قانون عدد 5 لسنة 2004 مؤرخ في 3 فيفري 2004 يتعلق بالسلامة المعلوماتية

Au nom du peuple,

La chambre des députés ayant adopté,

Le Président de la République promulgue la loi dont la teneur suit :

CHAPITRE PREMIER - De l'Agence nationale de la sécurité informatique

Article premier - La présente loi a pour objet d'organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux.

Art. 2 - Est créée, une entreprise publique à caractère non administratif dotée de la personnalité morale et de l'autonomie financière dénommée "Agence Nationale de la Sécurité Informatique". Elle est soumise dans ses relations avec les tiers à la législation commerciale et son siège est fixé à Tunis.

L'agence est soumise à la tutelle du ministère chargé des technologies de la communication.

L'organisation administrative et financière et les modalités de fonctionnement de l'agence sont fixées par décret.

Art. 3 - L'agence nationale de la sécurité informatique effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés et elle est chargée notamment des missions suivantes :

- veiller à l'exécution des orientations nationales et de la stratégie générale en matière de sécurité des systèmes informatiques et des réseaux,

- suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine,

- assurer la veille technologique dans le domaine de la sécurité informatique,

- établir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication,

- œuvrer à encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence,

- participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique,

- veiller à l'exécution des réglementations relatives à l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux.

L'autorité de tutelle peut confier à l'agence toute autre activité en rapport avec le domaine de son intervention.

Art. 4 - En cas de dissolution de l'agence, ses biens feront retour à l'Etat qui exécute ses obligations et ses engagements conformément à la législation en vigueur.

CHAPITRE II - De l'audit obligatoire

Art. 5 - Les systèmes informatiques et les réseaux relevant des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique, à l'exception des systèmes informatiques et des réseaux appartenant aux ministères de la défense nationale et de l'intérieur et du développement local.

Sont, également, soumis à l'audit obligatoire périodique de la sécurité informatique, les systèmes informatiques et les réseaux des organismes qui seront fixés par décret.

Sont fixés par décret, les critères relatifs à la nature de l'audit, à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.

Art. 6 - Dans le cas où les organismes prévus à l'article 5 de la présente loi n'effectuent pas l'audit obligatoire périodique, L'agence nationale de la sécurité informatique avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement.

A l'expiration de ce délai sans résultat, l'agence est tenue de désigner, aux frais de l'organisme contrevenant, un expert qui sera chargé de l'audit sus-indiquée.

Art. 7 - Sous réserve des exceptions prévues aux articles 3 et 5 de la présente loi, les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions.

CHAPITRE III - Des auditeurs

Art. 8 - L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l'agence nationale de la sécurité informatique.

Sont fixées par décret, les conditions et les procédures de certification de ces experts.

Art. 9 - Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions.

Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou incite à la divulgation de ces informations.

CHAPITRE IV - Des dispositions diverses

Art. 10 - Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer immédiatement l'agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.

L'exploitant est tenu de se conformer aux mesures arrêtées par l'agence nationale de la sécurité informatique pour mettre fin à ces perturbations.

Art. 11 - Dans les cas prévus à l'article précédent et afin de protéger les systèmes informatiques et les réseaux, l'agence nationale de la sécurité informatique peut proposer l'isolement du système informatique ou du réseau concerné jusqu'à ce que ces perturbations cessent. L'isolement est prononcé par décision du ministre chargé des technologies de la communication.

Concernant les exceptions prévues à l'article 3 de la présente loi, des procédures adéquates seront arrêtées en coordination avec les ministres de la défense nationale et de l'intérieur et du développement local.

La présente loi sera publiée au Journal Officiel de la République Tunisienne et exécutée comme loi de l'Etat.

Tunis, le 3 février 2004.