Projet de loi organique n° 25/2018 relatif à la protection des données à caractère personnel

Traduction préliminaire non officielle faite par le Bureau de Tunis du Centre pour le contrôle démocratique des forces armées – Genève (DCAF).

 

CHAPITRE I – DISPOSITIONS GENERALES

 

Article premier – La présente loi vise à garantir le droit de toute personne à la protection de ces données à caractère personnel et fixe les conditions et les procédures à respecter dans le cadre du traitement de ces données.

Art. 2 – Les dispositions de la présente loi s’appliquent au traitement automatisé et au traitement non automatisé des données à caractère personnel mis en œuvre sur le territoire national à moins qu’il ne soit contraire aux exigences de la sûreté publique et la défense nationale conformément à la législation en vigueur.

Elles ne s’appliquent pas toutefois au traitement des données à caractère personnel ayant pour finalité un usage personnel ou familial.

Art. 3 – Le traitement des données à caractère personnel doit être fait conformément aux règles de la transparence, de sécurité, du respect de la dignité humaine ainsi qu’aux dispositions de la présente loi sous le contrôle de l’instance de protection des données personnelles.

Il est, dans tous les cas, interdit d'utiliser ces données pour porter atteinte aux personnes ou à leur réputation, ou pour tout but criminel.

Art. 4 – Au sens de la présente loi, on entend par :

  1. Données à caractère personnel : Toutes les données quelle que soit leur origine ou leur forme se rapportant à une personne physique identifiée ou identifiables, directement ou indirectement, à travers plusieurs informations ou symboles notamment par référence à un identifiant tel que le nom, le numéro d’identification, la situation familiale ou des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à la personne en relation avec son identité physique, génétique, psychique ou à ses comportements économiques, culturels ou sociaux.
  2. Traitement des données à caractère personnel : Les opérations réalisées d’une façon automatisée ou non automatisée et qui ont pour but notamment la collecte, la consultation, l’enregistrement, la reproduction, la conservation, le stockage, l’organisation, la modification, l’exploitation, l’utilisation, l’expédition, la distribution, la diffusion, l’interconnexion, la communication, la conversion, le transfert ou toute autre forme de mise à disposition, l’anonymisation, le codage, la suppression (l’effacement) ou la destruction des données à caractère personnel.
  3. Instance : Instance de protection des données à caractère personnel
  4. Données sensibles : Les données à caractère personnel dont le traitement constitue un risque ou une discrimination pour la protection de la vie privée de la personne concernée par le traitement, telle que celle qui pourraient indiquer l'origine autochtone ou génétique, les opinions, les affiliations, les croyances religieuses, idéologiques ou philosophiques de cette personne, ou celles se rapportant à sa santé, sa vie sexuelle, ou toute poursuite pénale à son encontre ou jugement pénal contre lui.
  5. Données génétiques : Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations distinctives sur lui ou sur son état de santé et qui résultent, notamment, d’une analyse d’un échantillon biologique de cette personne.
  6. Données biométriques : Les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
  7. Données de santé : Les données à caractère personnel relatives à la santé physique ou psychique de la personne concernée par le traitement.
  8. Personne concernée par le traitement : Toute personne physique dont les données à caractère personnel font l’objet d’un traitement ainsi que son tuteur ou ses héritiers sauf si la personne a manifesté son opposition de manière expresse avant son décès.
  9. Responsable du traitement : Toute personne physique ou morale, tunisienne ou étrangère, privée ou publique, et toute autorité publique chargées de déterminer la nature des données à caractère personnel, l’objectif du traitement et ses modalités.
  10. Tiers : Une personne physique ou morale, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes placées sous leur autorité et qui sont autorisées par la loi à traiter les données à caractère personnel.
  11. Sous-traitant : Toute personne physique ou morale publique ou privée qui traite des données à caractère personnel pour le compte et sous le contrôle du responsable du traitement.
  12. Hébergeur des données : Tout fournisseur d’un service externe, quel que soit les moyens utilisés, héberge et sécurise les données personnelles pour le compte du responsable du traitement.
  13. Structure publique : Toute autorité ou personne publique.
  14. Chargé de protection des données à caractère personnel : La personne désignée par le responsable du traitement chargée de veiller au respect des règles de protection des données à caractère personnel et de répondre aux demandes d’accès aux données à caractère personnel.
  15. Fichier : Tout ensemble structuré de données accessible selon des critères spécifiques qu’elles soient groupées ou réparties de manière fonctionnelle ou géographique.
  16. Consentement de la personne concernée par le traitement : Tout acte laissant une trace écrite ou électronique émanant d’une la volonté, libre, expresse et éclairée, par lequel la personne concernée par le traitement accepte que ses données à caractère personnel soient traitées.
  17. Accès direct : Accès de toute personne concernée par le traitement à ses données à caractère personnel faisant l’objet d’un traitement et son droit à obtenir une copie de ces dernières s’il en demande.
  18. Accès indirect : Accès de la personne concernée par le traitement à ses données à caractère personnel par des autorités habilitées par la loi à cet effet.
  19. Portabilité des données à caractère personnel : Permettre à la personne concernée par le traitement de transférer ses données à caractère personnel d’un responsable de traitement à un autre.
  20. L’oubli : Permettre à la personne concernée par le traitement de supprimer ses données à caractère personnel ou de cacher son identité (anonymisation) dans les cas fixés par la loi.
  21. Communication : Mettre des données à caractère personnel à la disposition des tiers ou leur permettre de les consulter ou les stocker.
  22. Transfert : transférer des données à caractère personnel en dehors du territoire tunisien.
  23. Profilage : Toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects personnels d’une personne physique et ayant pour finalité la connaissance des ses spécificités, ses préférences, ses choix, ses comportements d’une manière affectant son statut juridique.
  24. Anonymisation : Traitement de données à caractère personnel d’une manière qui ne permet nullement d’identifier la personne concernée par le traitement.
  25. Pseudonymisation : Traitement des données à caractère personnel d’une manière ne permettant plus d’identifier directement la personne concernée par le traitement et ce à travers le recours à un code conservé séparément et soumis à des mesures techniques et organisationnelles afin de garantir la non-identification de la personne concernée par le traitement à travers ses données à caractère personnel.
  26. Marketing et publicité : L’ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d’offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population par le moyen du courrier, du téléphone portable ou d’autres moyens directs dans le but d’information ou afin de solliciter une réaction de la part de la personne concernée par le traitement.
  27. Localisation : L'utilisation d'une technique permettant de déterminer le lieu où se trouve la personne concernée par le traitement.
  28. Dispositifs électroniques liés : Des appareils électroniques généralement connectés à des réseaux de communication qui permettent la collecte, le stockage, le traitement et la transmission de données à caractère personnel.

CHAPITRE II – DES DROITS DE LA PERSONNE CONCERNEE PAR LE TRAITEMENT

Section première – Du droit à l’information

Art. 5 –  Le responsable du traitement est tenu d’informer, au préalable et par n’importe quel moyen laissant une trace écrite ou électronique, la personne concernée par le traitement, de la nature de ses données à caractère personnel objet du traitement, l’objectif du traitement et ses modalités ainsi que les droits qui lui sont garantis par la loi dans ce cadre. Les conditions et les procédures de cette notification sont fixées par une décision de l’Instance.

Le responsable du traitement est également tenu d’informer la personne concernée de l’existence d’une prise de décision automatisée, y compris le profilage et la détermination des informations utiles pour le traitement ainsi que les conséquences qui en découlent.

Section 2 – Du droit au consentement

Art. 6 – Est interdit, tout traitement de données à caractère personnel sans consentement préalable de la personne concernée.

Art. 7 – Le traitement des données à caractère personnel d’un mineur ou d’une personne incapable ne peut être effectué qu’après l’obtention du consentement de son tuteur ou d’une autorisation judiciaire.

Le juge peut ordonner le traitement même sans le consentement du tuteur lorsque l'intérêt supérieur de l'enfant l'exige, ou pour réaliser un profit pour la personne incapable. Le juge peut, à tout moment, revenir sur son autorisation.

Art. 8 – Le traitement  des données à caractère personnel n’est pas conditionné par le consentement de la personne concernée par le traitement, lorsqu’il s’avère que la collecte de ces données est nécessaire pour l’exercice de la liberté de presse, ou le respect d’une obligation juridique ou contractuelle, ou dans le cadre de l’intérêt général dans les domaines de la sureté publique ou la défense nationale ou la santé publique ou pour des fins de documentation ou statistiques, ou de recherche scientifique ou historique.

Art. 9 – À l’exception des données à caractère personnel dont le traitement se fait obligatoirement en vertu des lois spécifiques, la personne concernée a le droit de revenir sur le consentement qu’elle a donné à n’importe quel moment, y compris le traitement des données de localisation utilisées pour le marketing, sans que cette décision ait un effet rétroactif.

Art. 10 – Le traitement des données à caractère personnel sous des formes ou pour des finalités autres que celles qui ont fait l’objet du consentement de la personne concernée, ne peut être effectué qu’avec un nouveau consentement de la personne concernée ou après autorisation de l’Instance.

Art. 11 – Si le traitement des mêmes données à caractère personnel vise d’autres finalités que celles consenties, le consentement de la personne concernée doit être fait sous une forme et d’une manière qui le distingue clairement par rapport à chaque finalité du traitement.

Art. 12 – Il est interdit d’utiliser le traitement des données à caractère personnel à des fins publicitaires ou de marketing sauf avec le consentement de la personne concernée.

Section 3 – Du droit d’accès

Art. 13 – Le droit d’accès direct ou indirect est exercé compte tenu de la nature des données à caractère personnel traitées. Il n’est pas possible de renoncer préalablement au droit d’accès.

L’instance fixe par une décision les types des données à caractère personnel dont l’accès est permis conformément à la législation en vigueur.

Le responsable du traitement ne peut limiter le droit d’accès que si le but recherché est la protection de la personne concernée par le traitement, ou les droits d’autrui, ou en cas d’abus dans l’exercice du dit droit.

Art. 14 – La demande d’accès direct est présentée par la personne concernée au responsable du traitement, par tout moyen laissant une trace écrite ou électronique, et doit être jointe de ce qui prouve son identité.

La personne concernée par le traitement peut aussi demander de la même manière l’obtention d’une copie de ses données qui lui sera fournie dans un délai ne dépassant pas 15 jours à compter de la date de présentation de la demande.

Art. 15 – Lorsqu’il y a plusieurs responsables du traitement des données à caractère personnel, ou lorsque le traitement est effectué par un sous-traitant, le droit d’accès est exercé auprès de chacun d’eux.

Art. 16 – La personne concernée par le traitement peut, dans le cadre de l’exercice de son doit d’accès direct, demander la mise à jour ou la suppression de ses données à caractère personnel.

Si le traitement est automatisé, le responsable du traitement ou le sous-traitant doivent fournir tous les moyens techniques nécessaires pour permettre à la personne concernée d’envoyer sa demande d’accès par voie électronique et lui permettre également de demander la rectification, la modification, la correction la suppression de ses données ainsi que l’envoie par le même procédé d’un accusé de réception.

Art. 17 – Une redevance peut être instituée pour toute opération d’accès aux données à caractère personnel et qui sera perçue par le responsable du traitement. Le montant de cette redevance est fixé par une décision de l’Instance.

Le responsable du traitement doit rembourser le montant de la redevance à la personne concernée, si les données à caractère personnel s’avèrent inexactes ou ne devant pas être traitées par ce responsable.

Art. 18 – L’Instance est compétente pour statuer sur tout litige relatif à l’exercice du droit d’accès direct et rend sa décision dans un délai de 60 jours à compter de la date l’introduction de la requête.

Art. 19 – La demande d’accès indirect est adressée à l’Instance lorsqu’elle concerne le traitement des données à caractère personnel relatives à la santé. Le droit d’accès s’exerce par l’intermédiaire d’un médecin que la personne concernée désigne à cet effet dans la demande.

Le médecin consulte les données à caractère personnel objet de la demande, rédige un rapport à cet effet et le soumet à l’Instance, qui peut ordonner au responsable du traitement de rectifier ces données ou les supprimer si la personne concernée le demande. Un procès-verbal est rédigé à cet effet et notifié à la personne concernée.

Section 4 – Du droit d’opposition

Art. 20 – Sauf les cas du traitement nécessaires à l’exécution d’une obligation juridique ou contractuelle, la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel par une demande adressée au responsable du traitement par tout moyen laissant une trace écrite ou électronique. L’opposition doit être fondée sur des motifs pertinents et légitimes.

L’opposition suspend immédiatement le traitement, à moins que le responsable du traitement présente des motifs légitimes et sérieux justifiant la continuité du traitement et qui prévalent sur les motifs présentés par la personne concernée.

Art. 21 – L’instance est compétente pour statuer sur tout litige relatif à l’exercice du droit d’opposition, elle rend ses décisions dans un délai de 60 jours à compter de la date de l’introduction de la demande d’opposition.

Si la personne concernée est un mineur ou incapable, l’Instance transfère le dossier, joint de son avis, au juge compétent qui sera saisi du litige.

 

Section 5 – Du droit à la portabilité

Art. 22 – La personne concernée par le traitement a le droit de transférer une copie de ses données à caractère personnel d’un responsable du traitement à un autre. Aucun des deux responsables du traitement ne peut s’opposer à ce transfert.

Art. 23 –  Si le responsable du traitement dispose des moyens techniques nécessaires, la personne concernée par le traitement a le droit de lui demander de transférer directement ses données à caractère personnel.

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.

Section 6 – Du droit à l’oubli et au déréférencement

Art. 24 – La personne concernée a le droit de demander la suppression de ses données à caractère personnel ou son anonymisation et le responsable du traitement est tenu d’y procéder immédiatement pour l’un des motifs suivants :

  • Si le traitement des données à caractère personnel a été fait sous une forme ou pour une finalité autres que celles pour lesquelles elles ont été collectées ;
  • Si la personne concernée par le traitement a retiré le consentement sur lequel est fondé le traitement ;
  • Si les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • Si les données à caractère personnel devaient être supprimées suite à l’exécution ou l’extinction d’une obligation juridique ou contractuelle à laquelle le responsable du traitement serait soumis.

Art. 25 – Le responsable du traitement doit effacer ou anonymiser les données à caractère personnel qu’il traite dans les cas prévus dans l’article précédent ou lorsque la finalité du traitement est atteinte.

Art. 26 – Lorsque le responsable du traitement reçoit une demande de suppression des données à caractère personnel, il doit prendre les mesures nécessaires y compris les mesures techniques, et en informer les responsables du traitement auxquels ces données ont été communiquées ou transférées.

Art. 27 – Le droit à l’oubli ne s’applique pas dans le cas où le traitement est nécessaire pour :

  • Respecter des exigences légales que requiert la continuité du traitement ;
  • Des motifs d’intérêt public dans le domaine de la santé ;
  • Des fins archivistiques dans l’intérêt public, de recherches scientifiques ou historiques, statistiques.
  • L’affirmation des droits, leur exercice ou leur défense en justice.

Art. 28 – Toute personne a le droit de demander à tout responsable d’un moteur de recherche national de supprimer le lien avec le résultat de recherche lié à son nom et prénom et le responsable est tenu d’effectuer cette suppression.

Le déréférencement n’implique pas la suppression des données de la source.

CHAPITRE III – DES REGIMES DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

Art. 29 – Toute opération de traitement des données à caractère personnel doit être connue du public, et pour ce, l’Instance doit être obligatoirement informée de ces opérations et doit à cet effet tenir un fichier soumis à la disposition du public sur son site électronique.

Art. 30 – Le responsable du traitement doit être établi en Tunisie, quant au sous-traitant et son représentant légal ils doivent y être résidents. Ils doivent tous ne pas avoir des antécédents judiciaires.

Art. 31 – Est interdit le traitement des données à caractère personnel relatives à l’origine raciale ou génétique d’une personne, ou à ses convictions religieuses, ou à ses opinions et ses appartenances politiques ou philosophiques ou syndicales, ou à ses données biométriques, ou de santé ou sexuelles.

Toutefois, il est exceptionnellement permis de traiter les données susvisées y compris les données biométriques, après autorisation de l’Instance et ce exclusivement pour identifier des personnes physiques et dans la limite de ce qui est permis par la législation en vigueur.

Art. 32 – Il est interdit de conditionner la prestation d’un service ou l’octroi d’un avantage à la personne concernée par le traitement, par à son acceptation du traitement de ses données à caractère personnel ou par leur exploitation à des fins autres que celles pour lesquelles ont été collectées.

Section première – Du régime général de traitement des données à caractère personnel

Art. 33 – A l’exception des articles 63 et 53, les dispositions de cette section ne s’appliquent pas aux autorités ou structures publiques chargées, conformément à la législation en vigueur, de la prévention, l’enquête, l’instruction, la poursuite des infractions et l’exécution des sanctions pénales, ainsi que celles chargées de la prévention des menaces à la sécurité publique, à la défense nationale ou aux intérêts monétaires de l'État.

Sous-section 1 – Des obligations du responsable du traitement

Art. 34 – Toute opération de traitement des données à caractère personnel est soumise à une notification préalable faite auprès de l’Instance. La même procédure est également appliquée pour toute modification intervenant au cours de l’opération de traitement.

La présente loi fixe les catégories de données à caractère personnel, dont le traitement est soumis à l’autorisation de l’Instance.

Art. 35 – A l’exception des structures publiques autorisées par la loi pour traiter des données à caractère personnel, les autres structures publiques traitant ces données doivent être obligatoirement autorisées par un décret gouvernemental pris sur avis l’Instance. L'autorisation doit comprendre l’identité de la structure responsable du traitement, les finalités du traitement et les parties auxquelles ces données seront transférées.

Art. 36 – Le responsable du traitement et le sous-traitant sont solidairement responsable de toute violation des dispositions de la présente loi.

Le responsable du traitement doit prendre, lors de la visualisation et la conception de l’opération du traitement, toutes les précautions nécessaires et les mesures techniques adéquates garantissant la protection des données à caractère personnel.

Il doit documenter toutes les preuves de compatibilité du traitement avec les critères de protection prévus par la présente loi.

Art. 37 – Le responsable du traitement ou le sous-traitant doivent prendre toutes les mesures nécessaires pour assurer la sécurité des données et empêcher les tiers de les consulter, modifier ou altérer.

Art. 38 – Le responsable du traitement doit procéder d’une manière périodique et selon la nature du traitement à des études de risque et informer l’Instance de leurs résultats. La périodicité de l’étude des risques selon la nature du traitement, est fixée par décret gouvernemental.

Art. 39 – Le responsable du traitement et le sous-traitant doivent rectifier les données à caractère personnel dont ils disposent, les compléter, les modifier, les mettre à jour et les raturer soit à la demande de la personne concernée par le traitement, ou lorsqu’elles s’avèrent non exactes ou incomplètes, ou lorsque la finalité recherchée est atteinte.

Ils doivent informer la personne concernée par le traitement de toutes les opérations susvisées par tout moyen laissant une trace écrite ou électronique, et ce dans un délai maximum d’un mois à partir de la date de la réalisation des opérations.

En cas de dépassement de délai sans réponse de la part du responsable du traitement ou du sous-traitant, la personne concernée peut s’en opposer devant l’Instance.

Art. 40 – Le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou la perte de leur qualité, doivent préserver la confidentialité des données à caractère personnel et les informations traitées.

Art. 41 – Il est interdit au responsable du traitement de collecter les données à caractère personnel auprès des tiers à moins que la personne concernée y consente ou que la loi l’autorise.

Art. 42 – En cas de litige portant sur la véracité des données à caractère personnel, le responsable du traitement et le sous-traitant doivent en faire mention dans un fichier jusqu’à ce le litige soit résolu.

En cas d’incident pouvant porter préjudice à ces données ou les affecter, le responsable du traitement ou le sous-traitant doit en informer l’Instance et des mesures prises à cet effet dans les 72 heures depuis la constatation de l’incident. Si le préjudice persiste, le responsable du traitement ou le sous-traitant est tenu d’en informer les personnes concernées par traitement dans un délai de 15 jours à compter de la constatation de l’incident par tout moyen laissant une trace écrite ou électronique.

Art. 43 – Il est interdit de communiquer les données à caractère personnel aux tiers sans le consentement de la personne concernée.

Toutefois, l’Instance peut, sur demande du responsable du traitement, autoriser leur communication, si ces données sont nécessaires pour réaliser des recherches et des études historiques ou documentaires ou statistiques ou pour l’ exécution d’une obligation juridique ou contractuelle, à condition que le bénéficiaire de la communication des données s’engage à fournir les garanties nécessaires à leur protection ainsi que les droits qui s’y rattachent conformément aux conditions prévues par l’autorisation et d’assurer qu’elles ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été communiquées.

La demande d’autorisation est adressée à l’Instance dans un délai d’un mois à compter de la date de refus de la personne concernée de communiquer ses données à caractère personnel aux tiers.

Art. 44 – Les données à caractère personnel traitées pour des finalités particulières peuvent être communiquées en vue d’être traitées de nouveau pour des fins historiques ou scientifiques ou documentaires ou statistiques, à condition d’obtenir le consentement de la personne concernée.

Art. 45 – Il est interdit dans tous les cas de transférer des données à caractère personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou la défense nationale.

Art. 46 – Est soumis à une notification préalable auprès de l’Instance, le transfert des données à caractère personnel vers des Etats étrangers dont la liste est fixée par une décision de l’Instance.

L’instance fixe cette liste par rapport aux garanties fournies par les Etats en matière de protection des données à caractère personnel.

Le transfert des données à caractère personnel vers les autres Etats étrangers est soumis à l’autorisation préalable de l’Instance.

Art. 47 – Le responsable du traitement ou le sous-traitant le cas échéant, doit immédiatement détruire les données à caractère personnel conformément aux dispositions de l’article 27 de la présente loi et ce soit de sa propre initiative, soit à la demande de la personne concernée.

Art. 48 – Le responsable du traitement et le sous-traitant qui envisagent de cesser définitivement leur activité doivent en informer l’Instance un mois avant la cessation de l’activité.

En cas de décès ou de faillite du responsable du traitement ou du sous-traitant, ou en cas de dissolution de la personne morale ou sa confiscation, les héritiers ou le syndic de faillite ou le liquidateur, selon le cas, doivent en informer l’instance dans un délai ne dépassant pas trois mois à partir de la date de la survenance du fait.

L’Instance peut décider la communication des données à caractère personnel en cas de cessation d’activité pour les motifs indiqués au présent article, et ce, dans les deux cas suivants :

  • Si elle juge que ces données sont utiles pour une exploitation à des fins historiques ou documentaires ou statistiques ou scientifiques ;
  • Si celui qui a procédé à la notification propose de communiquer toutes les données à caractère personnel ou une partie à une personne physique ou morale en déterminant avec précision son identité. La communication effective ne s’effectue qu’après l’obtention de l’accord des personnes concernées par le traitement dans un délai de trois mois à partir de la date de la formulation de la demande, à défaut, la personne qui a procédé à la notification doit détruire ces données.

Art. 49 – En cas de cessation d’activité du responsable du traitement ou du sous-traitant pour les motifs indiqués dans l’article précédent, la personne concernée ou ses héritiers ou toute personne ayant intérêt ou le ministère public peuvent, à tout moment demander de l’Instance de prendre toutes les mesures adéquates pour la conservation et la protection des données à caractère personnel, ou leur destruction.

L’Instance doit rendre sa décision dans un délai d’un mois à compter de la date de la demande. Sa décision doit être motivée.

Art. 50 – Lorsque le responsable du traitement est tenu de détruire les données à caractère personnel, il doit informer les parties auxquelles ces données ont été communiquées de la nécessité de les détruire.

Sous-section 2 – Du chargé de protection des données à caractère personnel

Art. 52 – Les personnes morales publiques ou privées traitant des données à caractère personnel et employant plus que cinquante agents ou traitant des données sensibles, doivent désigner un chargé de protection des données à caractère personnel, et en informer l’Instance et le public dans un délai de 15 jours.

Le responsable du traitement doit fournir au chargé de protection des données à caractère personnel toutes les ressources humaines et financières qui sont requises par ses fonctions.

Art. 52 – Le chargé de protection des données à caractère personnel est chargé des attributions suivantes :

  • Tenir un registre comprenant les opérations de traitement réalisées par les responsable du traitement ou le sous-traitant ;
  • Recevoir les demandes d’accès aux données à caractère personnel ;
  • Organiser toutes les activités internes relatives à la protection des données à caractère personnel ;
  • Préparer un programme d’action afin d’améliorer la protection des données à caractère personnel en collaboration avec le responsable du traitement.
  •  Elaborer un rapport annuel sur les activités relatives à la protection des données à caractère personnel qui doit être transmis à l’Instance par voie électronique et publié sur le site web de la structure ;
  • Créer le lien entre la structure à laquelle il appartient et l’Instance de protection des données personnel.

Section 2 – Des régimes spéciaux de traitement des données à caractère personnel

Sous-section 1 – Du traitement des données à caractère personnel relatives à la sécurité publique ou la défense nationale ou les poursuites pénales

Art. 53 – Le traitement des données à caractère personnel relatives à la défense nationale ou la sécurité publique, ou les poursuites pénales et les jugements rendus dans ce cadre, est soumis à des règles spécifiques imposées par la nature de ces données et les attributions accordées aux autorités publiques chargées de les traiter et fixées par la législation en vigueur.

Le droit d’accès indirect est exercé par l’intermédiaire d’un membre du conseil de l’Instance si le traitement concerne des données à caractère personnel relatives à la sécurité publique ou la défense nationale et par l’intermédiaire d’un avocat désigné par la personne concernée si les données à caractère personnel concernent l’enquête ou l’instruction des infractions.

Le membre de l’Instance ou l’avocat, selon les cas, demande l’accès aux données à caractère personnel objet de la requête et établit un rapport à cet effet qu’il soumet à l’Instance, celle-ci peut autoriser, à la demande de la personne concernée, le responsable du traitement à corriger ces données ou les supprimer. Un procès verbale est rédigé à cet effet et notifié à la personne concernée.

S’il s’avère à l’Instance que l’accès de la personne concernée par le traitement aux données à caractère personnel ne s’oppose pas aux finalités du traitement et ne porte pas atteinte à la sécurité publique ou la défense nationale, elle l’autorise à obtenir une copie de ces données à moins que le responsable du traitement s’y oppose vue la confidentialité des dites données.

L’Instance est compétente de statuer sur les litiges résultant du traitement de ce type de données à caractère personnel dans un délai de 60 jour à compter de sa saisine.

Sous-section 2 – Du traitement des données à caractère personnel à des fins de vidéosurveillance

Art. 54 – Les moyens de vidéosurveillance ne peuvent être utilisés que s’ils sont nécessaires pour assurer la sécurité des personnes, la prévention des accidents, la protection des biens ou l’organisation des mouvements d’entrée et de sortie dans les espaces publics, à conditions qu’ils ne soient installés qu’après notification faite à l’Instance et dans les lieux suivants :

  • Les espaces ouverts au public et leurs entrées ;
  • Les espaces de transport terrestre, maritime, aérien des voyageurs et des marchandises ainsi que les abris ;
  • Les lieux de travail collectif.

Il est interdit dans tous les cas que les enregistrements vidéo soient accompagnés d’enregistrements sonores.

Il est également interdit d‘installer ces moyens d’une manière permettant de mettre à découvert des établissements sécuritaires ou militaires.

L’utilisation des moyens de vidéosurveillance qu’elles soient portables ou mobiles par les agents de l’Etat ou des collectivités locales, doit être notifiée à l’Instance et dans ce cas ils seront autorisés de procéder à des enregistrement sonores.

L’installation des moyens de vidéosurveillance sur la voie publique n’est possible que par les autorités publiques et après notification à l’Instance,

Art. 55 – L’installation des moyens de vidéosurveillance dans les milieux d’enseignement, de santé ou dans les cellules de garde à vue et dans les prisons et centres de réhabilitation, est soumise à l’autorisation préalable de l’Instance.

Art. 56 – Les notifications et les demandes d’autorisation peuvent être présentées soit par le responsable du traitement ou le sous-traitant soit par la personne qui a installé le système de vidéosurveillance.

L’Instance fixe par une décision les critères d’installation des moyens de vidéosurveillance, les modalités d’en informer le public informé d’une manière claire et permanente de l’existence de ces moyens ainsi que les procédures de visualisation à distance des images issues de système de vidéosurveillance.

Art. 57 – La durée de conservation des enregistrements est fixée à trente jours et peut être prolongée jusqu’à 60 jours en ce qui concerne les systèmes de surveillance spécifiques à la sécurité publique. Cette durée peut être prolongée jusqu’à trois mois sur autorisation du ministère public avec la possibilité de renouvellement le cas échéant.

Art. 58 – Il est interdit de communiquer les enregistrements vidéo sauf dans les cas suivants :

  • Lorsque la personne concernée a donné son consentement ou à sa demande ;
  • Lorsque la communication est nécessaire à l’exercice des missions de sécurité publique ou de défense nationale dévolues aux autorités publiques ;
  • Lorsque la communication s’avère nécessaire pour la constatation ou la divulgation des infractions pénales, ou la poursuite des auteurs de ces infractions.  

Le responsable du traitement doit consigner ces communications dans un registre numéroté et signé dont les caractéristiques sont fixées par la décision de l’Instance prévue par l’article 56 de la présente loi.

Si les autorités chargées de la sécurité publique ou de la défense nationale font recours à des systèmes de vidéosurveillance installés par des particuliers, ces derniers doivent en informer l’Instance.

Art. 59 – La reconnaissance faciale des personnes physiques ou par les plaques d’immatriculation des véhicules réalisée par les services publics ou privés à travers les enregistrements issus des systèmes de vidéosurveillance installés conformément à la législation en vigueur, est soumise à l’autorisation préalable de l’Instance.

Sous-section 3 – Du traitement des données à caractère personnel relatives à la santé

Art. 60 – Le traitement des données à caractère personnel relatives à la santé est soumis à l’autorisation préalable de l’Instance qui peut reporter l’examen de la demande jusqu’à consultation des structures spécialisées dans le domaine médical.

L’Instance peut fixer les précautions et procédures qui doivent être prises pour garantir la protection des données à caractère personnel relatives à la santé.

L’Instance fixe par décision la durée maximale de conservation des données à caractère personnel traitées dans chaque domaine. La conservation de ces données n’est possible après expiration des délais de traitement que lorsqu’elles sont anonymisées.

Les opérations de communication ou de transfert à l’étranger des données à caractère personnel relatives à la santé sont interdites sauf autorisation préalable de l’Instance.

Art. 61 – Le traitement des données à caractère personnel n’est possible que dans les cas suivants :

  • Lorsque le traitement est réalisé par une structure publique ou privée de santé ou un personnel de santé dans le cadre de l’exercice de ses missions ;
  • Lorsque le traitement est nécessaire à la réalisation de finalités prévues par la loi ;
  • Lorsque le traitement s’avère nécessaire pour le développement et la protection de la santé entre autres pour la recherche sur les maladies et leur prévention et traitement ;
  • Lorsqu’il est bénéfique pour la santé de la personne concernée.

Art. 62 – Le traitement des données à caractère personnel relatives à la santé ne peut être effectué que par des médecins et le personnel paramédical exerçant sous leur responsabilité, ou des personnes soumises, en raison de leur fonction dans le domaine médical, à l’obligation de secret professionnel.

Art. 63 – Il est interdit de procéder à l’hébergement des données à caractère personnel relatives à la santé en dehors du territoire tunisien.

Si l’hébergement est effectué sur le territoire tunisien, l’hébergeur doit être agréé par les structures concernées et doit se conformer aux conditions de la sécurité des systèmes et des réseaux conformément à la législation en vigueur.

L’Instance fixe par décision le référentiel à respecter lors de l’hébergement de ces données.

Sous-section 4 – Du traitement des données à caractère personnel dans le cadre de la recherche scientifique

Art. 64 – Il faut procéder à la pseudonymisation et l’anonymisation, à chaque fois que les exigences de la recherche scientifique le permettent, et ce, conformément aux procédures fixées par une décision de l’Instance.

Art. 65 – La communication des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la recherche scientifique ne peut avoir lieu que lorsque la personne concernée donne son consentement expresse ou lorsque la communication s’avère nécessaire pour la présentation des résultats de cette recherche.

Sous-section 5 – Du traitement des données à caractère personnel à des fins de journalisme

Art. 66 – Dans le cadre de leur activité, les journalistes ne peuvent en aucun cas rendre publiques des données à caractère personnel qui peuvent rendre les personnes concernées identifiées ou identifiables et dont ils ont pris connaissance à l’occasion de leur investigation. Il leur est également interdit de divulguer les données sensibles et les données relatives aux mineurs.

Sous-section 6 – Du traitement des données à caractère personnel de localisation

Art. 67 – Les données de localisation sont des données personnelles sensibles ne pouvant   être traitées que lorsque cela s’avère nécessaire, et après notification faite auprès de l’Instance.

Art. 68 – Le responsable du traitement ou le sous-traitant doit informer ses agents de la mise en place d’un dispositifs permettant leur localisation lors de l’exercice de leur travail.

Art. 69 – Le traitement des données à caractère personnel de localisation par les objets connectés est soumis aux conditions fixées par une décision de l’Instance après consultation des structures chargées de contrôle et de régulation dans le domaine des télécommunications électroniques.

Sous-section 7 – Du traitement des données personnelles par le biais des objets connectés

Art. 70 – Les objets connectés importés ou fabriqués localement et destinés à la commercialisation sont soumis à la certification et au respect des normes adoptées en matière de protection des données à caractère personnel conformément à la législation en vigueur.

Art. 71 – L’Instance fixe les conditions de protection par décision après consultation des structures chargées de contrôle et de régulation dans le domaine des télécommunications électroniques.

Sous-section 8 – De l’hébergement des données à caractère personnel

Art. 72 – L’hébergement des données à caractère personnel sur le territoire tunisien est soumis à la notification faite auprès de l’Instance.

Leur hébergement hors du territoire tunisien est soumis aux mêmes conditions prévues par l’article 46 de la présente loi.

Les données à caractère personnel traitées par des personnes morales publiques ne peuvent être hébergées hors du territoire tunisien.

Art. 73 – L’hébergeur des données à caractère personnel est considéré comme un sous-traitant et il est soumis par conséquence, solidairement avec le responsable du traitement, à toutes les obligations et devoirs qui incombent à ce dernier.

Sous-section 9 – Des décisions automatisées et du profilage

Art. 74 – La personne concernée par le traitement a le droit de s’opposer à une décision fondée exclusivement sur un traitement automatisé, conformément aux articles 20 et 21 de la présente loi y compris le profilage et les effets juridiques qui s’en produisent, à moins que le traitement ne soit nécessaire pour l’exécution d’une obligation juridique ou contractuelle.

Sous-section 10 – Du registre de l’identifiant unique du citoyen

Art. 75 – Il est institué un registre dénommé « Registre de l’identifiant unique du citoyen » dont les objectifs et les données à caractère personnels qu’il pourrait comprendre sont fixés par un décret gouvernemental. Il est tenu et géré par le ministère chargé des collectivités locales.

Art. 76 – La tenue et la gestion du « Registre de l’identifiant unique du citoyen » sont soumises aux mêmes conditions et procédures de traitement des données à caractère personnel. Les personnes habilitées à utiliser le « Registre de l’identifiant unique du citoyen » doivent faciliter la mission du contrôle de l’Instance et sont tenues de désigner un chargé de protection des données à caractère personnel.

Art. 77 – L’identifiant unique du citoyen est attribué à :

  • Toute personne inscrite dans le registre d’état civil au moment de sa naissance ;
  • Toute personne de nationalité tunisienne née dans un pays étrangers au moment de son inscription auprès de la mission diplomatique ou consulaire agréée dans ce pays ;
  • Toute personne ayant acquis la nationalité tunisienne.

Les données de ces personnes   doivent être conservées pendant trente ans à compter de la date du décès de la personne ou celle de la déchéance définitive de la nationalité.

Art. 78 – Il est interdit d’attribuer le même « identifiant unique du citoyen » à plus qu’une personne et d’attribuer à une même personne plusieurs « identifiant unique du citoyen ».

L’identifiant unique du citoyen ne doit pas être signifiant. Ses objectifs, ses caractéristiques techniques ainsi que les modalités de la tenue et de la gestion de son registre, sont fixés par un décret gouvernemental après consultation de l’Instance.

Art. 79 – Le ministère chargé des collectivités locales doit installer un système en ligne permettant à tout citoyen d’accéder à toutes les opérations effectuées sur son identifiant unique et les structures qui l’ont utilisé.

Art. 80 – « L’identifiant unique du citoyen » ne peut être utilisé que par les personnes publiques ou par des particuliers chargés de la gestion d’un service public et dont la liste et les finalités de l’utilisation de l’identifiant unique seront fixées par un décret gouvernemental sur avis de l’Instance.

Art. 81 – Il est interdit de faire mention à « l’identifiant unique du citoyen » dans les documents officiels délivrés par les services de l’Etat tunisien à l’exception des courriers administratifs entre les structures administratives ou privées prévues dans l’article précédent.

CHAPITRE IV – DE L’INSTANCE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Art. 82 – Est créée une instance publique indépendante dénommée « Instance de protection des données à caractère personnel » disposant de la personnalité morale et de l’autonomie administrative et financière. Son siège est fixé à Tunis.

Les modalités de fonctionnement de l’Instance sont fixées par son règlement intérieur qui doit être approuvé par le Conseil de l’Instance et publié sur son site web.

Section première – Des missions de l’Instance

Art. 83 – L’Instance est chargée notamment des missions suivantes :

  • Procéder de sa propre initiative aux opérations de contrôle des opérations de traitement des données à caractère personnel ;
  • Exercer les missions qui lui sont confiées par la loi et peut à cet effet se faire assister par les officiers de police judiciaire ;
  • Donner son avis sur les projets de lois et de textes réglementaires en relation avec la protection des données à caractère personnel ;
  • Emettre des avis au sujet des consultations qu’elle reçoit des personnes morales publiques ou privées, se rapportant aux différentes questions relatives au traitement des données à caractère personnel ;
  • Participer aux activités de recherche, de formation et d'étude en rapport avec la protection des données à caractère personnel ;
  • Mettre en place et diffuser la culture de protection des données à caractère personnel en collaboration avec les différentes structures publiques et les organisations de la société civile ;
  • Contrôler l’évaluation régulière du niveau de protection des données à caractère personnel mis en œuvre par les responsables du traitement ;
  • Echanger les expériences et les compétences avec ses homologues étrangères ainsi qu’avec les instances internationales et régionales agissant dans le domaine de la protection des données à caractère personnel et de la vie privée ;
  • Participer à toutes les instances internationales et régionales chargées de la protection des données à caractère personnel et collaborer avec les structures onusiennes dans ce domaine, après notification faite au ministère des affaires étrangères.
  • Travailler en concertation avec l’Instance d’accès à l’information et toutes les instances publiques de contrôle et de régulation pour édicter des décisions et élaborer des guides et de référentiels communs relatifs à l’accès aux données à caractère personnel ;
  • Elaborer un rapport annuel de ses activités, le soumettre au Président de la République, au Président de l’Assemblée des représentants du peuple et au Chef du gouvernement et le publier sur son site électronique ;
  • Elaborer des rapports périodiques concernant l’état de la protection des données à caractère personnel et le publier sur son site électronique.

Section 2 – De la composition de l’Instance

Art. 84 – L’Instance se compose d’un organe de décision collégial dénommé le Conseil de l’Instance ; d’un organe administratif, d’une unité de recherche et d’investigation et d’une unité d’audit et de contrôle interne.

Sous-section 1 – Du conseil de l’Instance

Art. 85 – Le conseil de l’Instance se compose d’un président et de deux membres exerçant leurs fonctions à plein temps pour un mandat de trois ans renouvelable une seule fois. Ils sont nommés par décret gouvernemental et comprenant obligatoirement un juge administratif. Les membres du conseil doivent réunir les conditions suivantes :

  • Etre de nationalité tunisienne ;
  • Ne pas avoir d’antécédents judiciaires ;
  • Etre indépendant, honnête et neutre ;
  • Avoir la compétence et l’expérience dans le domaine de la protection des données à caractère personnel ou dans les domaines en relation.

Il peut être mis fin aux fonctions d’un membre du conseil qui commet une faute grave et ce par décret gouvernemental en cas sur la base d’un rapport motivé rédigé par les deux autres membres, et il sera remplacé conformément aux mêmes modalités pour la période restante du mandat.

Art. 86 – Les membres du conseil de l’Instance prêtent le serment suivant devant le président de la République : « Je jure au nom de Dieu le Tout Puissant que je veillerais à la protection des données à caractère personnel avec honneur, indépendance, honnêteté et neutralité et je préserverais le secret professionnel ».

Art. 87 – Le président de l’Instance ainsi que ses membres et ses agents sont tenus au secret professionnel en ce qui concerne les données à caractère personnel et des informations dont ils ont eu connaissance à l’occasion de l’exercice de leurs fonctions, et ce même après la perte de leurs qualités.

Art. 88 – La rémunération et les avantages dont bénéficient les membres du conseil de l’Instance sont fixés par décret gouvernemental.

Art. 89 – Le conseil se réunit sur convocation du Président d’une manière régulière. La convocation doit être adressée au moins trois jours avant la date de la réunion par tout moyen laissant une trace écrite ou électronique, jointe du projet de l’ordre du jour.

Les réunions du conseil de l’Instance ne sont valables qu’en présence de la majorité des membres y compris le président.

Le Président peut inviter à prendre part aux réunions du Conseil toute personne dont il juge la présence utile.

Les décisions du Conseil sont prises à la majorité des membres présents et en cas de partage égal des voix, la voix du président est prépondérante.

Art. 90 – Le Conseil est chargée notamment de :

  • Prendre les décisions réglementaires ;
  • Statuer sur les déclarations et les demandes d’autorisation et examiner les plaintes ;
  • Approuver le Règlement intérieur de l’Instance ;
  • Approuver le rapport annuel de l’Instance ;
  • Proposer le projet de budget de l’Instance ;
  • Proposer l’organigramme de l’Instance ;
  • Proposer le statut particulier des agents de l’Instance.

Sous-section 2 – Du Président de l’Instance

Art. 91 – Le Président de l’Instance est son représentant légal et son ordonnateur. Il veille à son fonctionnement, supervise son organisation administrative et financière et élabore le projet de son budget et son rapport annuel.

Le Président peut déléguer certaines de ses attributions aux autres membres et au secrétaire général.

Sous-section 3 – De l’organe administratif

Art. 92 L’organe administratif comprend des services administratifs, financiers et techniques conformément à un organigramme proposé par le Conseil de l’Instance et approuvé par décret gouvernemental.

Les agents de l’Instance sont soumis aux dispositions de la loi n° 85-78 portant statut général des agents des offices, des établissements publics à caractère industriel et commercial et des sociétés dont le capital est détenu directement et entièrement par l'Etat ou les collectivités publiques locales. Les règles qui leurs sont spécifiques sont déterminées par un statut particulier fixé par un décret gouvernemental.

Art. 93 – L’organe administratif est géré par un secrétaire général sous la supervision du Président de l’Instance et il est chargé des attributions suivantes :

  • Assistance du Président au fonctionnement de l’Instance ;
  • Exécution des tâches qui lui sont attribuées par le Conseil ;
  • Préparation des dossiers soumis au Conseil ;
  • Gestion administrative et financière ;
  • Préparation du projet du budget ;
  • Gestion et maintenance des systèmes des informations concernant le fonctionnement de l’Instance ;
  • Conservation des documents de l’Instance ;
  • Elaboration des projets des rapports de l’Instance et leur soumission au Conseil.

Le secrétaire général est désigné par décision prise à la majorité des membres du Conseil de l’Instance après appel à candidature.

Sous-section 4 – De l’unité de recherche et d’investigation

Art. 94 – L’unité procède à la recherche et l’investigation des requêtes et des plaintes dont le Conseil est saisi et prépare les projets de décision concernant les sanctions pécuniaires.

Cette unité est présidée par un magistrat désigné par décret gouvernemental.

Le magistrat garantie l’exercice du droit de la défense et le principe de la confrontation.

Sous-section 5 – De l’unité d’audit et de contrôle interne

Art. 95 – L’unité procède à la mise en place d’un système de contrôle interne des procédures administratives, financières et comptables et assure la sécurité des états financiers, leur intégrité et leur transparence ainsi que leur conformité à la législation en vigueur.

L’unité d’audit et de contrôle interne soumet ses rapports directement et régulièrement au Conseil de l’Instance.

Sous- section 6 – Des ressources de l’Instance

Art. 96 – Les ressources de l’Instance se composent de :

  • La subvention annuelle accordée par l’Etat ;
  • Les frais de dépôt des déclarations et des demandes d’autorisation ;
  • Les autres recettes provenant des activités de l’Instance ;
  • Les donations, les dons et les aides inconditionnelles.

Art. 97 – Les règles de gestion administrative et financière de l’instance ne sont pas soumises au code de la comptabilité publique.

L’Instance tient sa comptabilité conformément au régime comptable applicable aux entreprises en tenant compte de son caractère non lucratif. Les marchés réalisés par l’Instance sont soumis au régime des marchés des entreprises publiques.

Les états financiers de l’Instance sont soumis au contrôle postérieur de la Cour des comptes.

L’Instance publie son rapport financier annuel sur son site électronique.

Section 3 – Des décisions de l’Instance

Art. 98 – Le Conseil de l’Instant rend les décisions suivantes :

  • Fixation des règles et les garanties nécessaires à la protection des données à caractère personnel, le code de conduite et les critères référentiels à respecter dans le cadre du traitement des données à caractère personnel, qui seront publiés au Journal officiel de la République tunisienne et sur le site électronique de l’instance ;
  • Accord et retrait des autorisations, acceptation et annulation des déclarations dans les cas prévus par la présente loi ;
  • Arrêt du traitement dans les cas prévus par la présente loi ;
  • Transfert des plaintes au ministère public ;
  • Accord et retrait du label de l’Instance.

Section IV -  Des procédures devant l’Instance et des recours contre ses décisions

Sous-section 1 – Des procédures de notification et des autorisations

Art. 99 – Les notifications et les demandes des autorisations préalables sont déposées au siège de l’Instance ou adressées par lettre recommandée avec accusé de réception ou par le biais du formulaire disponible sur le site électronique de l’Instance ou par tout autre moyen laissant une trace écrite ou électronique.

Les notifications et les demandes d’autorisation sont présentées par le responsable du traitement ou son sous-traitant ou le représentant légal. Ces procédures n’excluent pas la responsabilité des personnes vis à vis des personnes concernées par le traitement.

L’instance fixe par décision les informations et les mentions que doivent comprendre les formulaires de déclarations ou les demande d’autorisation.

Art. 100 – L’Instance examine la demande d’autorisation et rend une décision motivée d’acceptation ou de refus dans un délai de deux mois à compter de la date du dépôt de la demande. Ce délai peut être prolongé d’un mois une seule fois par une décision motivée du Président de l’Instance.

Toutefois, en cas d’urgence fondée sur des motifs sérieux et sur la nécessité d’échanger rapidement les informations, l’Instance peut statuer dans un délai de 10 jours.

Les délais prévus pour statuer sont suspendus si l’Instance demande des précisions ou des documents complémentaires.

Art. 101 – La décision relative à la demande d’autorisation est notifiée au responsable du traitement par tout moyen laissant une trace écrite ou électronique dans un délai maximum de 15 jours à partir de la date de prise de décision.

La décision est susceptible de recours devant le tribunal administratif dans un délai d’un mois à partir de la date de sa notification conformément aux procédures du contentieux pour excès du pouvoir prévues dans la loi relative au tribunal administratif.

Sous-section 2 – De l’octroi et du retrait du label

Art. 102 – L’Instance octroi en vertu d’une décision, à la demande du responsable du traitement un label authentifié dénommé « label de sécurité des données à caractère personnel » après avoir procédé aux investigations nécessaires pour s’assurer de la conformité du demandeur aux caractéristiques référentielles fixées par l’Instance par une décision.

Le label accordé est valable pour une durée de deux années et le responsable du traitement qui en bénéficie sera soumis au régime de notification au lieu de celui d’autorisation.

Le retrait du label se fait par une décision motivée de l’Instance dans le cas où elle constate des manquements aux caractéristiques référentielles sur la base desquelles le label a été octroyé.

Sous-section 3 – Des plaintes

Art. 103 – Les plaintes relatives au traitement des données à caractère personnel sont adressées directement ou par l’intermédiaire d’un avocat à l’Instance en vertu d’une requête comprenant toutes les informations relatives au plaignant, au défendeur et à l’objet de la plainte, jointe de tous les documents et justificatifs.

La requête ainsi que ses justificatifs sont déposés au siège de l’Instance ou adressés par une lettre recommandée avec accusé de réception ou sur le site électronique de l’Instance.

L’unité de recherche et d’investigation dresse un rapport préliminaire à la fin de ses travaux qu’elle le soumet aux parties concernées par tout moyen laissant une trace écrite ou électronique. Les personnes concernées doivent répondre au rapport dans un délai de 15 jours à compter de la date de notification et ils peuvent être assistés à cet effet par un avocat.

A l’expiration de ce délai, le magistrat de l’unité de recherche et d’investigation rédige un projet de décision qu’il soumet au Conseil de l’Instance.

Sous-section 4 – Des avis, avertissements et de l’arrêt immédiat du traitement

Art. 104 – En cas de constatation d’un manquement aux dispositions de la présente loi par le responsable du traitement, le Président de l’Instance peut lui adresser un avis lui demandant de se conformer aux normes un délai dans un délais qu’il lui fixe.

Si le responsable ne se conforme pas à l’avis ou en cas de commission d’un grave manquement, le Président lui adresse un avertissement avec la possibilité de le publier sur le site web de l’Instance.

Le président de l’Instance peut ordonner la levée de l’avertissement s’il constate que le responsable s’est conformé et procède à la publication de la levée de l’avertissement s’il l’a publié sur le site.

Art. 105 – Les avis et les avertissements sont notifiés aux responsables du traitement par tout moyen laissant une trace écrite ou électronique. Ces décisions sont susceptibles de recours devant le Conseil de l’Instance dans le délai d’un mois à compter de la date de leur notification.

Art. 106 – En cas de préjudice grave aux droits des personnes concernées par le traitement résultant d’une violation sévère des dispositions de la présente loi, le Président de l’Instance prend une décision sur la base d’une plainte ou d’office, prononçant l’arrêt immédiat du traitement, si la question concerne des personnes morales privées. Si la question concerne une autorité publique, l’arrêt du traitement est décidé par un arrêté du Président du gouvernement sur proposition de l’Instance.

Sous-section 5 – De la prise des sanctions

Art. 107 – Le Conseil de l’Instance est saisi des dossiers transférés par l’unité de recherche et d’investigation, ainsi que des recours contre les avis et les avertissements rendus par le Président de l’Instance.

Il peut, s’il le juge utile, compléter les investigations ou auditionner les parties et les témoins.

Art. 108 – S’il s’avère au Conseil de l’Instance que les faits objets du dossier transféré constituent une infraction passible uniquement d’une amende pécuniaire, il prend une décision dans ce sens dans un délai de deux mois de la date de la saisine.

S’il s’avère au Conseil de l’Instance que les faits objet du dossier encourent une sanction d’emprisonnement, il décide de le transférer au ministère public.

Art. 109 – Les décisions de sanctions rendues par le Conseil de l’Instance sont notifiées aux personnes concernées par les voies administratives ou par un huissier de justice.

Sous-section 6 – Du recours contre les décisions de l’Instance

Art. 110 – Les décisions rendues par l’Instance objet de la sous-section 5 de ce chapitre sont susceptibles de recours en appel devant le tribunal administratif conformément aux procédures prévues dans la loi relative au dit tribunal.

Le recours contre les autres décisions du Conseil de l’Instance se fait devant le tribunal administratif de première instance de Tunis conformément aux mêmes procédures et délais des recours pour excès de pouvoir.

CHAPITRE 5 – DES SANCTIONS

Art. 111 – Outre les sanctions administratives telles que l’avis, avertissement, arrêt immédiat du traitement, retrait de l’autorisation ou du label, toute violation des dispositions de la présente loi encoure des sanctions pécuniaires prononcées par le Conseil de l’Instance et des sanctions d’emprisonnement et des amendes rendues par les chambres pénales.

Section 1 – Des sanctions relevant de la compétence de l’Instance

Art. 112 – Est puni d’une amende qui varie de mille (1.000) à dix mille dinars (10.000), quiconque ne se conforme pas aux dispositions des l’articles 5, 13 (paragraphe 3), 16 (paragraphe 2) 22, 26, 27, 32, 34 (paragraphe 2), 36 (paragraphe 2), 37, 38, 39, 40, 42, 48, 50, 51, 57, 58 (paragraphes 2 et 3), 64, 65, 68, 70, 72 (dernier paragraphe), 77 (dernier paragraphe), 78 et 81 de la présente loi.

Art. 113 – Est puni d’une amende qui varie de dix mille dinars (10.000) à cinquante mille dinars (50.000), quiconque ne se conforme pas aux dispositions des articles 10, 12, 34, 59 et 60 (paragraphe 3) de la présente loi.

Art. 114 – Est puni d’une amende qui varie de soixante mille dinars (60.000) à cent mille dinars (100.000) quiconque ne se conforme pas aux dispositions des articles 6, 24 et 54 (paragraphe 2) de la présente loi.

Section 2 – Des sanctions relevant de la compétence des juridictions pénales

Art. 115 – est puni d’un an d’emprisonnement et d’une amende de cinquante mille dinars (50.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions des articles, 3 (paragraphe 2) 20 (paragraphe 2), 46 et 63 de la présente loi.

Art. 116 – Est puni de deux ans d’emprisonnement et d’une amende de cent mille dinars (100.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions des articles 7, 25, 31, 41, 43, 47, 58 (paragraphe 1), 60 (paragraphe 4), 61, 62 et 80 de la présente loi.

Art. 117 – Est puni de deux à cinq ans d’emprisonnement et d’une amende de deux cent mille dinars (200.000) ou de l’une des deux sanctions, quiconque ne se conforme pas aux dispositions de l’article 45 de la présente loi.

CHAPITRE V – DES DISPOSITIONS FINALES ET TRANSITOIRES

Art. 118 – La présente loi entre en vigueur dans six mois à compter de la date de sa publication au Journal officiel de la République Tunisienne. A l’expiration de ce délai, sont abrogées les dispositions de la loi organique n° 2004-63 relative à la protection des données à caractère personnel.

Le Conseil de l’Instance continue avec sa composition actuelle l’exercice de ses missions telles que prévues par la loi organique n° 2004-63 et exerce à compter de l’entrée en vigueur de la présente loi les missions et les prérogatives qu’elle prévoit et ce jusqu’à la mise en place du nouveau Conseil.

Art. 119 – Sont transférés en pleine propriété à l’Instance de protection des données à caractère personnel les biens de l’Instance nationale pour la protection des données personnelles créée en vertu de la loi organique n° 2004-63 relative à la protection des données à caractère personnel.

Un inventaire est rédigé par deux représentants de chaque instance, un représentant du ministère chargé des finances et un représentant du ministère chargé des domaines de l’Etat qui sera transmis au ministère des domaines de l’Etat qui l’inscrit dans le registre spécifique de l’Instance.

L’instance de la protection des données personnelles doit remettre à l’Instance tous les dossiers et informations qu’elle détient qu’elle que soit leur support.

Art. 120 – Jusqu’à la promulgation des lois organiques régissant la justice administrative conformément à la Constitution, sont applicables les lois et les règlements en vigueur relatifs aux attributions du tribunal administratif son organisation et aux procédures de sa saisine aux dispositions prévus par la présente loi.