivent être prises pour garantir la protection des données à caractère personnel relatives à la santé.

L’Instance fixe par décision la durée maximale de conservation des données à caractère personnel traitées dans chaque domaine. La conservation de ces données n’est possible après expiration des délais de traitement que lorsqu’elles sont anonymisées.

Les opérations de communication ou de transfert à l’étranger des données à caractère personnel relatives à la santé sont interdites sauf autorisation préalable de l’Instance.

Art. 61 – Le traitement des données à caractère personnel n’est possible que dans les cas suivants :

Lorsque le traitement est réalisé par une structure publique ou privée de santé ou un personnel de santé dans le cadre de l’exercice de ses missions ;
Lorsque le traitement est nécessaire à la réalisation de finalités prévues par la loi ;
Lorsque le traitement s’avère nécessaire pour le développement et la protection de la santé entre autres pour la recherche sur les maladies et leur prévention et traitement ;
Lorsqu’il est bénéfique pour la santé de la personne concernée.

Art. 62 – Le traitement des données à caractère personnel relatives à la santé ne peut être effectué que par des médecins et le personnel paramédical exerçant sous leur responsabilité, ou des personnes soumises, en raison de leur fonction dans le domaine médical, à l’obligation de secret professionnel.

Art. 63 – Il est interdit de procéder à l’hébergement des données à caractère personnel relatives à la santé en dehors du territoire tunisien.

Si l’hébergement est effectué sur le territoire tunisien, l’hébergeur doit être agréé par les structures concernées et doit se conformer aux conditions de la sécurité des systèmes et des réseaux conformément à la législation en vigueur.

L’Instance fixe par décision le référentiel à respecter lors de l’hébergement de ces données.

Sous-section 4 – Du traitement des données à caractère personnel dans le cadre de la recherche scientifique

Art. 64 – Il faut procéder à la pseudonymisation et l’anonymisation, à chaque fois que les exigences de la recherche scientifique le permettent, et ce, conformément aux procédures fixées par une décision de l’Instance.

Art. 65 – La communication des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la recherche scientifique ne peut avoir lieu que lorsque la personne concernée donne son consentement expresse ou lorsque la communication s’avère nécessaire pour la présentation des résultats de cette recherche.

Sous-section 5 – Du traitement des données à caractère personnel à des fins de journalisme

Art. 66 – Dans le cadre de leur activité, les journalistes ne peuvent en aucun cas rendre publiques des données à caractère personnel qui peuvent rendre les personnes concernées identifiées ou identifiables et dont ils ont pris connaissance à l’occasion de leur investigation. Il leur est également interdit de divulguer les données sensibles et les données relatives aux mineurs.

Sous-section 6 – Du traitement des données à caractère personnel de localisation

Art. 67 – Les données de localisation sont des données personnelles sensibles ne pouvant être traitées que lorsque cela s’avère nécessaire, et après notification faite auprès de l’Instance.

Art. 68 – Le responsable du traitement ou le sous-traitant doit informer ses agents de la mise en place d’un dispositifs permettant leur localisation lors de l’exercice de leur travail.

Art. 69 – Le traitement des données à caractère personnel de localisation par les objets connectés est soumis aux conditions fixées par une décision de l’Instance après consultation des structures chargées de contrôle et de régulation dans le domaine des télécommunications électroniques.

Sous-section 7 – Du traitement des données personnelles par le biais des objets connectés

Art. 70 – Les objets connectés importés ou fabriqués localement et destinés à la commercialisation sont soumis à la certification et au respect des normes adoptées en matière de protection des données à caractère personnel conformément à la législation en vigueur.

Art. 71 – L’Instance fixe les conditions de protection par décision après consultation des structures chargées de contrôle et de régulation dans le domaine des télécommunications électroniques.

Sous-section 8 – De l’hébergement des données à caractère personnel

Art. 72 – L’hébergement des données à caractère personnel sur le territoire tunisien est soumis à la notification faite auprès de l’Instance.

Leur hébergement hors du territoire tunisien est soumis aux mêmes conditions prévues par l’article 46 de la présente loi.

Les données à caractère personnel traitées par des personnes morales publiques ne peuvent être hébergées hors du territoire tunisien.

Art. 73 – L’hébergeur des données à caractère personnel est considéré comme un sous-traitant et il est soumis par conséquence, solidairement avec le responsable du traitement, à toutes les obligations et devoirs qui incombent à ce dernier.

Sous-section 9 – Des décisions automatisées et du profilage

Art. 74 – La personne concernée par le traitement a le droit de s’opposer à une décision fondée exclusivement sur un traitement automatisé, conformément aux articles 20 et 21 de la présente loi y compris le profilage et les effets juridiques qui s’en produisent, à moins que le traitement ne soit nécessaire pour l’exécution d’une obligation juridique ou contractuelle.

Sous-section 10 – Du registre de l’identifiant unique du citoyen

Art. 75 – Il est institué un registre dénommé « Registre de l’identifiant unique du citoyen » dont les objectifs et les données à caractère personnels qu’il pourrait comprendre sont fixés par un décret gouvernemental. Il est tenu et géré par le ministère chargé des collectivités locales.

Art. 76 – La tenue et la gestion du « Registre de l’identifiant unique du citoyen » sont soumises aux mêmes conditions et procédures de traitement des données à caractère personnel. Les personnes habilitées à utiliser le « Registre de l’identifiant unique du citoyen » doivent faciliter la mission du contrôle de l’Instance et sont tenues de désigner un chargé de protection des données à caractère personnel.

Art. 77 – L’identifiant unique du citoyen est attribué à :

Toute personne inscrite dans le registre d’état civil au moment de sa naissance ;
Toute personne de nationalité tunisienne née dans un pays étrangers au moment de son inscription auprès de la mission diplomatique ou consulaire agréée dans ce pays ;
Toute personne ayant acquis la nationalité tunisienne.

Les données de ces personnes doivent être conservées pendant trente ans à compter de la date du décès de la personne ou celle de la déchéance définitive de la nationalité.

Art. 78 – Il est interdit d’attribuer le même « identifiant unique du citoyen » à plus qu’une personne et d’attribuer à une même personne plusieurs « identifiant unique du citoyen ».

L’identifiant unique du citoyen ne doit pas être signifiant. Ses objectifs, ses caractéristiques techniques ainsi que les modalités de la tenue et de la gestion de son registre, sont fixés par un décret gouvernemental après consultation de l’Instance.

Art. 79 – Le ministère chargé des collectivités locales doit installer un système en ligne permettant à tout citoyen d’accéder à toutes les opérations effectuées sur son identifiant unique et les structures qui l’ont utilisé.

Art. 80 – « L’identifiant unique du citoyen » ne peut être utilisé que par les personnes publiques ou par des particuliers chargés de la gestion d’un service public et dont la liste et les finalités de l’utilisation de l’identifiant unique seront fixées par un décret gouvernemental sur avis de l’Instance.

Art. 81 – Il est interdit de faire mention à « l’identifiant unique du citoyen » dans les documents officiels délivrés par les services de l’Etat tunisien à l’exception des courriers administratifs entre les structures administratives ou privées prévues dans l’article précédent.

CHAPITRE IV – DE L’INSTANCE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Art. 82 – Est créée une instance publique indépendante dénommée « Instance de protection des données à caractère personnel » disposant de la personnalité morale et de l’autonomie administrative et financière. Son siège est fixé à Tunis.

Les modalités de fonctionnement de l’Instance sont fixées par son règlement intérieur qui doit être approuvé par le Conseil de l’Instance et publié sur son site web.

Section première – Des missions de l’Instance

Art. 83 – L’Instance est chargée notamment des missions suivantes :

Procéder de sa propre initiative aux opérations de contrôle des opérations de traitement des données à caractère personnel ;
Exercer les missions qui lui sont confiées par la loi et peut à cet effet se faire assister par les officiers de police judiciaire ;
Donner son avis sur les projets de lois et de textes réglementaires en relation avec la protection des données à caractère personnel ;
Emettre des avis au sujet des consultations qu’elle reçoit des personnes morales publiques ou privées, se rapportant aux différentes questions relatives au traitement des données à caractère personnel ;
Participer aux activités de recherche, de formation et d’étude en rapport avec la protection des données à caractère personnel ;
Mettre en place et diffuser la culture de protection des données à caractère personnel en collaboration avec les différentes structures publiques et les organisations de la société civile ;
Contrôler l’évaluation régulière du niveau de protection des données à caractère personnel mis en œuvre par les responsables du traitement ;
Echanger les expériences et les compétences avec ses homologues étrangères ainsi qu’avec les instances internationales et régionales agissant dans le domaine de la protection des données à caractère personnel et de la vie privée ;
Participer à toutes les instances internationales et régionales chargées de la protection des données à caractère personnel et collaborer avec les structures onusiennes dans ce domaine, après notification faite au ministère des affaires étrangères.
Travailler en concertation avec l’Instance d’accès à l’information et toutes les instances publiques de contrôle et de régulation pour édicter des décisions et élaborer des guides et de référentiels communs relatifs à l’accès aux données à caractère personnel ;
Elaborer un rapport annuel de ses activités, le soumettre au Président de la République, au Président de l’Assemblée des représentants du peuple et au Chef du gouvernement et le publier sur son site électronique ;
Elaborer des rapports périodiques concernant l’état de la protection des données à caractère personnel et le publier sur son site électronique.

Section 2 – De la composition de l’Instance

Art. 84 – L’Instance se compose d’un organe de décision collégial dénommé le Conseil de l’Instance ; d’un organe administratif, d’une unité de recherche et d’investigation et d’une unité d’audit et de contrôle interne.

Sous-section 1 – Du conseil de l’Instance

Art. 85 – Le conseil de l’Instance se compose d’un président et de deux membres exerçant leurs fonctions à plein temps pour un mandat de trois ans renouvelable une seule fois. Ils sont nommés par décret gouvernemental et comprenant obligatoirement un juge administratif. Les membres du conseil doivent réunir les conditions suivantes :

Etre de nationalité tunisienne ;
Ne pas avoir d’antécédents judiciaires ;
Etre indépendant, honnête et neutre ;
Avoir la compétence et l’expérience dans le domaine de la protection des données à caractère personnel ou dans les domaines en relation.

Il peut être mis fin aux fonctions d’un membre du conseil qui commet une faute grave et ce par décret gouvernemental en cas sur la base d’un rapport motivé rédigé par les deux autres membres, et il sera remplacé conformément aux mêmes modalités pour la période restante du mandat.

Art. 86 – Les membres du conseil de l’Instance prêtent le serment suivant devant le président de la République : « Je jure au nom de Dieu le Tout Puissant que je veillerais à la protection des données à caractère personnel avec honneur, indépendance, honnêteté et neutralité et je préserverais le secret professionnel ».

Art. 87 – Le président de l’Instance ainsi que ses membres et ses agents sont tenus au secret professionnel en ce qui concerne les données à caractère personnel et des informations dont ils ont eu connaissance à l’occasion de l’exercice de leurs fonctions, et ce même après la perte de leurs qualités.

Art. 88 – La rémunération et les avantages dont bénéficient les membres du conseil de l’Instance sont fixés par décret gouvernemental.

Art. 89 – Le conseil se réunit sur convocation du Président d’une manière régulière. La convocation doit être adressée au moins trois jours avant la date de la réunion par tout moyen laissant une trace écrite ou électronique, jointe du projet de l’ordre du jour.

Les réunions du conseil de l’Instance ne sont valables qu’en présence de la majorité des membres y compris le président.

Le Président peut inviter à prendre part aux réunions du Conseil toute personne dont il juge la présence utile.

Les décisions du Conseil sont prises à la majorité des membres présents et en cas de partage égal des voix, la voix du président est prépondérante.

Art. 90 – Le Conseil est chargée notamment de :

Prendre les décisions réglementaires ;
Statuer sur les déclarations et les demandes d’autorisation et examiner les plaintes ;
Approuver le Règlement intérieur de l’Instance ;
Approuver le rapport annuel de l’Instance ;
Proposer le projet de budget de l’Instance ;
Proposer l’organigramme de l’Instance ;
Proposer le statut particulier des agents de l’Instance.

Sous-section 2 – Du Président de l’Instance

Art. 91 – Le Président de l’Instance est son représentant légal et son ordonnateur. Il veille à son fonctionnement, supervise son organisation administrative et financière et élabore le projet de son budget et son rapport annuel.

Le Président peut déléguer certaines de ses attributions aux autres membres et au secrétaire général.

Sous-section 3 – De l’organe administratif

Art. 92 – L’organe administratif comprend des services administratifs, financiers et techniques conformément à un organigramme proposé par le Conseil de l’Instance et approuvé par décret gouvernemental.

Les agents de l’Instance sont soumis aux dispositions de la loi n° 85-78 portant statut général des agents des offices, des établissements publics à caractère industriel et commercial et des sociétés dont le capital est détenu directement et entièrement par l’Etat ou les collectivités publiques locales. Les règles qui leurs sont spécifiques sont déterminées par un statut particulier fixé par un décret gouvernemental.

Art. 93 – L’organe administratif est géré par un secrétaire général sous la supervision du Président de l’Instance et il est chargé des attributions suivantes :

Assistance du Président au fonctionnement de l’Instance ;
Exécution des tâches qui lui sont attribuées par le Conseil ;
Préparation des dossiers soumis au Conseil ;
Gestion administrative et financière ;
Préparation du projet du budget ;
Gestion et maintenance des systèmes des informations concernant le fonctionnement de l’Instance ;
Conservation des documents de l’Instance ;
Elaboration des projets des rapports de l’Instance et leur soumission au Conseil.

Le secrétaire général est désigné par décision prise à la majorité des membres du Conseil de l’Instance après appel à candidature.

Sous-section 4 – De l’unité de recherche et d’investigation

Art. 94 – L’unité procède à la recherche et l’investigation des requêtes et des plaintes dont le Conseil est saisi et prépare les projets de décision concernant les sanctions pécuniaires.

Cette unité est présidée par un magistrat désigné par décret gouvernemental.

Le magistrat garantie l’exercice du droit de la défense et le principe de la confrontation.

Sous-section 5 – De l’unité d’audit et de contrôle interne

Art. 95 – L’unité procède à la mise en place d’un système de contrôle interne des procédures administratives, financières et comptables et assure la sécurité des états financiers, leur intégrité et leur transparence ainsi que leur conformité à la législation en vigueur.

L’unité d’audit et de contrôle interne soumet ses rapports directement et régulièrement au Conseil de l’Instance.

Sous- section 6 – Des ressources de l’Instance

Art. 96 – Les ressources de l’Instance se composent de :

La subvention annuelle accordée par l’Etat ;
Les frais de dépôt des déclarations et des demandes d’autorisation ;
Les autres recettes provenant des activités de l’Instance ;
Les donations, les dons et les aides inconditionnelles.

Art. 97 – Les règles de gestion administrative et financière de l’instance ne sont pas soumises au code de la comptabilité publique.

L’Instance tient sa comptabilité conformément au régime comptable applicable aux entreprises en tenant compte de son caractère non lucratif. Les marchés réalisés par l’Instance sont soumis au régime des marchés des entreprises publiques.

Les états financiers de l’Instance sont soumis au contrôle postérieur de la Cour des comptes.

L’Instance publie son rapport financier annuel sur son site électronique.

Section 3 – Des décisions de l’Instance

Art. 98 – Le Conseil de l’Instant rend les décisions suivantes :

Fixation des règles et les garanties nécessaires à la protection des données à caractère personnel, le code de conduite et les critères référentiels à respecter dans le cadre du traitement des données à caractère personnel, qui seront publiés au Journal officiel de la République tunisienne et sur le site électronique de l’instance ;
Accord et retrait des autorisations, acceptation et annulation des déclarations dans les cas prévus par la présente loi ;
Arrêt du traitement dans les cas prévus par la présente loi ;
Transfert des plaintes au ministère public ;
Accord et retrait du label de l’Instance.

Section IV – Des procédures devant l’Instance et des recours contre ses décisions

Sous-section 1 – Des procédures de notification et des autorisations

Art. 99 – Les notifications et les demandes des autorisations préalables sont déposées au siège de l’Instance ou adressées par lettre recommandée avec accusé de réception ou par le biais du formulaire disponible sur le site électronique de l’Instance ou par tout autre moyen laissant une trace écrite ou électronique.

Les notifications et les demandes d’autorisation sont présentées par le responsable du traitement ou son sous-traitant ou le représentant légal. Ces procédures n’excluent pas la responsabilité des personnes vis à vis des personnes concernées par le traitement.

L’instance fixe par décision les informations et les mentions que doivent comprendre les formulaires de déclarations ou les demande d’autorisation.

Art. 100 – L’Instance examine la demande d’autorisation et rend une décision motivée d’acceptation ou de refus dans un délai de deux mois à compter de la date du dépôt de la demande. Ce délai peut être prolongé d’un mois une seule fois par une décision motivée du Président de l’Instance.

Toutefois, en cas d’urgence fondée sur des motifs sérieux et sur la nécessité d’échanger rapidement les informations, l’Instance peut statuer dans un délai de 10 jours.

Les délais prévus pour statuer sont suspendus si l’Instance demande des précisions ou des documents complémentaires.

Art. 101 – La décision relative à la demande d’autorisation est notifiée au responsable du traitement par tout moyen laissant une trace écrite ou électronique dans un délai maximum de 15 jours à partir de la date de prise de décision.

La décision est susceptible de recours devant le tribunal administratif dans un délai d’un mois à partir de la date de sa notification conformément aux procédures du contentieux pour excès du pouvoir prévues dans la loi relative au tribunal administratif.

Sous-section 2 – De l’octroi et du retrait du label

Art. 102 – L’Instance octroi en vertu d’une décision, à la demande du responsable du traitement un label authentifié dénommé « label de sécurité des données à caractère personnel » après avoir procédé aux investigations nécessaires pour s’assurer de la conformité du demandeur aux caractéristiques référentielles fixées par l’Instance par une décision.

Le label accordé est valable pour une durée de deux années et le responsable du traitement qui en bénéficie sera soumis au régime de notification au lieu de celui d’autorisation.

Le retrait du label se fait par une décision motivée de l’Instance dans le cas où elle constate des manquements aux caractéristiques référentielles sur la base desquelles le label a été octroyé.

Sous-section 3 – Des plaintes

Art. 103 – Les plaintes relatives au traitement des données à caractère personnel sont adressées directement ou par l’intermédiaire d’un avocat à l’Instance en vertu d’une requête comprenant toutes les informations relatives au plaignant, au défendeur et à l’objet de la plainte, jointe de tous les documents et justificatifs.

La requête ainsi que ses justificatifs sont déposés au siège de l’Instance ou adressés par une lettre recommandée avec accusé de réception ou sur le site électronique de l’Instance.

L’unité de recherche et d’investigation dresse un rapport préliminaire à la fin de ses travaux qu’elle le soumet aux parties concernées par tout moyen laissant une trace écrite ou électronique. Les personnes concernées doivent répondre au rapport dans un délai de 15 jours à compter de la date de notification et ils peuvent être assistés à cet effet par un avocat.

A l’expiration de ce délai, le magistrat de l’unité de recherche et d’investigation rédige un projet de décision qu’il soumet au Conseil de l’Instance.

Sous-section 4 – Des avis, avertissements et de l’arrêt immédiat du traitement

Art. 104 – En cas de constatation d’un manquement aux dispositions de la présente loi par le responsable du traitement, le Président de l’Instance peut lui adresser un avis lui demandant de se conformer aux normes un délai dans un délais qu’il lui fixe.

Si le responsable ne se conforme pas à l’avis ou en cas de commission d’un grave manquement, le Président lui adresse un avertissement avec la possibilité de le publier sur le site web de l’Instance.

Le président de l’Instance peut ordonner la levée de l’avertissement s’il constate que le responsable s’est conformé et procède à la publication de la levée de l’avertissement s’il l’a publié sur le site.

Art. 105 – Les avis et les avertissements sont notifiés aux responsables du traitement par tout moyen laissant une trace écrite ou électronique. Ces décisions sont susceptibles de recours devant le Conseil de l’Instance dans le délai d’un mois à compter de la date de leur notification.

Art. 106 – En cas de préjudice grave aux droits des personnes concernées par le traitement résultant d’une violation sévère des dispositions de la présente loi, le Président de l’Instance prend une décision sur la base d’une plainte ou d’office, prononçant l’arrêt immédiat du traitement, si la question concerne des personnes morales privées. Si la question concerne une autorité publique, l’arrêt du traitement est décidé par un arrêté du Président du gouvernement sur proposition de l’Instance.

Sous-section 5 – De la prise des sanctions

Art. 107 – Le Conseil de l’Instance est saisi des dossiers transférés par l’unité de recherche et d’investigation, ainsi que des recours contre les avis et les avertissements rendus par le Président de l’Instance.

Il peut, s’il le juge utile, compléter les investigations ou auditionner les parties et les témoins.

Art. 108 – S’il s’avère au Conseil de l’Instance que les faits objets du dossier transféré constituent une infraction passible uniquement d’une amende pécuniaire, il prend une décision dans ce sens dans un délai de deux mois de la date de la saisine.

S’il s’avère au Conseil de l’Instance que les faits objet du dossier encourent une sanction d’emprisonnement, il décide de le transférer au ministère public.

Art. 109 – Les décisions de sanctions rendues par le Conseil de l’Instance sont notifiées aux personnes concernées par les voies administratives ou par un huissier de justice.

Sous-section 6 – Du recours contre les décisions de l’Instance

Art. 110 – Les décisions rendues par l’Instance objet de la sous-section 5 de ce chapitre sont susceptibles de recours en appel devant le tribunal administratif conformément aux procédures prévues dans la loi relative au dit tribunal.

Le recours contre les autres décisions du Conseil de l’Instance se fait devant le tribunal administratif de première instance de Tunis conformément aux mêmes procédures et délais des recours pour excès de pouvoir.

CHAPITRE 5 – DES SANCTIONS

Art. 111 – Outre les sanctions administratives telles que l’avis, avertissement, arrêt immédiat du traitement, retrait de l’autorisation ou du label, toute violation des dispositions de la présente loi encoure des sanctions pécuniaires prononcées par le Conseil de l’Instance et des sanctions d’emprisonnement et des amendes rendues par les chambres pénales.

Section 1 – Des sanctions relevant de la compétence de l’Instance

Art. 112 – Est puni d’une amende qui varie de mille (1.000) à dix mille dinars (10.000), quiconque ne se conforme pas aux dispositions des l’articles 5, 13 (paragraphe 3), 16 (paragraphe 2) 22, 26, 27, 32, 34 (paragraphe 2), 36 (paragraphe 2), 37, 38, 39, 40, 42, 48, 50, 51, 57, 58 (paragraphes 2 et 3), 64, 65, 68, 70, 72 (dernier paragraphe), 77 (dernier paragraphe), 78 et 81 de la présente loi.

Art. 113 – Est puni d’une amende qui varie de dix mille dinars (10.000) à cinquante mille dinars (50.000), quiconque ne se conforme pas aux dispositions des articles 10, 12, 34, 59 et 60 (paragraphe 3) de la présente loi.

Art. 114 – Est puni d’une amende qui varie de soixante mille dinars (60.000) à cent mille dinars (100.000) quiconque ne se conforme pas aux dispositions des articles 6, 24 et 54 (paragraphe 2) de la présente loi.

Section 2 – Des sanctions relevant de la compétence des juridictions pénales

Art. 115 – est puni d’un an d’emprisonnement et d’une amende de cinquante mille dinars (50.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions des articles, 3 (paragraphe 2) 20 (paragraphe 2), 46 et 63 de la présente loi.

Art. 116 – Est puni de deux ans d’emprisonnement et d’une amende de cent mille dinars (100.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions des articles 7, 25, 31, 41, 43, 47, 58 (paragraphe 1), 60 (paragraphe 4), 61, 62 et 80 de la présente loi.

Art. 117 – Est puni de deux à cinq ans d’emprisonnement et d’une amende de deux cent mille dinars (200.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions de l’article 45 de la présente loi.

CHAPITRE V – DES DISPOSITIONS FINALES ET TRANSITOIRES

Art. 118 – La présente loi entre en vigueur dans six mois à compter de la date de sa publication au Journal officiel de la République Tunisienne. A l’expiration de ce délai, sont abrogées les dispositions de la loi organique n° 2004-63 relative à la protection des données à caractère personnel.

Le Conseil de l’Instance continue avec sa composition actuelle l’exercice de ses missions telles que prévues par la loi organique n° 2004-63 et exerce à compter de l’entrée en vigueur de la présente loi les missions et les prérogatives qu’elle prévoit et ce jusqu’à la mise en place du nouveau Conseil.

Art. 119 – Sont transférés en pleine propriété à l’Instance de protection des données à caractère personnel les biens de l’Instance nationale pour la protection des données personnelles créée en vertu de la loi organique n° 2004-63 relative à la protection des données à caractère personnel.

Un inventaire est rédigé par deux représentants de chaque instance, un représentant du ministère chargé des finances et un représentant du ministère chargé des domaines de l’Etat qui sera transmis au ministère des domaines de l’Etat qui l’inscrit dans le registre spécifique de l’Instance.

L’instance de la protection des données personnelles doit remettre à l’Instance tous les dossiers et informations qu’elle détient qu’elle que soit leur support.

Art. 120 – Jusqu’à la promulgation des lois organiques régissant la justice administrative conformément à la Constitution, sont applicables les lois et les règlements en vigueur relatifs aux attributions du tribunal administratif son organisation et aux procédures de sa saisine aux dispositions prévus par la présente loi.

مشروع قانون أساسي عدد 2018/25 يتعلق بحماية المعطيات الشخصية

الباب الأول - في الأحكام العامة

الفصل الأول - يهدف هذا القانون إلى ضمان حق كل شخص في حماية معطياته الشخصية ويضبط الشروط والإجراءات الواجب احترامها في إطار معالجة تلك المعطيات.

الفصل 2 - تنطبق أحكام هذا القانون على المعالجة الآلية وغير الآلية للمعطيات الشخصية والتي تتم على التراب التونسي فيما لا يتعارض مع مقتضيات الأمن العام والدفاع الوطني وفقا للتشريع الجاري به العمل.

ولا تنطبق على معالجة المعطيات الشخصية لغايات الاستعمال الشخصي أو العائلي.

الفصل 3 - تتم معالجة المعطيات الشخصية وفقا لقواعد الشفافية والأمانة واحترام كرامة الذات البشرية ولأحكام هذا القانون وتحت مراقبة هيئة حماية المعطيات الشخصية.

ويحجر في كل الحالات استعمال تلك المعطيات لغاية الاساءة إلى الأشخاص أو التشهير بهم أو لأي غاية إجرامية.

الفصل 4 - يقصد على معنى هذا القانون بـ:

المعطيات الشخصية: كل البيانات مهما كان مصدرها أو شكلها والتي تجعل شخصا طبيعيا معرفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة، من خلال العديد من خلال العديد من المعلومات أو الرموز، ولا سيما من خلال عنصر محدد للهوية مثل اللقب أو رقم التعريف أو الوضعية العائلية أو بيانات محددة للمكان أو معرف على الانترنت، أو أي عناصر أخرى خاصة بالشخص ومتعلقة بسماته الجسمانية أو الجينية أو النفسية أو بسلوكياته الاقتصادية أو الثقافية أو الاجتماعية
معالجة المعطيات الشخصية: العمليات المنجزة سواء بطريقة آلية أو غير الية، والتي تهدف خاصة إلى جمع معطيات شخصية أو الاطلاع عليها أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو ربطها بمعطيات أخرى أو إحالتها او تحويلها أو نقلها أو عرضها بأي شكل من الاشكال ، أو إخفاء هويتها، أو ترميزها أو فسخها أو إتلافها.
الهيئة: هيئة حماية المعطيات الشخصية.
المعطيات الحساسة: المعطيات الشخصية التي تشكل معالجتها مخاطر أو تمييزا بالنسبة إلى حماية الحياة الخاصة للشخص المعني بالمعالجة ، كأن تبين الاصل العرقي أو الجيني أو الآراء والانتماءات السياسية أو النقابية أو المعتقدات الدينية أو الايديولوجية أو الفلسفية لذلك الشخص، أو تكون متعلقة بصحته أو بحياته الجنسية أو بأي تتبع جزائي يشمله أو حكم جزائي يصدر ضده.
المعطيات الجينية: المعطيات الشخصية المتعلقة بالخصائص الجينية الوراثية أو المكتسبة لشخص طبيعي والتي توفر معلومات مميزة عنه أو عن وضعه الصحي والتي تكون ناتجة بالخصوص، عن تحليل عينة بيولوجية لذلك الشخص.
المعطيات البيومترية: المعطيات الشخصية الناتجة عن فنية خصوصية، والمتعلقة بالخصائص الجسدية أو الفيسيولوجية لشخص طبيعي، والتي تمكن من التعرف على هويته الفريدة أو تأكدها، مثل صور الوجه أو معطيات البصمات.
المعطيات المتعلقة بالصحة: المعطيات الشخصية المتعلقة بالوضعية الصحية البدنية أو النفسية للمعني بالمعالجة.
الشخص المعني بالمعالجة: كل شخص طبيعي تكون معطياته الشخصية موضوع معالجة، وكذلك وليه أو ورثته إلا إذا اعترض الشخص على ذلك صراحة قبل وفاته.
المسؤول عن المعالجة: كل شخص طبيعي أو معنوي، تونسي أو أجنبي، ينتمي إلى القطاع الخاص أو العمومي أو كل سلطة عمومية، يتولون تحديد طبيعة المعطيات الشخصية والغاية من المعالجة وطرقها.
الغير: كل شخص طبيعي أو معنوي باستثناء الشخص المعني بالمعالجة والمسؤول عن المعالجة والمناول والأشخاص الخاضعين لسلطتهما والمخول لهم قانونا معالجة المعطيات الشخصية.
المناول: كل شخص طبيعي أو معنوي عمومي أو خاص يقوم بمعالجة المعطيات الشخصية لحساب المسؤول عن المعالجة وتحت رقابته.
الآوي للمعطيات: كل مزود لخدمة خارجية وبغض النظر عن الوسائل المستعملة يقوم بإيواء معطيات شخصية وتأمينها لحساب المسؤول عن المعالجة.
هيكل عمومي: كل سلطة عمومية أو شخص عمومي.
المكلف بحماية المعطيات الشخصية: هو الشخص الذي يعين من قبل المسؤول عن المعالجة ويعمل على ضمان احترام قواعد حماية المعطيات الشخصية ويقوم بالرد على طلبات النفاذ إلى المعطيات الشخصية.
السجل: كل مجموعة مهيكلة من المعطيات يمكن الولوج إليها وفق معايير محددة سواء كانت مجمعة أو موزعة بطريقة وظيفية أو جغرافية.
موافقة الشخص المعني بالمعالجة: كل فعل يترك أثرا كتابيا أو الكترونيا ويعبر من خلاله الشخص المعني بالمعالجة عن موافقته على معالجة معطياته الشخصية النابعة عن إرادة حرة وصريحة وعلى دراية بعملية المعالجة.
النفاذ المباشر: ولوج الشخص المعني بالمعالجة إلى المعطيات الشخصية موضوع المعالجة وتمكينه من الحصول منها إذا طلب ذلك.
النفاذ غير المباشر: ولولج الشخص المعني بالمعالجة إلى معطياته الشخصية عبر الجهات المخولة لذلك بمقتضى هذا القانون.
نقل المعطيات الشخصية: تمكين الشخص المعني بالمعالجة من نقل معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر.
النسيان: تمكين الشخص المعني بالمعالجة في فسخ معطياته الشخصية أو إخفاء هويته في الصور التي يحددها هذا القانون.
الإحالة: تمكين الغير من معطيات شخصية أو السماح له بالاطلاع عليها أو بتخزينها.
التحويل: إحالة معطيات شخصية خارج البلاد التونسية.
تحديد الملامح: كل شكل من أشكال المعالجة الآلية للمعطيات الشخصية يهدف إلى تقييم بعض الجوانب الخاصة لشخص طبيعي تكون الغاية منه التعرف على خصوصياته أو ميولاته أو خياراته أو سلوكياته بما يؤثر في مركزه القانوني.
إخفاء الهوية: معالجة المعطيات الشخصية بطريقة لا تسمح قطعا بالتعرف على الشخص المعني بالمعالجة.
الترميز : معالجة المعطيات الشخصية بشكل لا يسمح بالتعرف مباشرة على الشخص المعني بالمعالجة وذلك عبر الالتجاء إلى رمز يحتفظ به على حدة ويخضع إلى تدابير فنية وتنظيمية بغاية ضمان عدم التعرف على الشخص المعني بالمعالجة من خلال معطياته الشخصية.
التسويق والدعاية: مجموع الانشطة وكل الخدمات الثانوية المرتبطة بها، التي تمكن من توفير منتجات وخدمات أو من إحالة رسائل إشهارية إلى فئات من المواطنين عن طريق البريد أو الهاتف الجوال أو اي طرق أخرى مباشرة بهدف الإعلام أو بغاية الحصول على ردة فعل من قبل الشخص المعني بالمعالجة.
التموقع: استعمال تقنية تمكن من معرفة مكان وجود الشخص المعني بالمعالجة وتنقلاته.
الأجهزة الالكترونية المتصلة: أجهزة الكترونية عادة محمولة بشبكات تواصل تسمح بجمع معطيات شخصية، تخزينها، معالجتها و إرسالها.

الباب الثاني - في حقوق الشخص المعني بالمعالجة

القسم الأول - الحق في الإعلام

الفصل 5 - يتعين على المسؤول عن المعالجة إعلام الشخص المعني بصفة مسبقة وبأي وسيلة تترك أثرا كتابيا أو الكترونيا بطيعة معطياته الشخصية موضوع المعالجة والغاية من المعالجة وطرقها والحقوق التي يضمنها له القانون. ويتم ضبط شروط وإجراءات هذا الإعلام بمقتضى قرار الهيئة.

كما يتعين عليه إعلام المعني بالمعالجة بوجود طريقة آلية في اتخاذ القرار أو في تحديد الملامح والمعلومات التي تأسست عليها المعالجة وانعكاساتها المنتظرة عليه.

القسم الثاني - الحق في الموافقة

الفصل 6 - تحجر معالجة المعطيات الشخصية دون الحصول على الموافقة المسبقة للشخص المعني بالمعالجة.

الفصل 7 - لا يمكن معالجة المعطيات الشخصية المتعلقة بقاصر أو بعديم أهلية إلا بعد الحصول على موافقة وليه أو بإذن قضائي.

ويمكن للقاضي أن يأذن بالمعالجة ولو دون موافقة الولي إذا اقتضت ذلك المصلحة الفضلى للطفل أو تحقيق منفعة لعديم الأهلية، وللقاضي الرجوع في الإذن في أي وقت.

الفصل 8 - لا تشترط موفقة الشخص المعني بالمعالجة إذا كان تجميع المعطيات الشخصية ضروريا لممارسة حرية الإعلام أو لاحترام التزام قانوني أو تعاقدي أو لتحقيق مصلحة عامة في مجال الأمن العام والدفاع الوطني أو الصحة العمومية أو لأغراض توثيقية أو إحصائية، أو لأغراض البحث العلمي أو التاريخي.

الفصل 9 - .فيما عدا المعطيات الشخصية التي تتم معالجتها وجوبا بمقتضى قوانين خاصة، يمكن للشخص المعني بالمعالجة، في أي وقت، الرجوع في موافقته، بما فيها معالجة معطيات التموقع المستعملة لغاية التسويق، دون أن يكون لذلك مفعول رجعي.

الفصل 10 - تحجر معالجة المعطيات الشخصية لأغراض أو بأشكال غير التي كانت موضوع موافقة الشخص المعني بالمعالجة إلا بعد الحصول على موافقته من جديد أو بترخيص من الهيئة

الفصل 11 - إذا كانت معالجة نفس المعطيات الشخصية تعدف إلى تحقيق غايات مختلفة فإم موافقة الشخص المعني بالمعالجة تكون في شكل وبطريقة تميزها بوضوح بالنسبة إلى كل غاية من المعالجة.

الفصل 12 - يحجر توظيف معالجة المعطيات الشخصية لأغراض دعائية أو تسويقية إلا بموافقة المعني بالمعالجة.

القسم الثالث - الحق في النفاذ

الفصل 13 - يمارس حق النفاذ المباشر أو غير المباشر بالنظر إلى طبيعة المعطيات المعالجة، ولا يمكن التنازل عنه مسبقا.

تحدد الهيئة بمقتضى قرار أصناف المعطيات الشخصية التي يسمح بالنفاذ إليها طبقا للتشريع الجاري به العمل.

ولا يمكن الحد من هذا الحث من قبل المسؤول عن المعالجة، إلا إذا كانت الغاية من ذلك حماية المعني بالمعالجة أو حماية حقوق الغير أو في حالة التعسف في استعمال هذا الحق.

الفصل 14 - يقوم مطلب النفاذ المباشر من قبل الشخص المعني بالمعالجة إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو الكترونيا ويكون مرفقا بما يثبت هويته.

ويمكن للمعني بالمعالجة أن يطلب بنفس الطريقة الحصول على نسخة من تلك المعطيات، تسلم له في أجل لا يتجاوز خمسة عشر يوما من تاريخ تقديم المطلب.

الفصل 15 - إذا تعدد المسؤولون عن معالجة المعطيات الشخصية أو إذا تمت المعالجة بواسطة مناول، فإن حق النفاذ يمارس لدى كل واحد منهم.

الفصل 16 - يمكن للشخص المعني بالمعالجة في نطاق ممارسته لحق النفاذ المباشر إلى معطياته الشخصية، المطالبة بتحيينها أو فسخها.

إذا كانت معالجة المعطيات الشخصية بطريقة آلية، فإنه يتوجب على المسؤول عن المعالجة وكذلك المناول توفير كافة التقنيات اللازمة لتمكين الشخص المعني بالمعالجة من إرسال مطلب النفاذ بطريقة الكترونية وكذلك تمكينه من طلب تعديل معطياته أو تغييرها أو تصحيحها أو فسخها، وإرسال وصل استلام المطلب بنفس الطريقة.

الفصل 17 - يمكن أن يوظف معلوم خدمة على كل عملية نفاذ إلى المعطيات الشخصية يستخلص لفائدة المسؤول عن المعالجة ويتم ضبط مبلغه بمقتضى قرارا من الهيئة.

ويتعين على المسؤول عن المعالجة إرجاع مبلغ المعلوم إلى الشخص المعني بالمعالجة إذا تبين أن المعطيات الشخصية غير صحيحة أو أنه لا يجب على المسؤول معالجتها.

الفصل 18 - تختص الهيئة بالنظر في النزاعات المتعلقة بممارسة حق النفاذ المباشر وتصدر قرارها في أجل ستين يوما من تاريخ تقديم العريضة.

الفصل 19 - يقدم مطلب النفاذ غير المباشر إلى الهيئة عندما تتعلق المعالجة بمعطيات شخصية متصلة بالصحة ويمارس بواسطة الطبيب الذي يعينه الشخص المعني بالمعالجة للفرض صلب المطلب.

يتولى الطبيب الاطلاع على المعطيات الشخصية موضوع المطلب وإعداد تقرير في الغرض يرفع إلى الهيئة، التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة، ويحرر محضر في الغرض يتم إعلامه به.

القسم الرابع - الحق في الاعتراض

الفصل 20 - فيما عدا المعالجة الضرورية لتحقيق التزام قانوني أو تعاقدي، يحق للشخص المعني بالمعالجة الاعتراض على معالجة معطياته الشخصية بواسطة مطلب يقدمه إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا، ويشترط في الاعتراض أن يكون مؤسسا على أسباب وجيهة ومشروعة.

ويترتب عن الاعتراض إيقاف المعالجة بصفة فورية، إلاّ إذا قدم المسؤول عن المعالجة أسبابا مشروعة وجدية تبرر استمرار المعالجة وتكون لها الأفضلية على الأسباب التي قدمها المعني بالمعالجة.

الفصل 21 - تختص الهيئة بالنظر في كل النزاعات المتعلقة بممارسة حق الاعتراض، وتصدر قراراتها في أجل ستين يوما من تاريخ تقديم مطلب الاعتراض.

وإذا كان الشخص المعني بالمعالجة قاصرا أو عديم الأهلية، فإن الهيئة تحيل الملف مرفقا برأيها إلى القاضي المختص الذي يتعهد بالنظر في النزاع.

القسم الخامس - حق النقل

الفصل 22 - للشخص المعني بالمعالجة الحق في نقل نسخة من معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر، وليس لأي من المسؤولين أن يعارض في ذلك النقل.

الفصل 23 - عندما تكون الإمكانيات التقنية اللازمة متوفرة لدى المسؤول عن المعالجة، فإنه يحق للشخص المعني بالمعالجة مطالبته بنقل معطياته الشخصية بشكل مباشر.

ولا يجب أن يترتب عن ممارسة حق النقل مساس بحقوق وحريات الغير.

القسم السادس - الحق في النسيان وفي فسخ الرابط من محركات البحث

الفصل 24 - يحق للمعني بالمعالجة طلب فسخ معطياته الشخصية أو إخفاء هويته، ويكون المسؤول ملزما بإنجاز ذلك بصفة فورية إذا توفرت أحد الأسباب التالية:

إذا تمت معالجة المعطيات الشخصية بشكل أو لغرض غير الذي جمعت من أجله،
إذا سحب الشخص المعني بالمعالجة الموافقة التي كانت تستند إليها المعالجة،
إذا خضعت المعطيات الشخصية لمعالجة غير مشروعة،
إذا كان من الضروري فسخ المعطيات الشخصية لتنفيذ التزام قانوني أو تعاقدي محمول على المسؤول عن المعالجة أو لانقضائه.

الفصل 25 - يتعين على المسؤول عن المعالجة فسخ المعطيات الشخصية التي يعالجها أو إخفاء هوية أصحابها في الصور المنصوص عليها بالفصل السابق أو إذا تحقق الغرض من المعالجة.

الفصل 26 - يتعين على المسؤول عن المعالجة عندما يتلقى طلب فسخ معطيات شخصية أن يتخذ التدابير اللازمة، بما في ذلك التدابير الفنية، ويتم إعلام المسؤولين عن المعالجة الذين تمت إحالة أو تحويل تلك المعطيات إليهم بذلك الطلب.

الفصل 27 - لا يسري حق النسيان عندما تكون المعالجة ضرورية من أجل:

الامتثال لمقتضيات قانونية تستوجب مواصلة المعالجة
أسباب تتعلق بالمصلحة العامة في مجال الصحة،
أغراض التوثيق من أجل المصلحة العامة، وأغراض البحث العلمي أو التاريخي أو أغراض إحصائية،
تثبيت الحقوق أو ممارستها أو الدفاع عنها أمام القضاء.

الفصل 28 - يحق لأي شخص مطالبة كل مسؤول عن محرك بحث وطني بحذف الرابط المقترن باسمه ولقبه ويكون المسؤول ملزما بإجراء ذلك الحذف.

ولايعني حذف الرابط فسخ المعطيات من المصدر.

الباب الثالث - في أنظمة معالجة المعطيات الشخصية

الفصل 29 - يجب أن تكون كل عملية معالجة للمعطيات الشخصية معروفة لدى العموم، ولهذا الغرض فإنه يتوجب إعلام الهيئة بتلك العمليات، وتمسك الهيئة سجلا في الغرض يوضع على ذمة العموم عبر موقعها الالكتروني.

الفصل 30 - يشترط في المسؤول عن المعالجة أن يكون منتصبا بالبلاد التونسية وفي المناول وممثله القانوني أن يكونا مقيمين بالتراب التونسي وأن لا تكون لهم جميعا سوابق عدلية.

الفصل 31 - تحجر معالجة المعطيات الشخصية التي تتعلق بالأصول العرقية أو الجينية للشخص أو بمعتقداته الدينية أو بأفكاره وانتماءاته السياسية أو الفلسفية أو النقابية أو بمعطياته البيومترية أو الصحية أو الجنسية.

غير أنه يمكن بصفة استثنائية، معالجة هذه المعطيات بمقتضى ترخيص من الهيئة بما فيها المعطيات البيومترية وذلك حصريا للتعرف على الأشخاص الطبيعيين وفي حدود ما يسمح به التشريع الجاري به العمل.

الفصل 32 - يحجر ربط إسداء خدمة أو منفعة لفائدة المعني بالمعالجة، بشرط موافقته على معالجة معطياته الشخصية أو استغلالها في غير الأغراض التي جمعت من أجلها.

القسم الأول - في النظام العام لمعالجة المعطيات الشخصية

الفصل 33 - لا تنطبق أحكام هذا القسم، باستثناء مقتضيات الفصلين 36 و53 من هذا القانون، على كل سلطة عمومية أو هيكل عمومي مكلف بالتوقي من الجرائم والبحث والتحقيق فيها والتتبع في شأنها أو بتنفيذ العقوبات الجزائية والوقاية من التهديدات للامن العام أو الدفاع الوطني أو المصالح النقدية للدولة طبقا للتشريع الجاري بها العمل.

الفرع الأول - في واجبات المسؤول عن المعالجة

الفصل 34 - تخضع كل عملية معالجة للمعطيات الشخصية إلى إعلام مسبق لدى الهيئة. وينسحب نفس الإجراء عند كل تغيير يطرأ أثناء عملية المعالجة.

وتخضع معالجة بعض الأصناف من المعطيات الشخصية التي يضبطها هذا القانون إلى ترخيص مسبق من الهيئة.

الفصل 35 - فيما عدا الهياكل العمومية المرخص لها في معالجة المعطيات الشخصية بمقتضى نصوص تشريعية، تخضع وجوبا معالجة المعطيات الشخصية من قبل الهياكل العمومية الى ترخيص في الغرض بمقتضى أمر حكومي بعد أخذ رأي الهيئة ويتضمن هوية الهيكل المسؤول عن المعالجة والغرض من المعالجة والجهات التي تحال إليها المعطيات بالمعالجة.

الفصل 36 - يكون المسؤول عن المعالجة والمناول مسؤولين بالتضامن مدنيا عن كل خرق لأحكام هذا القانون.

ويتوجب على المسؤول عن المعالجة عند تصور وتصميم عملية المعالجة أن يتخذ جميع الاحتياطات اللازمة والتدابير الفنية الملائمة التي تضمن حماية المعطيات الشخصية.

كما يجب عليه توثيق كل إثباتات تطابق المعالجة مع معايير الحماية المنصوص عليها بهذا القانون.

الفصل 37 - يتعين على المسؤول عن المعالجة أو المناول اتخاذ كل التدابير اللازمة للمحافظة على أمن المعطيات وسلامته ومنع الغير من الاطلاع عليها أو إدخال تغييرات عليها أو الإضرار بها.

الفصل 38 - يتعين على المسؤول عن المعالجة القيام بصفة دورية وحسب نوعية المعالجة بدراسة مخاطرها وإعلام الهيئة بنتائج الدراسة. ويتم ضبط دورية الدراسة حسب نوعية المعالجة بمقتضى أمر حكومي.

الفصل 39 - يجب على المسؤول عن المعالجة والمناول أن يبادر بإصلاح المعطيات الشخصية التي بحوزتهما وإتمامها وتعديلها أو تحيينها أو التشطيب عليها بطلب من الشخص المعني بالمعالجة أو كلما تبين لهما أنها غير صحيحة أو ناقصة أو عند بلوغ الهدف المنشود من معالجتها.

ويجب عليهما إعلام الشخص المعني بالمعالجة بهذه العمليات بواسطة أي وسيلة تترك أثر ا كتابيا أو الكترونيا، وذلك في أجل أقصاه شهر من تاريخ حصولها.

وفي صورة عدم استجابة المسؤول عن المعالجة أو المناول لطلبه في أجل أقصاه شهر، للشخص المعني بالمعالجة أن يعترض على ذلك لدى الهيئة.

الفصل 40 - يجب على المسؤول عن معالجة المعطيات الشخصية والمناول وكذلك أعوانهما، ولو بعد انتهاء المعالجة أو زوال صفتهم، المحافظة على سرية المعطيات الشخصية والمعلومات التي تمت معالجتها.

الفصل 41 - يحجّر على المسؤول عن المعالجة تجميع المعطيات الشخصية من الغير إلاّ في صورة موافقة الشخص المعني بالمعالجة على ذلك أو بموجب القانون.

الفصل 42 - إذا طرأ نزاع حول صحة معطيات شخصية، فإنه يتعين على كل من المسؤول عن المعالجة والمناول، التنصيص صلب سجل على وجود ذلك النزاع إلى حين البت فيه.

وعند حصول حادث من شأنه إلحاق ضرر بتلك المعطيات أو التأثير عليها، فإنه يتعيّن على المسؤول عن المعالجة أو المناول إعلام الهيئة بذلك وبالتدابير المتخذة في الغرض خلال اثنين وسبعين ساعة من وقت حصول العلم له بالحادث. وفي صورة عدم رفع الضرر، يتعين عليه أن يعلم بذلك الأشخاص المعنيين بالمعالجة في أجل أقصاه خمسة عشر يوما من تاريخ حصول العلم بالحادث بواسطة أي وسيلة تترك أثرا كتابيا أو الكترونيا.

الفصل 43 - تحجر إحالة المعطيات الشخصية إلى الغير دون موافقة الشخص المعني بالمعالجة.

إلاّ أنّه بإمكان الهيئة بطلب من المسؤول عن المعالجة الترخيص في إحالتها إذا كانت المعطيات ضرورية لإجراء بحوث ودراسات تاريخية أو توثيقية أو إحصائية أو علمية أو لتنفيذ التزام قانوني أو تعاقدي، كل ذلك بشرط أن يتعهد الشخص المحالة إليه تلك المعطيات بتوفير الضمانات الكفيلة بحمايتها والحقوق المرتبطة بها طبق الشروط المضمنة بالترخيص، وعدم استعمالها في غير الغرض الذي أحيلت من أجله.

ويقدم مطلب الترخيص إلى الهيئة في أجل لا يتجاوز الشهر من تاريخ رفض المعني بالمعالجة إحالة معطياته الشخصية إلى الغير.

الفصل 44 - يمكن إحالة المعطيات الشخصية التي وقعت معالجتها لغايات معينة، وذلك لإعادة معالجتها لغايات تاريخية أو علمية أو توثيقية أو إحصائية، شريطة الحصول على موافقة المعني بالمعالجة.

الفصل 45 - يحجر في كل الحالات تحويل المعطيات الشخصية نحو بلاد أجنبية إذا كان ذلك من شأنه المساس بالأمن العام أو الدفاع الوطني.

الفصل 46 - تخضع إلى الإعلام المسبق لدى الهيئة عملية تحويل المعطيات الشخصية نحو الدول الأجنبية التي تضبط قائمتها بقرار من الهيئة.

تستند الهيئة عند ضبط هذه القائمة إلى ما توفره الدول من ضمانات كافية لحماية المعطيات الشخصية.

ويخضع تحويل المعطيات الشخصية نحو باقي الدول إلى ترخيص مسبق من الهيئة.

الفصل 47 - يتعين على المسؤول عن المعالجة أو المناول عند الاقتضاء إتلاف المعطيات الشخصية بصفة فورية بمبادرة منه أو بطلب من الشخص المعني بالمعالجة طبقا لأحكام الفصل 27 من القانون.

الفصل 48 - يتعين على المسؤول عن المعالجة وكذلك المناول الذي يعتزم التوقف نهائيا عن نشاط المعالجة، إعلام الهيئة بذلك قبل شهر من تاريخ التوقف.

وفي صورة وفاة أو إفلاس المسؤول على المعالجة أو المناول أو حل الشخص المعنوي أو مصادرته، يجب على الورثة أو أمين الفلسة أو المصفي، حسب الحالة، إعلام الهيئة بذلك في أجل لا يتجاوز ثلاثة أشهر من تاريخ حدوثها.

ويمكن للهيئة في حالة التوقف عن النشاط لأحد الأسباب المذكورة بهذا الفصل أن تقرر في أجل أقصاه شهرا من تاريخ الإبلاغ، إحالة المعطيات الشخصية في إحدى الصورتين التاليتين:

إذا رأت أن تلك المعطيات مفيدة ألن تستخدم في أغراض تاريخية أو توثيقية أو إحصائية أو علمية،
إذا اقترح من تولى الإعلام إحالة كل المعطيات الشخصية أو البعض منها إلى شخص طبيعي أو معنوي يحدّد هويته بكل دقة، ولا تتم الإحالة بصفة فعلية إلاّ بعد الحصول على موافقة الأشخاص المعنيين بالمعالجة. وفي صورة عدم الحصول على هذه الموافقة خلال ثلاثة أشهر من تاريخ طلبها، يتعين على من تولى الإعلام إتلاف المعطيات الشخصية.

الفصل 49 - في حالة توقف نشاط المسؤول عن المعالجة أو المناول لإحدى الأسباب المذكورة بالفصل السابق، يمكن للشخص المعني بالمعالجة أو ورثته أو كل شخص له مصلحة أو النيابة العمومية أن يطلبوا في أي وقت من الهيئة اتخاذ التدابير الملائمة لحفظ المعطيات الشخصية وحمايتها أو إتلافها.

وعلى الهيئة أن تصدر قرارها في أجل شهر من تاريخ تقديم الطلب ويكون قرارها معلال.

الفصل 50 - عندما يصبح المسؤول عن المعالجة ملزما بإتلاف معطيات شخصية سبق له إحالتها، فإنه يجب عليه إعلام الجهات المحالة إليها بضرورة إتلافها.

الفرع الثاني - في المكلف بحماية المعطيات الشخصية

الفصل 51 - يجب على الذوات المعنوية سواء كانت عمومية أو خاصة، التي تعالج معطيات شخصية وتشغل أكثر من خمسين عونا أو تعالج معطيات حساسة، أن تعين مكلفا بحماية المعطيات الشخصية وتعلم الهيئة بذلك وتنشره للعموم في أجل خمسة عشر يوما.

ويجب على المسؤول عن المعالجة مد المكلف بحماية المعطيات الشخصية بالوسائل البشرية والمادية التي تتطلبها مهامه.

الفصل 52 - يضطلع المكلف بحماية المعطيات الشخصية بالمهام التالية:

مسك سجل في عمليات المعالجة المنجزة من قبل المسؤول على المعالجة أو المناول،
تلقي مطالب النفاذ الى المعطيات الشخصية،
تنظيم كل الأنشطة الداخلية المتعلقة بحماية المعطيات الشخصية،
إعداد برنامج عمل لتحسين حماية المعطيات الشخصية بالتعاون مع المسؤول عن المعالجة،
إعداد تقرير سنوي للأنشطة المتعلقة بحماية المعطيات الشخصية يحال الكترونيا إلى الهيئة وينشر على الموقع الالكتروني للهيكل،
ربط الصلة بين الهيكل المعني الذي ينتمي إليه وهيئة حماية المعطيات الشخصية.

القسم الثاني - في الأنظمة الخصوصية لمعالجة المعطيات الشخصية

الفرع الأول - في معالجة المعطيات الشخصية المتعلقة بالأمن العام أو بالدفاع الوطني أو بالتتبعات الجزائية

الفصل 53 - تخضع معالجة المعطيات الشخصية المتعلقة بالدفاع الوطني أو بالأمن العام أو بالتوقي من الجرائم أو بالتتبعات الجزائية والأحكام الصادرة فيها، إلى قواعد خاصة تقتضيها طبيعة تلك المعطيات والمهام الموكلة للسلط العمومية المكلفة بمعالجتها، وتضبط هذه القواعد الخاصة بالتشريع الجاري به العمل.

تتم ممارسة حق النفاذ غير المباشر بواسطة أحد أعضاء مجلس الهيئة إذا تعلقت المعالجة بمعطيات شخصية متصلة بالأمن العام أو بالدفاع الوطني وبواسطة محام يعينه الشخص المعني بالمعالجة إذا كانت المعطيات الشخصية متصلة بالبحث والتحقيق في الجرائم.

يتولى عضو الهيئة أو المحامي بحسب الحالة طلب الاطلاع على المعطيات الشخصية موضوع المطلب وإعداد تقرير في الغرض يرفع إلى الهيئة، التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة، ويحرر محضر في الغرض يتم إعلامه به.

وإذا تبيّنن للهيئة أن اطلاع الشخص المعني بالمعالجة على المعطيات الشخصية لا يتعارض مع أغراض المعالجة ولا يلحق ضررا بالأمن العام أو بالدفاع الوطني، فإنها تأذن بتمكينه من نسخة من تلك المعطيات ما لم يعارض المسؤول عن المعالجة في ذلك بالنظر لسريّة تلك المعطيات.

وتختص الهيئة بالبت في النزاعات الناشئة عن معالجة هذا الصنف من المعطيات الشخصية، في أجل ستين يوما من تاريخ تقديم المطلب.

الفرع الثاني - في معالجة المعطيات الشخصية لأغراض المراقبة البصرية

الفصل 54 - لا يمكن استعمال وسائل المراقبة البصرية إلاّ إذا كانت ضرورية لضمان سلامة الأشخاص والوقاية من الحوادث وحماية الممتلكات أو تنظيم حركة الدخول إلى الفضاءات العامة والخروج منها، على ألاّ تركز إلاّ بعد إعلام الهيئة وفي:

الفضاءات المفتوحة للعموم ومداخلها،
الفضاءات المخصصة للنقل البري والبحري والجوي للمسافرين والبضائع وبالمآوي،
فضاءات العمل الجماعي.

ويحجر في جميع الحالات أن تكون التسجيلات البصرية مرفقة بتسجيلات صوتية.

كما يحجر تركيز هذه الوسائل بشكل يسمح بالكشف عن المنشآت الأمنية والعسكرية.

ويخضع استعمال وسائل المراقبة البصرية سواء كانت محمولة أو متنقلة من قبل أعوان الدولة والجماعات المحلية إلى إعلام الهيئة ويمكن في هذه الحالة إجراء تسجيلات صوتية.

ولا يمكن تركيز وسائل مراقبة بصرية على الطريق العام إلاّ من قبل السلطات العمومية وبعد إعلام الهيئة.

الفصل 55 - تخضع وسائل المراقبة البصرية المركزة في الفضاءات التربوي أو الصحية أو في غرف الاحتفاظ وفي السجون أو الإصلاح إلى الترخيص المسبق من الهيئة.

الفصل 56 - يمكن أن يقدم الإعلام أو مطلب الترخيص سواء من قبل المسؤول عن المعالجة أو المناول أو من قبل الشخص الذي قام بتركيز نظام المراقبة.

تضبط الهيئة بقرار معايير تركيز وسائل المراقبة البصرية وكيفية إعلام العموم بطريقة واضحة ومستمرة بوجود تلك الوسائل وكذلك شروط وإجراءات مشاهدة الصور عن بعد المسجلة بهذه الوسائل.

الفصل 57 - تحدد مدة الاحتفاظ بالتسجيلات بثلاثين يوما وترفع الى ستين يوما بالنسبة لمنظومات المراقبة الخاصة بالأمن العام ويمكن التمديد في هذه المدة بثلاثة أشهر بإذن من النيابة العمومية مع إمكانية تجديد الطلب كلما اقتضت الضرورة.

الفصل 58 - تحجر إحالة التسجيلات البصرية إلاّ في الحالات التالية:

إذا أعطى الشخص المعني بالمعالجة موافقته أو بطلب منه؛
إذا كانت الإحالة ضرورية لتنفيذ مهام موكلة إلى السلطات العمومية وتتعلق بالأمن العام أو الدفاع الوطني؛
إذا كانت الإحالة ضرورية لغاية معاينة الجرائم أو الكشف عنها أو تتبع مرتكبيها.

ويجب على المسؤول عن المعالجة تضمين هذه الحالات في سجل مرقم تحدد مواصفاته ضمن قرار الهيئة المنصوص عليه بالفصل 56 من هذا القانون.

وفي صورة لجوء السلط المكلفة بالأمن العام أو بالدفاع الوطني إلى أنظمة مراقبة بصرية مركزة من طرف خواص، فإنه يتوجب على هؤلاء الخواص إعلام الهيئة بذلك.

الفصل 59 - تخضع إلى الترخيص المسبق من الهيئة عملية التعرف على الشخص الطبيعي من خلال الوجه أو من خلال الأرقام المنجمية للسيارات، المنجزة من قبل المصالح العمومية والخاصة عبر تسجيلات وسائل المراقبة البصرية المركزة طبق التشريع الجاري به العمل.

الفرع الثالث - في معالجة المعطيات الشخصية المتعلقة بالصحة

الفصل 60 - تخضع معالجة المعطيات الشخصية المتعلقة بالصحة إلى ترخيص مسبق من الهيئة، التي بإمكانها تأجيل البت في مطلب الترخيص إلى حين استشارة الهياكل المختصة في المجال الطبي.

يمكن للهيئة أن تحدد عند إسناد الترخيص الاحتياطات والإجراءات الواجب اتخاذها لضمان حماية المعطيات الشخصية المتعلقة بالصحة.

وتحدد الهيئة بمقتضى قرار الآجال القصوى للاحتفاظ بالمعطيات الشخصية المعالجة في كل مجال.

ولا يمكن الاحتفاظ بتلك المعطيات بعد انقضاء مدة المعالجة إلاّ إذا تم إخفاء هوية أصحابها.

وتحجر إحالة المعطيات الشخصية المتعلقة بالصحة أو تحويلها إلى الخارج دون ترخيص مسبق من الهيئة.

الفصل 61 - لا يمكن معالجة المعطيات الشخصية المتعلقة بالصحة إلاّ في الحالات التالية:

إذا كانت المعالجة منجزة من قبل مؤسسة صحية عمومية أو خاصة أو طاقم طبي في إطار أداء مهامهم؛
إذا كانت المعالجة لازمة لتحقيق أغراض منصوص عليها بالقانون،
إذا كانت المعالجة ضرورية لتطوير الصحة وحمايتها بما في ذلك البحوث حول الأمراض والوقاية منها ومعالجتها،
إذا كان للمعالجة انعكاس إيجابي على صحة الشخص المعني بها.

الفصل 62 - تحجر معالجة المعطيات الشخصية المتعلقة بالصحة إلاّ من قبل الأطباء والإطارات شبه الطبية العاملين تحت مسؤوليتهم، أو الأشخاص الخاضعين بحكم وظيفتهم في الميدان الصحي إلى واجب المحافظة على السر المهني.

الفصل 63 - يحجر إيواء المعطيات الشخصية المتعلقة بالصحة خارج التراب الوطني.

وإذا تم الإيواء فوق التراب التونسي، فإنه يشترط في المستضيف أن يكون معتمدا من قبل الهياكل المختصة وأن يستجيب لشروط سلامة المنظومات والشبكات طبقا للتشريع الجاري به العمل.

وتصدر الهيئة قرارا يضبط الإطار المرجعي الواجب احترامه عند إيواء تلك المعطيات.

الفرع الرابع - في معالجة المعطيات الشخصية في إطار البحث العلمي

الفصل 64 - يجب الالتجاء إلى ترميز المعطيات الشخصية أو إخفاء هوية أصحابها، كلما سمحت مقتضيات البحث العلمي بذلك، طبقا للإجراءات التي تضبط بقرار من الهيئة.

الفصل 65 - لا تجوز إحالة أو نشر المعطيات الشخصية الواقع معالجتها في إطار البحث العلمي إلاّ إذا وافق المعني بالمعالجة على ذلك صراحة، أو إذا كانت الإحالة أو النشر ضروريين لتقديم نتائج البحث.

الفرع الخامس - في معالجة المعطيات الشخصية لأغراض الصحافة

الفصل 66 - يجب على الصحفيين في نطاق نشاطهم، عدم إتاحة المعطيات الشخصية التي بلغت إلى علمهم بمناسبة تحقيقاتهم، للعموم بما من شأنه أن يجعل الأشخاص المعنيين بها معرفين أو قابلين للتعريف، كما يمنع عليهم نشر المعطيات الحساسة والمعطيات الخاصة بالقاصرين.

الفرع السادس - في معالجة المعطيات الشخصية المتعلقة بالتموقع

الفصل 67 - تعتبر المعطيات المتعلقة بالتموقع من قبيل المعطيات الشخصية الحساسة التي لا تجوز معالجتها إلاّ عند الضرورة وبعد إعلام الهيئة.

الفصل 68 - يجب على المسؤول عن المعالجة أو المناول إعلام أعوانه بوضع نظام لتحديد تموقعهم في إطار ممارسة عملهم.

الفصل 69 - تخضع معالجة المعطيات المتعلقة بالتموقع عبر تطبيقات الأجهزة الطرفية للاتصالات إلى قواعد تضبط بقرار من الهيئة بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.

الفرع السابع - في معالجة المعطيات الشخصية من خلال الأجهزة الطرفية للاتصالات المتصلة

الفصل 70 - تخضع الأجهزة الطرفية للاتصالات المتصلة المستوردة أو المصنعة محليا والمعدة للتسويق إلى المصادقة والتثبت من احترام المعايير المعتمدة في حماية المعطيات الشخصية طبقا للتشريع الجاري به العمل.

الفصل 71 - تضبط الهيئة بمقتضى قرار شروط الحماية بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.

الفرع الثامن - في إيواء المعطيات الشخصية

الفصل 72 - يخضع إيواء المعطيات الشخصية على التراب التونسي إلى الإعلام المسبق للهيئة.

ويخضع ايواءها خارج التراب التونسي إلى نفس القواعد المنصوص عليها بالفصل 46 من هذا القانون.

ولا يمكن إيواء المعطيات الشخصية التي تعالجها ذات معنوية عمومية خارج التراب التونسي.

الفصل 73 - يعتبر مستضيف المعطيات الشخصية بمثابة المناول، ويخضع على هذا الأساس بالتضامن مع المسؤول عن المعالجة إلى كافة الواجبات والالتزامات المحمولة على هذا الأخير.

الفرع التاسع - في القرارات الآلية وفي تحديد الملامح

الفصل 74 - للشخص المعني بالمعالجة الحق في الاعتراض على قرار تأسس حصريا على معالجة آلية طبق أحكام الفصلين 20 و21 من هذا القانون، بما في ذلك تحديد الملامح وما يترتب عنه من آثار قانونية إلاّ إذا كانت المعالجة ضرورية لتحقيق التزام قانوني أو تعاقدي.

الفرع العاشر - في سجل المعرف الوحيد للمواطن ّ

الفصل 75 - يحدث سجل يطلق عليه اسم "سجل المعرف الوحيد للمواطن"، تضبط أهدافه والمعطيات الشخصية الواجب تضمينه صلبه بمقتضى أمر حكومي، تمسكه وتديره الوزارة المكلفة بالجماعات المحلية.

الفصل 76 - يخضع مسك وإدارة "سجل المعرف الوحيد للمواطن" لنفس الشروط والإجراءات المنطبقة على معالجة المعطيات الشخصية، ويتوجب على الأشخاص المرخص لهم في استعمال "المعرف الوحيد للمواطن" تيسير مهمة الرقابة التي تقوم بها الهيئة كما يتوجب عليهم تعيين مكلف ّبحماية المعطيات الشخصية.

الفصل 77 - يمنح "المعرف الوحيد للمواطن" إلى:

كل شخص مسجل عند الولادة بسجل الحالة المدنية.
كل شخص تونسي الجنسية ولد في دولة أجنبية عند تسجيله لدى البعثة الدبلوماسية أو القنصلية التونسية المعتمدة في تلك الدولة.
كل شخص اكتسب الجنسية التونسية.

يتعين الاحتفاظ بالمعطيات المتعلقة بهم لمدّة ثلاثين سنة بعد الوفاة أو فقدان الجنسية نهائيا.

الفصل 78 - يحجر إسناد نفس "المعرف الوحيد للمواطن" لأكثر من شخص وإسناد الشخص الواحد أكثر من "معرف وحيد للمواطن".

يشترط في "المعرف الوحيد للمواطن" أن لا تكون له أي دلالة، وتحدد أهدافه ومحتواه ومواصفاته الفنية وقواعد مسكه وإدارة سجله بمقتضى أمر حكومي بعد استشارة الهيئة.

الفصل 79 - يتعين على الوزارة المكلفة بالجماعات المحلية تركيز منظومة على الخط تخوّل لكل مواطن الاطلاع على كل العمليات التي طرأت على معرفه الوحيد والهياكل التي استعملته.

الفصل 80 - يحجر استعمال "المعرف الوحيد للمواطن" إلاّ من قبل الأشخاص العموميين أو الخواص المكلفين بتسيير مرفق عمومي والذين تضبط قائمتهم وأغراض استعمالهم للمعرف الوحيد للمواطن بأمر حكومي يصدر بناء على رأي الهيئة.

الفصل 81 - يحجر التنصيص على "المعرف الوحيد للمواطن" بالوثائق الرسمية التي تسلمها مصالح الدولة التونسية باستثناء المراسلات الإدارية بين الهياكل العمومية أو الخاصة المشار إليها بالفصل السابق.

الباب الرابع - في هيئة حماية المعطيات الشخصية

الفصل 82 - تحدث هيئة عمومية مستقلة تسمى هيئة حماية المعطيات الشخصية، تتمتع بالشخصية المعنوية والاستقلالية الإدارية والمالية ويكون مقرها تونس العاصمة.

وتضبط طرق سير عمل الهيئة بمقتضى نظام داخلي يصادق عليه مجلس الهيئة وينشر على الموقع الالكتروني للهيئة.

القسم الأول - في مهام الهيئة

الفصل 83 - تتولى الهيئة بالخصوص القيام بالمهام التالية:

التعهد تلقائيا بمراقبة عمليات معالجة المعطيات الشخصية.
مباشرة المهام المسندة لها بالقانون ولها في ذلك أن تستعين بأعوان الضابطة العدلية.
إبداء الرأي في مشاريع القوانين والنصوص الترتيبية ذات العلاقة بمجال حماية المعطيات الشخصية.
تقديم الاستشارات للذوات العمومية والخاصة حول جميع المسائل المتصلة بمعالجة المعطيات الشخصية.
المساهمة في أنشطة البحث والتكوين والدراسة ذات الصلة بحماية المعطيات الشخصية.
إرساء ونشر ثقافة حماية المعطيات الشخصية بالتعاون مع كافة الهياكل العمومية ومكونات المجتمع المدني.
مراقبة التقييم الدوري لمستوى حماية المعطيات الشخصية الذي يقوم به المسؤولون عن المعالجة.
تبادل التجارب والكفاءات مع نظيراتها من الهيئات الأجنبية وكذلك الهيئات الدولية والإقليمية العاملة في مجال حماية المعطيات الشخصية والحياة الخاصة.
المشاركة في كافة الهيئات الإقليمية والدولية المكلفة بحماية المعطيات الشخصية والتعاون مع هياكل الأمم المتحدة في هذا المجال بعد إعلام وزارة الشؤون الخارجية.
العمل بالتعاون مع هيئة النفاذ إلى المعلومة وكافة المؤسسات العمومية المعنية بالرقابة والتعديل، من أجل إصدار القرارات وإعداد الأدلة والإطارات المرجعية المشتركة ذات الصلة بالنفاذ إلى المعطيات الشخصية.
إعداد تقرير سنوي لنشاطها وعرضه على رئيس الجمهورية ورئيس مجلس نواب الشعب ورئيس الحكومة ينشر بالموقع الالكتروني للهيئة.
إعداد تقارير دورية عن وضع حماية المعطيات الشخصية تنشر بالموقع الالكتروني للهيئة.

القسم الثاني - في تركيبة الهيئة

الفصل 84 - تتركب الهيئة من هيكل تقريري جماعي يسمى "مجلس الهيئة" وجهاز إداري ووحدة البحث والتقصي ووحدة التدقيق والرقابة الداخلية.

الفرع الأول - في مجلس الهيئة

الفصل 85 - يتكون مجلس الهيئة من رئيس وعضوين يمارسون مهامهم كامل الوقت لمدّة ثلاث سنوات قابلة للتجديد مرة واحدة يتم تعيينهم بمقتضى أمر حكومي ويكون من بينهم وجوبا قاض إداري. ويجب أن يستجيب الأعضاء إلى الشروط التالية:

تونسي الجنسية.
نقي السوابق العدلية.
يتمتع بالاستقلالية والنزاهة والحياد.
من ذوي الخبرة والكفاءة في مجال حماية المعطيات الشخصية أو في المجالات ذات الصلة.

ويمكن إعفاء أحد الأعضاء بمقتضى أمر حكومي بناء على تقرير معلل صادر عن عضوين بسبب ارتكابه خطأ جسيما على أن يتم تعويضه بنفس الصيغ ولباقي المدة.

الفصل 86 - يؤدي أعضاء مجلس الهيئة أمام رئيس الجمهورية اليمين التالية: "أقسم بالله العظيم أن أعمل على حماية المعطيات الشخصية بأمانة واستقلالية وحياد ونزاهة وأن أحافظ على السر المهني".

الفصل 87 - يتوجب على رئيس الهيئة وأعضائها وأعوانها المحافظة على السر المهني في خصوص المعطيات الشخصية والمعلومات التي بلغت إلى علمهم بحكم وظيفتهم، ولو بعد زوال صفتهم.

الفصل 88 - يتمتع أعضاء المجلس بأجور وامتيازات تضبط بمقتضى أمر حكومي.

الفصل 89 - يجتمع المجلس بدعوة من رئيسه بصفة دورية ويتم استدعاء الأعضاء ثلاثة أيام على الأقل قبل تاريخ الجلسة بأي وسيلة تترك أثرا كتابيا أو الكترونيا مصحوبا بمشروع جدول الأعمال.

لا تكون اجتماعات مجلس الهيئة قانونية إلاّ بحضور أغلبية الأعضاء من بينهم رئيس المجلس.

ويمكن لرئيس المجلس دعوة كل شخص يرى فائدة في حضوره إلى المشاركة في اجتماعات المجلس.

يتخذ المجلس قراراته بأغلبية الأعضاء الحاضرين وفي صورة تساوي الأصوات يرجح صوت الرئيس.

الفصل 90 - يتولى مجلس الهيئة بالخصوص:

اتخاذ القرارات الترتيبية.
البت في التصاريح ومطالب الترخيص والنظر في الشكايات.
المصادقة على النظام الداخلي للهيئة.
المصادقة على التقرير السنوي للهيئة.
اقتراح مشروع ميزانية الهيئة.
اقتراح التنظيم الهيكلي للهيئة.
اقتراح نظام الأساسي الخاص لأعوان الهيئة.

الفرع الثاني - في رئيس الهيئة

الفصل 91 - رئيس الهيئة هو ممثلها القانوني وآمر صرفها يسهر على سير أعمالها ويشرف على تسييرها الإداري والمالي وإعداد مشروع الميزانية والتقرير السنوي لها.

يمكن لرئيس الهيئة تفويض البعض من صلاحياته لفائدة أحد الأعضاء والكاتب العام.

الفرع الثالث - في الجهاز الإداري

الفصل 92 - يشتمل الجهاز الإداري على مصالح إدارية ومالية وفنية وفق تنظيم هيكلي يقترحه مجلس الهيئة وتتم المصادقة عليه بمقتضى أمر حكومي.

يخضع أعوان الهيئة إلى أحكام القانون عدد 78 لسنة 1985 المتعلق بضبط النظام الأساسي العام لأعوان الدواوين والمؤسسات العمومية ذات الصبغة الصناعية والتجارية والشركات التي تمتلك الدولة أو الجماعات العمومية في رأسمالها بصفة مباشرة وكليا. وتضبط القواعد الأساسية الخاصة بهم بنظام أساسي خاص يضبط بمقتضى أمر حكومي.

الفصل 93 - يسير الجهاز الإداري للهيئة كاتب عام تحت إشراف رئيس الهيئة ويقوم بالمهام التالية:

مساعدة رئيس الهيئة في تسيير الهيئة،
تنفيذ المهام التي يوكلها له مجلس الهيئة،
إعداد الملفات المعروضة على مجلس الهيئة،
التصرف الإداري والمالي،
إعداد مشروع الميزانية،
إدارة نظام المعلومات المتعلق بأعمال الهيئة وصيانته،
حفظ وثائق الهيئة،
إعداد مشاريع تقارير الهيئة وإحالتها على المجلس.

ويتم تعيين الكاتب العام بقرار يتم اتخاذه بأغلبية أعضاء مجلس الهيئة بعد الدعوة للترشح.

الفرع الرابع - في وحدة البحث والتقصي

الفصل 94 - تتولى الوحدة البحث والتقصي في الملفات والشكايات المتعهد بها من قبل مجلس الهيئة وإعداد مشاريع القرارات المتعلقة بتسليط عقوبات مالية.

يترأس هذه الوحدة قاض يتم تعيينه بمقتضى أمر حكومي.

ويضمن القاضي ممارسة حق الدفاع ومبدأ المواجهة.

الفرع الخامس - في وحدة التدقيق والرقابة الداخلية

الفصل 95 - تتولى الوحدة إرساء نظام رقابة داخلية للإجراءات الإدارية والمالية والمحاسبية تضمن سلامة القوائم المالية ونزاهتها وشفافيتها ومطابقتها للقوانين الجاري بها العمل.

ترفع وحدة التدقيق والرقابة الداخلية تقاريرها إلى مجلس الهيئة مباشرة وبصفة دورية.

القسم الثالث - في موارد الهيئة

الفصل 96 - تتكون الموارد المالية للهيئة من:

المنحة السنوية المخصصة من ميزانية الدولة.
معاليم إيداع التصاريح ومطالب الترخيص.
المداخيل الأخرى المتأتية من أنشطة الهيئة.
الهبات والتبرعات والعطايا غير المشروطة.

الفصل 97 - لا تخضع قواعد التصرف الإداري والمالي للهيئة إلى مجلة المحاسبة العمومية.

تمسك الهيئة حسابياتها طبقا للنظام المحاسبي على المؤسسات مع مراعاة طابعها غير الربحي. وتخضع صفقاتها إلى نظام صفقات المنشآت

العمومية .

تخضع الحسابات المالية للهيئة إلى الرقابة اللاحقة لدائرة المحاسبات.

وتنشر الهيئة تقريرها المالي السنوي على موقعها الالكتروني

القسم الرابع - في قرارات الهيئة

الفصل 98 - يتخذ مجلس الهيئة القرارات التالية:

تحديد القواعد والضمانات الضرورية لحماية المعطيات الشخصية ومدونات السلوك والمعايير المرجعية الواجب احترامها في معالجة المعطيات الشخصية. تنشر بالرائد الرسمي للجمهورية التونسية وبالموقع الالكتروني للهيئة.
منح التراخيص وسحبها والموافقة على التصاريح والرجوع فيها في الصور المقررة بهذا القانون.
إيقاف المعالجة في الحالات المنصوص عليه بهذا القانون.
إحالة الشكايات على النيابة العمومية.
إسناد علامة الهيئة وسحبها.

القسم الخامس - في الإجراءات لدى الهيئة والطعن في قراراتها

الفرع الأول - في إجراءات الإعلام والترخيص

الفصل 99 - يودع الإعلام أو مطلب الترخيص المسبق بمقر الهيئة أو يوجه بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو من خلال الاستمارة المدرجة بالموقع الالكتروني للهيئة أو بأي وسيلة أخرى تترك أثرا كتابيا أو الكترونيا.

ويقدم الإعلام أو مطلب الترخيص المسبق والمؤيدات المرفقة بهما من قبل المسؤول عن المعالجة، أو مناوله أو الممثل القانوني، ولا يعفي الإجراء من المسؤولية تجاه المعنيين بالمعالجة.

تحدد الهيئة بموجب مقرر البيانات والتنصيصات الواجب تضمينها بأنموذج الإعلام أو مطلب الترخيص.

الفصل 100 - تنظر الهيئة في مطلب الترخيص وتصدر قرارا معلال بالقبول أو بالرفض في أجل شهرين من تاريخ إيداعه، ويمكن التمديد في هذا الأجل لمدّة شهر واحد ومرة واحدة بقرار معلل من رئيس الهيئة.

إلا أنه وفي حالة التأكد القائم على أسباب جدية وواجب التبادل السريع للمعلومات يمكن البت في أجل لا يتجاوز عشرة أيام.

وينقطع سريان أجل البت في المطلب إذا طلبت الهيئة الإدلاء بتوضيحات أو وثائق إضافية.

الفصل 101 - يتم إعلام المسؤول عن المعالجة بالقرار المتعلق بمطلب الترخيص المسبق بأي وسيلة تترك أثرا كتابيا أو الكترونيا في أجل أقصاه خمسة عشرة يوما من تاريخ صدور القرار.

ويتم الطعن في ذلك القرار لدى المحكمة الإدارية في أجل شهر من تاريخ الإعلام به، وفق الإجراءات الخاصة بدعاوى تجاوز السلطة المنصوص عليها بالقانون المتعلق بالمحكمة الإدارية.

الفرع الثاني - في إسناد وسحب علامة الهيئة

الفصل 102 - تسند الهيئة بمقتضى قرار بطلب من المسؤول عن المعالجة علامة مطابقة تسمى "علامة سلامة المعطيات الشخصية" بعد إجراء الأبحاث اللازمة للتأكد من استجابة المعني بالأمر للمواصفات المرجعية التي تحددها الهيئة بمقتضى قرار.

وتسند علامة الهيئة لمدّة سنتين، يصبح خلالها المسؤول عن المعالجة خاضعا إلى الإعلام عوضا عن الترخيص.

ويتم سحب علامة الهيئة بقرار معلل من قبلها في صورة معاينتها لمخالفة المواصفات المرجعية التي أسندت على أساسها تلك العلامة.

الفرع الثالث - في الشكايات

الفصل 103 - ترفع الشكايات المتعلقة بمعالجة المعطيات الشخصية إلى الهيئة مباشرة أو عن طريق محام بمقتضى عريضة تتضمن كافة البيانات المتعلقة بالشاكي والمشتكى به وموضوع الشكوى، مرفقة بجميع الوثائق والمؤيدات.

تودع العريضة ومؤيداتها بمقر الهيئة أو توجه إليها بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو على الموقع الالكتروني للهيئة.

وتحرر وحدة البحث والتقص ي تقريرا أوليا بعد انهاء أعمالها يحال على الأطراف المعنية بأي و سيلة تترك أثرا كتابيا أو الكترونيا، الذين يتعين عليهم الإجابة عليه في أجل خمسة عشرة يوما من تاريخ التبليغ ويمكنهم الاستعانة بمحام في الغرض.

وبانقضاء الأجل المذكور يحرر قاضي وحدة البحث والتقصي مشروع قرار يحال على مجلس الهيئة.

الفرع الرابع - في التنبيه والإنذار والإيقاف الفوري للمعالجة

الفصل 104 - يمكن لرئيس الهيئة في صورة معاينة إخلال بأحكام هذا القانون أن يوجه تنبيها إلى المسؤول عن المعالجة يدعوه فيه إلى تدارك الإخلال ويحدد له أجلا لذلك.

وفي صورة تمادي المسؤول عن المعالجة في الإخلال بعد التنبيه عليه، أو في صورة ارتكابه لإخلال جسيم، يوجه إليه رئيس الهيئة إنذارا مع إمكانية الإذن بنشره على موقع الهيئة.

ويتولى رئيس الهيئة رفع الإنذار في صورة معاينة تدارك الإخلالات، ويتم نشر قرار الرفع إذا سبق نشر الإنذار.

الفصل 105 - يتم إعلام المسؤولين عن المعالجة بقرار التنبيه أو الإنذار بأي وسيلة تترك أثرا كتابيا أو الكترونيا ويمكن التظلم من هذا القرار أمام مجلس الهيئة في أجل شهر من تاريخ الإعلام به.

الفصل 106 - في صورة حصول انتهاك جسيم لأحكام هذا القانون يترتب عنه ضرر فادح لحقوق الأشخاص المعنيين بالمعالجة، يتخذ رئيس الهيئة بناء على شكاية أو تعهد تلقائي، قرارا في الإيقاف الفوري للمعالجة إذا تعلق الأمر بذوات خاصة وبقرار من رئيس الحكومة، باقتراح من الهيئة، إذا تعلق الأمر بسلطة عمومية.

الفرع الخامس - في اتخاذ العقوبات

الفصل 107 - يتعهد مجلس الهيئة بالملفات المحالة عليه من طرف رئيس وحدة البحث والتقصي وفي الطعون في قرارات التنبيه والإنذار الصادرة عن رئيس الهيئة.

ويمكن له إذا رأى فائدة في ذلك أن يستكمل التحقيق أو يستمع إلى الأطراف والشهود.

الفصل 108 - إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة لا تشكل مخالفة تستوجب عقوبة بخطية مالية لا غير، فإنه يتخذ قرارا بتسليط العقوبة في أجل شهرين من تاريخ الإحالة.

إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة تستوجب عقوبة بالسجن فإنه يتخذ قرارا بإحالتها للنيابة العمومية.

الفصل 109 - تبلغ قرارات العقوبات الصادرة عن مجلس الهيئة إلى المعنيين بها بالطرق الإدارية أو بواسطة عدل التنفيذ.

الفرع السادس - في الطعن في قرارات الهيئة

الفصل 110 - يتم الطعن في العقوبات الصادرة عن مجلس الهيئة موضوع الفرع الخامس من هذا الباب أمام المحكمة الإدارية الاستئنافية بتونس وفق الإجراءات المنصوص عليها بالقوانين المنظمة للقضاء الإداري.

ويتم الطعن في قرارات مجلس الهيئة أمام المحكمة الإدارية الابتدائية بتونس وفق نفس إجراءات وآجال التقاضي في دعوى تجاوز السلطة.

الباب الخامس - في العقوبات

الفصل 111 - علاوة على العقوبات الإدارية المتمثلة في التنبيه والإنذار والإيقاف الفوري للمعالجة وسحب الترخيص وسحب علامة الهيئة، يترتب عن مخالفة أحكام هذا القانون عقوبات مالية تسلط من قبل مجلس الهيئة وعقوبات بالسجن وبخطية مالية تسلط من قبل المحاكم الجزائية.

والمحاولة موجبة العقاب.

القسم الأول - في العقوبات مرجع نظر الهيئة

الفصل 112 - يعاقب بخطية مالية تتراوح بين ألف (1.000 د) وعشرة آلاف دينار (10.000 د) كل من خالف أحكام الفصول 5 و13 فقرة ثلاثة و16 فقرة ثانية و22 و26 و27 و32 و34 فقرة ثانية و36 فقرة ثانية و37 و38 و39 و40 و42 و48 و50 و51 و57 و58 الفقرتان الثانية والثلاثة و64 و65 و68 و70 و72 فقرة أخيرة و77 فقرة أخيرة و78 و81 من هذا القانون.

الفصل 113 - يعاقب بخطية مالية تتراوح بين عشرة آلاف دينار (10.000 د) وخمسين ألف دينار (50.000 د) كل من خالف أحكام الفصول 10 و12 و34 فقرة أولى و34 فقرة أخيرة و59 و60 فقرة ثلاثة من هذا القانون.

الفصل 114 - يعاقب بخطية مالية تتراوح بين ستين ألف دينار (60.000 د) ومائة ألف دينار (100.000 د) كل من خالف أحكام الفصول 6 و24 و54 فقرة ثانية من هذا القانون.

القسم الثاني - في العقوبات مرجع نظر المحاكم الجزائية

الفصل 115 - يعاقب بالسجن لمدة عام وبخطية مالية قدرها خمسين ألف دينار (50.000 د) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 3 الفقرة الثانية و20 فقرة ثانية و46 و63 من هذا القانون.

الفصل 116 - يعاقب بالسجن لمدة عامين وبخطية مالية قدرها مائة ألف دينار (100.000 د) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 7 و25 و31 و41 و43 و47 و58 فقرة أولى و61 و62 والفصل 60 فقرة أخيرة و80 من هذا القانون.

الفصل 117 - يعاقب بالسجن من عامين إلى 5 أعوام وبخطية مالية قدرها مئتا ألف دينار (200.000 د) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصل 45 من هذا القانون.

الباب السادس - في الأحكام الختامية والانتقالية

الفصل 118 - يدخل هذا القانون حيز النفاذ بعد ستة أشهر من تاريخ نشره بالرائد الرسمي للجمهورية التونسية، وبانقضاء الأجل المذكور تلغى أحكام القانون الأساس ي عدد 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية. ويواصل مجلس الهيئة بتركيبته الحالية ممارسة المهام الموكلة إليه بمقتضى القانون عدد 63 لسنة 2004، كما يمارس ابتداء من تاريخ دخول هذا القانون حيز النفاذ المهام والصلاحيات المنصوص عليها بهذا القانون الى حين تركيز مجلس الهيئة الجديد.

الفصل 119 - تحال على وجه الملكية إلى الهيئة ممتلكات الهيئة الوطنية لحماية المعطيات الشخصية المحدثة بمقتضى القانون الأساسي عدد 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية. ويحرر ممثل عن كلتا الهيئتين وممثل عن الوزارة المكلفة بالمالية وممثل عن الوزارة المكلفة بأملاك الدولة والشؤون العقارية كشفا يحال إلى الوزارة المكلفة بأملاك الدولة والشؤون العقارية التي تتولى ترسيمه بالسجل الخاص بالهيئة.

تحيل الهيئة الوطنية لحماية المعطيات الشخصية وجوبا إلى الهيئة جميع الملفات والبيانات مهما كانت الوسائط الحاملة لها.

الفصل 120 - إلى حين صدور القوانين الأساسية المنظمة للقضاء الإداري وفق مقتضيات الدستور تنطبق القوانين والتراتيب الجاري بها العمل المتعلقة بضبط صلاحيات المحكمة الإدارية وتنظيمها والإجراءات المتبعة لديها على الأحكام المنصوص عليها بهذا القانون.