احدث القوانين

>

ج. حماية المعطيات الشخصية

قانون أساسي عدد 63 لسنة 2004 مؤرخ في 27 جويلية 2004 يتعلق بحماية المعطيات الشخصية

باسم الشعب،

وبعد موافقة مجلس النواب،

يصدر رئيس الجمهورية القانون الأساسي الآتي نصه

الباب الأول – أحكام عامة

الفصل الأول – لكل شخص الحق في حماية المعطيات الشخصية المتعلقة بحياته الخاصة باعتبارها من الحقوق الأساسية المضمونة بالدستور. ولا يمكن أن تقع معالجتها إلا في إطار الشفافية والأمانة واحترام كرامة الإنسان ووفقا لمقتضيات هذا القانون.

الفصل 2 – ينطبق هذا القانون على المعالجة الآلية وغير الآلية للمعطيات الشخصية سواء تمت من الأشخاص الطبيعيين أو من الأشخاص المعنويين.

الفصل 3 – لا ينطبق هذا القانون على معالجة المعطيات الشخصية لغايات لا تتجاوز الاستعمال الشخصي أو العائلي بشرط عدم إحالتها إلى الغير.

الفصل 4 – تعتبر معطيات شخصية على معنى هذا القانون كل البيانات مهما كان مصدرها أو شكلها والتي تجعل شخصا طبيعيا معرّفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة باستثناء المعلومات المتصلة بالحياة العامة أو المعتبرة كذلك قانونا.

الفصل 5 – يعد قابلا للتعريف الشخص الطبيعي الذي يمكن التعرّف عليه بصورة مباشرة أو غير مباشرة من خلال مجموعة من المعطيات أو الرموز المتعلقة خاصة بهويته أو بخصائصه الجسمية أو الفيزيولوجية أو الجينية أو النفسية أو الاجتماعية أو الاقتصادية أو الثقافية.

الفصل 6 – يقصد في مفهوم هذا القانون بـ:

– معالجة المعطيات الشخصية : العمليات المنجزة سواء بطريقة آلية أو يدوية من شخص طبيعي أو معنوي والتي تهدف خاصة إلى جمع معطيات شخصية أو تسجيلها أو حفظها أو تنظيمها أو تغييرها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو إتلافها أو الاطلاع عليها وكذلك جميع العمليات المتعلقة باستغلال قواعد البيانات أو الفهارس أو السجلات أو البطاقات أو بالربط البيني،

– البطاقة: مجموعة من المعطيات الشخصية المنظمة والمجمعة والتي يمكن النفاذ إليها وفق معايير محددة وتمكن من التعرّف على شخص معيّن،

– المعني بالأمر : كل شخص طبيعي تكون معطياته الشخصية موضوع معالجة،

– المسؤول عن المعالجة : كل شخص طبيعي أو معنوي يحدّد أهداف معالجة المعطيات الشخصية وطرقها،

– الغير : كل شخص طبيعي أو معنوي أو السلطة العمومية والتابعين لهم باستثناء الشخص المعني بالأمر والمستفيد، والمسؤول عن المعالجة والمناول والتابعين لهم،

– المناول : كل شخص طبيعي أو معنوي يقوم بمعالجة المعطيات الشخصية لحساب المسؤول عن المعالجة،

– الهيئة : الهيئة الوطنية لحماية المعطيات الشخصية،

– الإحالة : إعطاء المعطيات الشخصية أو تسليمها أو إبلاغها بأي شكل من الأشكال وبأي وسيلة من الوسائل إلى شخص أو عدّة أشخاص باستثناء المعني بالأمر،

– الربط البيني : إقامة ترابط مع معطيات مدرجة في سجل أو سجلات يمسكها مسؤول أو مسؤولون آخرون،

– المستفيد : كل شخص طبيعي أو معنوي يتلقى معطيات شخصية.

الباب الثاني – شروط معالجة المعطيات الشخصية

القسم الأول – في الإجراءات الأولية لمعالجة المعطيات الشخصية

الفصل 7 – تخضع كل عملية معالجة معطيات شخصية لتصريح مسبق يودع بمقر الهيئة الوطنية لحماية المعطيات الشخصية مقابل وصل أو بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو بأي وسيلة أخرى تترك أثرا كتابيا.

ويقدم التصريح من قبل المسؤول عن المعالجة أو ممثله القانوني.

ولا يعفي التصريح من المسؤولية إزاء الغير.

وتضبط شروط تقديم التصريح وإجراءاته بأمر.

ويعتبر عدم اعتراض الهيئة على معالجة المعطيات الشخصية في أجل شهر بداية من تاريخ تقديم التصريح قبولا.

الفصل 8 – في الحالات التي يقتضي فيها هذا القانون الحصول على ترخيص من الهيئة لمعالجة المعطيات الشخصية يجب أن يتضمن طلب الترخيص خاصة البيانات التالية:

– اسم المسؤول عن معالجة المعطيات الشخصية ولقبه ومقرّه، وإن كان شخصا معنويا فتسميته ومقره الاجتماعيين وهوية ممثله القانوني،

– هوية الأشخاص المعنيين بالمعطيات الشخصية ومقراتهم،

– أهداف المعالجة ومواصفاتها،

– أصناف المعالجة ومكانها وتاريخ بدايتها،

– المعطيات الشخصية المطلوب معالجتها ومصدرها،

– الأشخاص أو الجهات الذين يمكنهم الاطلاع على المعطيات بحكم عملهم،

– الجهة المستفيدة من المعطيات موضوع المعالجة،

– مكان حفظ المعطيات الشخصية موضوع المعالجة ومدّته،

– التدابير المتخذة للحفاظ على سرية المعطيات وأمانها،

– بيان قواعد البيانات التي للمسؤول عن المعالجة ربط بيني معها،

– الالتزام بمباشرة معالجة المعطيات الشخصية وفق المقتضيات الواجبة قانونا،

– التصريح بتوفر الشروط المنصوص عليها بالفصل 22 من هذا القانون.

ويجب الحصول على ترخيص الهيئة في صورة حدوث أي تغيير على البيانات المشار إليها أعلاه.

ويقدم طلب الترخيص من قبل المسؤول عن المعالجة أو ممثله القانوني.

ولا يعفي الترخيص من المسؤولية إزاء الغير.

وتضبط شروط تقديم طلب الترخيص وإجراءاته بأمر.

القسم الثاني – في المسؤول عن معالجة المعطيات الشخصية وواجباته

الفصل 9 – تتم معالجة المعطيات الشخصية في إطار احترام الذات البشرية والحياة الخاصة والحريات العامة.

ويجب أن لا تمس معالجة المعطيات الشخصية مهما كان مصدرها أو شكلها بحقوق الأشخاص المحمية بموجب القوانين والتراتيب الجاري بها العمل ويحجر في كل الحالات استعمالها لغاية الإساءة إلى الأشخاص أو التشهير بهم.

الفصل 10 – لا يجوز جمع المعطيات الشخصية إلا لأغراض مشروعة ومحدّدة وواضحة.

الفصل 11 – يجب أن تتم معالجة المعطيات الشخصية بكامل الأمانة وفي حدود ما كان منها ضروريا للغرض الذي جمعت من أجله. كما يجب على المسؤول عن المعالجة الحرص على أن تكون المعطيات صحيحة ودقيقة ومحيّنة.

الفصل 12 – لا تجوز معالجة المعطيات الشخصية في غير الأغراض التي جمعت من أجلها إلا في الحالات التالية:

– إذا وافق المعني بالأمر على ذلك،

– إذا كان في ذلك تحقيق لمصلحة حيوية للمعني بالأمر،

– إذا كانت لأغراض علمية ثابتة.

الفصل 13 – تحجر معالجة المعطيات الشخصية المتعلقة بالجرائم أو بمعاينتها أو بالتتبعات الجزائية أو بالعقوبات أو بالتدابير الاحترازية أو بالسوابق العدلية.

الفصل 14 – تحجر معالجة المعطيات الشخصية التي تتعلق بصفة مباشرة أو غير مباشرة بالأصول العرقية أو الجينية أو بالمعتقدات الدينية أو بالأفكار السياسية أو الفلسفية أو النقابية أو بالصحة.

غير أنه يمكن معالجة المعطيات الشخصية من النوع المذكور بالفقرة السابقة إذا تمت بموافقة صريحة للمعني بالأمر بأي وسيلة تترك أثرا كتابيا أو إذا أصبحت تلك المعطيات تكتسي صبغة عامة بشكل بيّن أو إذا كانت معالجتها ضرورية لخدمة الأغراض التاريخية أو العلمية أو إذا كانت ضرورية لحماية المصالح الحيوية للمعني بالأمر

وتخضع معالجة المعطيات الشخصية المتعلقة بالصحة إلى أحكام الباب الخامس من هذا القانون

الفصل 15 – تخضع معالجة المعطيات الشخصية من النوع المذكور بالفصل 14 من هذا القانون إلى ترخيص الهيئة الوطنية لحماية المعطيات الشخصية باستثناء المعطيات المتعلقة بالصحة

وعلى الهيئة تقديم جوابها على طلب الموافقة في أجل لا يتجاوز ثلاثين يوما من تاريخ توصلها به. ويعدّ عدم الجواب خلال الأجل المذكور رفضا

ويمكن للهيئة أن تقرر قبول الطلب مع إلزام المسؤول عن المعالجة باتخاذ احتياطات أو إجراءات تراها لازمة لحماية مصلحة المعني بالأمر

الفصل 16 – لا تنطبق أحكام الفصول 7 و8 و27 و28 و31 و47 من هذا القانون إذا تعلقت معالجة المعطيات الشخصية بالوضعية المهنية للأجير وتمت من المؤجر وكانت ضرورية لسير العمل وتنظيمه

كما لا تنطبق أحكام الفصول المذكورة بالفقرة المتقدمة على معالجة المعطيات الشخصية التي تقتضيها متابعة الحالة الصحية للمعني بالأمر

الفصل 17 – لا يجوز في كل الحالات ربط إسداء خدمة أو منفعة لفائدة شخص بشرط موافقته على معالجة معطياته الشخصية أو استغلالها في غير الأغراض التي جمعت من أجلها

الفصل 18 – كل شخص يقوم بنفسه أو بواسطة الغير بمعالجة المعطيات الشخصية ملزم إزاء الأطراف المعنية بأن يتخذ جميع الاحتياطات اللازمة للمحافظة على أمان المعطيات ومنع الغير من تعديلها أو الإضرار بها أو الاطلاع عليها دون إذن صاحبها.

الفصل 19 – يجب أن تضمن الاحتياطات المنصوص عليها بالفصل 18 من هذا القانون ما يلي:

– عدم وضع المعدات والتجهيزات المستعملة في معالجة المعطيات الشخصية في ظروف أو أماكن تمكن من الوصول إليها من قبل أشخاص غير مأذون لهم بذلك،

– عدم إمكانية قراءة السندات أو نسخها أو تعديلها أو نقلها من قبل شخص غير مأذون له بذلك،

– عدم إمكانية إقحام أي معطيات في نظام المعلومات دون إذن في ذلك وعدم إمكانية الاطلاع على المعطيات المسجلة أو محوها أو التشطيب عليها،

– عدم إمكانية استعمال نظام معالجة المعلومات من قبل أشخاص غير مأذون لهم بذلك،

– إمكانية التثبت اللاحق من هوية الأشخاص الذين نفذوا إلى نظام المعلومات والمعطيات التي تم إقحامها وزمن ذلك والشخص الذي تولى ذلك،

– عدم إمكانية قراءة المعطيات أو نسخها أو تعديلها أو محوها أو التشطيب عليها أثناء إحالتها أو نقل سندها،

– الحفاظ على المعطيات عبر إحداث نسخ منها احتياطية وآمنة.

الفصل 20 – يجب على المسؤول عن معالجة المعطيات الشخصية إذا عهد ببعض أعمال المعالجة أو جميعها إلى الغير في إطار عقد مناولة أن يتحرى في اختيار من يعهد إليه بذلك.

ويجب على المناول أن يحترم مقتضيات هذا القانون وأن لا يتصرف إلا في حدود ما يأذن له به المسؤول عن المعالجة، وأن تكون له الوسائل الفنية اللازمة والملائمة لإنجاز المهام الموكولة إليه.

ويكون المسئول عن المعالجة والمناول مسؤولين مدنيا عن كل إخلال بمقتضيات هذا القانون.

الفصل 21 – يجب على المسؤول عن المعالجة والمناول أن يبادرا بإصلاح البطاقات التي بحوزتهما أو إتمامها أو تعديلها أو تحيينها أو التشطيب على المعطيات التي تضمنتها إذا بلغهما العلم بعدم صحّة المعطيات الشخصية المضمنة بها أو نقصها.

وفي هذه الحالة يجب على المسؤول على المعالجة والمناول إعلام المعني بالأمر والمستفيد من المعطيات بصفة مشروعة بكل تغيير أدخل على المعطيات الشخصية التي سبق أن تحصّل عليها.

ويتم الإعلام في أجل شهرين من تاريخ التغيير برسالة مضمونة الوصول مع الإعلام بالبلوغ أو بأي وسيلة تترك أثرا كتابيا.

الفصل 22 – مع مراعاة القوانين والتراتيب الجاري بها العمل، يجب أن تتوفر في الشخص الطبيعي أو الممثل القانوني للشخص المعنوي الراغب في القيام بمعالجة المعطيات الشخصية وأعوانهما، الشروط التالية:

– أن يكون تونسي الجنسية،

– أن يكون مقيما بالبلاد التونسية،

– أن يكون نقيّ السوابق.

وتنطبق هذه الشروط على المناول وأعوانه.

الفصل 23 – يجب على المسؤول عن معالجة المعطيات الشخصية والمناول وأعوانهما ولو بعد انتهاء المعالجة أو زوال صفتهم تلك المحافظة على سرية المعطيات الشخصية والمعلومات التي تمت معالجتها باستثناء تلك التي وافق المعني بالأمر كتابيا على نشرها أو في الحالات المنصوص عليها بالتشريع الجاري به العمل.

الفصل 24 – على المسؤول عن معالجة المعطيات الشخصية أو المناول الذي يعتزم التوقف نهائيا عن نشاط المعالجة إعلام الهيئة بذلك قبل ثلاثة أشهر من تاريخ التوقف عن النشاط.

وفي صورة وفاة المسؤول عن المعالجة أو المناول أو تفليسه أو حلّ الشخص المعنوي يجب على الورثة أو أمين الفلسة أو المصفي حسب الحالة إعلام الهيئة بذلك في أجل لا يتجاوز ثلاثة أشهر من تاريخ حصوله.

وتأذن الهيئة في أجل لا يتجاوز شهرا من تاريخ إعلامها طبق الفقرة المتقدمة بإعدام المعطيات الشخصية.

الفصل 25 – يمكن للهيئة أن تقرر إحالة المعطيات الشخصية في حالة التوقف عن النشاط للأسباب المذكورة بالفصل المتقدم وذلك في الصورتين الآتيتين:

أولا : إذا رأت أن تلك المعطيات صالحة لأن تستخدم في أغراض تاريخية أو علمية،

ثانيا : إذا اقترح من تولى الإعلام إحالة كل المعطيات الشخصية أو بعضها إلى شخص طبيعي أو معنوي يحدّد هويته بدقة.

وفي هذه الحالة يمكن للهيئة أن تقرّر الموافقة على إحالة المعطيات الشخصية إلى الشخص المقترح. ولا تتمّ الإحالة فعليا إلا بعد الحصول على موافقة المعني بالأمر أو وليه أو ورثته المتلقاة بأي وسيلة تترك أثرا كتابيا.

وفي صورة عدم حصول هذه الموافقة خلال ثلاثة أشهر من طلبها، يجب إعدام المعطيات الشخصية.

الفصل 26 – في حالة توقف نشاط المسؤول عن المعالجة أو المناول للأسباب المذكورة بالفصل 24 من هذا القانون، يمكن للمعني بالأمر أو ورثته أو كل شخص له مصلحة أو النيابة العمومية أن يطلبوا في كل وقت من الهيئة اتخاذ التدابير الملائمة لحفظ المعطيات الشخصية وحمايتها أو إعدامها.

وعلى الهيئة أن تصدر قرارها في أجل عشرة أيام بداية من تاريخ تعهدها.

القســم الثالــث – في حقــوق المعني بالأمــر

الفــرع الأول – في الموافقــــة

الفصل 27 – فيما عدا الصور المنصوص عليها بهذا القانون أو بالقوانين الجاري بها العمل، لا يمكن معالجة المعطيات الشخصية إلا بالموافقة الصريحة والكتابية للمعني بالأمر. وإذا كان قاصرا أو محجورا عليه أو غير قادر على الإمضاء، تخضع الموافقة إلى القواعد القانونية العامة.

وللمعني بالأمر أو وليه الرجوع في الموافقة في كل وقت

الفصل 28 – لا يمكن معالجة معطيات شخصية متعلقة بطفل إلا بعد الحصول على موافقة وليه وإذن قاضي الأسرة

ويمكن لقاضي الأسرة أن يأذن بالمعالجة ولو دون موافقة الولي إذا اقتضت مصلحة الطفل الفضلى ذلك.

ولقاضي الأسرة الرجوع في الإذن في كل وقت.

الفصل 29 – لا تخضع لموافقة المعني بالأمر معالجة المعطيات الشخصية التي يكون من الجليّ أنها تعود عليه بالمصلحة وتعذّر الاتصال به أو كان الحصول على موافقته يتطلب مجهودات مرهقة أو إذا كانت معالجة المعطيات الشخصية يقتضيها القانون أو اتفاق يكون المعني بالأمر طرفا فيه

الفصل 30 – لا تنسحب الموافقة على معالجة المعطيات الشخصية بشكل معيّن أو لغاية معيّنة على الأشكال أو الغايات الأخرى.

ولا يجوز استعمال المعطيات الشخصية لأغراض دعائية إلا بموافقة صريحة وخاصة من المعني بالأمر أو ورثته أو وليه.

ويبقى الاتفاق في هذا الشأن خاضعا للقواعد العامة.

وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون.

الفصل 31 – بعد انقضاء الأجل المحدّد لاعتراض الهيئة المنصوص عليه بالفصل 7 من هذا القانون، يجب إعلام الأشخاص الذين ستجمع عنهم المعطيات الشخصية مسبقا وبأي وسيلة تترك أثرا كتابيا بما يلي

– نوع المعطيات الشخصية المراد معالجتها،

– أهداف معالجة المعطيات الشخصية،

– الطابع الإلزامي أو الاختياري لأجوبتهم،

– نتائج عدم الجواب،

– اسم الشخص الطبيعي أو المعنوي المستفيد من المعطيات أو الذي له حق النفاذ إليها ومقره،

– اسم المسئول عن المعالجة ولقبه أو تسميته الاجتماعية وممثله عند الاقتضاء ومقره،

– حقهم في النفاذ،

– حقهم في الرجوع في الموافقة على المعالجة في كل وقت،

– حقهم في الاعتراض على معالجة معطياتهم الشخصية،

– مدة حفظ المعطيات الشخصية،

– وصف موجز للاحتياطات المتخذة لضمان أمان المعطيات الشخصية،

– البلاد التي يعتزم المسؤول عن المعالجة نقل المعطيات الشخصية إليها عند الاقتضاء

ويتم الإعلام بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو بأي وسيلة تترك أثرا كتابيا في أجل لا يقل عن شهر قبل التاريخ المحدّد لمعالجة المعطيات الشخصية.

الفـــرع الثاني – حق النفــــاذ

الفصل 32 – يقصد بحق النفاذ، على معنى هذا القانون، حق المعني بالأمر أو ورثته أو وليه في الاطلاع على جميع المعطيات الشخصية الخاصة به وطلب إصلاحها أو إتمامها أو تعديلها أو تحيينها أو تغييرها أو توضيحها أو التشطيب عليها إذا كانت غير صحيحة أو غامضة أو كانت معالجتها ممنوعة.

كما يشمل حق النفاذ الحق في الحصول على نسخة من المعطيات بلغة واضحة ومطابقة لمضمون التسجيلات وبطريقة مبسطة إذا تمت معالجتها آليا.

الفصل 33 – لا يمكن التنازل مسبقا عن حق النفاذ.

الفصل 34 – يمارس حق النفاذ من قبل المعني بالأمر أو ورثته أو وليه في آجال معقولة وبطريقة غير مرهقة.

الفصل 35 – لا يمكن الحدّ من حق المعني بالأمر أو ورثته أو وليه في النفاذ إلى المعطيات الشخصية المتعلقة به إلا في الحالات التالية

– إذا كانت معالجة المعطيات الشخصية لأغراض علمية وبشرط أن يكون مساس المعطيات الشخصية بالحياة الخاصة محدودا،

– إذا كان القصد من الحدّ من النفاذ حماية المعني بالأمر نفسه أو الغير.

الفصل 36 – إذا تعدد المسؤولون عن معالجة المعطيات الشخصية أو إذا تمت المعالجة بواسطة مناول يمارس حق النفاذ لدى كل واحد منهم

الفصل 37 – يجب على المسؤول عن معالجة المعطيات الشخصية بطريقة آلية والمناول وضع الإمكانيات التقنية اللازمة لتمكين المعني بالأمر أو ورثته أو وليه من إرسال مطلبه بطريقة إلكترونية لتعديل المعطيات أو تغييرها أو إصلاحها أو التشطيب عليها.

الفصل 38 – يقدم مطلب النفاذ من المعني بالأمر أو ورثته أو وليه بمقتضى مكتوب أو بأي وسيلة أخرى تترك أثرا كتابيا.

ويمكن للمعني بالأمر أو ورثته أو وليه أن يطلبوا بنفس الطريقة تسلّم نسخة من المعطيات في أجل لا يتجاوز الشهر من تاريخ طلبها.

وفي صورة رفض المسؤول عن المعالجة أو المناول تمكين المعني بالأمر أو ورثته أو وليه من الاطلاع على المعطيات الشخصية المطلوبة أو تأجيل النفاذ إليها أو في صورة عدم تسليمهم نسخة منها، يقدم المعني بالأمر أو ورثته أو وليه طلبا إلى الهيئة في أجل أقصاه شهر بداية من تاريخ الرفض.

وعلى الهيئة بعد سماع الطرفين وإجراء التحريات اللازمة الإذن بالاطلاع على المعلومات المطلوبة أو بتسليم نسخة منها أو المصادقة على الرفض وذلك في أجل لا يتجاوز الشهر من تاريخ تعهّدها.

ويمكن للمعني بالأمر أو ورثته أو وليه، عند الاقتضاء، تقديم طلب إلى الهيئة لاتخاذ جميع التدابير الكفيلة بمنع إعدام المعطيات الشخصية أو إخفائها. وعلى الهيئة أن تبت في الطلب في أجل سبعة أيام من تاريخ تقديمه.

ويمنع الإعدام أو الإخفاء بمجرد تقديم الطلب.

الفصل 39 – إذا وجد نزاع حول صحة معطيات شخصية يجب على المسؤول عن المعالجة والمناول التنصيص على أنها محلّ منازعة إلى حين انتهاء النزاع.

الفصل 40 – يمكن للمعني بالأمر أو ورثته أو وليه المطالبة بإصلاح المعطيات الشخصية الخاصة به أو إتمامها أو تعديلها أو توضيحها أو تحيينها أو التشطيب عليها إذا كانت غير صحيحة أو ناقصة أو غامضة أو إعدامها إذا كان جمعها أو استعمالها مخالفا لأحكام هذا القانون.

كما يمكنه أن يطلب تسلّم نسخة من المعطيات دون مصاريف بعد القيام بالإجراء المطلوب والتنصيص على ما لم ينجز منه.

وفي هذه الحالة على المسؤول عن المعالجة أو المناول أن يسلّمه نسخة من المعطيات المطلوبة في أجل لا يتجاوز الشهر من تاريخ تقديم المطلب.

وفي صورة رفض المطلب صراحة أو ضمنيا، يمكن رفع الأمر إلى الهيئة في أجل لا يتجاوز الشهر بداية من تاريخ انتهاء الأجل المشار إليه بالفقرة المتقدّمة.

الفصل 41 – تتعهد الهيئة بالنظر في كل نزاع يتعلق بممارسة حق النفاذ.

ومع مراعاة الآجال الخاصة التي اقتضاها هذا القانون على الهيئة أن تصدر قرارها في أجل شهر بداية من تاريخ تعهدها.

الفــرع الثالــث – حق الاعتــراض

الفصل 42 – فيما عدا حالات المعالجة التي يقتضيها القانون أو طبيعة الالتزام، يحق للمعني بالأمر أو ورثته أو وليه الاعتراض على معالجة معطياته الشخصية في كل وقت ولأسباب وجيهة ومشروعة وجدية تتعلق به.

كما للمعني بالأمر أو ورثته أو وليه الاعتراض على إحالة معطياته الشخصية إلى الغير لاستعمالها في أغراض الدعاية.

ويوقف الاعتراض المعالجة فورا

الفصل 43 – تتعهد الهيئة الوطنية لحماية المعطيات الشخصية بالنظر في كل نزاع يتعلق بممارسة حق الاعتراض.

ويجب على الهيئة أن تصدر قرارها في الأجل المنصوص عليه بالفصل 41 من هذا القانون

وينظر قاضي الأسرة في النزاعات المتعلقة بالاعتراض إذا كان المعني بالأمر طفلا

الباب الثالث – في جمع المعطيات الشخصية وحفظها والتشطيب عليها وإعدامها

الفصل 44 – لا تجمع المعطيات الشخصية إلا من الأشخاص المعنيين بالأمر مباشرة.

ويخضع جمع المعطيات الشخصية من الغير إلى موافقة المعني بالأمر أو ورثته أو وليه إلا إذا اقتضى القانون إمكانية جمعها من الغير أو إذا كان جمعها من المعني بالأمر يستوجب القيام بمجهودات مرهقة أو كان من الواضح عدم المساس بمصالحه المشروعة أو كان المعني بالأمر متوفيا.

وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون

الفصل 45 – يجب إعدام المعطيات الشخصية بمجرد انتهاء الأجل المحدد لحفظها بالتصريح أو بالترخيص أو بالقوانين الخاصة أو في صورة تحقق الغرض الذي جمعت من أجله أو إذا لم تعد ضرورية لنشاط المسؤول عن المعالجة. ويحرر في ذلك محضر رسمي بواسطة عدل منفذ وبحضور مختص تعينه الهيئة.

وتحمل أجرة المختص التي تقدرها الهيئة وكذلك مصاريف العدل المنفذ على المسؤول عن المعالجة

الفصل 46 – لا يمكن إعدام المعطيات الشخصية المحالة أو المعدة للإحالة على الأشخاص المذكورين بالفصل 53 من هذا القانون أو التشطيب عليها إلا بعد أخذ رأي هؤلاء الأشخاص والحصول على موافقة الهيئة الوطنية لحماية المعطيات الشخصية.

وعلى الهيئة أن تبت في طلب الموافقة في أجل أقصاه شهر من تاريخ تقديمه.

الباب الرابع – في إحالة المعطيات الشخصية ونقلها

الفصل 47 – تحجر إحالة المعطيات الشخصية إلى الغير دون الموافقة الصريحة للمعني بالأمر أو ورثته أو وليه بأي وسيلة تترك أثرا كتابيا إلا إذا كانت هذه المعطيات ضرورية لتنفيذ المهام التي تقوم بها السلطة العمومية في إطار الأمن العام أو الدفاع الوطني أو للقيام بالتتبعات الجزائية أو إذا كانت ضرورية لتنفيذ المهام التي تقوم بها طبقا للقوانين والتراتيب الجاري بها العمل.

ويمكن للهيئة الوطنية لحماية المعطيات الشخصية أن تمنح ترخيصا في إحالة المعطيات الشخصية عند عدم موافقة المعني بالأمر أو ورثته أو وليه الكتابية والصريحة إذا كان في الإحالة تحقيق لمصلحتهم الحيوية أو إذا كانت المعطيات ضرورية لإجراء بحوث ودراسات تاريخية أو علمية أو ضرورية لتنفيذ اتفاق يكون المعني بالأمر طرفا فيه بشرط تعهد المحال إليه بتوفير الضمانات الضرورية لحماية المعطيات الشخصية والحقوق المرتبطة بها طبق ما تحدده الهيئة وضمان عدم استعمالها في غير الغرض الذي أحيلت من أجله.

وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون.

الفصل 48 – يعرض طلب الترخيص على الهيئة في أجل لا يتجاوز الشهر من تاريخ رفض المعني بالأمر إحالة معطياته الشخصية إلى الغير.

وتنظر الهيئة في الطلب في أجل لا يتجاوز الشهر من تاريخ تقديمه.

وتتولى الهيئة إعلام الطالب بقرارها في أجل خمسة عشر يوما من تاريخ صدوره، وذلك برسالة مضمونة الوصول مع الإعلام بالبلوغ أو بأي وسيلة أخرى تترك أثرا كتابيا.

الفصل 49 – يمكن إحالة المعطيات الشخصية التي وقعت معالجتها لغايات معينة وذلك لإعادة معالجتها في غايات تاريخية أو علمية بشرط الحصول على موافقة المعني بالأمر أو ورثته أو وليه وترخيص الهيئة الوطنية لمعالجة المعطيات الشخصية.

وتقرر الهيئة حذف المعطيات التي تشير إلى هوية المعني بالأمر أو الإبقاء عليها حسب الحال.

وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون.

الفصل 50 – تحجر في كل الحالات إحالة المعطيات الشخصية أو نقلها إلى بلاد أجنبية إذا كان من شأن ذلك المساس بالأمن العام أو بالمصالح الحيوية للبلاد التونسية.

الفصل 51 – لا يمكن نقل المعطيات الشخصية الواقع معالجتها أو المخصصة للمعالجة إلى بلاد أخرى إلا إذا وفرت مستوى ملائما من الحماية يقدر اعتمادا على العناصر المتعلقة بطبيعة المعطيات المطلوب نقلها والغرض من معالجتها ومدة المعالجة والبلاد التي ستحال إليها المعطيات وما توفره من الاحتياطات اللازمة للمحافظة على أمان المعطيات. وفي كل الحالات يجب أن يتم نقل المعطيات الشخصية وفقا للشروط الواردة بهذا القانون.

الفصل 52 – يجب في كل الحالات الحصول على ترخيص من الهيئة في نقل المعطيات الشخصية إلى الخارج.

وعلى الهيئة أن تبت في طلب الترخيص في أجل أقصاه شهر من تاريخ تقديمه.

وإذا كانت المعطيات الشخصية المطلوب نقلها تتعلق بطفل يقدم مطلب الترخيص إلى قاضي الأسرة.

الباب الخامس – في أصناف خاصة من المعالجة

القسم الأول – في معالجة المعطيات الشخصية من الأشخاص العموميين

الفصل 53 – تنطبق أحكام هذا القسم على السلطات العمومية والجماعات المحلية والمؤسسات العمومية ذات الصبغة الإدارية عند معالجة المعطيات الشخصية التي تنجزها وذلك في إطار الأمن العام أو الدفاع الوطني أو للقيام بالتتبعات الجزائية أو كلما كانت تلك المعالجة ضرورية لتنفيذ المهام التي تقوم بها طبقا للقوانين الجاري بها العمل.

كما تنطبق أحكام هذا القسم على المؤسسات العمومية للصحة وكذلك المؤسسات العمومية التي لا تنتمي إلى الصنف المذكور بالفقرة المتقدمة عند معالجة المعطيات الشخصية التي تنجزها وذلك في إطار المهام التي تقوم بها باستعمال صلاحيات السلطة العمومية طبقا للتشريع الجاري به العمل.

الفصل 54 – لا تخضع المعالجة التي يقوم بها الأشخاص المنصوص عليهم بالفصل المتقدم إلى أحكام الفصول 7 و8 و13 و27 و28 و37 و44 و49 من هذا القانون.

كما لا تخضع المعالجة التي يقوم بها الأشخاص المذكورون بالفقرة الأولى من الفصل 53 من هذا القانون وطبقا لمقتضياتها لأحكام الفصول 14 و15 و42 والقسم الرابع من الباب الخامس من هذا القانون.

الفصل 55 – يجب على الأشخاص المذكورين بالفصل 53 من هذا القانون أن يقوموا بإصلاح البطاقات التي بحوزتهم أو إتمامها أو تعديلها أو تحيينها أو التشطيب على المعطيات التي تضمنتها إذا أعلمهم المعني بالأمر أو وليه أو ورثته بعدم صحة المعطيات الشخصية المضمنة بها أو نقصها وذلك بأي وسيلة تترك أثرا كتابيا.

الفصل 56 – لا يمكن ممارسة حق النفاذ إلى المعطيات الشخصية الواقع معالجتها من الأشخاص المذكورين بالفصل 53 من هذا القانون.

غير أنه بالنسبة إلى المعطيات الواقع معالجتها من الأشخاص المذكورين بالفقرة الثانية من الفصل 53 من هذا القانون يمكن للمعني بالأمر أو وليه أو ورثته ولأسباب وجيهة طلب إصلاح معطياته الشخصية أو إتمامها أو تعديلها أو تحيينها أو تغييرها أو التشطيب عليها إذا كانت غير صحيحة وعلم بذلك.

الفصل 57 – تحجر على الأشخاص المذكورين بالفصل 53 من هذا القانون إحالة المعطيات الشخصية إلى الذوات الخاصة دون الموافقة الصريحة للمعني بالأمر أو وليه أو ورثته بأي وسيلة تترك أثرا كتابيا. وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون. وتبقى الإحالة فيما عدا ذلك خاضعة لأحكام القوانين الخاصة الجاري بها العمل.

الفصل 58 – يمكن للمعني بالأمر أو وليه أو ورثته الاعتراض على معالجة المعطيات الشخصية من الأشخاص المذكورين بالفقرة الثانية من الفصل 53 من هذا القانون إذا كانت هذه المعالجة مخالفة للأحكام المنطبقة عليها من هذا القانون.

الفصل 59 – تتعهد الهيئة الوطنية لحماية المعطيات الشخصية بطلب من المعني بالأمر أو وليه أو ورثته بالنظر في النزاعات الناشئة عن تطبيق أحكام الفقرة الثانية من الفصل 56 والفصل 58 من هذا القانون، وعليها أن تصدر قرارها في أجل شهر بداية من تاريخ تعهدها.

الفصل 60 – في صورة حل الأشخاص المذكورين بالفصل 53 من هذا القانون أو اندماجها تتخذ سلطة الإشراف التدابير اللازمة لحفظ المعطيات الشخصية الواقع معالجتها من الشخص المنحل أو المندمج وحمايتها.

ويمكن لسلطة الإشراف أن تقرر إعدام المعطيات الشخصية أو إحالتها إذا رأت أن تلك المعطيات صالحة لأن تستخدم في أغراض تاريخية أو علمية.

ويحرر في كل الحالات محضر إداري في الغرض.

الفصل 61 – يجب على الأشخاص المذكورين بالفصل 53 من هذا القانون إعدام المعطيات الشخصية بمجرد انتهاء الأجل المحدد بالقوانين الخاصة لحفظها أو في صورة تحقق الغرض الذي جمعت من أجله أو إذا لم تعد ضرورية للنشاط الذي يقومون به وفق القوانين الجاري بها العمل. ويحرر في ذلك محضر إداري

القسم الثاني – في معالجة المعطيات الشخصية المتعلقة بالصحة

الفصل 62 – مع مراعاة أحكام الفصل 14 من هذا القانون يجوز القيام بمعالجة المعطيات الشخصية المتعلقة بالصحة في الحالات التالية:

1- إذا وافق المعني بالأمر أو ورثته أو وليه على ذلك. وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون،

2- إذا كانت المعالجة لازمة لتحقيق أغراض يقتضيها القانون أو التراتيب،

3- إذا كانت المعالجة ضرورية لتطوير الصحة العمومية وحمايتها بما في ذلك البحث عن الأمراض،

4- إذا اتضح من الظروف أن المعالجة ستعود على المعني بالأمر بالفائدة على المستوى الصحي أو اقتضتها متابعة حالته الصحية لأغراض وقائية أو علاجية،

5- إذا كانت المعالجة في نطاق البحث العلمي في مجال الصحة.

الفصل 63 – لا تتم معالجة المعطيات الشخصية المتعلقة بالصحة إلا من قبل أطباء أو أشخاص خاضعين بحكم مهامهم إلى واجب المحافظة على السر المهني.

ويجوز للأطباء إحالة المعطيات الشخصية التي بحوزتهم إلى أشخاص أو مؤسسات تقوم بالبحث العلمي في مجال الصحة بناء على طلب صادر عنها وبمقتضى ترخيص من الهيئة الوطنية لحماية المعطيات الشخصية.

وعلى الهيئة أن تبت في طلب الترخيص في أجل أقصاه شهر من تاريخ تقديمه.

الفصل 64 – لا يمكن أن تتجاوز المعالجة المدة الضرورية لتحقيق الغرض الذي أجريت من أجله.

الفصل 65 – يمكن للهيئة أن تحدد عند إسناد الترخيص المشار إليه في الفقرة الثانية من الفصل 63 من هذا القانون الاحتياطات والإجراءات الواجب اتخاذها لضمان حماية المعطيات الشخصية المتعلقة بالصحة.

ويمكن للهيئة أن تحجر نشر المعطيات الشخصية المتعلقة بالصحة.

القسم الثالث – في معالجة المعطيات الشخصية في مجال البحث العلمي

الفصل 66 – لا يمكن معالجة المعطيات الشخصية التي تم جمعها أو تسجيلها لغايات البحث العلمي أو استعمالها إلا لأهداف البحث العلمي.

الفصل 67 – يجب أن تجرد المعطيات الشخصية مما من شأنه الدلالة على هوية المعني بالأمر كلما سمحت مقتضيات البحث العلمي بذلك. ويجب تسجيل المعطيات التي تدل على وضعية شخص طبيعي معرّف أو قابل للتعريف بصفة منفصلة ولا يقع تجميعها مع المعطيات الخاصة بالشخص إلا إذا كانت ضرورية للبحث.

الفصل 68 – لا يجوز نشر المعطيات الشخصية الواقع معالجتها في إطار البحث العلمي إلا إذا وافق المعني بالأمر أو ورثته أو وليه على ذلك صراحة بأي وسيلة تترك أثرا كتابيا أو إذا كان ذلك ضروريا لتقديم نتائج البحث المتعلقة بأحداث أو ظواهر قائمة زمن تقديم النتائج.

وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون.

القسم الرابع – في معالجة المعطيات الشخصية لأغراض المراقبة البصرية

الفصل 69 – مع مراعاة التشريع الجاري به العمل، يخضع استعمال وسائل المراقبة البصرية إلى ترخيص مسبق من الهيئة الوطنية لحماية المعطيات الشخصية.

وعلى الهيئة أن تبتّ في طلب الترخيص في أجل أقصاه شهر من تاريخ تقديمه.

الفصل 70 – لا يمكن استعمال وسائل المراقبة المذكورة بالفصل المتقدم إلا بالأماكن التالية:

1) الفضاءات المفتوحة للعموم ومداخلها؛

2) المآوى ووسائل النقل المستعملة من العموم ومحطاتها وموانيها البحرية والجوية؛

3) أماكن العمل الجماعية.

الفصل 71 – لا يمكن استعمال وسائل المراقبة البصرية في الأماكن المنصوص عليها بالفصل المتقدم إلا إذا كانت ضرورية لضمان سلامة الأشخاص والوقاية من الحوادث وحماية الممتلكات أو لتنظيم حركة الدخول إلى الفضاءات والخروج منها.

وفي كل الحالات، لا يجوز أن تكون التسجيلات البصرية مرفوقة بتسجيلات صوتية.

الفصل 72 – يجب إعلام العموم بطريقة واضحة ومستمرة بوجود وسائل مراقبة بصرية

الفصل 73 – لا تجوز إحالة التسجيلات البصرية الواقع جمعها لأغراض المراقبة إلا في الحالات التالية:

1- إذا وافق المعني بالأمر أو ورثته أو وليه. وإذا كان المعني بالأمر طفلا تطبق أحكام الفصل 28 من هذا القانون؛

2- إذا كانت ضرورية لتنفيذ المهام الموكولة إلى السلطة العمومية؛

3- إذا كانت ضرورية لغاية معاينة جريمة أو الكشف عنها أو تتبع مرتكبها.

الفصل 74 – يجب إعدام التسجيلات البصرية إذا أصبحت غير ضرورية لتحقيق الغاية التي وضعت من أجلها أو إذا كانت مصلحة المعني بالأمر تقتضي عدم إبقائها إلا إذا كانت ضرورية لإجراء الأبحاث والتحريات في التتبعات الجزائية.

الباب السادس – الهيئة الوطنية لحماية المعطيات الشخصية

الفصل 75 – أحدثت بموجب هذا القانون هيئة تسمى : “الهيئة الوطنية لحماية المعطيات الشخصية”، وتتمتع بالشخصية المعنوية والاستقلال المالي ويكون مقرها بتونس العاصمة.

وتلحق ميزانية الهيئة بميزانية الوزارة المكلفة بحقوق الإنسان.

وتضبط طرق سير الهيئة بمقتضى أمر.

الفصل 76 – تتولى الهيئة الوطنية لحماية المعطيات الشخصية القيام بالمهام التالية:

– منح التراخيص وتلقّي التصاريح للقيام بمعالجة المعطيات الشخصية أو سحبها في الصور المقررة بهذا القانون،

– تلقّي الشكايات المعروضة عليها في إطار الاختصاص الموكول إليها بمقتضى هذا القانون،

– تحديد الضمانات الضرورية والتدابير الملائمة لحماية المعطيات الشخصية،

– النفاذ إلى المعطيات موضوع المعالجة قصد التثبت منها وجمع الإرشادات الضرورية لممارسة مهامها،

– إبداء الرأي في جميع المسائل ذات العلاقة بأحكام هذا القانون،

– إعداد قواعد سلوكية في المجال،

– المساهمة في أنشطة البحث والتكوين والدراسة ذات العلاقة بحماية المعطيات الشخصية وبصفة عامة في كل نشاط آخر له علاقة بميدان تدخلها.

الفصل 77 – للهيئة أن تجري الأبحاث اللازمة من سماع كل شخص ترى فائدة في سماعه والإذن بإجراء المعاينات بالمقرات والأماكن التي تمت فيها المعالجة باستثناء محلات السكنى. ويمكن أن تستعين في أعمالها بالأعوان المحلفين بالوزارة المكلفة بتكنولوجيات الاتصال لإجراء أبحاث واختبارات خاصة أو بخبراء عدليين أو بأي شخص ترى أنه يمكن أن يساهم في إفادتها.

وعليها إعلام وكيل الجمهورية المختص ترابيا بالجرائم التي بلغت إلى علمها في إطار عملها.

ولا يمكن أن تعارض الهيئة بالسر المهني

الفصل 78 – تتركب الهيئة من:

– رئيس يقع اختياره من بين الشخصيات المختصة في المجال،

– عضو يقع اختياره من بين أعضاء مجلس النواب،

– عضو يقع اختياره من بين أعضاء مجلس المستشارين،

– ممثل عن الوزارة الأولى،

– قاضيين من الرتبة الثالثة،

– قاضيين من المحكمة الإدارية،

– ممثل عن وزارة الداخلية،

– ممثل عن وزارة الدفاع الوطني،

– ممثل عن الوزارة المكلفة بتكنولوجيات الاتصال،

– باحث عن الوزارة المكلفة بالبحث العلمي،

– طبيب عن الوزارة المكلفة بالصحة العمومية،

– عضو عن الهيئة العليا لحقوق الإنسان والحريات الأساسية،

– عضو يقع اختياره من بين الخبراء المختصين في مجال تكنولوجيات الاتصال.

ويقع تعيين رئيس الهيئة وأعضائها بمقتضى أمر لمدة ثلاث سنوات.

الفصل 79 – لا يجوز لرئيس الهيئة وأعضائها أن يمتلكوا بصفة مباشرة أو غير مباشرة مصالح في مؤسسة تمارس نشاطها في مجال معالجة المعطيات الشخصية سواء بصفة آلية أو يدوية.

الفصل 80 – يجب على رئيس الهيئة وأعضائها المحافظة على سرية المعطيات الشخصية والمعلومات التي حصل لهم العلم بها بموجب صفتهم ولو بعد زوالها ما لم يقتض القانون خلاف ذلك.

الفصل 81 – يمكن للهيئة أن تقرر بعد سماع المسؤول عن المعالجة أو المناول سحب الترخيص أو منع المعالجة إذا أخلّ بالواجبات المنصوص عليها بهذا القانون.

وتضبط إجراءات سحب الترخيص أو منع المعالجة بمقتضى أمر.

الفصل 82 – تكون قرارات الهيئة معللة وتبلغ إلى المعنيين بها بواسطة عدل منفذ.

ويمكن الطعن في قرارات الهيئة أمام محكمة الاستئناف بتونس في أجل شهر من تاريخ الإعلام بها. ويقع النظر في الطعن والبت فيه وفق أحكام مجلة المرافعات المدنية والتجارية.

وتنفذ قرارات الهيئة بقطع النظر عن الطعن فيها. ويجوز للرئيس الأول لمحكمة الاستئناف بتونس أن يأذن استعجاليا بتوقيف تنفيذها إلى حين البت في الطعن وذلك إذا كان من شأن تنفيذها أن يسبب ضررا لا يمكن تداركه. والقرار الصادر في هذا الشأن لا يقبل الطعن بأي وجه. وعلى المحكمة المتعهدة بالقضية البت في الطعن خلال أجل لا يتجاوز ثلاثة أشهر من تاريخ تعهدها.

وتقبل الأحكام الصادرة عن محكمة الاستئناف بتونس الطعن بالتعقيب أمام محكمة التعقيب.

الفصل 83 – يجب على الشاكي أن يؤمن مصاريف الاختبار والإعلام بالقرارات وغيرها من المصاريف اللازمة التي يحددها رئيس الهيئة.

الفصل 84 – يمكن أن تسند إلى الهيئة عن طريق التخصيص ممتلكات الدولة المنقولة وغير المنقولة الضرورية للقيام بمهامها. وفي صورة حل الهيئة ترجع ممتلكاتها إلى الدولة التي تتولى تنفيذ التزاماتها وتعهداتها طبقا للتشريع الجاري به العمل.

الفصل 85 – ترفع الهيئة إلى رئيس الجمهورية تقريرا سنويا حول نشاطها.

الباب السابع – في العقوبـــات

الفصل 86 – يعاقب بالسجن من عامين إلى خمسة أعوام وبخطية من خمسة آلاف إلى خمسين ألف دينار كل من خالف أحكام الفصل 50 من هذا القانون.

والمحاولة موجبة للعقاب.

الفصل 87 – يعاقب بالسجن مدة عامين وبخطية قدرها عشرة آلاف دينار كل من خالف أحكام الفصل 13 والفقرة الأولى من الفصل 14 والفقرة الأولى من الفصل 28 والفقرة الأولى من الفصل 63 والفصلين 70 و71 من هذا القانون.

كما يعاقب بنفس العقوبات المنصوص عليها بالفقرة المتقدمة كل من خالف أحكام الفقرة الأولى من الفصل 27 والفصول 31 و44 و68 من هذا القانون.

الفصل 88 – يعاقب بالسجن مدة عام وبخطية قدرها عشرة آلاف دينار كل من حمل شخصا على إعطاء موافقته على معالجة معطياته الشخصية باستعمال الحيلة أو العنف أو التهديد.

الفصل 89 – يعاقب بالسجن مدة عام وبخطية قدرها خمسة آلاف دينار كل من تعمد إحالة المعطيات الشخصية لغاية تحقيق منفعة لنفسه أو لغيره أو لإلحاق مضرة بالمعني بالأمر.

الفصل 90 – يعاقب بالسجن مدة عام وبخطية قدرها خمسة آلاف دينار كل من:

– يتعمد معالجة المعطيات الشخصية دون تقديم التصريح المنصوص عليه بالفصل 7 أو الحصول على الترخيص المنصوص عليه بالفصلين 15 و69 من هذا القانون أو يستمر في معالجة المعطيات بعد منع المعالجة أو سحب الترخيص،

– ينشر المعطيات الشخصية المتعلقة بالصحة رغم تحجير الهيئة المنصوص عليه بالفقرة الثانية من الفصل 65 من هذا القانون،

– يقوم بنقل المعطيات الشخصية إلى الخارج دون ترخيص الهيئة،

– يحيل المعطيات الشخصية دون موافقة المعني بالأمر أو موافقة الهيئة في الصور المنصوص عليها بهذا القانون.

الفصل 91 – يعاقب بالسجن مدة عام وبخطية قدرها خمسة آلاف دينار المسؤول عن المعالجة أو المناول الذي يواصل معالجة المعطيات الشخصية رغم اعتراض المعني بالأمر وفق أحكام الفصل 42 من هذا القانون.

الفصل 92 – يعاقب بالسجن مدة ثمانية أشهر وبخطية قدرها ثلاثة آلاف دينار المسؤول عن المعالجة أو المناول الذي يعمد إلى الحدّ من حق النفاذ أو الحرمان منه في غير الصور المنصوص عليها بالفصل 35 من هذا القانون.

الفصل 93 – يعاقب بالسجن مدة ثلاثة أشهر وبخطية قدرها ثلاثة آلاف دينار كل من يتعمّد بمناسبة معالجة المعطيات الشخصية نشرها بطريقة تسيء لصاحبها أو لحياته الخاصة.

ويكون العقاب بالسجن مدة شهر وبخطية قدرها ألف دينار إذا تم النشر دون قصد الإضرار.

ويمكن للمعني بالأمر أن يطلب من المحكمة أن تأذن بنشر مضمون الحكم بصحيفة يومية صادرة بالبلاد التونسية أو أكثر يختارها. وتحمل مصاريف النشر على المحكوم عليه.

ولا يسوغ التتبع إلا بطلب من المعني بالأمر.

ويوقف الإسقاط التتبع أو المحاكمة أو تنفيذ العقاب.

الفصل 94 – يعاقب بالسجن مدة ثلاثة أشهر وبخطية قدرها ألف دينار كل من يخالف أحكام الفصول 12 و18 و19 والفقرتين الأولى والثانية من الفصل 20 والفصول 21 و37 و45 و64 و74 من هذا القانون.

ويعاقب بنفس العقوبات المنصوص عليها بالفقرة المتقدمة كل من يتولى جمع المعطيات الشخصية لأغراض غير مشروعة أو مخالفة للنظام العام أو يتولى عن قصد معالجة معطيات شخصية غير صحيحة أو غير محيّنة أو غير ضرورية لنشاط المعالجة.

الفصل 95 – يعاقب بخطية قدرها عشرة آلاف دينار المحال له الذي لا يلتزم بالضمانات والإجراءات التي تحددها له الهيئة طبق أحكام الفقرة الثانية من الفصل 47 والفقرة الأولى من الفصل 65 من هذا القانون.

الفصل 96 – يعاقب بخطية قدرها خمسة آلاف دينار كل من:

– يتعرّض لأعمال الهيئة الوطنية لحماية المعطيات الشخصية بمنعها من إنجاز الأعمال الميدانية أو برفض تسليم الوثائق المطلوبة،

– يتولى عن سوء نية الإدلاء إلى الهيئة أو إعلام المعني بالأمر ببيانات مخالفة للحقيقة.

الفصل 97 – ينطبق الفصل 254 من المجلة الجنائية على المسؤول عن المعالجة والمناول وأعوانهما ورئيس الهيئة وأعضائها إذا أفشوا محتوى المعطيات الشخصية إلا في الحالات المنصوص عليها بالقانون

الفصل 98 – يعاقب بخطية قدرها ألف دينار المسؤول عن المعالجة أو المناول أو أمين الفلسة أو المصفي الذي يخالف أحكام الفصل 24 من هذا القانون.

الفصل 99 – يعاقب بخطية قدرها ألف دينار المسؤول عن المعالجة أو المناول الذي يخالف أحكام الفصل 39 من هذا القانون.

الفصل 100 – علاوة على العقوبات المنصوص عليها بالفصول المتقدمة من هذا القانون يمكن للمحكمة في كل الحالات أن تقرر سحب الترخيص في المعالجة أو إيقاف المعالجة.

الفصل 101 – عندما يكون المخالف شخصا معنويا تطبق العقوبات المشار إليها بالفصول السابقة بصفة شخصية وحسب الحالة على المسيّر القانوني أو الفعلي للشخص المعنوي الذي ثبتت مسؤوليته عن الأعمال المرتكبة.

الفصل 102 – تقع معاينة الجرائم المبينة بهذا الباب من قبل مأموري الضابطة العدلية المذكورين بالأعداد من 1 إلى 4 من الفصل 10 من مجلة الإجراءات الجزائية والأعوان المحلفين التابعين للوزارة المكلفة بتكنولوجيات الاتصال وتحرر المحاضر وفق الإجراءات المنصوص عليها بالمجلة المذكورة.

الفصل 103 – يمكن في الجرائم المقررة بالفقرة الثانية من الفصل 87 وبالفصلين 89 و91 من هذا القانون إجراء الصلح بالوساطة الجزائية وفق أحكام الباب التاسع من الكتاب الرابع من مجلة الإجراءات الجزائية.

أحكــــام مختلفــة

الفصل 104 – ألغيت جميع الأحكام المخالفة لهذا القانون وخاصة أحكام الفصول 38 و41 و42 من القانون عدد 83 لسنة 2000 المؤرخ في 9 أوت 2000 المتعلق بالمبادلات والتجارة الإلكترونية.

الفصل 105 – على الأشخاص الذين يمارسون نشاط معالجة المعطيات الشخصية عند صدور هذا القانون أن يسوّوا أوضاعهم وفق أحكامه في أجل سنة بداية من دخوله حيز التنفيذ

ينشر هذا القانون الأساسي بالرائد الرسمي للجمهورية التونسية وينفذ كقانون من قوانين الدولة.

تونس في 27 جويلية 2004
.

Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel

Au nom du peuple,

La chambre des députés ayant adopté,

Le Président de la République promulgue la loi organique dont la teneur suit :

CHAPITRE I - Dispositions générales

Article premier - Toute personne a le droit à la protection des données à caractère personnel relatives à sa vie privée comme étant l'un des droits fondamentaux garantis par la constitution et ne peuvent titre traitées que dans le cadre de la transparence, la loyauté et le respect de la dignité humaine et conformément aux dispositions de la présente loi.

Art. 2 - La présente loi s'applique au traitement automatisé, ainsi qu'au traitement non automatisé des données à caractère personnel mis en œuvre par des personnes physiques ou par des personnes morales.

Art. 3 - La présente loi ne s'applique pas au traitement des données à caractère personnel ayant des finalités ne dépassant pas l'usage personnel ou familial à condition de ne pas les transmettre aux tiers.

Art. 4 - Au sens de la présente loi, on entend par données à caractère personnel toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement d'identifier une personne physique ou la rendent identifiable, à l'exception des informations liées à la vie publique ou considérées comme telles par la loi.

Art. 5 - Est réputée identifiable, la personne physique susceptible d'être identifiée, directement ou indirectement, à travers plusieurs données ou symboles qui concernent notamment son identité, ses caractéristiques physiques, physiologiques, génétiques, psychologiques, sociales, économiques ou culturelles.

Art. 6 - Au sens de la présente loi, on entend par :

Traitement des données à caractère personnel : les opérations réalisées d'une façon automatisée ou manuelle par une personne physique ou morale, et qui ont pour but notamment la collecte, l'enregistrement, la conservation, l'organisation, la modification, l'exploitation, l'utilisation, l'expédition, la distribution, la diffusion ou la destruction ou la consultation des données à caractère personnel, ainsi que toutes les opérations relatives à l'exploitation de bases des données, des index, des répertoires, des fichiers, ou l'interconnexion.
Fichier : ensemble des données à caractère personnel structuré et regroupé susceptible d'être consulté selon des critères déterminés et permettant d'identifier une personne déterminée.
Personne concernée : toute personne physique dont les données à caractère personnel font l'objet d'un traitement.
Responsable du traitement : toute personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Tiers : toute personne physique ou morale ou l'autorité publique ainsi que leurs subordonnés, à l'exception de la personne concernée, le bénéficiaire, le responsable du traitement, le sous-traitant ainsi que leurs subordonnés.
Sous-traitant : toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
L'Instance : l'Instance Nationale de Protection des Données à Caractère Personnel.
Communication: le fait de donner, de remettre ou de porter des données à caractère personnel à la connaissance d'une ou de plusieurs personnes autres que la personne concernée, sous quelque forme que ce soit et par n'importe quel moyen.
Interconnexion : le fait de procéder à la corrélation des données contenues dans un ou plusieurs fichiers détenus par un ou d'autres responsables.
Bénéficiaire : toute personne physique ou morale recevant des données à caractère personnel.

CHAPITRE II - Conditions du traitement des données à caractère personnel

Section I - Des procédures préliminaires du traitement des données à caractère personnel

Art. 7 - Toute opération de traitement des données à caractère personnel est soumise à une déclaration préalable déposée au siège de l'instance nationale de protection des données à caractère personnel contre récépissé ou notifiée par lettre recommandée avec accusé de réception ou par tout autre moyen laissant une trace écrite.

La déclaration est effectuée par le responsable du traitement ou son représentant légal.

La déclaration n'exonère pas de la responsabilité à l'égard des tiers.

Les conditions et les procédures de la présentation de la déclaration sont fixées par décret.

Le non opposition de l'Instance au traitement des données à caractère personnel, dans un délai d'un mois à compter de la présentation de la déclaration, vaut acceptation.

Art. 8 - Dans les cas où la présente loi exige l'obtention d'une autorisation de L'Instance pour le traitement des données à caractère personnel, la demande d'autorisation doit comprendre notamment les informations suivantes :

Le nom, prénom et domicile du responsable du traitement, et s'il est une personne morale, sa dénomination sociale, son siège social et l'identité de son représentant légal ;
L'identité des personnes concernées par les données à caractère personnel et leurs domiciles ;
Les finalités du traitement et ses normes ;
Les catégories du traitement, son lieu et la date du traitement ;
Les données à caractère personnel dont le traitement est envisagé, ainsi que leur origine ;
Les personnes ou les autorités susceptibles de prendre connaissance de ces données eu égard à leur fonction ;
Les bénéficiaires des données objet du traitement ;
Le lieu de conservation des données à caractère personnel objet du traitement et sa durée ;
Les mesures prises pour assurer la confidentialité du traitement et sa sécurité ;
La description des bases des données auxquelles le responsable du traitement est interconnecté ;
L'engagement de procéder au traitement des données à caractère personnel conformément aux dispositions prévues par la loi ;
La déclaration que les conditions prévues par l'article 22 de la présente loi sont réunies.

En cas de changement intervenant dans les mentions énumérées ci-dessus, l'autorisation de L'Instance doit être obtenue.

La demande d'autorisation est présentée par le responsable du traitement ou son représentant légal.

L'autorisation n'exonère pas de la responsabilité à l'égard des tiers.

Les conditions de la présentation de la demande d'autorisation et ses procédures sont fixées par décret.

Section II - Du responsable du traitement des données à caractère personnel et de ses obligations

Art. 9 - Le traitement des données à caractère personnel doit se faire dans le cadre du respect de la dignité humaine, de la vie privée et des libertés publiques.

Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, ne doit pas porter atteinte aux droits des personnes protégés par les lois et les règlements en vigueur, et il est, dans tous les cas, interdit d'utiliser ces données pour porter atteinte aux personnes ou à leur réputation.

Art. 10 - La collecte des données à caractère personnel ne peut être effectuée que pour des finalités licites, déterminées et explicites.

Art. 11 - Les données à caractère personnel doivent titre traitées loyalement, et dans la limite nécessaire au regard des finalités pour lesquelles elles ont été collectées. Le responsable du traitement doit également s'assurer que ces données sont exactes, précises et mises à jour.

Art. 12 - Le traitement des données à caractère personnel ne peut être effectué pour des finalités autres que celles pour lesquelles elles ont été collectées sauf dans les cas suivants :

Si la personne concernée a donné son consentement.
Si le traitement est nécessaire à la sauvegarde d'un intérêt vital de la personne concernée ;
Si le traitement mis en œuvre est nécessaire à des fins scientifiques certaines.

Art. 13 - Est interdit le traitement des données à caractère personnel relatives aux infractions, à leur constatation, aux poursuites pénales, aux peines, aux mesures préventives ou aux antécédents judiciaires.

Art. 14 - Est interdit le traitement des données à caractère personnel qui concernent, directement ou indirectement, l'origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicales, ou la santé.

Toutefois, le traitement visé au paragraphe précédent est possible lorsqu'il est effectué avec le consentement exprès de la personne concernée donné par n'importe quel moyen laissant une trace écrite, ou lorsque ces données ont acquis un aspect manifestement public, ou lorsque ce traitement s'avère nécessaire à des fins historiques ou scientifiques, ou lorsque ce traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Le traitement des données à caractère personnel relatives à la santé est régi par les dispositions du cinquième chapitre de la présente loi.

Art. 15 - Le traitement des données à caractère personnel mentionnées par l'article 14 de la présente loi est soumis à l'autorisation de L'Instance Nationale de Protection des données à Caractère Personnel à l'exception des données relatives à la santé.

L'instance doit donner sa réponse concernant la demande d'autorisation dans un délai ne dépassant pas trente jours à compter de la date de sa réception. Le défaut de réponse dans ce délai vaut refus.

L'instance peut décider d'accepter la demande tout en imposant au responsable du traitement l'obligation de prendre des précautions ou des mesures qu'elle juge nécessaires à la sauvegarde de l'intérêt de la personne concernée.

Art. 16 - Les dispositions des articles 7, 8, 27, 28, 31 et 47 de la présente loi ne s'appliquent pas au traitement des données à caractère personnel concernant la situation professionnelle de l'employé, lorsque ledit traitement a été effectué par l'employeur et s'avère nécessaire au fonctionnement du travail et à son organisation.

Les dispositions des articles cités au paragraphe précédent ne s'appliquent pas au traitement des données à caractère personnel qu'exige le suivi de l'état de santé de la personne concernée.

Art. 17 - Il est, dans tous les cas, strictement interdit de lier la prestation d'un service ou l'octroi d'un avantage à une personne à son acceptation du traitement de ses données personnelles ou de leur exploitation à des fins autres que celles pour lesquelles elles ont été collectées.

Art. 18 - Toute personne qui effectue, personnellement ou par une tierce personne, le traitement des données à caractère personnel est tenue à l'égard des personnes concernées de prendre toutes les précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l'autorisation de la personne concernée.

Art. 19 - Les précautions prévues à l'article 18 de la présente loi doivent :

empêcher que les équipements et les installations utilisés dans le traitement des données à caractère personnel soient placés dans des conditions ou des lieux permettant à des personnes non autorisées d'y accéder ;
empêcher que les supports des données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
empêcher l'introduction non autorisée de toute donnée dans le système d'information, ainsi que toute prise de connaissance, tout effacement ou toute radiation des données enregistrées ;
empêcher que le système de traitement d'information puisse être utilisé par des personnes non autorisées ;
garantir que puissent titre vérifiés à posteriori l'identité des personnes ayant eu accès au système d'information, les données qui ont été introduites dans le système, le moment de cette introduction ainsi que la personne qui l'a effectuée ;
empêcher que les données puissent être lues, copiées, modifiées, effacées ou radiées, lors de leur communication où du transport de leur support ;
sauvegarder les données par la constitution de copies de réserve sécurisées.

Art. 20 - Le responsable du traitement, lorsqu'il confie aux tiers certaines opérations de traitement ou leur totalité dans le cadre d'un contrat de sous-traitance, doit choisir scrupuleusement le sous-traitant.

Le sous-traitant doit respecter les dispositions de la présente loi et ne doit agir que dans les limites autorisées par le responsable du traitement; il doit disposer, en outre, de tous les moyens techniques nécessaires et appropriés pour accomplir les missions dont il a la charge.

Le responsable du traitement et le sous-traitant engagent leur responsabilité civile en cas de violation des dispositions de la présente loi.

Art. 21 - Le responsable du traitement et le sous-traitant doivent corriger, compléter, modifier ou mettre à jour les fichiers dont ils disposent, et effacer les données à caractère personnel de ces fichiers s'ils ont eu connaissance de l'inexactitude ou de l'insuffisance de ces données.

Dans ce cas, le responsable du traitement et le sous-traitant doivent informer, la personne concernée et le bénéficiaire de manière légitime des données, de toute modification apportée aux données à caractère personnel qu'il a rebue précédemment.

La notification s'effectue dans un délai de deux mois, à compter de la date de la modification, par voie de lettre recommandée avec accusé de réception ou par n'importe quel moyen laissant une trace écrite.

Art. 22 - Sans préjudice des lois et règlements en vigueur, la personne physique ou le représentant légal de la personne morale désirant effectuer le traitement des données à caractère personnel et leurs agents doivent remplir les conditions suivantes :

Ëtre de nationalité tunisienne ;
Ëtre résident en Tunisie ;
Ëtre sans antécédents judiciaires.

Ces conditions s'appliquent également au sous-traitant et à ses agents.

Art. 23 - Le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou la perte de leur qualité, doivent préserver la confidentialité des données personnelles et les informations traitées à l'exception de celles dont la diffusion a été acceptée par écrit par la personne concernée ou dans les cas prévus par la législation en vigueur.

Art. 24 - Le responsable du traitement des données à caractère personnel ou le sous-traitant qui envisage de cesser définitivement son activité doit en informer L'Instance trois mois avant la date de la cessation d'activité.

En cas de décès du responsable du traitement ou du sous-traitant ou de sa faillite ou en cas de dissolution de la personne morale, les héritiers, le syndic de faillite ou le liquidateur, selon la situation, doivent en informer l'Instance dans un délai ne dépassant pas trois mois à compter de la date de la survenance du fait.

L'Instance, dans un délai ne dépassant pas un mois à compter de la date de son information conformément au paragraphe précédent, autorise la destruction des données à caractère personnel.

Art. 25 - L'instance peut décider la communication des données à caractère personnel en cas de cessation d'activité pour les motifs indiqués à l'article précédent, et ce, dans les deux cas suivants :

si elle juge que ces données sont utiles pour une exploitation à des fins historiques et scientifiques ;
si celui qui a effectué la notification propose de communiquer toutes les données à caractère personnel ou une partie à une personne physique ou morale en déterminant avec précision son identité. Dans ce cas, l'instance peut décider d'accepter la communication des données à caractère personnel à la personne proposée. La communication effective ne s'effectue qu'après l'obtention de l'accord de la personne concernée, son tuteur ou de ses héritiers reçus par n'importe quel moyen laissant une trace écrite.

En cas de non obtention de cet accord, dans un délai de trois mois à compter de la date de sa formulation, les données à caractère personnel doivent titre détruites.

Art. 26 - En cas de cessation de l'activité du responsable du traitement ou du sous-traitant pour les motifs indiqués à l'article 24 de la présente loi, la personne concernée, ses héritiers ou toute personne ayant intérêt ou le ministère public peuvent, à tout moment, demander de l'Instance de prendre toutes les mesures appropriées pour la conservation et la protection des données à caractère personnel, ainsi que leur destruction.

L'Instance doit rendre sa décision dans un délai de dix jours à compter de la date de sa saisine.

Section III - Des droits de la personne concernée

Sous-section I - Du consentement

Art. 27 - A l'exclusion des cas prévus par la présente loi ou les lois en vigueur, le traitement des données à caractère personnel ne peut être effectué qu'avec le consentement exprès et écrit de la personne concernée ; si celle-ci est une personne incapable ou interdite ou incapable de signer, le consentement est régi par les règles générales de droit.

La personne concernée ou son tuteur peut, à tout moment, se rétracter.

Art. 28 - Le traitement des données à caractère personnel qui concerne un enfant ne peut s'effectuer qu'après l'obtention du consentement de son tuteur et de l'autorisation du juge de la famille.

Le juge de la famille peut ordonner le traitement même sans le consentement du tuteur lorsque l'intérêt supérieur de l'enfant l'exige.

Le juge de la famille peut, à tout moment, revenir sur son autorisation.

Art. 29 - Le traitement des données à caractère personnel n'est pas soumis au consentement de la personne concernée lorsqu'il s'avère manifestement que ce traitement est effectué dans son intérêt et que son contact se révèle impossible, ou lorsque l'obtention de son consentement implique des efforts disproportionnés, ou si le traitement des données à caractère personnel est prévu par la loi ou une convention dans laquelle la personne concernée est partie.

Art. 30 - Le consentement au traitement des données à caractère personnel sous une forme déterminée ou pour une finalité déterminée ne s'applique pas aux autres formes ou finalités

Il est interdit d'utiliser le traitement des données à caractère personnel à des fins publicitaires sauf consentement exprès et particulier de la personne concernée, de ses héritiers ou de son tuteur. Le consentement à cet égard est soumis aux règles générales de droit.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 31 - Après l'expiration du délai fixé par l'article 7 de la présente loi pour l'opposition de l'Instance, il faut informer au préalable et par n'importe quel moyen laissant une trace écrite les personnes concernées par la collecte des données à caractère personnel de ce qui suit:

la nature des données à caractère personnel concernées par le traitement ;
les finalités du traitement des données à caractère personnel ;
le caractère obligatoire ou facultatif de leur réponse;
les conséquences du défaut de réponse ;
le nom de la personne physique ou morale bénéficiaire des données, ou de celui qui dispose du droit d'accès et son domicile;
le nom et prénom du responsable du traitement ou sa dénomination sociale et, le cas échéant, son représentant et son domicile;
leur droit d'accès aux données les concernant ;
leur droit de revenir, à tout moment, sur l'acceptation du traitement ;
leur droit de s'opposer au traitement de leurs données à caractère personnel ;
la durée de conservation des données à caractère personnel ;
une description sommaire des mesures mises en couvre pour garantir la sécurité des données à caractère personnel ;
le pays vers lequel le responsable du traitement entend, le cas échéant, transférer les données à caractère personnel.

La notification s'effectue par lettre recommandée avec accusé de réception ou par n'importe quel moyen laissant une trace écrite dans un délai d'un mois au moins avant la date fixée pour le traitement des données à caractère personnel.

Sous-section II - Le droit d'accès

Art. 32 - Au sens de la présente loi, on entend par droit d'accès, le droit de la personne concernée, de ses héritiers ou de son tuteur de consulter toutes les données à caractère personnel la concernant, ainsi que le droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer lorsqu'elles s'avèrent inexactes, équivoques, ou que leur traitement est interdit.

Le droit d'accès couvre également le droit d'obtenir une copie des données dans une langue claire et conforme au contenu des enregistrements, et sous une forme intelligible lorsqu'elles sont traitées à l'aide de procédés automatisés.

Art. 33 - On ne peut préalablement renoncer au droit d'accès.

Art. 34 - Le droit d'accès est exercé par la personne concernée, ses héritiers ou son tuteur à des intervalles raisonnables et de façon non excessive.

Art. 35 - La limitation du droit d'accès de la personne concernée, de ses héritiers ou de son tuteur aux données à caractère personnel la concernant n'est possible que dans les cas suivants :

lorsque le traitement des données à caractère personnel est effectué à des fins scientifiques et à condition que ces données n'affectent la vie privée de la personne concernée que d'une façon limitée ;
si le motif recherché par la limitation du droit d'accès est la protection de la personne concernée elle-même ou des tiers.

Art. 36 - Lorsqu'il y a plusieurs responsables du traitement des données à caractère personnel ou lorsque le traitement est effectué par un sous-traitant, le droit d'accès est exercé auprès de chacun d'eux.

Art. 37 - Le responsable du traitement automatisé des données à caractère personnel et le sous-traitant doivent mettre en œuvre les moyens techniques nécessaires pour permettre à la personne concernée, à ses héritiers ou à son tuteur l'envoi par voie électronique de sa demande de rectification, de modification, de correction, ou d'effacement des données à caractère personnel.

Art. 38 - La demande d'accès est présentée par la personne concernée ou ses héritiers ou son tuteur par écrit ou par n'importe quel moyen laissant une trace écrite. La personne concernée, ses héritiers ou son tuteur peuvent demander de la même manière l'obtention de copies des données dans un délai ne dépassant pas un mois à compter de ladite demande.

Dans le cas où le responsable du traitement ou le sous-traitant refuse de permettre à la personne concernée, à ses héritiers ou à son tuteur la consultation des données à caractère personnel requises, ou diffère l'accès à ces données, ou refuse de leur délivrer une copie de ces données, la personne concernée, ses héritiers ou son tuteur peuvent présenter une demande à l'Instance dans un délai maximum d'un mois à compter de la date du refus.

L'instance, après l'audition des deux parties et l'accomplissement des investigations nécessaires, peut ordonner la consultation des informations requises ou la délivrance d'une copie de ces informations ou l'approbation du refus, et ce, dans un délai ne dépassant pas un mois à compter de la date de sa saisine.

La personne concernée, ses héritiers ou son tuteur peuvent présenter à l'Instance, le cas échéant, une demande afin de prendre toutes les mesures appropriées pour empêcher la destruction ou la dissimulation des données à caractère personnel. L'instance doit statuer sur la demande dans un délai de sept jours à compter de la date de l'introduction de la demande.

La destruction ou la dissimulation de ces données est interdite dès la présentation de la demande.

Art. 39 - En cas de litige sur l'exactitude des données à caractère personnel, le responsable du traitement et le sous-traitant doivent mentionner l'existence de ce litige jusqu'à ce qu'il y soit statué.

Art. 40 - La personne concernée, ses héritiers ou son tuteur, peut demander de rectifier les données à caractère personnel la concernant, les compléter, les modifier, les clarifier, les mettre à jour, les effacer lorsqu'elles s'avèrent inexactes, incomplètes, ou ambiguës, ou demander leur destruction lorsque leur collecte ou leur utilisation a été effectuée en violation de la présente loi.

Elle peut en outre demander, sans frais et après l'accomplissement des procédures requises, la délivrance d'une copie des données à caractère personnel et indiquer ce qui n'a pas été réalisé en ce qui concerne ces données.

Dans ce cas, le responsable du traitement ou le sous-traitant doit lui délivrer une copie des données demandées dans un délai ne dépassant pas un mois à compter de la date de la présentation de la demande.

En cas de refus, explicite ou implicite, de la demande l'Instance peut être saisie dans un délai ne dépassant pas un mois à partir de la date d'expiration du délai mentionné au paragraphe précédent.

Art. 41 - L'instance est saisie de tout litige relatif à l'exercice du droit d'accès.

Sous réserve des délais spécifiques prévus par la présente loi, l'Instance doit rendre sa décision dans un délai d'un mois à compter de la date de sa saisine.

Sous-section III - Le droit d'opposition

Art. 42 - La personne concernée, ses héritiers ou son tuteur, a le droit de s'opposer à tout moment au traitement des données à caractère personnel le concernant pour des raisons valables, légitimes et sérieuses, sauf dans les cas où le traitement est prévu par la loi ou est exigé par la nature de l'obligation.

En outre, la personne concernée, ses héritiers ou son tuteur, a le droit de s'opposer à ce que les données à caractère personnel la concernant soient communiquées aux tiers en vue de les exploiter à des fins publicitaires.

L'opposition suspend immédiatement le traitement.

Art. 43 - L'Instance Nationale de Protection des Données à Caractère Personnel est saisie de tout litige relatif à l'exercice du droit d'opposition.

L'instance doit rendre sa décision dans le délai prévu par l'article 41 de la présente loi.

Le juge de la famille statue sur les litiges relatifs à l'opposition lorsque la personne concernée est un enfant.

CHAPTRE Ill - De la collecte, conservation, effacement et destruction des données à caractère personnel

Art. 44 - La collecte des données à caractère personnel ne s'effectue qu'auprès des personnes concernées directement.

La collecte des données à caractère personnel opérée auprès des tiers n'est admise qu'avec le consentement de la personne concernée, de ses héritiers ou de son tuteur. Le consentement n'est pas requis lorsque la collecte des données auprès des tiers est prévue par la loi, ou lorsque la collecte auprès de la personne concernée implique des efforts disproportionnés, ou s'il s'avère manifestement que la collecte n'affecte pas ses intérêts légitimes, ou lorsque la personne concernée est décédée.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 45 - Les données à caractère personnel doivent titre détruites dès l'expiration du délai fixé à sa conservation dans la déclaration ou l'autorisation ou les lois spécifiques ou en cas de réalisation des finalités pour lesquelles elles ont été collectées ou lorsqu'elles deviennent inutiles pour l'activité du responsable du traitement. Il est établi un procès-verbal par huissier de justice et en présence d'un expert désigné par l'Instance.

Les honoraires de l'expert fixés par l'Instance et les frais de l'huissier de justice sont à la charge du responsable du traitement.

Art. 46 - Les données à caractère personnel communiquées ou susceptibles d'être communiquées aux personnes visées à l'article 53 de la présente loi ne peuvent être détruites ou radiées qu'après l'obtention de l'avis desdites personnes ainsi que l'autorisation de l'Instance Nationale de Protection des Données à caractère personnel.

L'Instance statue sur la demande dans un délai ne dépassant pas un mois à partir de son introduction.

CHAPITRE IV - De la communication et du transfert des données à caractère personnel

Art. 47- Il est interdit de communiquer des données à caractère personnel aux tiers sans le consentement exprès donne par n'importe quel moyen laissant une trace écrite, de la personne concernée, de ses héritiers ou de son tuteur sauf si ces données sont nécessaires à l'exercice des missions confiées aux autorités publiques dans le cadre de la sécurité publique ou de la défense nationale, ou s'avèrent nécessaires à la mise en œuvre des poursuites pénales ou à l'exécution des missions dont elles sont investies conformément aux lois et règlements en vigueur.

L'Instance peut autoriser la communication des données à caractère personnel en cas du refus, écrit et explicite, de la personne concernée, de ses héritiers ou de son tuteur lorsqu'une telle communication s'avère nécessaire pour la réalisation de leurs intérêts vitaux, ou pour l'accomplissement des recherches et études historiques ou scientifiques, ou encore en vue de l'exécution d'un contrat auquel la personne concernée est partie, et ce, à condition que la personne à qui les données à caractère personnel sont communiquées s'engage à mettre en œuvre toutes les garanties nécessaires à la protection des données et des droits qui s'y rattachent conformément aux directives de l'Instance, et d'assurer qu'elles ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été communiquées.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 48 - La demande d'autorisation est présentée à l'Instance dans un délai ne dépassant pas un mois à compter de la date du refus de la personne concernée de communiquer ses données à caractère personnel aux tiers.

L'Instance statue sur la demande dans un délai ne dépassant pas un mois à partir de son introduction.

L'Instance informe le demandeur de sa décision dans un délai de quinze jours à compter de la date de la prise de décision, et ce, par lettre recommandée avec accusé de réception ou par tout autre moyen laissant une trace écrite.

Art. 49 - Les données à caractère personnel traitées pour des finalités particulières peuvent être communiquées en vue d'être traitées une autre fois pour des fins historiques ou scientifiques, à condition d'obtenir le consentement de la personne concernée, de ses héritiers ou de son tuteur, ainsi que l'autorisation de l'Instance Nationale de Protection des Données à Caractère Personnel.

L'Instance décide, selon les cas, de supprimer les données susceptibles d'identifier la personne concernée ou de les laisser.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 50 - Il est interdit, dans tous les cas, de communiquer ou de transférer des données à caractère personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie.

Art. 51 - Le transfert vers un autre pays des données personnelles faisant l'objet d'un traitement ou destinées à faire l'objet d'un traitement, ne peut avoir lieu que si ce pays assure un niveau de protection adéquat apprécié au regard de tous les éléments relatifs à la nature des données à transférer, aux finalités de leur traitement, à la durée du traitement envisage, et le pays vers lequel les données vont être transférées ainsi que les précautions nécessaires mises en œuvre pour assurer la sécurité des données. Dans tous les cas, le transfert des données à caractère personnel doit s'effectuer conformément aux conditions prévues par la présente loi.

Art. 52 - Dans tous les cas, l'obtention de l'autorisation de l'Instance pour effectuer le transfert des données à caractère personnel vers l'étranger est obligatoire.

L'Instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à partir de la présentation de la demande.

Lorsque les données à caractère personnel à transférer concernent un enfant, la demande est présentée au juge de la famille.

CHAPITRE V - De quelques catégories particulières de traitement

Section I - Du traitement des données à caractère personnel par les personnes publiques

Art. 53 - Les dispositions de la présente section s'appliquent au traitement des données à caractère personnel réalisé par les autorités publiques, les collectivités locales et les établissements publics à caractère administratif dans le cadre de la sécurité publique ou de la défense nationale, ou pour procéder aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire à l'exécution de leurs missions conformément aux lois en vigueur.

Les dispositions de la présente section s'appliquent, en outre, au traitement des données à caractère personnel réalisé par les établissements publics de santé ainsi que les établissements publics n'appartenant pas à la catégorie mentionnée au paragraphe précédent, dans le cadre des missions qu'ils assurent en disposant des prérogatives de la puissance publique conformément à la législation en vigueur.

Art. 54 - Le traitement réalisé par les personnes mentionnées à l'article précédent n'est pas soumis aux dispositions prévues par les articles 7, 8, 13, 27, 28, 37, 44 et 49 de la présente loi.

Le traitement réalisé par les personnes mentionnées au premier paragraphe de l'article 53 de la présente loi n'est pas soumis également aux dispositions des articles 14, 15 et 42 et aux dispositions de la quatrième section du cinquième chapitre de la présente loi.

Art. 55 - Les personnes mentionnées à l'article 53 de la présente loi doivent rectifier, compléter, modifier, ou mettre à jour les fichiers dont elles disposent, ainsi que l'effacement des données à caractère personnel contenues dans ces fichiers si la personne concernée, le tuteur ou les héritiers a signalé par n'importe quel moyen laissant une trace écrite, l'inexactitude ou l'insuffisance de ces données.

Art. 56 - Le droit d'accès aux données à caractère personnel traitées par les personnes mentionnées à l'article 53 ne peut être exercé.

Toutefois, pour les données traitées par les personnes mentionnées dans le deuxième paragraphe de l'article 53 de la présente loi, la personne concernée, son tuteur, ou ses héritiers peuvent, pour des raisons valables, demander de corriger, de compléter, de rectifier, de mettre à jour, de modifier, ou d'effacer les données lorsqu'elles s'avèrent inexactes et qu'ils en ont pris connaissance.

Art. 57 - Il est interdit aux personnes mentionnées à l'article 53 de la présente loi de communiquer des données à caractère personnel aux personnes privées sans le consentement exprès de la personne concernée, de son tuteur ou de ses héritiers, donné par n'importe quel moyen laissant une trace écrite. Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent. Les autres communications demeurent soumises aux dispositions des lois spécifiques en vigueur.

Art. 58 - La personne concernée, son tuteur, ou ses héritiers peuvent s'opposer au traitement des données à caractère personnel effectué par les personnes mentionnées au deuxième paragraphe de l'article 53 de la présente loi si un tel traitement est contraire aux dispositions de la présente loi qui lui sont applicables.

Art. 59 - L'instance Nationale de Protection des Données à Caractère Personnel est saisie, sur demande de la personne concernée, son tuteur ou ses héritiers, de tout litige relatif à l'application des dispositions du deuxième paragraphe de l'article 56 et de l'article 58 de la présente loi. Elle doit rendre sa décision dans un délai d'un mois à compter de la date de sa saisine.

Art. 60 - En cas de dissolution ou de fusion des personnes mentionnées à l'article 53 de la présente loi, l'autorité de tutelle doit prendre les mesures nécessaires à la conservation et la protection des données traitées par la personne dissoute ou fusionnée.

L'autorité de tutelle peut décider de détruire les données à caractère personnel ou de les communiquer si elle juge que ces données sont utiles pour une exploitation à des fins historiques et scientifiques.

Un procès-verbal administratif est, dans tous les cas, dressé.

Art. 61 - Les personnes mentionnées à l'article 53 de la présente loi doivent détruire les données à caractère personnel si le délai de leur conservation déterminé par les lois spécifiques a expiré ou si le but pour lequel elles ont été collectées a été réalisé. Il en est de même si lesdites données ne sont plus nécessaires à l'activité poursuivie selon les lois en vigueur. Un procès-verbal administratif est dressé.

Section II - Du traitement des données à caractère personnel relatives à la santé

Art. 62 - Sans préjudice des dispositions prévues dans l'article 14 de la présente loi, les données à caractère personnel relatives à la santé peuvent faire l'objet d'un traitement dans les cas suivants :

lorsque la personne concernée, ses héritiers ou son tuteur, a donné son consentement à un tel traitement. Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent ;
lorsque le traitement est nécessaire à la réalisation de finalités prévues par la loi ou les règlements ;
lorsque le traitement s'avère nécessaire pour le développement et la protection de la santé publique entre autres pour la recherche sur les maladies ;
lorsqu'il s'avère des circonstances que le traitement est bénéfique pour la santé de la personne concernée ou qu'il est nécessaire, à des fins préventives ou thérapeutiques, pour le suivi de son état de santé ;
lorsque le traitement s'effectue dans le cadre de la recherche scientifique dans le domaine de la santé.

Art. 63 - Le traitement des données à caractère personnel relatives à la santé ne peut être mis en œuvre que par des médecins ou des personnes soumises, en raison de leur fonction, à l'obligation de garder le secret professionnel.

Les médecins peuvent communiquer les données à caractère personnel en leur possession à des personnes ou des établissements effectuant de la recherche scientifique dans le domaine de la santé suite à une demande émanant de ces personnes ou établissements, et sur la base d'une autorisation de l'Instance Nationale de Protection des Données à Caractère Personnel.

L'instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à compter de la date de la présentation de la demande.

Art. 64 - Le traitement ne peut dépasser la durée nécessaire pour la réalisation du but pour lequel il est effectué.

Art. 65 - L'instance peut, lors de la délivrance de l'autorisation visée au deuxième paragraphe de l'article 63 de la présente loi, fixer les précautions et les mesures devant titre mises en œuvre pour assurer la protection des données à caractère personnel relatives à la santé.

Elle peut interdire la diffusion des données à caractère personnel relatives à la santé.

Section III - Du traitement des données à caractère personnel dans le cadre de la recherche scientifique

Art. 66 - Les données à caractère personnel collectées ou enregistrées aux fins de la recherche scientifique ne peuvent titre traitées ou utilisées qu'à des fins de recherche scientifique.

Art. 67 - Les données à caractère personnel ne doivent pas contenir des éléments susceptibles de révéler l'identité de la personne concernée lorsque les exigences de la recherche scientifique le permettent. Les données concernant la situation d'une personne physique identifiée ou identifiable doivent titre enregistrées distinctement et ne peuvent titre rassemblées avec les données concernant la personne que si elles s'avèrent nécessaires à des fins de recherche.

Art. 68 - La diffusion des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la recherche scientifique ne peut avoir lieu que lorsque la personne concernée, ses héritiers ou son tuteur, ont donné leur consentement exprès par n'importe quel moyen laissant une trace écrite ; ou lorsque cette diffusion s'avère nécessaire pour la présentation des résultats de recherche relatifs à des évènements ou des phénomènes existant au moment de ladite présentation.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Section IV - Du traitement des données à caractère personnel à des fins de vidéosurveillance

Art. 69 - Sous réserve de la législation en vigueur, l'utilisation des moyens de vidéo-surveillance est soumise à une autorisation préalable de l'Instance Nationale de Protection des Données à Caractère Personnel.

L'Instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à partir de la date de la présentation de ladite demande.

Art. 70 - Les moyens de surveillance mentionnés à l'article précédent ne peuvent être utilisés que dans les lieux suivants :

les lieux ouverts au public et leurs entrées ;
les parkings, les moyens de transport public, les stations, les ports maritimes et les aéroports ;
les lieux de travail collectifs.

Art. 71 - Les moyens de vidéo-surveillance mentionnés à l'article précédent ne peuvent titre utilisés dans les lieux indiqués dans l'article précédent que s'ils sont nécessaires pour assurer la sécurité des personnes, la prévention des accidents, la protection des biens ou l'organisation de l'entrée et de la sortie de ces espaces.

Dans tous les cas, les enregistrements vidéo ne peuvent être accompagnés d'enregistrements sonores.

Art. 72 - Le public doit être informé d'une manière claire et permanente de l'existence de moyens de vidéosurveillance.

Art. 73 - Il est interdit de communiquer les enregistrements vidéo collectés à des fins de surveillance sauf dans les cas suivants :

lorsque la personne concernée, ses héritiers ou son tuteur, ont donné leur consentement. Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent ;
lorsque la communication est nécessaire à l'exercice des missions dévolues aux autorités publiques ;
lorsque la communication s'avère nécessaire pour la constatation, la découverte ou la poursuite d'infractions pénales.

Art. 74 - Les enregistrements vidéo doivent titre détruits lorsqu'ils ne sont plus nécessaires à la réalisation des finalités pour lesquelles ils ont été effectués ou lorsque l'intérêt de la personne concernée exige sa suppression à moins que ces enregistrements ne s'avèrent utiles pour la recherche et les poursuites d'infractions pénales.

CHAPITRE VI - L'instance Nationale de Protection des Données à caractère Personnel

Art. 75 - Il est institué, en vertu de la présente loi, une Instance dénommée «L'Instance Nationale de Protection des Données à Caractère Personnel » disposant de la personnalité morale et jouissant de l'autonomie financière. Son siège est fixé à Tunis.

Le budget de l'Instance est rattaché au budget du ministère chargé des Droits de l'homme.

Les modalités de fonctionnement de l'Instance sont fixées par décret.

Art. 76 - L'Instance Nationale de Protection des Données à Caractère Personnel est chargée des missions suivantes :

accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement des données à caractère personnel, ou les retirer dans les cas prévus par la présente loi ;
recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée en vertu de la présente loi ;
déterminer les garanties indispensables et les mesures appropriées pour la protection des données à caractère personnel;
accéder aux données à caractère personnel faisant l'objet d'un traitement afin de procéder à leur vérification, et collecter les renseignements indispensables à l'exécution de ses missions ;
donner son avis sur tout sujet en relation avec les dispositions de la présente loi ;
élaborer des règles de conduite relatives au traitement des données à caractère personnel ;
participer aux activités de recherche, de formation et d'étude en rapport avec la protection des données à caractère personnel, et d'une manière générale à toute activité ayant un rapport avec son domaine d'intervention.

Art. 77 - L'instance peut procéder aux investigations requises en recueillant les déclarations de toute personne dont l'audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et lieux où a eu lieu le traitement à l'exception des locaux d'habitation. L'Instance peut se faire assister, dans le cadre de ses missions, par les agents assermentés du ministère chargé des technologies de la communication pour effectuer des recherches et des expertises spécifiques, ou par des experts judiciaires, ou par toute personne jugeant utile sa participation.

L'Instance doit informer le procureur de la République territorialement compétent de toutes les infractions dont elle a eu connaissance dans le cadre de son travail.

Le secret professionnel ne peut être opposé à l'instance.

Art. 78 - L'Instance est composée ainsi :

un président choisi parmi les personnalités compétentes dans le domaine ;
un membre choisi parmi les membres de la Chambre des Députés ;
un membre choisi parmi les membres de la Chambre des Conseillers.
un représentant du Premier ministère ;
deux magistrats de troisième grade ;
deux magistrats du tribunal administratif ;
un représentant du Ministère de l'Intérieur ;
un représentant du Ministère de la Défense Nationale ;
un représentant du Ministère chargé des Technologies de la Communication;
un chercheur du Ministère chargé de la Recherche Scientifique ;
un médecin du Ministère chargé de la Santé Publique ;
un membre du Comité Supérieur des Droits de l'homme et des Libertés Fondamentales ;
un membre choisi parmi les experts en matière de technologies de la communication.

Le président et les membres de l'Instance sont désignés, pour trois ans, par décret.

Art. 79 - Il est interdit au président de L'Instance et à ses membres d'avoir, directement ou indirectement, des intérêts dans toute entreprise qui exerce ses activités dans le domaine du traitement des données à caractère personnel soit d'une façon automatisée, soit d'une façon manuelle.

Art. 80 - Le président et les membres de L'Instance doivent sauvegarder le caractère secret des données à caractère personnel et des informations dont ils ont eu connaissance à raison de leur qualité, et ce, même après la perte de cette qualité sauf dispositions contraires de la loi.

Art. 81 - L'instance peut décider après audition du responsable du traitement ou du sous-traitant de retirer l'autorisation ou d'interdire le traitement s'il a porté atteinte aux obligations prévues par la présente loi.

Les procédures du retrait de l'autorisation ou de l'interdiction du traitement sont fixées par décret.

Art. 82 - Les décisions de l'Instance sont motivées et notifiées aux personnes concernées par huissier de justice.

Les décisions de l'Instance sont susceptibles de recours devant la cour d'appel de Tunis dans un délai d'un mois à partir de leur notification. Il est statué sur le recours selon les dispositions du Code de procédure civile et commerciale.

Les décisions de l'Instance sont exécutées nonobstant le recours formulé à leur encontre. Le premier président de la cour d'appel de Tunis peut ordonner en référé la suspension de leur exécution jusqu'à ce qu'il soit statué sur le recours lorsque cette exécution est susceptible de causer un préjudice irréversible. La décision ordonnant la suspension n'est susceptible d'aucune voie de recours. La cour saisie de l'affaire doit statuer sur le recours dans un délai ne dépassant pas trois mois à compter de la date de sa saisine.

Les arrêts rendus par la cour d'appel de Tunis sont susceptibles de pourvoi en cassation devant la cour de cassation.

Art. 83 - L'auteur de la requête doit consigner les frais d'expertise et de notification des décisions ainsi que les différents frais nécessaires déterminés par le président de l'Instance.

Art. 84 - Les biens mobiliers ou immobiliers de l'Etat nécessaires à l'exécution des missions de L'Instance peuvent lui être attribués par affectation. En cas de dissolution de L'Instance, ses biens se transmettent à l'Etat qui procède à l'exécution des obligations et des engagements de L'Instance conformément à la législation en vigueur.

Art. 85 - L'Instance transmet un rapport annuel sur son activité au Président de la République.

CHAPITRE VII - Des sanctions

Art. 86 - Est puni d'un emprisonnement de deux à cinq ans et d'une amende de cinq mille dinars à cinquante mille dinars, quiconque viole les dispositions de l'article 50 de la présente loi.

La tentative est punissable.

Art. 87 - Est puni d'un emprisonnement de deux ans et d'une amende de dix mille dinars, celui qui viole les dispositions de l'article 13 ainsi que le paragraphe premier de l'article 14, le paragraphe premier de l'article 28, le paragraphe premier de l'article 63 et les articles 70 et 71 de la présente loi.

Est puni également des mêmes peines prévues au paragraphe précédent, celui qui viole les dispositions du paragraphe premier de l'article 27 ainsi que les articles 31, 44 et 68 de la présente loi.

Art. 88 - Est puni d'un an d'emprisonnement et d'une amende de dix mille dinars, celui qui porte une personne à donner son consentement pour le traitement de ses données personnelles en utilisant la fraude, la violence ou la menace.

Art. 89 - Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, celui qui intentionnellement communique des données à caractère personnel pour réaliser un profit pour son compte personnel ou le compte d'autrui ou pour causer un préjudice à la personne concernée.

Art. 90 - Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, quiconque :

effectue intentionnellement un traitement des données à caractère personnel sans présenter la déclaration prévue à l'article 7 ou sans l'obtention de l'autorisation prévue aux articles 15 et 69 de la présente loi, ou continue d'effectuer le traitement des données après l'interdiction de traitement ou le retrait de l'autorisation ;
diffuse les données à caractère personnel relatives à la santé nonobstant l'interdiction de l'Instance mentionnée au deuxième paragraphe de l'article 65 de la présente loi ;
transfert les données à caractère personnel à l'étranger sans l'autorisation de l'Instance ;
communique les données à caractère personnel sans le consentement de la personne concernée ou l'accord de l'Instance dans les cas prévus par la présente loi.

Art. 91 - Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, le responsable du traitement ou le sous-traitant qui continue de traiter des données à caractère personnel malgré l'opposition de la personne concernée faite conformément aux dispositions de l'article 42 de la présente loi.

Art. 92 - Est puni de huit mois d'emprisonnement et d'une amende de trois mille dinars, le responsable du traitement ou le sous-traitant qui intentionnellement limite ou entrave l'exercice du droit d'accès dans les cas autres que ceux prévus à l'article 35 de la présente loi.

Art. 93 - Est puni de trois mois d'emprisonnement et d'une amende de trois mille dinars quiconque diffuse intentionnellement des données à caractère personnel, à l'occasion de leur traitement, d'une manière qui nuit à la personne concernée ou à sa vie privée.

La peine est d'un mois d'emprisonnement et d'une amende de mille dinars lorsque la diffusion a été effectuée sans l'intention de nuire.

La personne concernée peut demander au tribunal d'ordonner la publication d'un extrait du jugement dans un ou plusieurs journaux quotidiens, paraissant en Tunisie choisis par la personne concernée. Les frais de publication sont supportés par le condamné.

Les poursuites ne peuvent titre déclenchées qu'à la demande de la personne concernée.

Le désistement arrête la poursuite, le procès ou l'exécution de la peine.

Art. 94 - Est puni de trois mois d'emprisonnement et d'une amende de mille dinars quiconque viole les dispositions des articles 12, 18, et 19, ainsi que les paragraphes premier et deuxième de l'article 20, et les articles 21, 37, 45, 64 et 74 de la présente loi.

Est puni également des mêmes peines prévues au paragraphe précédent quiconque collecte des données à caractère personnel à des fins illégitimes ou contraires à l'ordre public ou traite intentionnellement des données à caractère personnel inexactes, non mises à jour ou qui ne sont pas nécessaires à l'activité de traitement.

Art. 95 - Est puni d'une amende de dix mille dinars, la personne à qui les données ont été communiquées qui ne respecte pas les garanties et les mesures que l'Instance lui a fixées conformément aux dispositions du deuxième paragraphe de l'article 47 et du premier paragraphe de l'article 65 de la présente loi.

Art. 96 - Est puni d'une amende de cinq mille dinars, quiconque :

entrave le travail de L'Instance Nationale de Protection des Données à Caractère Personnel en l'empêchant d'effectuer les investigations ou en refusant de délivrer les documents requis ;
communique de mauvaise foi à l'Instance ou notifie à la personne concernée, intentionnellement, des informations inexactes.

Art. 97 - L'article 254 du Code pénal s'applique au responsable du traitement, au sous-traitant, a leurs agents, au président de l'Instance et à ses membres qui divulguent le contenu des données à caractère personnel sauf dans les cas prévus par la loi.

Art. 98 - Est puni d'une amende de mille dinars, le responsable du traitement, le sous-traitant, le syndic de faillite ou le liquidateur qui viole les dispositions de l'article 24 de la présente loi.

Art. 99 - Est puni d'une amende de mille dinars, le responsable du traitement ou le sous-traitant qui viole les dispositions de l'article 39 de la présente loi.

Art. 100 - Outre les peines prévues par les articles précédents de la présente loi, le tribunal peut, dans tous les cas, décider de retirer l'autorisation du traitement ou de suspendre le traitement.

Art. 101 - Lorsque le contrevenant est une personne morale, les peines prévues ci-dessus sont applicable personnellement et selon les cas au dirigeant légal ou de fait de la personne morale dont la responsabilité concernant les actes accomplis a été établie.

Art. 102 - Les infractions prévues dans ce chapitre sont constatées par les officiers de police judiciaire mentionnés aux numéros 1 à 4 de l'article 10 du Code de procédure pénale, et par les agents assermentés du ministère chargé des technologies de la communication; les procès-verbaux sont établis conformément aux procédures prévues par ledit code.

Art. 103 - Il peut être procédé à la médiation pénale dans les infractions prévues au deuxième paragraphe de l'article 87, ainsi que les articles 89 et 91 de la présente loi conformément au neuvième chapitre du quatrième livre du Code de procédure pénale.

Dispositions diverses

Art. 104 - Sont abrogées les dispositions contraires à la présente loi et notamment les articles 38, 41 et 42 de la loi n° 2000-83 du 9 aout 2000 relative aux échanges et au commerce électroniques.

Art. 105 - Les personnes effectuant une activité de traitement des données à caractère personnel à la date de la promulgation de la présente loi doivent se conformer à ses dispositions dans un délai d'un an à compter de la date de son entrée en vigueur.

La présente loi organique sera publiée au Journal Officiel de la République Tunisienne et exécutée comme loi de l'Etat.

Tunis, le 27 juillet 2004 .