Décret-loi n° 2022-54 du 13 septembre 2022, relatif à la lutte contre les infractions se rapportant aux systèmes d'information et de communication - Tunisie

Latest laws

>

a. Justice pénale

Décret-loi n° 2022-54 du 13 septembre 2022, relatif à la lutte contre les infractions se rapportant aux systèmes d’information et de communication

Le Président de la République,

Vu la Constitution,

Vu le décret Présidentiel n° 2021-117 du 22 septembre 2021, relatif aux mesures exceptionnelles,

Après délibération du Conseil des ministres.

Prend le décret-loi dont la teneur suit :

Chapitre premier – Dispositions générales

Article premier – Le présent décret-loi vise à fixer les dispositions ayant pour objectif la prévention des infractions se rapportant aux systèmes d’information et de communication et leur répression, ainsi que celles relatives à la collecte des preuves électroniques y afférentes et à soutenir l’effort international dans le domaine, et ce, dans le cadre des accords internationaux, régionaux et bilatéraux ratifiés par la République tunisienne.

Art. 2 – Les autorités publiques doivent, lors de l’application des dispositions du présent décret-loi, respecter les garanties constitutionnelles, les traités internationaux, régionaux et bilatéraux y afférents ratifiés par la République tunisienne, et la législation nationale en matière des droits de l’Homme, des libertés et de la protection des données à caractère personnel.

Art. 3 – Sont applicables aux infractions mentionnées au présent décret-loi, selon le cas, les dispositions du code pénal, du code de procédure pénale, du code de justice militaire ainsi que les textes pénaux spéciaux, sans préjudice de l’application des peines plus graves.

Les enfants sont soumis au code de la protection de l’enfant.

Art. 4 – Les services compétents des ministères de la défense nationale et de l’intérieur exécutent les ordonnances judiciaires relatives à l’accès aux systèmes d’information, données et informations stockées, chacun en ce qui le concerne.

Art. 5 – Aux sens du présent décret-loi, on entend par:

Système d’information : un ensemble de logiciels, outils et équipements, isolés, interconnectés ou apparentés assurant les opérations de traitement automatisé des données.
Données informatiques : toute présentation des faits, d’informations ou de concepts sous une forme qui se prête à un traitement automatisé, y compris les logiciels permettant à un système d’information d’exécuter une fonction précise.
Système de communication : un ensemble de supports métalliques, optiques, radio ou tout autre technologie qui puisse assurer les opérations de transmission, d’émission ou de réception de signaux ou de données.
Fournisseur de services de communications : toute personne physique ou morale fournissant un service de télécommunications au public y compris les services d’internet.
Flux de trafic ou données d’accès : des données produites par un système d’information indiquant la source de la communication, sa destination, son itinéraire, son heure, sa date, son volume et sa durée ainsi que le type de service de communication.
Support informatique : tout équipement ou moyen permettant le stockage des données informatiques.
Programme : Ensemble de commandes et d’instructions à un ordinateur ou tout autre équipement pour le traitement de données ou l’exécution d’autres tâches.
L’effacement de données informatiques : Tout acte qui conduit à empêcher l’accès aux données d’information accessibles.

Chapitre II – Des obligations et procédures spéciales

Section première – De l’obligation de conservation

Art. 6 – Les fournisseurs de services de télécommunications doivent conserver les données stockées dans un système d’information pendant une durée fixée par arrêté conjoint des ministres de la défense nationale, de l’intérieur, de la justice ainsi que du ministre chargé des télécommunications, et ce, selon la nature du service, à condition que cette période ne soit pas inférieure à deux ans à compter de la date d’enregistrement des données.

Les données qui doivent être conservées sont :

les données permettant d’identifier les utilisateurs du service,
les données relatives au flux de trafic,
les données relatives aux terminaux de la communication.
les données relatives à la localisation géographique de l’utilisateur.
les données relatives à l’accès et à l’exploitation de contenu à valeur ajoutée protégé.

Section 2 – De l’obligation de non-divulgation du secret professionnel

Art. 7 – Il est interdit à tout chargé de l’exécution des ordonnances judiciaires relatives à l’accès aux données stockées au niveau du système d’information ou à la collecte de données du flux de trafic ou à l’interception de communications, ou celui auquel il est fait recours pour cette tâche, de divulguer le secret professionnel dans tout ce qui concerne les dispositions et les modalités appliquées ou les informations ou données dont ils ont eu connaissance lors de l’exécution de ces ordonnances judiciaires.

Est interdite toute divulgation orale ou écrite des faits et informations ou leur échange en dehors du cadre des missions techniques restreintes ainsi que le transfert de ces faits et informations, ou leur transmission à autrui ou leur mise à la disposition de ceux qui n’ont pas la qualité.

Le chargé de l’exécution des ordonnances judiciaires ou celui auquel il est fait recours pour cette tâche, demeure tenu à la non-divulgation du secret professionnel, lors de l’exercice de ses fonctions ou après cessation de ses fonctions de quelque manière que ce soit. L’interdiction de divulgation du secret professionnel ne peut être levée que sur ordonnance judiciaire.

Section 3 – De la constatation des infractions et l’exécution des ordonnances d’interception et d’accès

Art. 8 – Sont chargés de la constatation des infractions mentionnées dans le présent décret-loi, chacun dans la limite de ses compétences :

Les procureurs de la République et leurs adjoints.
Les officiers de la police judiciaire mentionnés aux numéros 3 et 4 de l’article 10 du code de procédure pénale, et les officiers de la police judiciaire militaire mentionnés aux numéros 3 et 4 de l’article 16 du code de justice militaire.
Les agents relevant du ministère chargé des communications ayant reçu, en vertu de lois spéciales, l’autorité nécessaire pour enquêter sur certaines infractions ou en rédiger des rapports.
- De leur fournir les données informatiques stockées dans un système ou support informatique ou celles relatives au trafic des télécommunications ou à leurs utilisateurs, ou autres données pouvant aider à révéler la vérité.

Art. 9 – Le procureur de la République, le juge d’instruction ou les officiers de la police judiciaire autorisés par écrit, sont habilités à ordonner :

De saisir un système d’information en totalité ou en partie ou un support informatique y compris les données stockées pouvant aider à révéler la vérité. Si la saisie du système d’information s’avère non nécessaire ou impossible à réaliser, les données en relation avec l’infraction ainsi que celles permettant leur lecture et leur compréhension seront copiées sur un support informatique de manière à assurer l’authenticité et l’intégrité de leur contenu.
De collecter ou enregistrer en temps réel les données relatives au trafic des télécommunications par l’usage des moyens techniques appropriés.

Ils sont aussi habilités à accéder directement ou avec l’assistance des experts à tout système ou support informatique et procéder à une investigation afin d’obtenir les données stockées pouvant aider à révéler la vérité.

Les services compétents du ministère de la défense nationale et du ministère de l’intérieur assurent l’opération de saisie, sa localisation et le processus d’accès aux systèmes d’information, aux données, aux informations stockées, aux logiciels et à tous ces supports relatifs aux deux ministères, chacun selon son domaine de compétence.

Art. 10 – Dans les cas où la nécessité de l’enquête l’exige, le procureur de la République ou le juge d’instruction peut recourir à l’interception des communications des suspects, en vertu d’une décision écrite et motivée. Dans les mêmes cas, sur rapport motivé de l’officier de police judiciaire habilité à constater les infractions, l’interception des communications des suspects peut également avoir lieu, et ce, en vertu d’une décision écrite et motivée du procureur de la République ou du juge d’instruction.

L’interception des communications comprend l’obtention des données d’accès, l’écoute, ou l’accès au leur contenu, leur reproduction, leur enregistrement à l’aide des moyens techniques appropriés et en recourant, en cas de besoin, aux structures compétentes, chacun selon le type de prestation de service qu’il fournit.

Les données d’accès sont les données qui permettent d’identifier le type de service, la source de la communication, sa destination, son réseau de transmission, l’heure, la date, le volume et la durée de la communication.

Art. 11 – Dans le cadre de leurs obligations d’assurer les exigences de la sureté publique, de la défense nationale et les dispositions du pouvoir judiciaire, les fournisseurs de services de communication, doivent répondre aux demandes des services chargés de la réception et de l’exécution des ordonnances judiciaires relatifs à l’accès aux données stockées dans un système d’information ou à la collecte de données du flux des communication ou de leur interception liées à l’accomplissement de leurs tâches.

L’autorité chargée de l’exécution des ordonnances judiciaires est tenue de rédiger un procès-verbal des opérations d’accès ou de collecte ou d’interception ou de traitement qu’elle a réalisé. Ce procès-verbal doit obligatoirement comporter les indications suivantes:

Le dispositif de l’ordonnance dont elle est chargée de son exécution.
L’autorité qui a ordonné le traitement technique.
Les dispositions techniques qu’elle a pris afin d’exécuter l’ordonnance et le type d’assistance qu’elle a eu des fournisseurs de services.
Les mesures techniques prises pour conserver les données collectées et assurer leur authenticité et leur intégrité dans toutes les étapes.
La date et l’heure du début et de la fin des opérations.

Le procès-verbal doit être accompagné par les résultats des opérations d’accès, de collecte, d’interception ou de traitement aussi bien que par les programmes et les données techniques nécessaires qui assurent leur conservation et leur exploitation sans atteinte à leur authenticité et leur intégrité.

Section 4 – De la collecte des preuves électroniques

Art. 12 – L’autorité chargée de l’exécution des ordonnances judiciaires doit tenir un registre interne coté et paraphé, comprenant l’identité des agents qui lui sont rattachés et qui interviennent dans les opérations d’accès, de collecte, d’interception et de traitement, leurs qualités et leurs signatures, au cas par cas.

Art. 13 – Les résultats des opérations d’accès, de collecte ou d’interception et les données techniques annexées, sont transférées aux autorités intéressées identifiées dans l’ordonnance judiciaire y affèrent, et ce, en vue de leur exploitation.

Art. 14 – Il en est fait inventaire, autant que possible, en présence du prévenu, ou de celui en possession duquel se trouve le saisie. Un rapport de saisi est rédigé.

Les objets saisis sont conservés, selon leur nature et leurs caractéristiques, dans des supports ou des conteneurs qui assurent leur sécurité et sur lesquels doit être noter les données relatives à la date et l’heure de la saisie, et le numéro du procès-verbal ou de l’affaire.

Les précautions nécessaires sont prises, pour maintenir l’authenticité et l’intégrité du saisie, y compris les moyens techniques pour protéger leur contenu.

Art. 15 – En cas d’impossibilité de saisie effective d’un système informatique soumis à la souveraineté de l’Etat tunisien, il est tenu, aux fins de conserver les preuves de l’infraction, d’utiliser tous les moyens appropriés afin de prévenir l’atteinte ou l’accès aux données stockées.

Chapitre III – Des infractions se rapportant aux systèmes d’information et de communication et des peines encourues

Section première – De la violation de l’intégrité des systèmes d’informations et des données et de leur confidentialité

Art. 16 – Est puni de trois mois jusqu’à un an d’emprisonnement et d’une amende de dix mille dinars, quiconque sciemment accède ou demeure illégalement dans un système informatique en totalité ou en partie.

Est passible de la même peine encourue, quiconque sciemment dépasse les limites du droit d’accès qui lui est accordé.

La tentative est punissable.

Art. 17 – Est puni de trois ans d’emprisonnement et d’une amende de vingt mille dinars, quiconque sciemment produit, vend, importe, distribue, approvisionne, expose, obtient pour usage ou possède ce qui suit, et ce illégalement ou en dehors des cas où la nécessité de la recherche scientifique ou la sécurité informatique l’exige :

Un équipement ou un programme informatique conçu ou apprivoisé pour commettre les infractions régies par le présent décret-loi.
Un mot de passe, un code d’accès ou toutes données informatiques similaires permettant d’accéder, en totalité ou en partie, à un système d’informations en vue de commettre les infractions régies par le présent décret-loi.

La tentative est punissable.

Art. 18 – Est puni de trois ans d’emprisonnement et d’une amende de vingt mille dinars, quiconque utilise sciemment, et sans droit, des moyens techniques pour l’interception de données de communication dans un envoi non destiné au public à l’intérieur, à partir ou vers un système d’informations y compris les rayonnements latéraux émis par le système et transportant des données de communication.

L’interception comprend l’obtention de données relatives aux flux de trafic ou de leur contenu, aussi de les copier ou les enregistrer.

La tentative est punissable.

Art. 19 – Est puni de trois ans d’emprisonnement et d’une amende de vingt mille dinars, quiconque endommage, modifie, supprime, annule ou détruit sciemment des données informatiques.

La tentative est punissable.

Art. 20 – Est puni de trois ans d’emprisonnement et d’une amende de trente mille dinars, quiconque entrave sciemment et d’une manière illégale le fonctionnement d’un système informatique, en y introduisant des données informatiques ou les envoyées, les endommagées, les modifiées, les supprimées, les annulées, les détruire, ou en y utilisant d’autres moyen électronique.

La tentative est punissable.

Art. 21 – Est puni de cinq ans d’emprisonnement et d’une amende de trente mille dinars, quiconque aura délibérément détourné des données informatiques appartenant à autrui.

La tentative est punissable.

Section 2 – Des infractions commises à l’aide de systèmes d’information ou de données informatiques

Sous-section première – De la fraude informatique

Art. 22 – Est puni de six ans d’emprisonnement et d’une amende de cent mille dinars quiconque cause intentionnellement un préjudice patrimonial à autrui par introduction, altération, effacement ou suppression de données informatiques ou par toute forme d’atteinte au fonctionnement d’un système informatique, dans l’intention d’obtenir un bénéfice financier ou économique pour soi-même ou pour autrui.

Sous-section 2 – De la falsification informatique

Art. 23 – Est puni de cinq ans d’emprisonnement et d’une amende de cent mille dinars quiconque commis une falsification pouvant causer un préjudice par l’introduction, l’altération, l’effacement ou la suppression de données informatiques, engendrant la production des données non authentiques, dans l’intention de l’exploiter comme si elles étaient authentiques.

Sous-section 3 – Des rumeurs et fausses nouvelles

Art. 24 – Est puni de cinq ans d’emprisonnement et d’une amende de cinquante mille dinars quiconque utilise sciemment des systèmes et réseaux d’information et de communication en vue de produire, répandre, diffuser, ou envoyer, ou rédiger de fausses nouvelles, de fausses données, des rumeurs, des documents faux ou falsifiés ou faussement attribués à autrui dans le but de porter atteinte aux droits d’autrui ou porter préjudice à la sureté publique ou à la défense nationale ou de semer la terreur parmi la population.

Est passible des mêmes peines encourues au premier alinéa toute personne qui procède à l’utilisation de systèmes d’information en vue de publier ou de diffuser des nouvelles ou des documents faux ou falsifiés ou des informations contenant des données à caractère personnel, ou attribution de données infondées visant à diffamer les autres, de porter atteinte à leur réputation, de leur nuire financièrement ou moralement, d’inciter à des agressions contre eux ou d’inciter au discours de haine.

Les peines prévues sont portées au double si la personne visée est un agent public ou assimilé.

Sous-section 4 – De l’accès illégal aux contenus protégés

Art. 25 – Sous réserve des peines prévues par des textes spéciaux, est puni d’un mois à un an d’emprisonnement et d’une amende de cinquante mille dinars, ou de l’une des deux peines, quiconque utilise intentionnellement des systèmes d’informations et de communication pour violer les droits d’auteur et les droits voisins sans obtenir une autorisation de ou des ayants droit dans le but d’en tirer profit ou de porter préjudice à l’économie ou aux droits d’autrui.

Section 3 – De l’exploitation des enfants et agressions corporelles

Art. 26 – Sous réserve des législations spécifiques, est puni d’une peine d’emprisonnement de six ans et une amende de cinquante mille dinars, quiconque produit, affiche, fournit, publie, envoie, obtient ou détient intentionnellement des données informatiques à contenu pornographique montrant un enfant ou une personne ayant l’apparence d’un enfant s’adonnant à des pratiques sexuelles explicites ou suggestives ou en être victime.

Est passible des mêmes peines prévues par le premier alinéa du présent article, quiconque aura utilisé intentionnellement des systèmes d’information pour publier ou diffuser des images ou des séquences vidéo d’agressions physiques ou sexuelles sur autrui.

Section 4 – De la répression du manquement aux obligations de la collecte des preuves électroniques

Art. 27 – Est puni d’un an d’emprisonnement et d’une amende de dix mille dinars, ou de l’une de ces deux peines, le fournisseur de services qui ne respecte pas l’obligation de conservation qui lui incombe en vertu des dispositions de l’article 6 du présent décret-loi.

Art. 28 – Sous réserve des dispositions de l’article 32 du code pénal, est passible d’un an d’emprisonnement et d’une amende de dix mille dinars, quiconque entrave sciemment le déroulement de l’investigation, en refusant de remettre des données informatiques ou les moyens à y accéder pour lire ou comprendre les données saisies, ou qui les détruit ou les cache délibérément avant leur confiscation.

Art. 29 – Est puni de trois ans d’emprisonnement et d’une amende de vingt mille dinars, quiconque aura intentionnellement, et de quelque manière que ce soit, violé la confidentialité des procédures se rapportant à la collecte, à l’interception ou à l’enregistrement des données du flux de trafic ou de son contenu, ou à la divulgation des données obtenues ou à leur utilisation illicite.

Art. 30 – Est puni de trois ans d’emprisonnement et d’une amende de dix mille dinars, quiconque aura intentionnellement accédé à des données stockées dans un système d’information, collecté des données sur le flux de trafic ou intercepté le contenu des communications, les copiés ou les enregistrés dans des cas autres que ceux autorisés par le présent décret-loi ou sans respect des obligations légales.

La tentative est punissable.

Art. 31 – Est puni de six mois d’emprisonnement et d’une amende de vingt mille dinars, tout agent chargé de l’exécution des ordonnances judiciaires relatives à l’accès aux données stockées dans un système d’information, à la collecte des données du flux de trafic, ou à l’interception des communications, qui ne respecte pas l’obligation de la non-divulgation du secret professionnels prévue à l’article 7 du présent décret-loi.

La tentative est punissable.

La peine est portée à cinq ans d’emprisonnement et à trente mille dinars d’amende si l’agent occupe un emploi fonctionnel.

La peine est portée à dix ans d’emprisonnement et à cinquante mille dinars d’amende si le manquement à l’obligation de la non-divulgation du secret professionnel entraîne une atteinte grave à la sécurité nationale ou à l’ordre public, ou une menace à l’intégrité physique des personnes.

Section 5 – De la responsabilité pénale des personnes morales et leurs dirigeants

Art. 32 – Les sanctions pécuniaires prévues par le présent décret-loi s’appliquent aux personnes morales s’il s’avère que les infractions ont été commises à leur profit, qu’elles en ont obtenu des revenus ou qu’elles représentaient le but de leur création.

La sanction sera une amende cinq fois égale à la valeur de l’amende encourue pour les personnes physiques.

La juridiction peut également ordonner la privation de la personne morale d’exercer ses activités pour une durée maximale de cinq ans, ou ordonner sa dissolution.

Cela n’empêche pas d’infliger des sanctions prévues par le présent décret-loi aux représentants ou gérants des personnes morales dont il est prouvé qu’ils sont personnellement responsables des actes punissables.

Section 6 – De l’allègement des peines

Art. 33 La juridiction peut prononcer la moitié des peines pour les infractions prévues par le présent décret-loi dans les cas suivants:

– Si l’âge de l’auteur de l’infraction est supérieur à dix-huit ans et inférieur à vingt ans.

– Si l’infraction n’a pas causé de dommages au système d’informations ou aux données informatiques.

– Si l’auteur de l’infraction informe les autorités compétentes des renseignements ou informations qui ont permis de découvrir d’autres infractions prévues par le présent décret-loi et d’éviter leur exécution ou survenance.

Chapitre IV

De l’appui à l’effort international de lutte contre les infractions se rapportant aux systèmes d’information et de communication

Art. 34 – Sous réserve des conventions internationales ou bilatérales ratifiées par la République tunisienne, les juridictions tunisiennes compétentes peuvent poursuivre et juger quiconque ayant commis, en dehors du territoire tunisien, une des infractions prévues par le présent décret-loi, et ce, dans les cas suivants :

Si l’infraction est commise par un citoyen tunisien,
Si l’infraction est commise contre des parties ou des intérêts tunisiens,
Si l’infraction est commise contre des personnes ou d’intérêts étrangers par un étranger ou un apatride dont la résidence habituelle est sur le territoire tunisien, ou par un étranger ou un apatride se trouvant sur le territoire tunisien et ne répondant pas aux conditions légales d’extradition.

L’extradition aura lieu selon les procédures en vigueur conformément au code de procédure pénale, en tenant compte des conventions conclus à cet effet.

Art. 35 – Les autorités spécialisées veillent à faciliter la coopération avec leurs homologues dans les pays étrangers dans le cadre des conventions internationales, régionales et bilatérales ratifiées, et selon le principe de réciprocité à travers l’échange d’informations et de données avec la précision et la rapidité requises, en vue d’assurer l’avertissement précoce des infractions se rapportant aux systèmes d’informations et de communication, d’en prévenir, éviter leur perpétration, aider à en enquêter et poursuivre leurs auteurs.

La coopération prévue dans le premier alinéa du présent article, est tributaire de l’étendu de l’engagement de l’Etat étranger intéressé pour la conservation de la confidentialité des informations qui y sont transmises et de son engagement de ne pas les transmettre à une tierce partie ou les exploiter pour des fins autres que la lutte contre les infractions régies par le présent décret-loi et leur répression.

Chapitre V – Dispositions diverses

Art. 36 – Il est ajouté un nouveau tiret au deuxième paragraphe de l’article 15 bis du code pénal inséré immédiatement après le dernier tiret intitulé « Les infractions militaires », intitulé « Infractions se rapportant aux systèmes d’information et de communication» comme suit :

«- Les infractions se rapportant aux systèmes d’information et de communication :

L’accès illégal.
L’interception illégale.
Le détournement de données informatiques.
Endommagement, altération, effacement, suppression ou destruction de données informatiques.
Utiliser du matériel, des logiciels ou des données pour commettre une infraction se rapportant au système d’information et de communication. »

Art. 37 – Sont abrogées les dispositions des articles 199 bis et 199 ter du code pénal.

Art. 38 – Le présent décret-loi sera publié au Journal officiel de la République tunisienne.

Tunis, le 13 septembre 2022.

مرسوم عدد 54 لسنة 2022 مؤرخ في 13 سبتمبر 2022 يتعلق بمكافحة الجرائم المتصلة بأنظمة المعلومات والاتصال

إنّ رئيس الجمهوريّة،

بعد الاطّلاع على الدستور،

وعلى الأمر الرئاسي عدد 117 لسنة 2021 المؤرخ في 22 سبتمبر 2021 المتعلق بتدابير استثنائية،

وبعد مداولة مجلس الوزراء.

يصدر المرسوم الآتي نصّه:

الباب الأول – أحــكـام عـامّـة

الفصل الأول – يهدف هذا المرسوم إلى ضبط الأحكام الرامية إلى التوقّي من الجرائم المتصلة بأنظمة المعلومات والاتصال وزجرها وتلك المتعلقة بجمع الأدلة الإلكترونية الخاصة بها ودعم المجهود الدولي في المجال، في إطار الاتفاقيات الدولية والإقليمية والثنائية المصادق عليها من قبل الجمهورية التونسية.

الفصل 2 – تلتزم السلط العمومية عند تطبيق أحكام هذا المرسوم بالضمانات الدستورية وبالمعاهدات الدولية والإقليمية والثنائية ذات العلاقة، المصادق عليها من قبل الجمهورية التونسية وبمقتضيات التشريع الوطني في مجالي حقوق الإنسان والحريات وحماية المعطيات الشخصية.

الفصل 3 – تنطبق على الجرائم المنصوص عليها بهذا المرسوم، حسب الحالة، أحكام المجلة الجزائية ومجلة الإجراءات الجزائية ومجلة المرافعات والعقوبات العسكرية والنصوص الجزائية الخاصة دون أن يمنع ذلك من تطبيق العقوبات الأشد.

ويخضع الأطفال إلى مجلة حماية الطفل.

الفصل 4 – تتولى المصالح المختصة بكل من وزارتي الدفاع الوطني والداخلية تنفيذ الأذون المتعلقة بالنفاذ إلى نظم المعلومات والبيانات والمعطيات المخزّنة الراجعة لكل منها بالنظر.

الفصل 5 – يُقصد بالمصطلحات التالية على معنى هذا المرسوم:

نظام معلومات: مجموعة برمجيات وأدوات وأجهزة منعزلة أو مرتبطة فيما بينها أو متصلة ببعضها البعض تقوم بعمليات المعالجة الآلية للبيانات.
بيانات معلوماتية: كل عرض للوقائع أو للمعلومات أو للمفاهيم في شكل قابل للمعالجة الآلية بما في ذلك البرمجيات التي تُمكّن نظام معلومات من وظيفة معينة.
نظام اتصال: مجموعة من الحوامل المعدنية، أو البصرية، أو الراديوية، أو أي تقنية أخرى تؤمن عمليات التراسل، أو البث أو استقبال الإشارات أو البيانات.
مزوّد خدمات اتصال: كل شخص طبيعي أو معنوي يقوم بإسداء خدمة اتصالات للعموم بما في ذلك خدمات الأنترنات.
حركة الاتصال أو بيانات المرور: بيانات ينتجها نظام معلومات تُبيّن مصدر الاتصال والوجهة المرسل إليها والطريق الذي سلكه وساعته وتاريخه وحجمه ومدته ونوع خدمة الاتّصال.
حامل معلوماتي: كل جهاز أو وسيلة تسمح بتخزين البيانات المعلوماتية.
البرمجية: مجموعة تعليمات وتوجيه أوامر لجهاز حاسوب أو أي جهاز آخر لمعالجة معطيات أو القيام بمهام ما.
إلغاء بيانات معلوماتية: كل فعل ينجر عنه منع النفاذ إلى بيانات معلوماتية متاحة.

الباب الثاني – في الواجبات والإجراءات الخاصّة

القسم الأول – في واجب الحفظ

الفصل 6 – يجب على مزوّدي خدمات الاتصال أن يحفظوا البيانات المخزّنة في نظام معلومات لمدّة يتم ضبطها بمقتضى قرار مشترك من وزير الدفاع الوطني ووزير الداخلية ووزير العدل والوزير المكلف بالاتصالات حسب طبيعة الخدمة على ألا تقل هذه المدة عن سنتين ابتداء من تاريخ تسجيل البيانات.

تتمثل البيانات الواجب حفظها في:

البيانات التي تمكّن من التعرّف على مستعملي الخدمة.
البيانات المتعلقة بحركة الاتصال.
البيانات المتعلقة بالأجهزة الطرفية للاتصال.
البيانات المتعلقة بالموقع الجغرافي للمستعمل.
البيانات المتعلقة بإتاحة واستغلال محتوى ذي قيمة مضافة محمي.

القسم الثاني – في واجب عدم إفشاء السرّ المهني

الفصل 7 – يحجر على كل من يكلف بتنفيذ الأذون القضائية المتعلقة بالنفاذ إلى المعطيات المخزنة بنظام معلومات أو جمع بيانات حركة اتصالات أو اعتراض الاتصالات، أو الذي تتم الاستعانة به في ذلك، إفشاء السر المهني في كل ما يتعلق بالتدابير أو الآليات المعتمدة أو بالمعلومات والمعطيات التي تصل لعلمه أثناء تنفيذ الأذون القضائية.

ويحجر كل إفشاء شفوي أو كتابي أو تداول خارج إطار المهام الفنية الضيقة لهذه الأحداث والمعلومات أو إحالتها للغير أو إتاحتها لمن لا صفة له.

يبقى المكلف بتنفيذ الأذون القضائية أو الذي تتم الاستعانة به ملزما بعدم إفشاء السر المهني سواء عند مباشرته لمهامه أو حتى بعد انقضاء مهامه بأي صورة كانت، ولا يمكن له أن يعفى من واجب عدم إفشاء السر المهني أو أن يُرفع عنه التحجير إلا بإذن قضائي.

القسم الثالث – في معاينة الجرائم وتنفيذ أذون الاعتراض والنفاذ

الفصل 8 – يتولى معاينة الجرائم المنصوص عليها بهذا المرسوم كل في حدود اختصاصه:

وكلاء الجمهورية ومساعدوهم.
مأمورو الضابطة العدلية المشار إليهم بالعددين 3 و4 من الفصل 10 من مجلة الإجراءات الجزائية ومأمورو الضابطة العدلية العسكرية المنصوص عليهم بالعددين 3 و4 من الفصل 16 من مجلة المرافعات والعقوبات العسكرية.
الأعوان الراجعون بالنظر للوزارة المكلّفة بالاتصالات، الذين مُنحوا بمقتضى قوانين خاصة السلطة اللازمة للبحث في بعض الجرائم أو تحرير التقارير فيها.

الفصل 9 – لوكيل الجمهورية أو قاضي التحقيق أو مأموري الضابطة العدلية المأذونين في ذلك كتابيا أن يأمروا:

بتمكينهم من البيانات المعلوماتية المخزّنة بنظام، أو حامل معلوماتي ،أو المتعلّقة بحركة اتصالات ،أو بمستعمليها، أو غيرها من البيانات التي من شأنها أن تساعد على كشف الحقيقة.
بحجز كامل نظام معلومات أو جزء منه أو حامل معلوماتي بما في ذلك البيانات المخزنة به والتي من شأنها أن تساعد على كشف الحقيقة. وإذا لم يكن حجز نظام المعلومات ضروريا أو تعذّر إجراؤه، تُنسخ البيانات التي لها علاقة بالجريمة والبيانات التي تُؤمّن قراءتها وفهمها على حامل معلوماتي بكيفية تضمن صحة وسلامة محتواها.
بالجمع أو التسجيل الفوري لبيانات حركة اتصالات باستعمال الوسائل الفنية المناسبة.

كما يمكنهم النفاذ مباشرة أو بالاستعانة بمن يرونه من أهل الخبرة إلى أي نظام أو حامل معلوماتي وإجراء تفتيش فيه قصد الحصول على البيانات المخزّنة التي من شأنها أن تساعد على كشف الحقيقة.

تتولى المصالح المختصة بوزارة الدفاع الوطني ووزارة الداخلية تأمين عملية الحجز ومكانه وعملية النفاذ لنظم المعلومات والبيانات والمعطيات المخزنة والبرمجيات وجميع حواملها المتعلقة بالوزارتين كل حسب مجاله.

الفصل 10 – في الحالات التي تقتضيها ضرورة البحث يمكن اللجوء إلى اعتراض اتصالات ذوي الشبهة بمقتضى قرار كتابي معلل من وكيل الجمهورية أو قاضي التحقيق، كما يمكن في نفس تلك الحالات، وبناء على تقرير معلّل من مأمور الضابطة العدلية المكلف بمعاينة الجرائم، اللجوء إلى اعتراض اتصالات ذوي الشبهة بمقتضى قرار كتابي معلل من وكيل الجمهورية أو قاضي التحقيق.

يشمل اعتراض الاتصالات الحصول على بيانات المرور والتنصت أو الاطلاع على محتوى الاتصالات وكذلك نسخها أو تسجيلها باستعمال الوسائل الفنية المناسبة والاستعانة في ذلك، عند الاقتضاء، بالهياكل المختصة كلّ حسب نوع الخدمة التي يسديها.

وتتمثل بيانات المرور في المعطيات التي تسمح بتحديد نوع الخدمة ومصدر الاتصال والوجهة المرسلة إليها والشبكة التي يمر عبره وساعته، وتاريخه، وحجمه ومدته.

الفصل 11 – يتعيّن على مزودي خدمات الاتصال في إطار التزاماتهم المتعلقة بتوفير متطلبات الأمن العام والدفاع الوطني ومقتضيات السلطة القضائية الاستجابة لطلبات المصالح المكلفة بتلقي وتنفيذ الأذون القضائية المتعلقة بالنفاذ إلى المعطيات المخزنة بنظام معلومات أو جمع بيانات حركة اتصالات أو اعتراض الاتصالات المرتبطة بإنجاز مهامها.

تتولى الجهة المكلفة بتنفيذ الأذون القضائية تحرير محضر في عمليات النفاذ، أو الجمع، أو الاعتراض، أو المعالجة التي أنجزتها يتضمن وجوبا البيانات التالية:

نص الإذن الذي كلفت بتنفيذه،
الجهة التي أذنت بالمعالجة الفنية،
الترتيبات الفنية التي قامت بها لتنفيذ الإذن ونوع المساعدة التي تلقتها من مزودي الخدمات،
التدابير الفنية التي تم اتخاذها لحفظ البيانات التي تم جمعها وتأمين صحتها وسلامتها في كافة المراحل،
تاريخ وساعة بداية العمليات ونهايتها.

ويرفق المحضر بنتائج عمليات النفاذ، أو الجمع، أو الاعتراض، أو المعالجة وكذلك البرمجيات والبيانات الفنية الضرورية التي تؤمن حفظها واستغلالها دون التأثير على صحتها وسلامتها.

القسم الرابع – فـي جـمع الأدلّـة الإلكترونية

الفصل 12 – يتعيّن على الجهة المكلفة بتنفيذ الأذون القضائية مسك سجلّ داخلي ممضى ومرقّم يتضمن هويات الأعوان الراجعين لها بالنظر المتدخلين في عمليات النفاذ والجمع والاعتراض والمعالجة وصفاتهم وإمضاءاتهم حالة بحالة.

الفصل 13 – تحال نتائج عمليات النفاذ أو الجمع أو الاعتراض والمعطيات الفنية الملحقة بها على الجهات المعنية التي وقع تحديدها ضمن الإذن القضائي المتعلق بها وذلك قصد الاستغلال.

الفصل 14 – تحرّر قائمة في المحجوز بحضور ذي الشبهة أو من وجد لديه المحجوز إن أمكن ويحرّر تقرير في الحجز.

تُحفظ الأشياء المحجوزة بحسب طبيعتها وخصائصها في أوعية أو حاويات تؤمن سلامتها ويُدَوَّنُ عليها المعطيات المتعلقة بتاريخ الحجز وساعته وعدد المحضر أو القضية.

وتُتّخذ الاحتياطات الضرورية للحفاظ على صحة وسلامة المحجوز بما في ذلك الوسائل الفنية لحماية محتواها.

الفصل 15 – إذا استحال إجراء الحجز بصفة فعلية في نظام معلومات خاضع لسيادة الدولة التونسية يتعيّن حفاظا على أدلّة الجريمة، استعمال كافّة الوسائل المناسبة لمنع الوصول أو النفاذ إلى البيانات المخزنة به.

الباب الثالث - في الجرائم المتّصلة بأنظمة المعلومات والاتصال والعقوبات المستوجبة

القسم الأول – في الاعتداء على سلامة أنظمة المعلومات والبيانات وسرّيتها

الفصل 16 – يعاقب بالسجن من ثلاثة أشهر إلى عام وبخطية قدرها عشرة آلاف دينار كل من يتعمّد دون وجه حق النّفاذ أو البقاء بكامل نظام معلومات أو بجزء منه.

ويستوجب نفس العقاب كل من يتعمّد تجاوز حدود حق النّفاذ الممنوح له.

والمحاولة موجبة للعقاب.

الفصل 17 – يعاقب بالسجن مدة ثلاثة أعوام وبخطية قدرها عشرون ألف دينار كل من يتعمّد بدون وجه حق أو في غير الحالات التي يقتضيها البحث العلمي، أو السلامة المعلوماتية إنتاج، أو بيع، أو توريد، أو توزيع، أو توفير، أو عرض، أو الحصول على، أو حيازة ما يلي:

جهاز أو برنامج معلوماتي صُمّم أو طُوّع بغرض ارتكاب الجرائم المنصوص عليها بهذا المرسوم،
كلمة عبور أو رمز نفاذ أو أي بيانات معلوماتية مماثلة تُمكّن من النفاذ إلى كامل نظام معلومات أو جزء منه بغرض ارتكاب الجرائم المنصوص عليها بهذا المرسوم.

والمحاولة موجبة للعقاب.

الفصل 18 – يعاقب بالسجن مدة ثلاثة أعوام وبخطية قدرها عشرون ألف دينار كل من يتعمّد، بدون وجه حق، استخدام وسائل فنّية لاعتراض بيانات اتّصال بمناسبة إرسال غير موجه للعموم داخل نظام معلومات أو انطلاقا منه أو في اتجاهه بما في ذلك ما ينبعث من نظام المعلومات من إشعاعات جانبية ناقلة لبيانات الاتصال.

ويشمل الاعتراض الحصول على بيانات حركة الاتصالات أو محتواها وكذلك نسخها أو تسجيلها.

والمحاولة موجبة للعقاب.

الفصل 19 – يعاقب بالسجن مدة ثلاثة أعوام وبخطية قدرها عشرون ألف دينار كل من يتعمّد إلحاق ضرر ببيانات معلوماتية، أو تغييرها، أو فسخها، أو إلغائها، أو تدميرها.

والمحاولة موجبة للعقاب.

الفصل 20 – يعاقب بالسجن مدة ثلاثة أعوام وبخطية قدرها ثلاثون ألف دينار كل من يتعمد بدون وجه حق إعاقة عمل نظام معلومات بإدخال بيانات معلوماتية أو إرسالها أو إلحاق ضرر بها أو تغييرها، أو فسخها، أو إلغائها، أو تدميرها، أو باستعمال أي وسيلة إلكترونية أخرى.

والمحاولة موجبة للعقاب.

الفصل 21 – يعاقب بالسجن لمدة خمسة أعوام وبخطية قدرها ثلاثون ألف دينار كل من يتعمّد اختلاس بيانات معلوماتية على ملك الغير.

والمحاولة موجبة للعقاب.

القسم الثاني – في الجرائم المرتكبة بواسطة أنظمة أو بيانات معلوماتية

القسم الفرعي الأول – في الاحتيال المعلوماتي

الفصل 22 – يعاقب بالسجن لمدّة ستّة أعوام وبخطية قدرها مائة ألف دينار كل من يتعمّد إلحاق ضرر بالذمة المالية للغير بإدخال بيانات معلوماتية، أو تغييرها، أو فسخها، أو إلغائها، أو بالاعتداء، بأي وجه كان، على عمل نظام معلومات قاصدا بذلك الحصول على منافع مادية أو اقتصادية لنفسه أو لغيره.

القسم الفرعي الثاني – في التـدليس المعـلوماتي

الفصل 23 – يعاقب بالسجن لمدّة خمسة أعوام وبخطية قدرها مائة ألف دينار كل من يتعمد ارتكاب تدليس من شأنه إلحاق ضرر وذلك بإدخال بيانات معلوماتية، أو تغييرها، أو فسخها، أو إلغائها، وترتب عن هذا التدليس إنشاء بيانات غير صحيحة قصد اعتمادها كما لو كانت صحيحة.

القسم الفرعي الثالث – في الإشاعة والأخبار الزائفة

الفصل 24 – يعاقب بالسجن مدة خمسة أعوام وبخطية قدرها خمسون ألف دينار كل من يتعمّد استعمال شبكات وأنظمة معلومات واتّصال لإنتاج، أو ترويج، أو نشر، أو إرسال، أو إعداد أخبار أو بيانات أو إشاعات كاذبة أو وثائق مصطنعة أو مزوّرة أو منسوبة كذبا للغير بهدف الاعتداء على حقوق الغير أو الإضرار بالأمن العام أو الدفاع الوطني أو بث الرعب بين السكان.

ويعاقب بنفس العقوبات المقررة بالفقرة الأولى كل من يتعمد استعمال أنظمة معلومات لنشر، أو إشاعة أخبار ،أو وثائق مصطنعة ،أو مزورة أو بيانات تتضمن معطيات شخصية أو نسبة أمور غير حقيقية بهدف التشهير بالغير أو تشويه سمعته أو الإضرار به ماديا أو معنويا أو التحريض على الاعتداء عليه أو الحث على خطاب الكراهية.

وتضاعف العقوبات المقررة إذا كان الشخص المستهدف موظفا عموميا أو شبهه.

القسم الفرعي الرابع – في الإتاحة غير المشروعة للمصنفات المحمية

الفصل 25 – مع مراعاة العقوبات الواردة بالنصوص الخاصة، يعاقب بالسجن لمدة تتراوح بين شهر وعام واحد وبخطية قدرها خمسين ألف دينار أو بإحدى العقوبتين، كل من يتعمّد استعمال أنظمة معلومات واتّصال لانتهاك حقوق النشر والتأليف والحقوق ذات الصلة دون الحصول على ترخيص من صاحب أو أصحاب الحق، بهدف تحقيق ربح أو الإضرار بالاقتصاد أو بحقوق الغير.

القسم الثالث – في استغلال الأطفال والاعتداءات الجسدية

الفصل 26 – مع مراعاة التشريعات الخصوصية، يعاقب بالسجن مدّة ستة أعوام وبخطية قدرها خمسون ألف دينار كل من يتعمّد إنتاج، أو عرض أو توفير أو نشر أو إرسال أو الحصول أو حيازة بيانات معلوماتية ذات محتوى إباحي تظهر طفلا أو شخصا يبدو في مظهر طفل بصدد القيام بإيحاءات أو ممارسات جنسية أو يتعرض لها.

ويعاقب بنفس العقوبات المقررة بالفقرة الأولى من هذا الفصل كل شخص تعمد استعمال أنظمة معلومات لنشر أو بث صور أو مقاطع تصويرية لاعتداء جسدي أو جنسي على الغير.

القسم الرابع – في زجر الإخلال بموجبات جمع الأدلة الإلكترونية

الفصل 27 – يعاقب بالسجن مدّة عام وبخطية قدرها عشرة آلاف دينار أو بإحدى هاتين العقوبتين مزوّد الخدمات الذي لا يلتزم بواجب الحفظ المحمول عليه بموجب أحكام الفصل 6 من هذا المرسوم.

الفصل 28 – مع مراعاة أحكام الفصل 32 من المجلة الجزائية، يعاقب بالسجن مدّة عام وبخطية قدرها عشرة آلاف دينار كل من تعمد إعاقة سير البحث برفض تسليم بيانات معلوماتية أو وسائل النفاذ إليها لقراءة البيانات المحجوزة أو فهمها أو يتعمّد إعدامها أو إخفاءها قبل حجزها.

الفصل 29 – يعاقب بالسجن مدّة ثلاثة أعوام وبخطية قدرها عشرون ألف دينار كلّ من يتعمّد بأي وجه انتهاك سرّية الإجراءات المتعلقة بجمع أو اعتراض أو تسجيل بيانات حركة اتصالات أو محتواها أو إفشاء البيانات المتحصل عليها أو استعمالها بدون وجه حق.

الفصل 30 – يعاقب بالسجن مدة ثلاثة أعوام وبخطية قدرها عشرة آلاف دينار كل من يتعمد النفاذ إلى المعطيات المخزنة بنظام معلومات أو جمع بيانات حركة اتصالات أو اعتراض محتوى الاتصالات ونسخها أو تسجيلها في غير الأحوال المسموح بها في هذا المرسوم أو دون احترام الموجبات القانونية.

والمحاولة موجبة للعقاب.

الفصل 31 – يعاقب بالسجن مدّة ستة أشهر وبخطيّة قدرها عشرون ألف دينار كل عون مكلف بتنفيذ الأذون القضائية المتعلقة بالنفاذ إلى المعطيات المخزنة بنظام معلومات أو جمع بيانات حركة اتصالات أو اعتراض الاتصالات لم يلتزم بواجب عدم إفشاء السر المهني المنصوص عليه بالفصل 7 من هذا المرسوم.

والمحاولة موجبة للعقاب.

وتُرفع العقوبة إلى السجن لمدة خمسة أعوام وخطية قدرها ثلاثون ألف دينار إذا كان العون حاملا لخطّة وظيفيّة.

وتُرفع العقوبة إلى السجن لمدة عشرة أعوام وخطية قدرها خمسون ألف دينار إذا أدّى الإخلال بواجب عدم إفشاء السر المهني إلى إخلال جسيم بالأمن القومي أو بالنظام العام، أو تهديد السلامة الجسدية للأشخاص.

القسم الخامس – في المسؤولية الجزائية للذوات المعنوية ومسيريها

الفصل 32 – تنسحب العقوبات المالية المنصوص عليها بهذا المرسوم على الذوات المعنوية إذا تبين أن الجرائم المرتكبة تمّت لفائدتها أو حصلت لها منها مداخيل أو كانت تمثّل الغرض من إحداثها.

ويكون العقاب بخطية تساوي خمس مرّات قيمة الخطية المستوجبة للذوات الطبيعية.

كما يمكن للمحكمة أن تقضي بحرمان الذات المعنوية من مباشرة نشاطها لمدّة أقصاها خمسة أعوام أو أن تقضي بحلّها.

ولا يمنع ذلك من توقيع العقوبات المقررة بهذا المرسوم على ممثلي الذوات المعنوية أو مسيريها الذين تثبت مسؤوليتهم الشخصية عن الأفعال المستوجبة لها.

القسم السادس – في تخفيف العقوبات

الفصل 33 – للمحكمة أن تقضي بنصف العقوبات المستوجبة للجرائم المنصوص عليها بهذا المرسوم إذا توفرت إحدى الحالات التالية:

إذا كان سن مرتكب الجريمة فوق الثمانية عشر عاما ودون العشرين عاما.
إذا لم يترتب عن الجريمة ضرر لنظام المعلومات أو البيانات المعلوماتية.
إذا أخبر مرتكب الجريمة السلط ذات النظر بإرشادات أو معلومات مكّنت من الكشف عن جرائم أخرى من الجرائم المنصوص عليها بهذا المرسوم وتفادي تنفيذها أو حصولها.

الباب الرابع – في دعم المجهود الدولي لمكافحة الجرائم المتصلة بأنظمة المعلومات والاتصال

الفصل 34 – مع مراعاة الاتفاقيات الدولية أو الثنائية المصادق عليها من قبل الجمهورية التونسية، يمكن للمحاكم التونسية ذات النظر تتبع ومحاكمة كل من يرتكب خارج التراب التونسي إحدى الجرائم المنصوص عليها بهذا المرسوم في الصور التالية:

إذا ارتكبت من قبل مواطن تونسي.
إذا ارتكبت ضدّ أطراف أو مصالح تونسية.
إذا ارتكبت ضدّ أطراف أو مصالح أجنبية من قبل أجنبي أو شخص عديم الجنسية يوجد محل إقامته المعتاد داخل التراب التونسي أو من قبل أجنبي أو شخص عديم الجنسية وجد بالتراب التونسي ولم تتوفر في شأنه شروط التسليم القانونية.

ويتم التسليم طبقا للإجراءات المعمول بها صلب مجلة الاجراءات الجزائية مع مراعاة الاتفاقيات المبرمة في الغرض.

الفصل 35 – تعمل السلطات المختصة على تيسير التعاون مع نظيراتها بالبلدان الأجنبية في إطار الاتفاقيات الدولية والإقليمية والثنائية المصادق عليها وطبق مبدأ المعاملة بالمثل عبر تبادل المعلومات والمعطيات بالدقة والسرعة اللازمة بما من شأنه أن يكفل الإنذار المبكر بالجرائم المتصلة بأنظمة المعلومات والاتصال والتوقي منها وتفادي ارتكابها والمساعدة على التحقيق فيها وتتبع مرتكبيها.

ويتوقف التعاون المشار إليه بالفقرة الأولى من هذا الفصل على مدى التزام الدولة الأجنبية المعنية بالحفاظ على سرية المعلومات المحالة إليها والتزامها بعدم إحالتها إلى طرف آخرأو استغلالها لأغراض أخرى غير مكافحة الجرائم المعنية بهذا المرسوم وزجرها.

الباب الخامس – أحكام مختلفة

الفصل 36 – تضاف إلى الفقرة الثانية من الفصل 15 مكرر من المجلة الجزائية مطّة تدرج مباشرة إثر المطّة الأخيرة المعنونة "الجرائم العسكرية" عنوانها "الجرائم المتصلة بأنظمة المعلومات والاتصال" كما يلي:

" الجرائم المتصلة بأنظمة المعلومات والاتصال: "
- النفاذ غير المشروع.
- الاعتراض غير المشروع.
- اختلاس بيانات معلوماتية.
- إلحاق ضرر ببيانات معلوماتية، أو تغييرها، أو فسخها أو إلغائها أو تدميرها.
- استعمال أجهزة أو برامج أو بيانات لارتكاب إحدى جرائم أنظمة المعلومات والاتصال.

الفصل 37 – تلغى أحكام الفصلين 199 مكرر و199 ثالثا من المجلة الجزائية.

الفصل 38 – ينشر هذا المرسوم بالرّائد الرسمي للجمهوريّة التونسيّة.

تونس في 13 سبتمبر 2022.