احدث القوانين

>

1. ضمان الحريات العامة

مرســـوم عدد 2 لسنة 2022 مؤرّخ في 4 جانفي 2022 يتعلّق بتنظيم نشاط الاستعلام الائتماني

إن رئيس الجمهورية،

بعد الاطلاع على الدستور،

وعلى الأمر الرئاسي عدد 117 لسنة 2021 المؤرخ في 22 سبتمبر 2021 المتعلق بتدابير استثنائية،

وبعد مداولة مجلس الوزراء.

يصدر المرسوم الآتي نصه:

الباب الأوّل – أحكام عامّة

الفصل الأوّل – يهدف هذا المرسوم إلى تنظيم إحداث شركات الاستعلام الائتماني وممارسة نشاطها، وضبط قواعد تبادل المعلومات الائتمانية بغرض تدعيم جودة هذه المعلومات، بما يسهم في دعم الإدماج المالي.

الفصل 2 – تخضع شركات الاستعلام الائتماني فيما يتعلق بإحداثها وممارسة نشاطها لأحكام هذا المرسوم والتشريع المتعلّق بحماية المعطيات الشخصية.

الفصل 3 – يقصد على معنى هذا المرسوم بـ:

المعلومات الائتمانية: المعلومات المتعلقة بمبالغ ديون الأشخاص الطبيعيين والمعنويين وآجال حلولها والمتخلّدات منها والمعلومات ذات العلاقة بها.

شركات الاستعلام الائتماني: الشركات التي يتمثل نشاطها في معالجة المعلومات الائتمانية حول الأشخاص الطبيعيين والمعنويين لغرض تقييم قدرتهم على الوفاء بالتزاماتهم الماليّة وإسداء الخدمات ذات الصلة وفق ما يضبطه هذا المرسوم.
التقرير الائتماني: تقرير صادر عن شركة الاستعلام الائتماني في شكل مستند ورقي أو الكتروني يتضمن المعلومات الائتمانية للمعني بالأمر وبيانات حول تقييم قدرته على الإيفاء بتعهداته المالية.
مزودي المعلومات: الجهات والهياكل المنصوص عليها بالفصل 12 من هذا المرسوم والتي ترتبط مع شركة الاستعلام الائتماني باتفاقية تزويد معلومات ائتمانية.
الهيئة: الهيئة الوطنية لحماية المعطيات الشخصية المحدثة بمقتضى القانون الأساسي عدد 63 لسنة 2004 المؤرخ في 27 جويلية 2004 المتعلق بحماية المعطيات الشخصية.
الشخص المعني: كل شخص طبيعي أو معنوي تتم إحالة المعلومات الائتمانية الخاصة به إلى شركة استعلام ائتماني طبقا لأحكام هذا المرسوم.
المساهم المرجعي: كلّ مساهم أو تحالف للمساهمين بمقتضى اتفاق معلن بينهم يملك بصفة مباشرة أو غير مباشرة نسبة من رأس مال شركة استعلام ائتماني تمنحه أغلبية حقوق الاقتراع أو تمكنه من التحكّم فيها.

الفصل 4 – تضبط المعلومات ذات العلاقة بالمعلومات الائتمانية المنصوص عليها بالفصل 3 من هذا المرسوم بمقتضى منشور يصدره البنك المركزي التونسي بعد أخذ رأي الهيئة.

الباب الثاني – في شركات الاستعلام الائتماني

القسم الأوّل – في الترخيص في تعاطي نشاط الاستعلام الائتماني

الفصل 5 – تُحدث شركات الاستعلام الائتماني طبقا للشروط والإجراءات المنصوص عليها بهذا المرسوم وتخضع لأحكام مجلة الشركات التجارية فيما لا يتعارض مع أحكامه.

الفصل 6 – يخضع إحداث شركات الاستعلام الائتماني لترخيص من للبنك المركزي التونسي وذلك بعد حصول طالب الترخيص على قرار قبول تصريح المعالجة الصادر عن الهيئة. ولا يمكن للبنك المركزي التونسي منح الترخيص في غياب موافقة الهيئة على التصريح بمعالجة المعطيات الشخصية.

الفصل 7 – يمنح الترخيص على أساس:

برنامج نشاط الشركة،
صفة المساهمين وخاصة المساهم المرجعي والمساهمين الذين يملكون 10% على الأقل من رأس المال،
الوسائل الفنية والمنظومة المعلوماتية المستعملة لجمع وحفظ المعلومات الائتمانية،
سمعة المسيرين ومدى استيفائهم للشروط المتعلقة بالمؤهلات العلمية والكفاءة والخبرة المهنية ومدى تلاؤمها مع المهام الموكولة إليهم،
منظومة الحوكمة والرقابة الداخلية والامتثال بما يتلاءم والأنشطة المزمع ممارستها،
وضع إجراءات مكتوبة تثبت إمكانية الحصول على الموافقة المسبقة والصريحة للأشخاص الطبيعيين المعنيين في إحالة معطياتهم الشخصية لفائدتها طبقا لمقتضيات التشريع المتعلق بحماية المعطيات الشخصية وموافقة الأشخاص المعنويين على معالجة المعطيات المتعلقة بهم،
إثبات اتخاذ جميع الاحتياطات اللاّزمة للمحافظة على سلامة المعطيات ومنع الغير من تعديلها أو الإضرار بها أو الإطلاع عليها دون إذن صاحبها والاحتياطات الضرورية لمنع الاختراقات والهجمات السيبرانية على المنظومة المعلوماتية.

ويحدد البنك المركزي التونسي بمقتضى منشور إجراءات طلب الترخيص والوثائق والمعطيات الواجب توفيرها.

الفصل 8 – على طالب الترخيص توجيه مطلبه إلى البنك المركزي التونسي الذي يتولى دراسته وله أن يطلب من طالب الترخيص في أجل شهر من تاريخ تقديم المطلب مدّه بأية إرشادات أو وثائق ضرورية تكميلية لدراسة الملف.

يتعين على طالب الترخيص أن يضمن بالمطلب ما يفيد عدم اعتراض الهيئة على التصريح المسبق في معالجة المعطيات الشخصية.

ويعتبر لاغيا كل مطلب ترخيص لم يستوف الإرشادات والوثائق المطلوبة في أجل ثلاثة (3) أشهر من تاريخ طلبها من البنك المركزي التونسي.

يتعين على طالب الترخيص القيام بالتصريح المسبق في معالجة المعطيات الشخصية لدى الهيئة طبقا للإجراءات المنصوص عليها بالتشريع المتعلق بحماية المعطيات الشخصية، ويدرج بملف مطلب الترخيص الموجه للبنك المركزي التونسي نسخة من وصل تقديم التصريح.

يصدر البنك المركزي التونسي قراره في شأن مطلب الترخيص في أجل أقصاه أربعة أشهر من تاريخ استيفاء جميع الإرشادات والوثائق المطلوبة.

الفصل 9 – لا يمكن لشركات الاستعلام الائتماني ممارسة نشاطها إلاّ بعد الحصول على الترخيص وفقا لأحكام هذا المرسوم ويتعين أن يقتصر نشاطها على الأعمال المحددّة بهذا المرسوم.

الفصل 10 – تتخذ شركات الاستعلام الائتماني شكل شركات خفية الاسم تونسية الجنسية. ولا يمكن أن يقلّ رأسمالها عن ثلاثة (3) ملايين دينار تحرّر بالكامل عند الاكتتاب.

الفصل 11 – لا يمكن لأي كان أن يشغل وظيفة رئيس أو عضو مجلس إدارة أو مدير عام أو مدير عام مساعد أو رئيس أو عضو هيئة إدارة جماعية أو رئيس أو عضو مجلس مراقبة بشركات الاستعلام الائتماني أو يلتزم باسمها إذا كان:

قد صدر ضدّه حكم بات بالإفلاس،
قد صدر في شأنه حكم بات من أجل ارتكاب التزوير بالكتابات أو السرقة أو خيانة مؤتمن أو التحيل أو الاستيلاء على أموال أو قيم الغير أو الاختلاس المرتكب من طرف مؤتمن عمومي أو الرشوة أو التهرب الجبائي أو إصدار شيك بدون رصيد أو إخفاء أشياء وقع الحصول عليها بواسطة هذه المخالفات أو مخالفة التراتيب الخاصة بالصرف أو التشريع المتعلق بمكافحة غسل الأموال وتمويل الإرهاب،
مسيرا أو وكيلا لشركات صدر ضده حكم بمقتضى أحكام المجلة الجزائية المتعلقة بالإفلاس،
قد تم منعه بمقتضى عقوبة من ممارسة نشاط مهني منظم بإطار تشريعي أو ترتيبي.

القسم الثاني – في ممارسة النشاط

الفصل 12 – تتولى شركات الاستعلام الائتماني الحصول على المعلومات الائتمانية وإسداء خدماتها في إطار اتفاقيات كتابية تبرم بصورة مسبقة بين مزودي المعلومات الآتي ذكرهم وشركة الاستعلام الائتماني:

البنوك،
المؤسّسات المالية،
شركات استخلاص الديون،
التجّار الذين يتعاطون البيوعات بالتقسيط،
مؤسّسات التمويل الصغير،
مؤسّسات التأمين،
المؤسّسات والمنشآت والإدارات التي تسدي خدمات للعموم،
أي شركة استعلام ائتماني مرخصة لها وفق أحكام هذا المرسوم،

يجب أن تحترم الاتفاقية أحكام هذا المرسوم والتشريع المتعلق بالمنافسة والأسعار وأن تضبط المقابل المالي للخدمات المسداة من قبل شركة الاستعلام الائتماني بوضوح.

الفصل 13 – يتعيّن على مزودي المعلومات المشار إليهم بالفصل 12 من هذا المرسوم إعلام الشخص المعني بالغاية من معالجة المعلومات الائتمانية والحصول على موافقته الصريحة والمسبقة، وذلك بأي وسيلة تترك أثرا كتابيا قبل إحالة المعلومات الائتمانية الخاصة به إلى شركة الاستعلام الائتماني.

الفصل 14 – يحجّر على أعضاء مجلس إدارة شركات الاستعلام الائتماني أو مسيريها أو مراقبيها أو مستخدميها أو أعضاء مجلس المراقبة أو أعضاء هيئة الإدارة الجماعية أو المتعاملين معها إفشاء الأسرار التي اطلعوا عليها أثناء قيامهم بوظيفتهم باستثناء الحالات المرخص فيها بمقتضى القانون.

وتنطبق أحكام الفصل 254 من المجلة الجزائية على كل من قام بإفشاء تلك الأسرار.

الفصل 15 – يُحجّر على شركات الاستعلام الائتماني إصدار توصيات أو إبداء رأي حول مدى إمكانيّة منح التمويل من عدمه.

ظكط للشخص المعني الحق في الاعتراض على معالجة معطياته والمعلومات الائتمانية الخاصة به، كما له الحق في النفاذ إليها وطلب تحيينها أو إعدامها طبقا للتشريع المتعلق بحماية المعطيات الشخصية.

يمكن للهيئة في إطار الاختصاص المخوّل لها بالتشريع المتعلق بحماية المعطيات الشخصية، تقبل شكاوى في الغرض من قبل الأشخاص المعنيين بالمعالجة. وتعلم الهيئة البنك المركزي التونسي بمآل الشكوى.

الفصل 17 – مع مراعاة أحكام الفصل 23 من هذا المرسوم يحجر على شركات الاستعلام الائتماني الإفصاح عن أي معلومة ائتمانية أو تقرير ائتماني إلا لفائدة مزودي المعلومات الذين تربطها بهم اتفاقية على معنى الفصل 12 من هذا المرسوم ووفقا للغايات المحددة به.

الفصل 18 – يحجر على شركات الاستعلام الائتماني اللجوء إلى المناولة في كل ما يتعلق بمجالات نشاطها.

القسم الثالث – في الرقابة

الفصل 19 – تخضع شركات الاستعلام الائتماني لرقابة ميدانية ورقابة على الوثائق يجريها أعوان البنك المركزي التونسي.

كما تخضع لرقابة على النظم المعلوماتية من قبل الوكالة الوطنية للسلامة المعلوماتيّة ويتعين على الوكالة إعلام البنك المركزي التونسي فورا بكل ما تعاينه من مخالفات بأية وسيلة تترك أثرا كتابيا.

كما تخضع شركات الاستعلام الائتماني للرقابة على معالجة المعطيات الشخصية من قبل الهيئة. ويمكن للهيئة إذا ثبت أن الشركة قد أخلّت بالواجبات القانونية المحمولة عليها في مجال معالجة المعطيات الشخصية أن تقرر منع المعالجة وإعلام البنك المركزي التونسي بقرارها.

ولا يمكن معارضة البنك المركزي التونسي أو أعوانه المكلفين بالرقابة بالسرّ المهني.

الفصل 20 – على شركات الاستعلام الائتماني الحصول على الموافقة المسبقة للبنك المركزي التونسي في الحالات التالية:

كل عملية اقتناء بطريقة مباشرة أو غير مباشرة لحصص من رأسمالها أو من حقوق الاقتراع من قبل شخص أو مجموعة من الأشخاص مرتبطين بتحالف معلن أو منتمين لنفس التجمع على معنى مجلة الشركات التجارية يؤدي إلى التحكم فيه، وفي جميع الحالات كل عملية تفضي إلى امتلاك العشر أو الخمس أو الثلث أو النصف أو الثلثين من حقوق الاقتراع.

ويعتبر سكوت البنك المركزي التونسي لمدة شهر ابتداء من تاريخ الإعلام موافقة عليها. ويمكن للبنك المركزي التونسي في أجل شهر من تاريخ إعلامه الاعتراض على العملية. ويكون الاعتراض في هذه الحالة معللا.

وتعلق وجوبا حقوق الاقتراع وحق التمتع بالأرباح المرتبطة بالمساهمة التي تم اقتناؤها دون الحصول على الموافقة المسبقة للبنك المركزي التونسي.

ويعتبر لاغيا كل تحالف لم يحصل على الموافقة المذكورة.

كلّ تغيير جوهري على المنظومة المعلوماتية.
عملية اندماج أو مسك مساهمة في شركة أخرى يؤدي إلى التحكّم فيها.
انحلال الشركة.

كما يتعين على شركات الاستعلام الائتماني إعلام البنك المركزي التونسي في الحالات التالية:

كلّ تغيير في النظام الأساسي للشركة.
فتح فروع ومكاتب تمثيل.

الباب الثالث – في الواجبات المحمولة على شركات الاستعلام الائتمانيفي إطار تبادل المعلومات الائتمانية

الفصل 21 – يحجر على شركات الاستعلام الائتماني أن تقوم بنقل قواعد البيانات أو تركيز مواقع لحماية المعطيات والمعلومات التي تتحصّل عليها خارج البلاد التونسية.

ويحجر على شركات الاستعلام الائتماني اللجوء إلى الإيواء السحابي للمعلومات الائتمانية.

الفصل 22 – تلتزم شركات الاستعلام الائتماني بوضع نظام معلوماتي لجمع وحفظ المعلومات الائتمانية يضمن سرية وسلامة وحماية وصحة المعلومات التي تحصل عليها لممارسة نشاطها تتم المصادقة عليه من قبل الوكالة الوطنية للسلامة المعلوماتية.

الفصل 23 – لا يمكن لشركات الاستعلام الائتماني أن تصدر التقارير الائتمانية إلاّ في الحالات التالية:

تقييم الملاءة المالية للمعني بالأمر في إطار إسناد قروض أو تمويلات أو استخلاص ديون أو بيع بالتقسيط أو منح تسهيلات في الدفع.
تسهيل أعمال سلطات الرقابة على القطاع المصرفي والمالي.
بطلب من المعني بالأمر.

ويحجر استغلال المعلومات الائتمانية أو التقارير الائتمانية لأغراض أخرى غير تلك المنصوص عليها بهذا الفصل.

الفصل 24 – لا تتم إحالة المعلومات الائتمانية والتقارير الائتمانية إلاّ عبر الوسائل والأجهزة الإلكترونية والنظم وشبكات الاتصالات التي تضمن شروط سرية المعطيات وسلامتها وصحتها وحمايتها.

الفصل 25 – يجب على شركات الاستعلام الائتماني إجراء تدقيق دوري مرّة على الأقل كل سنة لسلامة نظمها المعلوماتية وإعلام البنك المركزي التونسي والوكالة الوطنية للسلامة المعلوماتية والهيئة كتابيا بذلك.

الفصل 26 – تلتزم شركات الاستعلام الائتماني بوضع وتطبيق إجراءات لحماية وضمان سلامة أنظمتها وقواعد معطياتها من أي دخول على أنظمة معلوماتها أو أي تعديل على هذه المعلومات.

كما يتعين عليها وضع خطة طوارئ مصادق عليها من قبل مجلس إدارتها أو مجلس مراقبتها لمجابهة أي عمليات اختراق لأنظمتها المعلوماتية.

ويجب على شركات الاستعلام الائتماني إعلام البنك المركزي التونسي والوكالة الوطنية للسلامة المعلوماتية والهيئة فورا بالهجمات والاختراقات وغيرها من الاضطرابات حتى يتسنى اتخاذ الإجراءات الكفيلة بالتصدي لها. وتقرر الهيئة إذا كان من الواجب إعلام الأشخاص المعنيين بذلك.

ويتحتم على الشركات الامتثال للتدابير المقرّرة لوضع حدّ لهذه الاضطرابات.

الفصل 27 – تلتزم شركات الاستعلام الائتماني بوضع دليل إجراءات وقواعد عمل تتم المصادقة عليه من قبل مجلس إدارتها أو مجلس مراقبتها وتتم مراجعته سنويا.

الفصل 28 – يجب على شركات الاستعلام الائتماني أن:

تضع نظاما للأرشيف يضمن حفظ المعلومات لمدّة خمس (5) سنوات على الأقلّ.
تضع نظاما ملائما للرقابة الداخلية يستجيب لخصوصيات نشاطها.
تضع نظاما ملائما للسلامة المعلوماتية.
تضبط مخططا يتعلق بسبل ضمان تواصل أنشطتها ومعالجة المخاطر التشغيلية يتم تحيينه سنويا مرّة على الأقلّ.
تضبط خطة للتصرف في المخاطر.
تخضع لتدقيق سنوي للامتثال من قبل مكتب خارجي مستقل يتعلّق خاصة بالجوانب الترتيبية والتقنية والعملياتية لأنشطتها.
تمدّ البنك المركزي التونسي والوزارة المكلفة بالمالية والهيئة بتقرير سنوي للامتثال.

الباب الرابع – في العقوبات وسحب الترخيص

الفصل 29 – بصرف النظر عن العقوبات المنصوص عليها بالقوانين الجاري بها العمل، لمحافظ البنك المركزي التونسي أن يسلّط عقوبات إذا ما تمّت معاينة أي إخلال بالواجبات المهنية أو كذلك فيما يتعلّق بشروط سلامة المنظومة المعلوماتية من قبل شركات الاستعلام الائتماني وذلك بعد التنبيه عليها بأيّة وسيلة تترك أثرا كتابيا.

وبانقضاء أجل ستين (60) يوما دون تسوية، لمحافظ البنك المركزي التونسي تسليط إحدى العقوبات التالية على أساس محضر ممضى من قبل مراقبين اثنين على الأقل يُذكر فيه خاصة تاريخه وأسباب تسليط العقوبة:

خطية تتراوح بين عشرة (10) آلاف دينار وخمسين (50) ألف دينار،
تعليق النشاط لمدة ثلاثة (3) أشهر،
سحب الترخيص.
- عدم مباشرة النشاط في أجل أقصاه سنة من تاريخ الإعلام بالترخيص.

يستدعى المخالف، قبل ضبط الصيغة النهائية للمحضر، بواسطة مكتوب مضمون الوصول مع الإعلام بالبلوغ موجه لمقره الأصلي أو المختار لتقديم أقواله.

وعلى المخالف في صورة حضوره إمضاء المحضر. وفي صورة الرفض يتم التنصيص على ذلك بالمحضر وتسلم نسخة من المحضر للمخالف.

وفي صورة رفض المخالف الحضور أو الإمضاء، تبلغ له نسخة منه بواسطة مكتوب مضمون الوصول مع الإعلام بالبلوغ.

وتسلط الخطايا من قبل محافظ البنك المركزي بعد استدعاء المخالف لسماعه. ويضمّن ما جاء في جلسة السماع بالمحضر. وللمخالف أن يوكّل محام أو من يمثّله طبق القانون.

وتستخلص الخطايا لفائدة الخزينة العامة للبلاد التونسية بواسطة بطاقة إلزام يصدرها ويكسيها بالصبغة التنفيذية الوزير المكلف بالمالية أو من فوض له الوزير المكلف بالمالية في ذلك طبق الإجراءات الواردة بمجلة المحاسبة العمومية.

الفصل 30 – علاوة على حالات سحب الترخيص المنصوص عليها بالفصل 29 من هذا المرسوم، يسحب الترخيص بمقتضى قرار صادر عن البنك المركزي التونسي بعد أخذ رأي الهيئة في الحالات التالية:

الانقطاع عن ممارسة النشاط منذ ستة أشهر.
بطلب من صاحب الترخيص.

الفصل 31 – في صورة سحب الترخيص يتم إعدام البيانات التي بحوزة شركات الاستعلام الائتماني وفقا لإجراءات تضبط بين البنك المركزي التونسي والهيئة.

الفصل 32 – يتمّ الاعتراض على عقوبة سحب الترخيص المنصوص عليها بالفصل 29 من هذا المرسوم أمام المحكمة الإدارية وفق إجراءات القضاء الاستعجالي في أجل أقصاه ثلاثون (30) يوما من تاريخ تبليغ القرار.

الباب الخامس – أحكام انتقالية

الفصل 33 – يتعين على الشركات التي تمارس نشاط الاستعلام الائتماني في تاريخ نشر هذا المرسوم بالرائد الرسمي للجمهورية التونسية تسوية وضعيتها طبقا لأحكام هذا المرسوم في أجل أقصاه سنة من تاريخ نشره بالرائد الرسمي للجمهورية التونسية.

الفصل 34 – ينشر هذا المرسوم بالرائد الرسمي للجمهورية التونسية.

تونس في 4 جانفي 2022.

Décret-loi n° 2022-2 du 4 janvier 2022, portant organisation de l’activité du renseignement de crédit

Le Président de la République,

Vu la Constitution,

Vu le décret Présidentiel n° 2021-117 du 22 septembre 2021, relatif aux mesures exceptionnelles,

Après délibération du Conseil des ministres.

Prend le décret-loi dont la teneur suit :

Chapitre premier – Dispositions générales

Article premier – Le présent décret-loi a pour objet de réglementer la création de sociétés d’information sur le crédit et l’exercice de leur activité et de fixer les règles d’échange d’informations sur le crédit afin de renforcer leur qualité en vue de contribuer à l’amélioration de l’inclusion financière.

Art. 2 – Les sociétés d’information sur le crédit sont régies, en ce qui concerne leur création et l’exercice de leur activité par les dispositions du présent décret-loi et la législation relative à la protection de données à caractère personnel.

Art. 3 – Au sens du présent décret-loi, on entend par :

Informations sur le crédit : les informations relatives aux engagements financiers des personnes physiques et morales portant sur les montants des dettes, les délais de leur exigibilité et les impayés et toutes les informations qui y sont inhérentes.
Sociétés d’information sur le crédit : les sociétés dont l’activité consiste à traiter les informations sur le crédit sur les personnes physiques et morales, en vue d’évaluer leurs capacités à honorer leurs engagements financiers et à offrir des services connexes selon les conditions fixées par le présent décret-loi.
Rapport de crédit : Un rapport émis par une société d’information sur le crédit sur papier ou support électronique renfermant les informations sur le crédit de la personne concernée et des renseignements sur sa capacité à honorer ses engagements financiers.
Fournisseurs d’information : Les parties et organismes mentionnées à l’article 12 du présent décret-loi ayant une relation contractuelle avec la société d’information sur le crédit par une convention de fourniture d’information sur le crédit.
Instance : L’Instance nationale de protection des données à caractère personnel créée en vertu de la loi organique n°2004-63 du 27 juillet 2004 portant sur la protection des données à caractère personnel.
Personne concernée : toute personne physique ou morale dont les informations sont communiquées aux sociétés d’information sur le crédit conformément aux dispositions du présent décret-loi.
Actionnaire de référence : tout actionnaire ou tout pacte d’actionnaires en vertu d’une convention expresse, qui détient d’une manière directe ou indirecte une part du capital d’une société d’information sur le crédit lui conférant la majorité des droits de vote ou lui permettant de la contrôler.

Art. 4 –Les informations se rapportant aux informations sur le crédit, mentionnées à l’article 3 du présent décret-loi sont fixées par une circulaire de la Banque centrale de Tunisie après avis de l’Instance.

Chapitre II – Des sociétés d’information sur le crédit

Section première – De l’agrément de l’exercice de l’activité du renseignement de crédit

Art. 5 – Les sociétés d’information sur le crédit sont créées conformément aux conditions et procédures prévues par le présent décret-loi et sont régies par le code des sociétés commerciales dans la mesure où il n'y est pas dérogé par le présent décret-loi.

Art. 6 – La création des sociétés d’information sur le crédit est soumise à un agrément de la Banque centrale de Tunisie, et ce après obtention de requérant de l’agrément d’une autorisation de l’Instance après la déclaration préalable de traitement des données. La Banque centrale de Tunisie ne peut accorder l’agrément en l’absence d’acceptation par l’Instance du traitement des données à caractère personnel.

Art. 7 – L'agrément est accordé compte tenu :

du programme d'activité de la société,
de la qualité des apporteurs de capitaux notamment l’actionnaire de référence et les actionnaires qui détiennent au moins 10% du capital,
des moyens techniques et du système d’information à mettre en œuvre pour la collecte et la sauvegarde des informations sur le crédit,
de l'honorabilité des dirigeants et du degré de satisfaction des conditions relatives aux compétences académiques et professionnelles en rapport avec les missions qui leurs sont dévolues,
du système de gouvernance, du contrôle interne et la conformité en adéquation avec les activités à exercer,
La mise en place de procédures écrites justifiant la possibilité de recueillir le consentement des personnes physiques concernées pour la communication de leurs données à caractère personnel à la société conformément aux dispositions de la législation relative à la protection des données à caractère personnel et l’accord des personnes morales pour le traitement de leurs données,
de la prise de toutes les diligences nécessaires pour la protection de l’intégrité des données et interdire à une tierce personne de les modifier ou de les endommager ou de les consulter sans autorisation préalable de leur titulaire ainsi que les précautions nécessaires pour prévenir les pénétrations et les cyberattaques sur le système d'information.

La Banque centrale de Tunisie fixe, en vertu d'une circulaire, les modalités de demande d'agrément ainsi que les documents et les données à fournir.

Art. 8 – La demande d’agrément est adressée à la Banque centrale de Tunisie qui procède à son examen. Elle peut demander au requérant de l’agrément dans un délai d’un mois à compter de la présentation de la demande, tous renseignements et documents nécessaires complémentaires pour l’étude de dossier.

Le requérant de l’agrément doit joindre à sa demande un justificatif attestant de la non-objection de l’Instance concernant la déclaration préalable pour le traitement des données à caractère personnel.

Est réputée non avenue toute demande d’agrément n’ayant pas satisfait les renseignements et documents requis dans un délai de trois (3) mois à compter de la date de leur demande de la Banque centrale de Tunisie.

Le requérant de l’agrément doit procéder à une déclaration préalable pour le traitement des données à caractère personnel auprès de l’Instance conformément aux procédures prévues par la législation relative à la protection des données à caractère personnel. Une copie du récépissé de dépôt de la déclaration est consignée dans le dossier de la demande d’agrément adressée à la Banque centrale de Tunisie.

La décision d’agrément est prise dans un délai de quatre mois à compter de la date de communication de tous les renseignements demandés.

Art. 9 – Les sociétés d’information sur le crédit ne peuvent exercer leur activité qu’après obtention de l’agrément conformément aux dispositions du présent décret-loi. Leur activité doit se limiter aux opérations définies par le présent décret-loi.

Art. 10 – Les sociétés d’information sur le crédit revêtent la forme d’une société anonyme de nationalité tunisienne. Le capital minimum ne peut être inférieur à trois (3) millions de dinars à libérer entièrement à la souscription.

Art. 11 – Nul ne peut occuper la fonction de président ou de membre du conseil d’administration ou du directeur général ou du directeur général adjoint ou du président ou d’un membre du directoire ou du président ou membre du conseil de surveillance d’une société d’information sur le crédit ou s’engager en son nom:

S'il tombe sous le coup d'un jugement définitif de faillite,
S'il tombe sous le coup d’un jugement définitif pour faux en écriture, pour vol, pour abus de confiance, pour escroquerie pour extorsion de fonds ou valeurs d'autrui, pour soustraction commise par dépositaire public, pour corruption ou évasion fiscale, pour émission de chèque sans provision, pour recel des choses obtenues à l'aide de ces infractions ou pour infraction à la réglementation des changes ou à la législation relative à la lutte contre le blanchiment d’argent et le financement du terrorisme ;
S'il a été gérant ou mandataire de sociétés, condamné en vertu des dispositions du code pénal relatives à la banqueroute ;
S’il a fait l’objet d’une sanction de radiation dans l’exercice d’une activité professionnelle réglementée par un cadre législatif ou réglementaire.

Section 2 – De l’exercice de l’activité

Art. 12 – Les sociétés d’information sur le crédit procèdent à la collecte des informations sur le crédit et à la prestation de leurs services dans le cadre de conventions écrites établies, préalablement, entre les fournisseurs d’informations ci-dessous mentionnés et la société d’information sur le crédit :

Les banques,
Les établissements financiers,
Les sociétés de recouvrement des créances,
Les commerçants s’adonnant aux ventes avec facilités de paiement,
Les institutions de microfinance,
Les compagnies d’assurance,
Les entreprises, les établissements et les administrations fournissant des prestations de services au public,
Toute autre société d’information sur le crédit, agréée conformément aux dispositions du présent décret-loi.

La convention doit être conforme aux dispositions du présent décret-loi et à la législation relative à la concurrence et aux prix et doit fixer clairement la facturation des services fournis par les sociétés d’information sur le crédit.

Art. 13 – Les fournisseurs d’information mentionnés à l’article 12 sont tenus d’informer la personne concernée de la finalité du traitement des informations sur le crédit et d’obtenir son consentement explicite et au préalable, et ce par tout moyen laissant une trace écrite avant la communication de ses informations sur le crédit à la société d’information sur le crédit.

Art. 14 – Il est interdit aux membres du conseil d’administration des sociétés d’information sur le crédit ou à leurs dirigeants ou contrôleurs ou employés ou membres du conseil de surveillance ou membres du directoire ou usagers de divulguer les secrets dont ils ont pris connaissance au cours de leur mission, sauf dans les cas autorisés par la loi.

Les dispositions de l’article 254 du code pénal sont applicables à quiconque ayant divulgué ces secrets.

Art. 15 – Il est interdit aux sociétés d’information sur le crédit de formuler des recommandations ou d’exprimer une opinion sur l’octroi ou le non-octroi de financement.

Art. 16 – La personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel et des informations sur le crédit le concernant, elle a également le droit d’y accéder, de demander leur actualisation ou radiation conformément à la législation relative à la protection des données à caractère personnel.

L’Instance peut, dans le cadre des compétences qui lui sont dévolues en vertu de la législation relative à la protection des données à caractère personnel, recevoir des plaintes à cet effet émanant des personnes concernées par le traitement. L’Instance informe la Banque centrale de Tunisie du sort réservé à la plainte.

Art. 17 – Sous réserve des dispositions de l’article 23 du présent décret-loi, il est interdit aux sociétés d’information sur le crédit de divulguer toute information sur le crédit ou rapport sur le crédit sauf aux fournisseurs d’information liés avec la société en vertu d’une convention au sens de l’article 12 du présent décret-loi et conformément aux finalités définies par le présent décret-loi.

Art. 18 – Les sociétés d’information sur le crédit ne peuvent recourir à la sous-traitance de tout ce qui a trait à leurs domaines d’activité.

Section 3 – Du contrôle

Art. 19 – Les sociétés d’information sur le crédit sont soumises à un contrôle sur place et à un contrôle sur pièces effectués par des agents de la Banque centrale de Tunisie.

Elles sont soumises à un contrôle de leurs systèmes d’information par l’Agence nationale de la sécurité informatique, qui est tenue d’informer la Banque centrale de Tunisie de toute infraction constatée par tout moyen laissant une trace écrite.

Les sociétés d’information sur le crédit sont soumises, au titre du traitement des données à caractère personnel, au contrôle de l’Instance. L’Instance peut décider l’interdiction du traitement des données s’il est établi que la société a manqué à ses obligations légales en matière de traitement des données à caractère personnel et en informe la Banque centrale de Tunisie de sa décision.

Le secret professionnel n’est pas opposable à la Banque centrale de Tunisie ou à ses agents en charge du contrôle.

Art. 20 – Les sociétés d’information sur le crédit doivent obtenir l’autorisation préalable de la Banque centrale de Tunisie dans les cas suivants :

Toute acquisition, directement ou indirectement, de parts du capital d’une société d’information sur le crédit ou des droits de vote, par une personne ou par un groupe de personnes liées par une action de concert explicite ou appartenant à un même groupe au sens du code des sociétés commerciales, susceptible d’entraîner le contrôle de la société d’information sur le crédit et, dans tous les cas, toute opération dont il résulte l’acquisition du dixième, du cinquième, du tiers, de la moitié ou des deux tiers des droits de vote.

Le silence de la Banque centrale de Tunisie durant un mois à compter de la date de notification vaut acceptation. La Banque centrale de Tunisie peut, s’opposer à ladite acquisition dans le délai d’un mois à compter de la date de sa notification. Dans ce cas, la décision d’opposition doit être motivée.

Sont suspendus d’office, les droits de vote et le droit d’avoir part aux bénéfices, liés à des participations acquises sans avoir obtenu l’autorisation requise.

Est considérée nulle et non avenue, toute action de concert n'ayant pas obtenu ladite autorisation ;

tout changement fondamental affectant le système d’informations ;
toute opération de fusion ou prise de participation dans une autre société entrainant le contrôle de celle-ci ;
la dissolution de la société.
Les sociétés d’information sur le crédit sont tenues d’informer la Banque centrale de Tunisie de :
toute modification du statut de la société ;
l’ouverture d’agences ou de bureaux de représentation.

Chapitre III – Des obligations des sociétés d’information sur le crédit dans le cadre d’échange d’informations sur le crédit

Art. 21 – Les sociétés d’information sur le crédit ne peuvent transférer les bases de données ou de mettre en place de sites pour la protection des données et renseignements mises à leur disposition en dehors de la Tunisie.

Il est interdit aux sociétés d’information sur le crédit l’hébergement dans le cloud des informations sur le crédit.

Art. 22 - Les sociétés d’information sur le crédit s’engagent à mettre en place un système d’information approuvé par l’Agence nationale de la sécurité informatique, pour la collecte et la sauvegarde des informations sur le crédit garantissant la confidentialité, la sécurité, la protection et la fiabilité des informations à leur disposition pour l’exercice de leur activité.

Art. 23 – Les sociétés d’information sur le crédit peuvent émettre des rapports de crédit dans les cas suivants :

l’évaluation de la solvabilité de la personne concernée dans le cadre d’octroi de crédit ou de financement ou de recouvrement des créances ou de vente par facilité ou d’octroi de facilités de paiement.
-la facilitation des travaux des autorités de contrôle du secteur bancaire et financier.
sur demande de la personne concernée.

Il est interdit d’exploiter les informations sur le crédit ou les rapports sur le crédit à des fins autres que celles mentionnées au présent article.

Art. 24 – La communication des informations sur le crédit et des rapports sur le crédit ne peut se faire que par les moyens et les appareils électroniques et les réseaux de télécommunications garantissant les conditions de confidentialité, d’intégrité, d’authenticité et de protection des données.

Art. 25 – Les sociétés d’information sur le crédit sont tenues de procéder à un audit périodique de sécurité de leurs systèmes d’information au moins une fois par an et d’en informer la Banque centrale de Tunisie, l’Agence nationale de sécurité informatique et l’Instance par écrit.

Art. 26 – Les sociétés d’information sur le crédit s’engagent à mettre en place et appliquer des procédures garantissant la protection et la sécurité de leurs systèmes et bases de données de tout accès à ses systèmes d’information ou modification de ces renseignements.

Les sociétés d’information sur le crédit sont tenues de mettre en place un plan de secours approuvé par leurs conseils d’administration ou de surveillance pour faire face à toute opération d’infiltration à leurs systèmes d’information.

Elles sont tenues d’informer la Banque centrale de Tunisie et l’Agence nationale de sécurité informatique de toutes infiltrations et autres perturbations afin de prendre les mesures nécessaires pour y faire face. L’Instance décide s’il y a lieu d’informer les personnes concernées.

Les sociétés d’information sur le crédit sont tenues de se conformer aux mesures prescrites pour mettre fin à ces perturbations.

Art. 27 – Les sociétés d’information sur le crédit s’engagent à mettre en place un manuel de procédures et des règles de fonctionnement, approuvé par leurs conseils d’administration ou de surveillance et mis à jour annuellement.

Art. 28 – Les sociétés d’information sur le crédit sont tenues de :

mettre en place un système d’archivage garantissant la sauvegarde des informations pour une durée de cinq (5) ans au moins ;
mettre en place un système adéquat de contrôle interne adapté aux spécificités de leurs activités ;
mettre en place un système adéquat de sécurité informatique ;
fixer un plan de continuité d’activités et de traitement des risques opérationnels mis à jour, annuellement, une fois par an au moins ;
fixer un plan pour la gestion des risques ;
se soumettre à un audit annuel de conformité par un cabinet externe indépendant ayant trait aux aspects réglementaires, techniques et opérationnels de leurs activités ;
soumettre un rapport annuel de conformité à la Banque centrale de Tunisie, au ministère chargé des finances et à l’Instance.

Chapitre IV – Des sanctions et retrait d’agrément

Art. 29 – Nonobstant les sanctions prévues par les lois en vigueur, le Gouverneur de la Banque centrale de Tunisie peut infliger des sanctions s’il y a eu lieu constatation de tout manquement aux obligations professionnelles et aux conditions de sécurité des systèmes d’information par les sociétés d’information sur le crédit et ce après mise en demeure de ces sociétés par tout moyen laissant une trace écrite.

Passé un délai maximum de soixante (60) jours sans régularisation, le Gouverneur de la Banque centrale de Tunisie peut infliger l’une des sanctions suivantes sur la base d’un procès verbal signé au moins par deux contrôleurs et mentionnant notamment la date et les causes de la sanction :

Une amende comprise entre dix (10) mille et cinquante (50) mille dinars,
La suspension de l’activité pour une période de trois (3) mois,
Le retrait d’agrément.

Le contrevenant doit être convoqué, avant l’établissement de la version définitive du procès-verbal, par lettre recommandée avec accusé de réception à son domicile d’origine ou élu en vue de présenter ses déclarations.

En cas de présence, le contrevenant est tenu de signer le procès verbal. En cas de refus de signature, ceci est consigné au procès-verbal dont une copie est remise au contrevenant.

Au cas où il refuse d’assister ou de signer, une copie du procès-verbal lui est adressée par lettre recommandée avec accusé de réception.

Les amendes sont infligées par le Gouverneur de la Banque centrale de Tunisie après convocation du contrevenant en vue de son audition. Le contrevenant peut se faire assister, conformément à la loi, par un avocat ou de tout autre représentant.

Les amendes sont recouvrées au profit du trésor public au moyen d’un état de liquidation émis et rendu exécutoire par le ministre chargé des finances ou son mandataire et ce conformément aux dispositions du code de la comptabilité publique.

Art. 30 – Outre les cas de retrait d’agrément mentionnés à l'article 29 du présent décret-loi, l'agrément est retiré par décision de la Banque centrale de Tunisie après avis de l’Instance dans les cas suivants :

ne pas entamer l’activité dans un délai maximum d’un an à compter de la date de notification de l’agrément.
la cessation d’activité depuis six mois.
sur demande du titulaire de l’agrément.

Art. 31 – En cas de retrait d’agrément, les données détenues par les sociétés d’information sur le crédit sont détruites selon des procédures fixées par la Banque centrale de Tunisie et l’Instance.

Art. 32 – Le recours contre la sanction de retrait d’agrément mentionnée à l’article 29 du présent décret-loi est présenté devant le Tribunal administratif, selon les procédures relatives à la justice en référé dans un délai maximum de trente (30) jours à compter de la date de notification de la décision.

Chapitre V – Dispositions transitoires

Art. 33 – Les sociétés, exerçant l’activité de renseignement de crédit à la date de publication du présent décret-loi au Journal officiel de la République tunisienne, sont tenues de régulariser leur situation conformément aux dispositions du présent décret-loi dans un délai maximum d’un an à compter de la date de sa publication au Journal officiel de la République tunisienne.

Art. 34 – Le présent décret-loi sera publié au Journal officiel de la République tunisienne.

Tunis, le 4 janvier 2022.