Base de données

LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à
caractère personnel

Au nom du peuple,

La chambre des députés ayant adopté,

Le Président de la République promulgue la loi organique dont la teneur suit :

CHAPITRE I – Dispositions générales

Article premier – Toute personne a le droit à la protection des données à caractère personnel relatives à sa
vie privée comme étant l'un des droits fondamentaux garantis par la constitution et ne peuvent titre traitées
que dans le cadre de la transparence, la loyauté et le respect de la dignité humaine et conformément aux
dispositions de la présente loi.

Art. 2 – La présente loi s'applique au traitement automatisé, ainsi qu'au traitement non automatisé des
données à caractère personnel mis en œuvre par des personnes physiques ou par des personnes morales.

Art. 3 – La présente loi ne s'applique pas au traitement des données à caractère personnel ayant des
finalités ne dépassant pas l'usage personnel ou familial à condition de ne pas les transmettre aux tiers.

Art. 4 – Au sens de la présente loi, on entend par données à caractère personnel toutes les informations
quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement d'identifier une
personne physique ou la rendent identifiable, à l'exception des informations liées à la vie publique ou
considérées comme telles par la loi.

Art. 5 – Est réputée identifiable, la personne physique susceptible d'être identifiée, directement ou
indirectement, à travers plusieurs données ou symboles qui concernent notamment son identité, ses
caractéristiques physiques, physiologiques, génétiques, psychologiques, sociales, économiques ou
culturelles.

Art. 6 – Au sens de la présente loi, on entend par :

 Traitement des données à caractère personnel : les opérations réalisées d'une façon
automatisée ou manuelle par une personne physique ou morale, et qui ont pour but
notamment la collecte, l'enregistrement, la conservation, l'organisation, la modification,
l'exploitation, l'utilisation, l'expédition, la distribution, la diffusion ou la destruction ou la
consultation des données à caractère personnel, ainsi que toutes les opérations relatives à
l'exploitation de bases des données, des index, des répertoires, des fichiers, ou
l'interconnexion.
 Fichier : ensemble des données à caractère personnel structuré et regroupé susceptible
d'être consulté selon des critères déterminés et permettant d'identifier une personne
déterminée.
 Personne concernée : toute personne physique dont les données à caractère personnel
font l'objet d'un traitement.
 Responsable du traitement : toute personne physique ou morale qui détermine les finalités
et les moyens du traitement des données à caractère personnel.

Page 1 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

 Tiers : toute personne physique ou morale ou l'autorité publique ainsi que leurs
subordonnés, à l'exception de la personne concernée, le bénéficiaire, le responsable du
traitement, le sous-traitant ainsi que leurs subordonnés.
 Sous-traitant : toute personne physique ou morale qui traite des données à caractère
personnel pour le compte du responsable du traitement.
 L'Instance : l'Instance Nationale de Protection des Données à Caractère Personnel.
 Communication: le fait de donner, de remettre ou de porter des données à caractère
personnel à la connaissance d'une ou de plusieurs personnes autres que la personne
concernée, sous quelque forme que ce soit et par n'importe quel moyen.
 Interconnexion : le fait de procéder à la corrélation des données contenues dans un ou
plusieurs fichiers détenus par un ou d'autres responsables.
 Bénéficiaire : toute personne physique ou morale recevant des données à caractère
personnel.

CHAPITRE II – Conditions du traitement des données à caractère personnel

Section I – Des procédures préliminaires du traitement des données à caractère personnel

Art. 7 – Toute opération de traitement des données à caractère personnel est soumise à une déclaration
préalable déposée au siège de l'instance nationale de protection des données à caractère personnel contre
récépissé ou notifiée par lettre recommandée avec accusé de réception ou par tout autre moyen laissant
une trace écrite.

La déclaration est effectuée par le responsable du traitement ou son représentant légal.

La déclaration n'exonère pas de la responsabilité à l'égard des tiers.

Les conditions et les procédures de la présentation de la déclaration sont fixées par décret.

Le non opposition de l'Instance au traitement des données à caractère personnel, dans un délai d'un mois à
compter de la présentation de la déclaration, vaut acceptation.

Art. 8 – Dans les cas où la présente loi exige l'obtention d'une autorisation de L'Instance pour le traitement
des données à caractère personnel, la demande d'autorisation doit comprendre notamment les informations
suivantes :
 Le nom, prénom et domicile du responsable du traitement, et s'il est une personne morale,
sa dénomination sociale, son siège social et l'identité de son représentant légal ;
 L’identité des personnes concernées par les données à caractère personnel et leurs
domiciles ;
 Les finalités du traitement et ses normes ;
 Les catégories du traitement, son lieu et la date du traitement ;
 Les données à caractère personnel dont le traitement est envisagé, ainsi que leur origine ;
 Les personnes ou les autorités susceptibles de prendre connaissance de ces données eu
égard à leur fonction ;
 Les bénéficiaires des données objet du traitement ;
 Le lieu de conservation des données à caractère personnel objet du traitement et sa durée ;
 Les mesures prises pour assurer la confidentialité du traitement et sa sécurité ;
 La description des bases des données auxquelles le responsable du traitement est
interconnecté ;
 L’engagement de procéder au traitement des données à caractère personnel conformément
aux dispositions prévues par la loi ;

Page 2 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

 la déclaration que les conditions prévues par l'article 22 de la présente loi sont réunies.

En cas de changement intervenant dans les mentions énumérées ci-dessus, l'autorisation de L'Instance doit
être obtenue.

La demande d'autorisation est présentée par le responsable du traitement ou son représentant légal.

L'autorisation n'exonère pas de la responsabilité à l'égard des tiers.

Les conditions de la présentation de la demande d'autorisation et ses procédures sont fixées par décret.

Section II - Du responsable du traitement des données à caractère personnel et de ses obligations

Art. 9 – Le traitement des données à caractère personnel doit se faire dans le cadre du respect de la dignité
humaine, de la vie privée et des libertés publiques.

Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, ne doit pas porter
atteinte aux droits des personnes protégés par les lois et les règlements en vigueur, et il est, dans tous les
cas, interdit d'utiliser ces données pour porter atteinte aux personnes ou à leur réputation.

Art. 10 – La collecte des données à caractère personnel ne peut être effectuée que pour des finalités licites,
déterminées et explicites.

Art. 11 – Les données à caractère personnel doivent titre traitées loyalement, et dans la limite nécessaire au
regard des finalités pour lesquelles elles ont été collectées. Le responsable du traitement doit également
s'assurer que ces données sont exactes, précises et mises à jour.

Art. 12 – Le traitement des données à caractère personnel ne peut être effectué pour des finalités autres
que celles pour lesquelles elles ont été collectées sauf dans les cas suivants :
 Si la personne concernée a donné son consentement.
 Si le traitement est nécessaire à la sauvegarde d'un intérêt vital de la personne concernée ;
 Si le traitement mis en œuvre est nécessaire à des fins scientifiques certaines.

Art. 13 – Est interdit le traitement des données à caractère personnel relatives aux infractions, à leur
constatation, aux poursuites pénales, aux peines, aux mesures préventives ou aux antécédents judiciaires.

Art. 14 – Est interdit le traitement des données à caractère personnel qui concernent, directement ou
indirectement, l'origine raciale ou génétique, les convictions religieuses, les opinions politiques,
philosophiques ou syndicales, ou la santé.

Toutefois, le traitement visé au paragraphe précédent est possible lorsqu'il est effectué avec le
consentement exprès de la personne concernée donné par n'importe quel moyen laissant une trace écrite,
ou lorsque ces données ont acquis un aspect manifestement public, ou lorsque ce traitement s'avère
nécessaire à des fins historiques ou scientifiques, ou lorsque ce traitement est nécessaire à la sauvegarde
des intérêts vitaux de la personne concernée.

Le traitement des données à caractère personnel relatives à la santé est régi par les dispositions du
cinquième chapitre de la présente loi.

Page 3 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

Art. 15 – Le traitement des données à caractère personnel mentionnées par l'article 14 de la présente loi est
soumis à l'autorisation de L'Instance Nationale de Protection des données à Caractère Personnel à
l'exception des données relatives à la santé.

L'instance doit donner sa réponse concernant la demande d'autorisation dans un délai ne dépassant pas
trente jours à compter de la date de sa réception. Le défaut de réponse dans ce délai vaut refus.

L'instance peut décider d'accepter la demande tout en imposant au responsable du traitement l'obligation de
prendre des précautions ou des mesures qu'elle juge nécessaires à la sauvegarde de l'intérêt de la
personne concernée.

Art. 16 – Les dispositions des articles 7, 8, 27, 28, 31 et 47 de la présente loi ne s'appliquent pas au
traitement des données à caractère personnel concernant la situation professionnelle de l'employé, lorsque
ledit traitement a été effectué par l'employeur et s'avère nécessaire au fonctionnement du travail et à son
organisation.

Les dispositions des articles cités au paragraphe précédent ne s'appliquent pas au traitement des données à
caractère personnel qu'exige le suivi de l'état de santé de la personne concernée.

Art. 17 – Il est, dans tous les cas, strictement interdit de lier la prestation d'un service ou l'octroi d'un
avantage à une personne à son acceptation du traitement de ses données personnelles ou de leur
exploitation à des fins autres que celles pour lesquelles elles ont été collectées.

Art. 18 – Toute personne qui effectue, personnellement ou par une tierce personne, le traitement des
données à caractère personnel est tenue à l'égard des personnes concernées de prendre toutes les
précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur
modification, à leur altération ou à leur consultation sans l'autorisation de la personne concernée.

Art. 19 – Les précautions prévues à l'article 18 de la présente loi doivent :

 empêcher que les équipements et les installations utilisés dans le traitement des données à
caractère personnel soient placés dans des conditions ou des lieux permettant à des
personnes non autorisées d'y accéder ;
 empêcher que les supports des données puissent être lus, copiés, modifiés ou déplacés
par une personne non autorisée ;
 empêcher l'introduction non autorisée de toute donnée dans le système d'information, ainsi
que toute prise de connaissance, tout effacement ou toute radiation des données
enregistrées ;
 empêcher que le système de traitement d'information puisse être utilisé par des personnes
non autorisées ;
 garantir que puissent titre vérifiés à posteriori l'identité des personnes ayant eu accès au
système d'information, les données qui ont été introduites dans le système, le moment de
cette introduction ainsi que la personne qui l'a effectuée ;
 empêcher que les données puissent être lues, copiées, modifiées, effacées ou radiées, lors
de leur communication où du transport de leur support ;
 sauvegarder les données par la constitution de copies de réserve sécurisées.

Art. 20 – Le responsable du traitement, lorsqu'il confie aux tiers certaines opérations de traitement ou leur
totalité dans le cadre d'un contrat de sous-traitance, doit choisir scrupuleusement le sous-traitant.

Page 4 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

Le sous-traitant doit respecter les dispositions de la présente loi et ne doit agir que dans les limites
autorisées par le responsable du traitement; il doit disposer, en outre, de tous les moyens techniques
nécessaires et appropriés pour accomplir les missions dont il a la charge.

Le responsable du traitement et le sous-traitant engagent leur responsabilité civile en cas de violation des
dispositions de la présente loi.

Art. 21 – Le responsable du traitement et le sous-traitant doivent corriger, compléter, modifier ou mettre à

jour les fichiers dont ils disposent, et effacer les données à caractère personnel de ces fichiers s'ils ont eu
connaissance de l'inexactitude ou de l'insuffisance de ces données.

Dans ce cas, le responsable du traitement et le sous-traitant doivent informer, la personne concernée et le

bénéficiaire de manière légitime des données, de toute modification apportée aux données à caractère
personnel qu'il a rebue précédemment.

La notification s'effectue dans un délai de deux mois, à compter de la date de la modification, par voie de
lettre recommandée avec accusé de réception ou par n'importe quel moyen laissant une trace écrite.

Art. 22 – Sans préjudice des lois et règlements en vigueur, la personne physique ou le représentant légal de
la personne morale désirant effectuer le traitement des données à caractère personnel et leurs agents
doivent remplir les conditions suivantes :
 titre de nationalité tunisienne ;
 titre résident en Tunisie ;
 titre sans antécédents judiciaires.

Ces conditions s'appliquent également au sous-traitant et à ses agents.

Art. 23 – Le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou
la perte de leur qualité, doivent préserver la confidentialité des données personnelles et les informations
traitées à l'exception de celles dont la diffusion a été acceptée par écrit par la personne concernée ou dans
les cas prévus par la législation en vigueur.

Art. 24 – Le responsable du traitement des données à caractère personnel ou le sous-traitant qui envisage
de cesser définitivement son activité doit en informer L'Instance trois mois avant la date de la cessation
d'activité.

En cas de décès du responsable du traitement ou du sous-traitant ou de sa faillite ou en cas de dissolution

de la personne morale, les héritiers, le syndic de faillite ou le liquidateur, selon la situation, doivent en
informer l'Instance dans un délai ne dépassant pas trois mois à compter de la date de la survenance du fait.

L'Instance, dans un délai ne dépassant pas un mois à compter de la date de son information conformément
au paragraphe précédent, autorise la destruction des données à caractère personnel.

Art. 25 – L'instance peut décider la communication des données à caractère personnel en cas de cessation
d'activité pour les motifs indiqués à l'article précédent, et ce, dans les deux cas suivants :
1) si elle juge que ces données sont utiles pour une exploitation à des fins historiques et
scientifiques ;
2) si celui qui a effectué la notification propose de communiquer toutes les données à
caractère personnel ou une partie à une personne physique ou morale en déterminant avec
précision son identité. Dans ce cas, l'instance peut décider d'accepter la communication
des données à caractère personnel à la personne proposée. La communication effective ne

Page 5 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

s'effectue qu'après l'obtention de l'accord de la personne concernée, son tuteur ou de ses

héritiers reçus par n'importe quel moyen laissant une trace écrite.

En cas de non obtention de cet accord, dans un délai de trois mois à compter de la date de sa formulation,
les données à caractère personnel doivent titre détruites.

Art. 26 – En cas de cessation de l'activité du responsable du traitement ou du sous-traitant pour les motifs
indiqués à l'article 24 de la présente loi, la personne concernée, ses héritiers ou toute personne ayant intérêt
ou le ministère public peuvent, à tout moment, demander de l'Instance de prendre toutes les mesures
appropriées pour la conservation et la protection des données à caractère personnel, ainsi que leur
destruction.

L'Instance doit rendre sa décision dans un délai de dix jours à compter de la date de sa saisine.

Section III - Des droits de la personne concernée

Sous-section I - Du consentement

Art. 27 – A l'exclusion des cas prévus par la présente loi ou les lois en vigueur, le traitement des données à
caractère personnel ne peut être effectué qu'avec le consentement exprès et écrit de la personne concernée
; si celle-ci est une personne incapable ou interdite ou incapable de signer, le consentement est régi par les
règles générales de droit.

La personne concernée ou son tuteur peut, à tout moment, se rétracter.

Art. 28 – Le traitement des données à caractère personnel qui concerne un enfant ne peut s'effectuer
qu'après l'obtention du consentement de son tuteur et de l'autorisation du juge de la famille.

Le juge de la famille peut ordonner le traitement même sans le consentement du tuteur lorsque l'intérêt
supérieur de l'enfant l'exige.

Le juge de la famille peut, à tout moment, revenir sur son autorisation.

Art. 29 – Le traitement des données à caractère personnel n'est pas soumis au consentement de la
personne concernée lorsqu'il s'avère manifestement que ce traitement est effectué dans son intérêt et que
son contact se révèle impossible, ou lorsque l'obtention de son consentement implique des efforts
disproportionnés, ou si le traitement des données à caractère personnel est prévu par la loi ou une
convention dans laquelle la personne concernée est partie.

Art. 30 – Le consentement au traitement des données à caractère personnel sous une forme déterminée ou
pour une finalité déterminée ne s'applique pas aux autres formes ou finalités

Il est interdit d'utiliser le traitement des données à caractère personnel à des fins publicitaires sauf
consentement exprès et particulier de la personne concernée, de ses héritiers ou de son tuteur. Le
consentement à cet égard est soumis aux règles générales de droit.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 31 – Après l'expiration du délai fixé par l'article 7 de la présente loi pour l'opposition de l'Instance, il faut
informer au préalable et par n'importe quel moyen laissant une trace écrite les personnes concernées par la
collecte des données à caractère personnel de ce qui suit:

Page 6 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

 la nature des données à caractère personnel concernées par le traitement ;

 les finalités du traitement des données à caractère personnel ;
 le caractère obligatoire ou facultatif de leur réponse;
 les conséquences du défaut de réponse ;
 le nom de la personne physique ou morale bénéficiaire des données, ou de celui qui
dispose du droit d'accès et son domicile;
 le nom et prénom du responsable du traitement ou sa dénomination sociale et, le cas
échéant, son représentant et son domicile;
 leur droit d'accès aux données les concernant ;
 leur droit de revenir, à tout moment, sur l'acceptation du traitement ;
 leur droit de s'opposer au traitement de leurs données à caractère personnel ;
 la durée de conservation des données à caractère personnel ;
 une description sommaire des mesures mises en couvre pour garantir la sécurité des
données à caractère personnel.
 le pays vers lequel le responsable du traitement entend, le cas échéant, transférer les
données à caractère personnel.

La notification s'effectue par lettre recommandée avec accusé de réception ou par n'importe quel moyen
laissant une trace écrite dans un délai d'un mois au moins avant la date fixée pour le traitement des données
à caractère personnel.

Sous-section II - Le droit d'accès

Art. 32 – Au sens de la présente loi, on entend par droit d'accès, le droit de la personne concernée, de ses
héritiers ou de son tuteur de consulter toutes les données à caractère personnel la concernant, ainsi que le
droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer lorsqu'elles s'avèrent
inexactes, équivoques, ou que leur traitement est interdit.

Le droit d'accès couvre également le droit d'obtenir une copie des données dans une langue claire et
conforme au contenu des enregistrements, et sous une forme intelligible lorsqu'elles sont traitées à l'aide de
procédés automatisés.

Art. 33 – On ne peut préalablement renoncer au droit d'accès.

Art. 34 – Le droit d'accès est exercé par la personne concernée, ses héritiers ou son tuteur à des intervalles
raisonnables et de façon non excessive.

Art. 35 – La limitation du droit d'accès de la personne concernée, de ses héritiers ou de son tuteur aux
données à caractère personnel la concernant n'est possible que dans les cas suivants :
 lorsque le traitement des données à caractère personnel est effectué à des fins
scientifiques et à condition que ces données n'affectent la vie privée de la personne
concernée que d'une façon limitée ;
 si le motif recherché par la limitation du droit d'accès est la protection de la personne
concernée elle-même ou des tiers.

Art. 36 – Lorsqu'il y a plusieurs responsables du traitement des données à caractère personnel ou lorsque le
traitement est effectué par un sous-traitant, le droit d'accès est exercé auprès de chacun d'eux.

Art. 37 – Le responsable du traitement automatisé des données à caractère personnel et le sous-traitant

doivent mettre en œuvre les moyens techniques nécessaires pour permettre à la personne concernée, à ses

Page 7 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

héritiers ou à son tuteur l'envoi par voie électronique de sa demande de rectification, de modification, de
correction, ou d'effacement des données à caractère personnel.

Art. 38 – La demande d'accès est présentée par la personne concernée ou ses héritiers ou son tuteur par
écrit ou par n'importe quel moyen laissant une trace écrite. La personne concernée, ses héritiers ou son
tuteur peuvent demander de la même manière l'obtention de copies des données dans un délai ne
dépassant pas un mois à compter de ladite demande.

Dans le cas où le responsable du traitement ou le sous-traitant refuse de permettre à la personne

concernée, à ses héritiers ou à son tuteur la consultation des données à caractère personnel requises, ou
diffère l'accès à ces données, ou refuse de leur délivrer une copie de ces données, la personne concernée,
ses héritiers ou son tuteur peuvent présenter une demande à l'Instance dans un délai maximum d'un mois à
compter de la date du refus.

L'instance, après l'audition des deux parties et l'accomplissement des investigations nécessaires, peut
ordonner la consultation des informations requises ou la délivrance d'une copie de ces informations ou
l'approbation du refus, et ce, dans un délai ne dépassant pas un mois à compter de la date de sa saisine.

La personne concernée, ses héritiers ou son tuteur peuvent présenter à l'Instance, le cas échéant, une
demande afin de prendre toutes les mesures appropriées pour empêcher la destruction ou la dissimulation
des données à caractère personnel. L'instance doit statuer sur la demande dans un délai de sept jours à
compter de la date de l'introduction de la demande.

La destruction ou la dissimulation de ces données est interdite dès la présentation de la demande.

Art. 39 – En cas de litige sur l'exactitude des données à caractère personnel, le responsable du traitement
et le sous-traitant doivent mentionner l'existence de ce litige jusqu'à ce qu'il y soit statué.

Art. 40 – La personne concernée, ses héritiers ou son tuteur, peut demander de rectifier les données à
caractère personnel la concernant, les compléter, les modifier, les clarifier, les mettre à jour, les effacer
lorsqu'elles s'avèrent inexactes, incomplètes, ou ambiguës, ou demander leur destruction lorsque leur
collecte ou leur utilisation a été effectuée en violation de la présente loi.

Elle peut en outre demander, sans frais et après l'accomplissement des procédures requises, la délivrance
d'une copie des données à caractère personnel et indiquer ce qui n'a pas été réalisé en ce qui concerne ces
données.

Dans ce cas, le responsable du traitement ou le sous-traitant doit lui délivrer une copie des données
demandées dans un délai ne dépassant pas un mois à compter de la date de la présentation de la
demande.

En cas de refus, explicite ou implicite, de la demande l'Instance peut être saisie dans un délai ne dépassant
pas un mois à partir de la date d'expiration du délai mentionné au paragraphe précédent.

Art. 41 – L'instance est saisie de tout litige relatif à l'exercice du droit d'accès.

Sous réserve des délais spécifiques prévus par la présente loi, l'Instance doit rendre sa décision dans un
délai d'un mois à compter de la date de sa saisine.

Sous-section III – Le droit d'opposition

Page 8 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

Art. 42 – La personne concernée, ses héritiers ou son tuteur, a le droit de s'opposer à tout moment au
traitement des données à caractère personnel le concernant pour des raisons valables, légitimes et
sérieuses, sauf dans les cas où le traitement est prévu par la loi ou est exigé par la nature de l'obligation.

En outre, la personne concernée, ses héritiers ou son tuteur, a le droit de s'opposer à ce que les données à
caractère personnel la concernant soient communiquées aux tiers en vue de les exploiter à des fins
publicitaires.

L'opposition suspend immédiatement le traitement.

Art. 43 – L'Instance Nationale de Protection des Données à Caractère Personnel est saisie de tout litige
relatif à l'exercice du droit d'opposition.

L'instance doit rendre sa décision dans le délai prévu par l'article 41 de la présente loi.

Le juge de la famille statue sur les litiges relatifs à l'opposition lorsque la personne concernée est un enfant.

CHAPTRE Ill – De la collecte, conservation, effacement et destruction des données à caractère

personnel

Art. 44 – La collecte des données à caractère personnel ne s'effectue qu'auprès des personnes concernées
directement.

La collecte des données à caractère personnel opérée auprès des tiers n'est admise qu'avec le
consentement de la personne concernée, de ses héritiers ou de son tuteur. Le consentement n'est pas
requis lorsque la collecte des données auprès des tiers est prévue par la loi, ou lorsque la collecte auprès de
la personne concernée implique des efforts disproportionnés, ou s'il s'avère manifestement que la collecte
n'affecte pas ses intérêts légitimes, ou lorsque la personne concernée est décédée.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 45 – Les données à caractère personnel doivent titre détruites dès l'expiration du délai fixé à sa
conservation dans la déclaration ou l'autorisation ou les lois spécifiques ou en cas de réalisation des finalités
pour lesquelles elles ont été collectées ou lorsqu'elles deviennent inutiles pour l'activité du responsable du
traitement. Il est établi un procès-verbal par huissier de justice et en présence d'un expert désigné par
l'Instance.

Les honoraires de l'expert fixés par l'Instance et les frais de l'huissier de justice sont à la charge du
responsable du traitement.

Art. 46 – Les données à caractère personnel communiquées ou susceptibles d'être communiquées aux
personnes visées à l'article 53 de la présente loi ne peuvent être détruites ou radiées qu'après l'obtention de
l'avis desdites personnes ainsi que l'autorisation de l'Instance Nationale de Protection des Données à
caractère personnel.

L'Instance statue sur la demande dans un délai ne dépassant pas un mois à partir de son introduction.

CHAPITRE IV – De la communication et du transfert des données à caractère personnel

Art. 47– Il est interdit de communiquer des données à caractère personnel aux tiers sans le consentement
exprès donne par n'importe quel moyen laissant une trace écrite, de la personne concernée, de ses héritiers

Page 9 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

ou de son tuteur sauf si ces données sont nécessaires à l'exercice des missions confiées aux autorités
publiques dans le cadre de la sécurité publique ou de la défense nationale, ou s'avèrent nécessaires à la
mise en œuvre des poursuites pénales ou à l'exécution des missions dont elles sont investies conformément
aux lois et règlements en vigueur.

L'Instance peut autoriser la communication des données à caractère personnel en cas du refus, écrit et
explicite, de la personne concernée, de ses héritiers ou de son tuteur lorsqu'une telle communication s'avère
nécessaire pour la réalisation de leurs intérêts vitaux, ou pour l'accomplissement des recherches et études
historiques ou scientifiques, ou encore en vue de l'exécution d'un contrat auquel la personne concernée est
partie, et ce, à condition que la personne à qui les données à caractère personnel sont communiquées
s'engage à mettre en œuvre toutes les garanties nécessaires à la protection des données et des droits qui
s'y rattachent conformément aux directives de l'Instance, et d'assurer qu'elles ne seront pas utilisées à des
fins autres que celles pour lesquelles elles ont été communiquées.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 48 – La demande d'autorisation est présentée à l'Instance dans un délai ne dépassant pas un mois à
compter de la date du refus de la personne concernée de communiquer ses données à caractère personnel
aux tiers.

L'Instance statue sur la demande dans un délai ne dépassant pas un mois à partir de son introduction.

L'Instance informe le demandeur de sa décision dans un délai de quinze jours à compter de la date de la
prise de décision, et ce, par lettre recommandée avec accusé de réception ou par tout autre moyen laissant
une trace écrite.

Art. 49 – Les données à caractère personnel traitées pour des finalités particulières peuvent être
communiquées en vue d'être traitées une autre fois pour des fins historiques ou scientifiques, à condition
d'obtenir le consentement de la personne concernée, de ses héritiers ou de son tuteur, ainsi que
l'autorisation de l'Instance Nationale de Protection des Données à Caractère Personnel.

L'Instance décide, selon les cas, de supprimer les données susceptibles d'identifier la personne concernée
ou de les laisser.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Art. 50 – Il est interdit, dans tous les cas, de communiquer ou de transférer des données à caractère
personnel vers un pays étranger lorsque ceci est susceptible de porter atteinte à la sécurité publique ou aux
intérêts vitaux de la Tunisie.

Art. 51 – Le transfert vers un autre pays des données personnelles faisant l'objet d'un traitement ou
destinées à faire l'objet d'un traitement, ne peut avoir lieu que si ce pays assure un niveau de protection
adéquat apprécié au regard de tous les éléments relatifs à la nature des données à transférer, aux finalités
de leur traitement, à la durée du traitement envisage, et le pays vers lequel les données vont être
transférées ainsi que les précautions nécessaires mises en œuvre pour assurer la sécurité des données.
Dans tous les cas, le transfert des données à caractère personnel doit s'effectuer conformément aux
conditions prévues par la présente loi.

Art. 52 – Dans tous les cas, l'obtention de l'autorisation de l'Instance pour effectuer le transfert des données
à caractère personnel vers l'étranger est obligatoire.

Page 10 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

L'Instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à partir de la
présentation de la demande.

Lorsque les données à caractère personnel à transférer concernent un enfant, la demande est présentée au
juge de la famille.

CHAPITRE V – De quelques catégories particulières de traitement

Section I - Du traitement des données à caractère personnel par les personnes publiques

Art. 53 – Les dispositions de la présente section s'appliquent au traitement des données à caractère
personnel réalisé par les autorités publiques, les collectivités locales et les établissements publics à
caractère administratif dans le cadre de la sécurité publique ou de la défense nationale, ou pour procéder
aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire à l'exécution de leurs missions
conformément aux lois en vigueur.

Les dispositions de la présente section s'appliquent, en outre, au traitement des données à caractère
personnel réalisé par les établissements publics de santé ainsi que les établissements publics n'appartenant
pas à la catégorie mentionnée au paragraphe précédent, dans le cadre des missions qu'ils assurent en
disposant des prérogatives de la puissance publique conformément à la législation en vigueur.

Art. 54 – Le traitement réalisé par les personnes mentionnées à l'article précédent n'est pas soumis aux
dispositions prévues par les articles 7, 8, 13, 27, 28, 37, 44 et 49 de la présente loi.

Le traitement réalisé par les personnes mentionnées au premier paragraphe de l'article 53 de la présente loi
n'est pas soumis également aux dispositions des articles 14, 15 et 42 et aux dispositions de la quatrième
section du cinquième chapitre de la présente loi.

Art. 55 – Les personnes mentionnées à l'article 53 de la présente loi doivent rectifier, compléter, modifier, ou
mettre à jour les fichiers dont elles disposent, ainsi que l'effacement des données à caractère personnel
contenues dans ces fichiers si la personne concernée, le tuteur ou les héritiers a signalé par n'importe quel
moyen laissant une trace écrite, l'inexactitude ou l'insuffisance de ces données.

Art. 56 – Le droit d'accès aux données à caractère personnel traitées par les personnes mentionnées à
l'article 53 ne peut être exercé.

Toutefois, pour les données traitées par les personnes mentionnées dans le deuxième paragraphe de
l'article 53 de la présente loi, la personne concernée, son tuteur, ou ses héritiers peuvent, pour des raisons
valables, demander de corriger, de compléter, de rectifier, de mettre à jour, de modifier, ou d'effacer les
données lorsqu'elles s'avèrent inexactes et qu'ils en ont pris connaissance.

Art. 57 – Il est interdit aux personnes mentionnées à l'article 53 de la présente loi de communiquer des
données à caractère personnel aux personnes privées sans le consentement exprès de la personne
concernée, de son tuteur ou de ses héritiers, donné par n'importe quel moyen laissant une trace écrite.
Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.
Les autres communications demeurent soumises aux dispositions des lois spécifiques en vigueur.

Art. 58 – La personne concernée, son tuteur, ou ses héritiers peuvent s'opposer au traitement des données
à caractère personnel effectué par les personnes mentionnées au deuxième paragraphe de l'article 53 de la
présente loi si un tel traitement est contraire aux dispositions de la présente loi qui lui sont applicables.

Page 11 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

Art. 59 – L'instance Nationale de Protection des Données à Caractère Personnel est saisie, sur demande de
la personne concernée, son tuteur ou ses héritiers, de tout litige relatif à l'application des dispositions du
deuxième paragraphe de l'article 56 et de l'article 58 de la présente loi. Elle doit rendre sa décision dans un
délai d'un mois à compter de la date de sa saisine.

Art. 60 – En cas de dissolution ou de fusion des personnes mentionnées à l'article 53 de la présente loi,
l'autorité de tutelle doit prendre les mesures nécessaires à la conservation et la protection des données
traitées par la personne dissoute ou fusionnée.

L'autorité de tutelle peut décider de détruire les données à caractère personnel ou de les communiquer si
elle juge que ces données sont utiles pour une exploitation à des fins historiques et scientifiques.

Un procès-verbal administratif est, dans tous les cas, dressé.

Art. 61 – Les personnes mentionnées à l'article 53 de la présente loi doivent détruire les données à
caractère personnel si le délai de leur conservation déterminé par les lois spécifiques a expiré ou si le but
pour lequel elles ont été collectées a été réalisé. Il en est de même si lesdites données ne sont plus
nécessaires à l'activité poursuivie selon les lois en vigueur. Un procès-verbal administratif est dressé.

Section II - Du traitement des données à caractère personnel relatives à la santé

Art. 62 – Sans préjudice des dispositions prévues dans l'article 14 de la présente loi, les données à
caractère personnel relatives à la santé peuvent faire l'objet d'un traitement dans les cas suivants :
1- lorsque la personne concernée, ses héritiers ou son tuteur, a donné son consentement à un
tel traitement. Lorsque la personne concernée est un enfant, les dispositions de l'article 28
de la présente loi s'appliquent ;
2- lorsque le traitement est nécessaire à la réalisation de finalités prévues par la loi ou les
règlements ;
3- lorsque le traitement s'avère nécessaire pour le développement et la protection de la santé
publique entre autres pour la recherche sur les maladies ;
4- lorsqu'il s'avère des circonstances que le traitement est bénéfique pour la santé de la
personne concernée ou qu'il est nécessaire, à des fins préventives ou thérapeutiques, pour
le suivi de son état de santé ;
5- lorsque le traitement s'effectue dans le cadre de la recherche scientifique dans le domaine
de la santé.

Art. 63 – Le traitement des données à caractère personnel relatives à la santé ne peut être mis en œuvre
que par des médecins ou des personnes soumises, en raison de leur fonction, à l'obligation de garder le
secret professionnel.

Les médecins peuvent communiquer les données à caractère personnel en leur possession à des
personnes ou des établissements effectuant de la recherche scientifique dans le domaine de la santé suite à
une demande émanant de ces personnes ou établissements, et sur la base d'une autorisation de l'Instance
Nationale de Protection des Données à Caractère Personnel.

L'instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à compter de la date
de la présentation de la demande.

Art. 64 – Le traitement ne peut dépasser la durée nécessaire pour la réalisation du but pour lequel il est
effectué.

Page 12 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

Art. 65 – L'instance peut, lors de la délivrance de l'autorisation visée au deuxième paragraphe de l'article 63
de la présente loi, fixer les précautions et les mesures devant titre mises en œuvre pour assurer la protection
des données à caractère personnel relatives à la santé.

Elle peut interdire la diffusion des données à caractère personnel relatives à la santé.

Section III. – Du traitement des données à caractère personnel dans le cadre de la recherche
scientifique

Art. 66 – Les données à caractère personnel collectées ou enregistrées aux fins de la recherche scientifique
ne peuvent titre traitées ou utilisées qu'à des fins de recherche scientifique.

Art. 67 – Les données à caractère personnel ne doivent pas contenir des éléments susceptibles de révéler
l'identité de la personne concernée lorsque les exigences de la recherche scientifique le permettent. Les
données concernant la situation d'une personne physique identifiée ou identifiable doivent titre enregistrées
distinctement et ne peuvent titre rassemblées avec les données concernant la personne que si elles
s'avèrent nécessaires à des fins de recherche.

Art. 68 – La diffusion des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la
recherche scientifique ne peut avoir lieu que lorsque la personne concernée, ses héritiers ou son tuteur, ont
donné leur consentement exprès par n'importe quel moyen laissant une trace écrite ; ou lorsque cette
diffusion s'avère nécessaire pour la présentation des résultats de recherche relatifs à des évènements ou
des phénomènes existant au moment de ladite présentation.

Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente loi s'appliquent.

Section IV - Du traitement des données à caractère personnel à des fins de vidéosurveillance

Art. 69 – Sous réserve de la législation en vigueur, l'utilisation des moyens de vidéo-surveillance est
soumise à une autorisation préalable de l'Instance Nationale de Protection des Données à Caractère
Personnel.

L'Instance doit statuer sur la demande d'autorisation dans un délai maximum d'un mois à partir de la date de
la présentation de ladite demande.

Art. 70 – Les moyens de surveillance mentionnés à l'article précédent ne peuvent être utilisés que dans les
lieux suivants :
1- les lieux ouverts au public et leurs entrées ;
2- les parkings, les moyens de transport public, les stations, les ports maritimes et les
aéroports ;
3- les lieux de travail collectifs.

Art. 71 – Les moyens de vidéo-surveillance mentionnés à l'article précédent ne peuvent titre utilisés dans les
lieux indiqués dans l'article précédent que s'ils sont nécessaires pour assurer la sécurité des personnes, la
prévention des accidents, la protection des biens ou l'organisation de l'entrée et de la sortie de ces espaces.

Dans tous les cas, les enregistrements vidéo ne peuvent être accompagnés d'enregistrements sonores.

Art. 72 – Le public doit être informé d'une manière claire et permanente de l'existence de moyens de
vidéosurveillance.

Page 13 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

Art. 73 – Il est interdit de communiquer les enregistrements vidéo collectés à des fins de surveillance sauf
dans les cas suivants :
1- lorsque la personne concernée, ses héritiers ou son tuteur, ont donné leur consentement.
Lorsque la personne concernée est un enfant, les dispositions de l'article 28 de la présente
loi s'appliquent ;
2- lorsque la communication est nécessaire à l'exercice des missions dévolues aux autorités
publiques ;
3- lorsque la communication s'avère nécessaire pour la constatation, la découverte ou la
poursuite d'infractions pénales.

Art. 74 – Les enregistrements vidéo doivent titre détruits lorsqu'ils ne sont plus nécessaires à la réalisation
des finalités pour lesquelles ils ont été effectués ou lorsque l'intérêt de la personne concernée exige sa
suppression à moins que ces enregistrements ne s'avèrent utiles pour la recherche et les poursuites
d'infractions pénales.

CHAPITRE VI – L'instance Nationale de Protection des Données à caractère Personnel

Art. 75 – Il est institué, en vertu de la présente loi, une Instance dénommée «L'Instance Nationale de
Protection des Données à Caractère Personnel » disposant de la personnalité morale et jouissant de
l'autonomie financière. Son siège est fixé à Tunis.

Le budget de l'Instance est rattaché au budget du ministère chargé des Droits de l'homme.

Les modalités de fonctionnement de l'Instance sont fixées par décret.

Art. 76 – L'Instance Nationale de Protection des Données à Caractère Personnel est chargée des missions
suivantes :
 accorder les autorisations, recevoir les déclarations pour la mise en œuvre du traitement
des données à caractère personnel, ou les retirer dans les cas prévus par la présente loi ;
 recevoir les plaintes portées dans le cadre de la compétence qui lui est attribuée en vertu
de la présente loi ;
 déterminer les garanties indispensables et les mesures appropriées pour la protection des
données à caractère personnel;
 accéder aux données à caractère personnel faisant l'objet d'un traitement afin de procéder
à leur vérification, et collecter les renseignements indispensables à l'exécution de ses
missions ;
 donner son avis sur tout sujet en relation avec les dispositions de la présente loi ;
 élaborer des règles de conduite relatives au traitement des données à caractère personnel ;
 participer aux activités de recherche, de formation et d'étude en rapport avec la protection
des données à caractère personnel, et d'une manière générale à toute activité ayant un
rapport avec son domaine d'intervention.

Art. 77 – L'instance peut procéder aux investigations requises en recueillant les déclarations de toute
personne dont l'audition est jugée utile et en ordonnant de procéder à des constatations dans les locaux et
lieux où a eu lieu le traitement à l'exception des locaux d'habitation. L'Instance peut se faire assister, dans le
cadre de ses missions, par les agents assermentés du ministère chargé des technologies de la
communication pour effectuer des recherches et des expertises spécifiques, ou par des experts judiciaires,
ou par toute personne jugeant utile sa participation.

L'Instance doit informer le procureur de la République territorialement compétent de toutes les infractions
dont elle a eu connaissance dans le cadre de son travail.

Page 14 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

Le secret professionnel ne peut être opposé à l'instance.

Art. 78 – L'Instance est composée ainsi :

 un président choisi parmi les personnalités compétentes dans le domaine ;
 un membre choisi parmi les membres de la Chambre des Députés ;
 un membre choisi parmi les membres de la Chambre des Conseillers.
 un représentant du Premier ministère ;
 deux magistrats de troisième grade ;
 deux magistrats du tribunal administratif ;
 un représentant du Ministère de l'Intérieur ;
 un représentant du Ministère de la Défense Nationale ;
 un représentant du Ministère chargé des Technologies de la Communication;
 un chercheur du Ministère chargé de la Recherche Scientifique ;
 un médecin du Ministère chargé de la Santé Publique ;
 un membre du Comité Supérieur des Droits de l'homme et des Libertés Fondamentales ;
 un membre choisi parmi les experts en matière de technologies de la communication.

Le président et les membres de l'Instance sont désignés, pour trois ans, par décret.

Art. 79 – Il est interdit au président de L'Instance et à ses membres d'avoir, directement ou indirectement,
des intérêts dans toute entreprise qui exerce ses activités dans le domaine du traitement des données à
caractère personnel soit d'une façon automatisée, soit d'une façon manuelle.

Art. 80 – Le président et les membres de L'Instance doivent sauvegarder le caractère secret des données à
caractère personnel et des informations dont ils ont eu connaissance à raison de leur qualité, et ce, même
après la perte de cette qualité sauf dispositions contraires de la loi.

Art. 81 – L'instance peut décider après audition du responsable du traitement ou du sous-traitant de retirer
l'autorisation ou d'interdire le traitement s'il a porté atteinte aux obligations prévues par la présente loi.

Les procédures du retrait de l'autorisation ou de l'interdiction du traitement sont fixées par décret.

Art. 82 – Les décisions de l'Instance sont motivées et notifiées aux personnes concernées par huissier de
justice.

Les décisions de l'Instance sont susceptibles de recours devant la cour d'appel de Tunis dans un délai d'un
mois à partir de leur notification. Il est statué sur le recours selon les dispositions du Code de procédure
civile et commerciale.

Les décisions de l'Instance sont exécutées nonobstant le recours formulé à leur encontre. Le premier
président de la cour d'appel de Tunis peut ordonner en référé la suspension de leur exécution jusqu'à ce
qu'il soit statué sur le recours lorsque cette exécution est susceptible de causer un préjudice irréversible. La
décision ordonnant la suspension n'est susceptible d'aucune voie de recours. La cour saisie de l'affaire doit
statuer sur le recours dans un délai ne dépassant pas trois mois à compter de la date de sa saisine.

Les arrêts rendus par la cour d'appel de Tunis sont susceptibles de pourvoi en cassation devant la cour de
cassation.

Art. 83 – L'auteur de la requête doit consigner les frais d'expertise et de notification des décisions ainsi que
les différents frais nécessaires déterminés par le président de l'Instance.

Page 15 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

Art. 84 – Les biens mobiliers ou immobiliers de l'Etat nécessaires à l'exécution des missions de L'Instance
peuvent lui être attribués par affectation. En cas de dissolution de L'Instance, ses biens se transmettent à
l'Etat qui procède à l'exécution des obligations et des engagements de L'Instance conformément à la
législation en vigueur.

Art. 85 – L'Instance transmet un rapport annuel sur son activité au Président de la République.

CHAPITRE VII – Des sanctions

Art. 86 – Est puni d'un emprisonnement de deux à cinq ans et d'une amende de cinq mille dinars à
cinquante mille dinars, quiconque viole les dispositions de l'article 50 de la présente loi.

La tentative est punissable.

Art. 87 – Est puni d'un emprisonnement de deux ans et d'une amende de dix mille dinars, celui qui viole les
dispositions de l'article 13 ainsi que le paragraphe premier de l'article 14, le paragraphe premier de l'article
28, le paragraphe premier de l'article 63 et les articles 70 et 71 de la présente loi.

Est puni également des mêmes peines prévues au paragraphe précédent, celui qui viole les dispositions du
paragraphe premier de l'article 27 ainsi que les articles 31, 44 et 68 de la présente loi.

Art. 88 – Est puni d'un an d'emprisonnement et d'une amende de dix mille dinars, celui qui porte une
personne à donner son consentement pour le traitement de ses données personnelles en utilisant la fraude,
la violence ou la menace.

Art. 89 – Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, celui qui
intentionnellement communique des données à caractère personnel pour réaliser un profit pour son compte
personnel ou le compte d'autrui ou pour causer un préjudice à la personne concernée.

Art. 90 – Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, quiconque :
 effectue intentionnellement un traitement des données à caractère personnel sans
présenter la déclaration prévue à l'article 7 ou sans l'obtention de l'autorisation prévue aux
articles 15 et 69 de la présente loi, ou continue d'effectuer le traitement des données après
l'interdiction de traitement ou le retrait de l'autorisation ;
 diffuse les données à caractère personnel relatives à la santé nonobstant l'interdiction de
l'Instance mentionnée au deuxième paragraphe de l'article 65 de la présente loi ;
 transfert les données à caractère personnel à l'étranger sans l'autorisation de l'Instance ;
 communique les données à caractère personnel sans le consentement de la personne
concernée ou l'accord de l'Instance dans les cas prévus par la présente loi.

Art. 91 – Est puni d'un an d'emprisonnement et d'une amende de cinq mille dinars, le responsable du
traitement ou le sous-traitant qui continue de traiter des données à caractère personnel malgré l'opposition
de la personne concernée faite conformément aux dispositions de l'article 42 de la présente loi.

Art. 92 – Est puni de huit mois d'emprisonnement et d'une amende de trois mille dinars, le responsable du
traitement ou le sous-traitant qui intentionnellement limite ou entrave l'exercice du droit d'accès dans les cas
autres que ceux prévus à l'article 35 de la présente loi.

Art. 93 – Est puni de trois mois d'emprisonnement et d'une amende de trois mille dinars quiconque diffuse
intentionnellement des données à caractère personnel, à l'occasion de leur traitement, d'une manière qui
nuit à la personne concernée ou à sa vie privée.

Page 16 sur 18
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE

La peine est d'un mois d'emprisonnement et d'une amende de mille dinars lorsque la diffusion a été
effectuée sans l'intention de nuire.

La personne concernée peut demander au tribunal d'ordonner la publication d'un extrait du jugement dans
un ou plusieurs journaux quotidiens, paraissant en Tunisie choisis par la personne concernée. Les frais de
publication sont supportés par le condamné.

Les poursuites ne peuvent titre déclenchées qu'à la demande de la personne concernée.

Le désistement arrête la poursuite, le procès ou l'exécution de la peine.

Art. 94 – Est puni de trois mois d'emprisonnement et d'une amende de mille dinars quiconque viole les
dispositions des articles 12, 18, et 19, ainsi que les paragraphes premier et deuxième de l'article 20, et les
articles 21, 37, 45, 64 et 74 de la présente loi.

Est puni également des mêmes peines prévues au paragraphe précédent quiconque collecte des données à
caractère personnel à des fins illégitimes ou contraires à l'ordre public ou traite intentionnellement des
données à caractère personnel inexactes, non mises à jour ou qui ne sont pas nécessaires à l'activité de
traitement.

Art. 95 – Est puni d'une amende de dix mille dinars, la personne à qui les données ont été communiquées
qui ne respecte pas les garanties et les mesures que l'Instance lui a fixées conformément aux dispositions
du deuxième paragraphe de l'article 47 et du premier paragraphe de l'article 65 de la présente loi.

Art. 96 – Est puni d'une amende de cinq mille dinars, quiconque :

 entrave le travail de L'Instance Nationale de Protection des Données à Caractère Personnel
en l'empêchant d'effectuer les investigations ou en refusant de délivrer les documents
requis ;
 communique de mauvaise foi à l'Instance ou notifie à la personne concernée,
intentionnellement, des informations inexactes.

Art. 97 – L'article 254 du Code pénal s'applique au responsable du traitement, au sous-traitant, a leurs
agents, au président de l'Instance et à ses membres qui divulguent le contenu des données à caractère
personnel sauf dans les cas prévus par la loi.

Art. 98 – Est puni d'une amende de mille dinars, le responsable du traitement, le sous-traitant, le syndic de
faillite ou le liquidateur qui viole les dispositions de l'article 24 de la présente loi.

Art. 99 – Est puni d'une amende de mille dinars, le responsable du traitement ou le sous-traitant qui viole les
dispositions de l'article 39 de la présente loi.

Art. 100 – Outre les peines prévues par les articles précédents de la présente loi, le tribunal peut, dans tous
les cas, décider de retirer l'autorisation du traitement ou de suspendre le traitement.

Art. 101 – Lorsque le contrevenant est une personne morale, les peines prévues ci-dessus sont applicable
personnellement et selon les cas au dirigeant légal ou de fait de la personne morale dont la responsabilité
concernant les actes accomplis a été établie.

Art. 102 – Les infractions prévues dans ce chapitre sont constatées par les officiers de police judiciaire
mentionnés aux numéros 1 à 4 de l'article 10 du Code de procédure pénale, et par les agents assermentés

Page 17 sur 18
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN

du ministère chargé des technologies de la communication; les procès-verbaux sont établis conformément
aux procédures prévues par ledit code.

Art. 103 – Il peut être procédé à la médiation pénale dans les infractions prévues au deuxième paragraphe
de l’article 87, ainsi que les articles 89 et 91 de la présente loi conformément au neuvième chapitre du
quatrième livre du Code de procédure pénale.

Dispositions diverses

Art. 104 – Sont abrogées les dispositions contraires à la présente loi et notamment les articles 38, 41 et 42
de la loi n° 2000-83 du 9 aout 2000 relative aux échanges et au commerce électroniques.

Art. 105 – Les personnes effectuant une activité de traitement des données à caractère personnel à la date
de la promulgation de la présente loi doivent se conformer à ses dispositions dans un délai d'un an à
compter de la date de son entrée en vigueur.

La présente loi organique sera publiée au Journal Officiel de la République Tunisienne et exécutée comme
loi de l'Etat.

Tunis, le 27 juillet 2004.

Page 18 sur 18