Jurisite Tunisie: Avertissement!!!!
Section PrécédanteRetour au SommaireSection Suivante
Législation-Tunisie
Loi portant sur la Protection des Données à Caractère Personnel
Copyright Jurisite Tunisie© 2001-
Copyright Jurisite Tunisie© 2001-
Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel
CHAPITRE II. Conditions du traitement des données à caractère personnel
Section II - Du responsable du traitement des données à caractère personnel et de ses obligations

Art. 9. - Le traitement des données à caractère personnel doit se faire dans le cadre du respect de la dignité humaine, de la vie privée et des libertés publiques.
Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, ne doit pas porter atteinte aux droits des personnes protégés par les lois et les règlements en vigueur, et il est, dans tous les cas, interdit d'utiliser ces données pour porter atteinte aux personnes ou à leur réputation.

Art. 10. - La collecte des données à caractère personnel ne peut être effectuée que pour des finalités licites, déterminées et explicites.

Art. 11. - Les données à caractère personnel doivent être traitées loyalement et dans la limite nécessaire au regard des finalités pour lesquelles elles ont été collectées. Le responsable du traitement doit également s'assurer que ces données sont exactes, précises et mises à jour.

Art. 12. - Le traitement des données à caractère personnel ne peut être effectué pour des finalités autres que celles pour lesquelles elles ont été collectées sauf dans les cas suivants :

  • si la personne concernée a donné son consentement.
  • si le traitement est nécessaire à la sauvegarde d'un intérêt vital de la personne concernée ;
  • si le traitement mis en œuvre est nécessaire à des fins scientifiques certaines.

Art. 13. - Est interdit le traitement des données à caractère personnel relatives aux infractions, à leur constatation, aux poursuites pénales, aux peines, aux mesures préventives ou aux antécédents judiciaires.

Art. 14. - Est interdit le traitement des données à caractère personnel qui concernent, directement ou indirectement, l'origine raciale ou génétique, les convictions religieuses, les opinions politiques, philosophiques ou syndicales, ou la santé.
Toutefois, le traitement visé au paragraphe précédent est possible lorsqu'il est effectué avec le consentement exprès de la personne concernée donné par n'importe quel moyen laissant une trace écrite, ou lorsque ces données ont acquis un aspect manifestement public, ou lorsque ce traitement s'avère nécessaire à des fins historiques ou scientifiques ou lorsque ce traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.
Le traitement des données à caractère personnel relatives à la santé est régi par les dispositions du cinquième chapitre de la présente loi.

Art. 15. - Le traitement des données à caractère personnel mentionnées par l'article 14 de la présente loi est soumis à l'autorisation de L'Instance Nationale de Protection des données à Caractère Personnel à l'exception des données relatives à la santé.
L'instance doit donner sa réponse concernant la demande d'autorisation dans un délai ne dépassant pas trente jours à compter de la date de sa réception. Le défaut de réponse dans ce délai vaut refus.
L'instance peut décider d'accepter la demande tout en imposant au responsable du traitement l'obligation de prendre des précautions ou des mesures qu'elle juge nécessaires à la sauvegarde de l'intérêt de la personne concernée.

Art. 16. - Les dispositions des articles 7, 8, 27, 28, 31 et 47 de la présente loi ne s'appliquent pas au traitement des données à caractère personnel concernant la situation professionnelle de l'employé, lorsque ledit traitement a été effectué par l'employeur et s'avère nécessaire au fonctionnement du travail et à son organisation.
Les dispositions des articles cités au paragraphe précédent ne s'appliquent pas au traitement des données à caractère personnel qu'exige le suivi de l'état de santé de la personne concernée.

Art. 17. - Il est, dans tous les cas, strictement interdit de lier la prestation d'un service ou l'octroi d'un avantage à une personne à son acceptation du traitement de ses données personnelles ou de leur exploitation à des fins autres que celles pour lesquelles elles ont été collectées.

Art. 18. - Toute personne qui effectue personnellement ou par une tierce personne, le traitement des données a caractère personnel est tenue à regard des personnes concernées de prendre toutes les précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l'autorisation de la personne concernée.

Art. 19. - Les précautions prévues à l'article 18 de la présente loi doivent :

  • empêcher que les équipements et les installations utilisés dans le traitement des données à caractère personnel soient placés dans des conditions ou des lieux permettant à des personnes non autorisées d'y accéder ;
  • empêcher que les supports des données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
  • empêcher l'introduction non autorisée de toute donnée dans le système d'information, ainsi que toute prise de connaissance, tout effacement ou toute radiation des données enregistrées ;
  • empêcher que le système de traitement d'information puisse être utilisé par des personnes non autorisées ;
  • garantir que puissent être vérifiés a posteriori l'identité des personnes ayant eu accès au système d'information, les données qui ont été introduites dans le système, le moment de cette introduction ainsi que la personne qui l'a effectuée;
  • empêcher que les données puissent être lues, copiées, modifiées, effacées ou radiées, lors de leur communication ou du transport de leur support ;
  • sauvegarder les données par la constitution de copies de réserve sécurisées.

Art. 20. - Le responsable du traitement, lorsqu'il confie aux tiers certaines opérations de traitement ou leur totalité dans le cadre d'un contrat de sous-traitance, doit choisir scrupuleusement le sous-traitant.
Le sous-traitant doit respecter les dispositions de la présente loi et ne doit agir que dans les limites autorisées par le responsable du traitement ; il doit disposer, en outre, de tous les moyens techniques nécessaires et appropriés pour accomplir les missions dont il a la charge.
Le responsable du traitement et le sous-traitant engagent leur responsabilité civile en cas de violation des dispositions de la présente loi.

Art. 21. - Le responsable du traitement et le sous-traitant doivent corriger, compléter, modifier ou mettre à jour les fichiers dont ils disposent, et effacer les données à caractère personnel de ces fichiers s'ils ont eu connaissance de l'inexactitude ou de l'insuffisance de ces données.
Dans ce cas, le responsable du traitement et le sous-traitant doivent informer, la personne concernée et le bénéficiaire de manière légitime des données, de toute modification apportée aux données à caractère personnel qu'il a reçue précédemment.
La notification s'effectue dans un délai de deux mois, à compter de la date de la modification, par voie de lettre recommandée avec accusé de réception ou par n'importe quel moyen laissant une trace écrite.

Art. 22. - Sans préjudice des lois et règlements en vigueur, la personne physique ou le représentant légal de la personne morale désirant effectuer le traitement des données à caractère personnel et leurs agents doivent remplir les conditions suivantes :

  • être de nationalité tunisienne.
  • être résident en Tunisie ;
  • être sans antécédents judiciaires.

Ces conditions s'appliquent également au sous-traitant et à ses agents.

Art. 23. - Le responsable du traitement, le sous-traitant et leurs agents, même après la fin du traitement ou la perte de leur qualité, doivent préserver la confidentialité des données personnelles et les informations traitées à l'exception de celles dont la diffusion a été acceptée par écrit par la personne concernée ou dans les cas prévus par la législation en vigueur.

Art. 24. - Le responsable du traitement des données à caractère personnel ou le sous-traitant qui envisage de cesser définitivement son activité doit en informer L'instance trois mois avant la date de la cessation d'activité.
En cas de décès du responsable du traitement ou du sous-traitant ou de sa faillite ou en cas de dissolution de la personne morale, les héritiers, le syndic de faillite ou le liquidateur, selon la situation, doivent en informer l'Instance dans un délai ne dépassant pas trois mois à compter de la date de la survenance du fait.
L'instance, dans un délai ne dépassant pas un mois à compter de la date de son information conformément au paragraphe précédent, autorise la destruction des données à caractère personnel.

Art. 25. - L'instance peut décider la communication des données à caractère personnel en cas de cessation d'activité pour les motifs indiqués à l'article précédent, et ce, dans les deux cas suivants :

  • 1) si elle juge que ces données sont utiles pour une exploitation à des fins historiques et scientifiques ;
  • 2) si celui qui a effectué la notification propose de communiquer toutes les données à caractère personnel ou une partie à une personne physique ou morale en déterminant avec précision son identité. Dans ce cas, l'Instance peut décider d'accepter la communication des données à caractère personnel à la personne proposée. La communication effective ne s'effectue qu'après l'obtention de l'accord de la personne concernée, son tuteur ou de ses héritiers reçu par n'importe quel moyen laissant une trace écrite.

En cas de non obtention de cet accord, dans un délai de trois mois à compter de la date de sa formulation, les données à caractère personnel doivent être détruites.

Art. 26. - En cas de cessation de l'activité du responsable du traitement ou du sous-traitant pour les motifs indiqués à l'article 24 de la présente loi, la personne concernée, ses héritiers ou toute personne ayant intérêt ou le ministère public peuvent, à tout moment, demander de l'Instance de prendre toutes les mesures appropriées pour la conservation et la protection des données à caractère personnel, ainsi que leur destruction.
L'Instance doit rendre sa décision dans un délai de dix jours à compter de la date de sa saisine.

/ Nouvelles / Codes et lois en texte intégral / Les forums / Le blog (archives) / Thèses (archives) / Doctrine (archives) / Lu pour vous (archives) / Index et taux / Calculateurs / Partages de successions / Carte du site / Qui sommes-nous ? / Nous contacter / Vos commentaires