Tunisia
Print Tunisia
Status regarding Budapest Convention
Ee Status : NA
Cybercrime policies/strategies
Jusqu'en 2013, la Tunisie ne semble pas avoir mis en place de stratégie particuliére en matiére de lutte
contre la cybercriminalité, A compter de 2013, a été créée |'Agence technique des télécommunications,
chargée d’assurer « ‘assistance technique aux enquétes judiciaires concernant la lutte contre la
cybercriminalité ». Depuis 2013 également, il est question de Iélaboration d'un projet de loi sur la
cybercriminalité qui n’a toutefois pour l'instant pas été dévoilé.
La Tunisie a en revanche une stratégie de sécurité informatique mise en place depuis la fin des années 90,
incluant:
* Janvier 2003 : création de I'Agence Nationale de la Sécurité informatique.
+ Février 2004 : promulgation d'une loi relative a la sécurité informatique (Loi n°2004-05 du 3 février 2004
et ses actes réglementaires associés).
+ Septembre 2005 : Lancement du tunCERT (Computer Emergency Response Team).
Concernant le développement du secteur des technologies de |'information et de la communication en
Tunisie, un plan Stratégique a été élaboré en 2010/2011. Un séminaire de travail I'a suivi en juin 2013, afin
de déterminer les orientations stratégiques du Plan National Stratégique (PNS) « Tunisie Digitale 2018 »,
dont le projet a été élaboré en mai 2014 et finalisé la méme année. Le plan d'action a été déterminé en
2017 et a donné naissance au Plan National Stratégique « Tunisie Digitale 2020 ». Ce plan a pour objet de
« positioner la Tunisie en tant que référence internationale du développement numérique en tant que levier
important pour le développement socio-économique et [de] doter la Tunisie d'une infrastructure
technologique en phase avec une économie moderne ». Ce Plan National inclut « I'élaboration d'un cadre
législatif: le Code du Numérique »
») Cybercrime legislation
State of cybercrime legislation
hitps:lwwn.coentle/webloctopusicountry-wiki-ap/-fasset_publisheriCmDb7M4RGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 1/10,2orror2022 19:41 Tunisia-
Le droit pénal définit peu
ractions en lien a informatique (intégrées dans le Code pénal par
une loi n° 99-89 du 2 aout 1999) et ne réprime pas ou ne réprime que partiellement celles qui
sont prévues par la Convention de Budapest. La seule incrimination répondant aux exigences
de la Convention est celle d’accas illégal, outre les atteintes aux droits de propriété
intellectuelle. Les infractions d'atteinte a lintégrité des données, de falsification et de fraude
informatique, datteinte a lintégrité de systémes informatiques et diinterception illégale ne sont
réprimées que partiellement. Les infractions relatives & 'abus de dispositif et & la pornographie
enfantine ne sont pas réprimées.
Sur le terrain procédural, peu de dispositions spécifiques existent, mais il en résulte une
possible divulgation par les fournisseurs d’accés a Internet et de services Internet, ala
puissance publique, de données de trafic et de contenu des communications susceptibles de
concerner toute information et toute personne dans un nombre indéfini d'objectifs. Par ailleurs,
les interceptions de correspondances et de communications sont rendues possibles par une loi
spécifique @ a lutte contre le terrorisme mais paraissant susceptible de s’appliquer dans le
cadre de toute enquéte.
Substantive law
Le droit pénal tunisien inclut peu de dispositions correspondant a celles qui sont requises par la
Convention sur la cybereriminalité. II prévoit en effet les infractions suivantes
‘+ Accas et maintien frauduleux dans un systéme informatique (article 199 bis du Code pénal).
‘* Allération ou destruction du fonctionnement de données (y compris non intentionnelle) suite
un accés ou maintien frauduleux dans le systéme qui les traite (article 199 bis du Code
pénal).
‘+ Altération ou destruction intentionnelle du fonctionnement d'un traitement automatisé, aprés
y avoir accédé ou s'y étre maintenu frauduleusement (article 199 bis du Code pénal).
+ Altération des données que contient un programme ou de son mode de traitement ou de
transmission par introduction frauduleuse de données dans le systéme (article 199 bis du
Code pénal).
‘+ Modification du contenu de documents électroniques originairement véritables (punissable
en cas de préjudice, une intention frauduleuse n’étant pas requise) et utilisation
intentionnelle des faux ainsi obtenus (article 199 ter du Code pénal).
* Dommages causés aux systémes informatiques dans le cadre d'un projet terroriste (article
14 de la loi organique n° 2015-26 du 7 aod 2015 relative a la lutte contre le terrorisme et la
répression du blanchiment d'argent).
+ Divulgation du contenu des communications et des échanges électroniques (article 85 du
Code des télécommunications)
hitps:lwwn.coeintle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisalpop_up?_101_INSTANCE_CmO7MAR... 2/10,2orror2022 19:41 Tunisia-
‘+ Infractions liées aux atteintes a la propriété intellectuelle et aux droits connexes
(particuligrement articles 50 a 55 de la loi n° 94-36 du 24 février 1994 relative la propriété
littéraire et artistique, trois autres lois adoptées en 2001 réglementant la protection des
marques de fabrique, de commerce et de service ; la protection des dessins et modéles
industriels ; et la protection des schémas de configuration des circuits intégrés).
Procedural law
Les enquétes de méme que la perquisition, la saisie et I'extradition sont régies par les
dispositions générales du code de procédure pénale, applicables a toute infraction
Aucune disposition ne réglemente spécifiquement la collecte, la conservation et la divulgation
de données informatiques stockées ou de trafic. Deux décrets en date de 2008 et 2014
imposent uniquement (mais trés largement) aux fournisseurs de services internet et opérateurs
de communications électroniques de « pouvoir répondre aux besoins de la défense nationale et
de la sécurité et de la sireté publiques conformément 4 la législation et a la réglementation en
vigueur », dans la limite permise par leur réseau pour ce qui conceme les opérateurs.
En matigre diinterceptions relative aux contenus, il n’existe pas de disposition relative a la
cybercriminalité de maniére générale, mais les articles 54 & 56 de la loi organique n° 2015-26
du 7 aod 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent
apparaissent suffisamment généraux pour pouvoir étre appliqués dans le cadre de toute
enquéte. Ces articles permettent, « lorsque la nécessité de renquéte exige », de « recourir &
interception des communications des prévenus », laquelle comprend « les données des flux,
'écoute, ou 'aceés au leur contenu, leur reproduction, leur enregistrement », sous le contrdle
du procureur de la République ou du juge d’instruction (art. 54).
Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20 novembre
2001 est interdit par 'article 9 du Code des télécommunications, l'article 87 de ce méme code
réprimant notamment l'utilisation et la détention en vue de la leur distribution a titre gratuit ou
onéreux de ces moyens. La responsabilité des fournisseurs d’accés n’étant pas spécifiquement
régulée, et larticle 87 du Code des télécommunications ne requérant pas d'intention
frauduleuse, la possible responsabilité des fournisseurs d’accés pour avoir transporté des
moyens illégaux de cryptologie, sur la base de ces articles, reste en question (en matiére civile,
par application des articles 82 et 83 du Code des obligations et des contrats (COC), les
fournisseurs d'accés ne paraissent pouvoir étre déclarés responsables que sils peuvent
techniquement agir, savent qu'ils doivent agir et n'agissent pas).
Safeguards
Malgré une affirmation prononcée, dans la Constitution et de récentes lois, de la volonté
tunisienne de protéger et renforcer la protection des droits fondamentaux, les dispositions de
hitps:lwwn.coeintle/webloctopusicountry-wik-ap-fasset_publisheriCmDb7MARGb¢ZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 3/10,2orror2022 19:41 Tunisia-
droit substantiel et de droit procédural présentent d'importantes faiblesses en la matiére.
En effet, des garanties (pour la plupart non spécifiques a la cybercriminalité) sont prévues par
la Constitution du 25 janvier 2014, le Code pénal, le Code des télécommunications et le Code
de procédure pénal.
En particulier, la Constitution de 2014 garantit aux citoyens les droits et libertés suivants :
+ Les« libertés et les droits individuels et collectifs » (article 21).
+ La « vie privée et le secret des correspondances, des communications et des données
personnelles » (article 24),
+ La présomption dinnocence (article 27).
«La personnalité de la peine (article 28).
+ La liberté physique (article 29).
+ Les libertés d'opinion, de pensée, d'expression, d'information et de publication (article 31).
+ Le droit a information et le droit 4 Vaccas a l'information, notamment aux réseaux de
‘communication (article 32).
+ Les libertés académiques et la liberté de recherche (article 33).
«Le droit de propriété, y compris intellectuelle (article 41),
+ Le droit 4 la culture (article 42).
+ Le droit a un procas équitable et a un double degré de juridiction (article 108).
Par ailleurs, la Constitution prévoit que le législateur est compétent pour intervenir par loi
organique sur les sujets concernant les libertés et les droits de ! Homme (article 65), que la
profession davocat est libre et indépendante (article 105) et que le pouvoir judiciaire (et plus
largement juridictionnel) est garant de ces droits et libertés (article 102), les magistrats étant
indépendants - article 102) et nommés par décret présidentiel sur avis conforme du Conseil
supérieur de la magistrature (article 106), lequel est composé aux deux tiers de magistrats et
d'experts indépendants et présidé par un magistrat (article 112).
En outre, une Instance des droits de Homme « contréle le respect des libertés et des droits de
Homme et couvre a leur renforcement » (article 128).
Toutefois, leffectivité de ces garanties parait menacée par des faiblesses pouvant étre notées
@ plusieurs égards.
En premier lieu, les incriminations en lien avec |'informatique ne requiérent pas
systématiquement une commission intentionnelle et sans droit, entrainant un risque de
répression de comportements légitimes, et leurs termes ne sont pas définis, comme le requiert
Varticle 1 de la Convention de Budapest dans un objectif de sécurité juridique.
Par ailleurs, plusieurs dispositions ne semblent pas suffisamment garantir la protection des
droits fondamentaux des citoyens (principalement au respect de la vie privée et de la liberté
hitps:lwwn.coeintle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7M4RGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 4/10,2orror2022 19:41 Tunisia-
d'expression) contre des ingérences non nécessaires ou disproportionnées de la puissance
publique.
En particulier, 'étendue des pouvoirs de I'Agence Technique des Télécommunications en
termes de recueil d'information sur les utilisateurs d'Internet est incertaine : article 2 du décret
n® 2013-4506 du 6 novembre 2013, relatif a la création de l'agence technique des
télécommunications énonce notamment que : « L’agence technique des télécommunications
assure l'appui technique aux investigations judiciaires dans les crimes des systémes
d'information et de la communication, elle est & cet effet chargée des missions suivantes: [1] la
réception et le traitement des ordres d'investigation et de constatation des crimes des systémes
d'information et de la communication issus du pouvoir judiciaire conformément a la Iégislation
en vigueur ; [.. [2] exploitation des systémes nationaux de contréle du trafic des
télécommunications dans le cadre du respect des traités internationales relatifs aux droits de
I'Homme et des cadres législatifs relatifs a la protection des données personnelles ».
Par ailleurs, les obligations des fournisseurs d'accés a Internet en termes de collecte et de
divulgation a la puissance publique de données de trafic et de contenu des communications
sont susceptibles de concerner toute information et toute personne dans un nombre indéfini
d'objectifs, I'ensemble étant associé a un régime d’autorisation (sous peine de sanction pénale
- article 87 du Code des télécommunications) pour la fourniture d’accés au réseau (articles 5 et
31 (quater) du Code des télécommunications) et la fourniture de « services basés sur le
protocole Internet » (article 2 du décret n° 2014-4773, qui se référe a l'article 2§29 du Code des
communications, lequel ne définit pas cette notion de « services basés sur le protocole
Internet »), et & une interdiction du chiffrement - assortie de sanctions pénales - lorsque ce
demier ne répond pas aux exigences du décret n°2001-2727 du 20 novembre 2001 fixant les
conditions et les procédures d'utilisation des moyens ou des services de cryptage a travers les
réseaux de télécommunications, ainsi que l'exercice des activités y afférentes.
Enfin, la procédure d'interception du contenu des communications ne semble pas étre soumise
au contréle d'un magistrat indépendant (article 54 de la loi organique n° 2015-26 du 7 aoat
2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent, semblant
@tre applicable a toute infraction pénale), et les données ainsi recueillies échappent « 4 /a
égistation en viqueur dans le domaine de la protection des données personnelles » lorsqu'elles
donnent lieu a des poursuites pénales (article 56, dernier alinéa, de la loi organique n° 2015-26
du 7 aott 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent,
semblant étre applicable @ toute infraction pénale : « Si les données collectées de I'interception
ne donnent pas lieux 4 des poursuites pénales, elles bénéficient des dispositions de
protection, conformément a la législation en vigueur dans le domaine de la protection des
données personnelles »),
Related laws and regulations
Lois et raglements relatifs au droit substantiel
hitps:lwwn.coeintle/webloctopusicountry-wiki-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisa/pop_up?_101_INSTANCE_CmOb7MAR... 5/10,2oriorz2 19:41 Tunisia
+ Loin’ 99-89 du 2 aotit 1999 modifiant et complétant certaines dispositions du code pénal.
+ Loi n® 94-36 du 24 février 1994 relative a la propriété littéraire et artistique
+ Loi n°2001-36 du 17 avril 2001 relative a la protection des marques de fabrique, de
commerce et de service ;
+ Loi n°2001-21 du 6 février 2001 relative a la protection des dessins et modales industriels.
+ Loi n°2001-20 du 6 février 2001 relative a la protection des schémas de configuration des
circuits intégrés.
Lois et raglements relatifs au droit substantiel et procédural
+ Loi organique n° 2015-26 du 7 aod 2015 relative a la lutte contre le terrorisme et la
répression du blanchiment d'argent.
Lois et réglements adoptés sur des sujets connexes
+ Loi organique n° 2016-22 du 24 mars 2016 relative au droit d’acoas a l'information.
+ Décret n°2014-4773 du 26 décembre 2014 fixant les conditions et les procédures d'octroi
dautorisation pour l'activité de fournisseur de services internet. Ce décret remplace le
décret n° 97-501 du 14 mars 1997, relatif aux services a valeur ajoutés des
télécommunications et abroge a priori, également (ce n'est toutefois pas précisé par le
texte), I'arrété du ministre des communications du 22 mars 1997, portant approbation du
cahier des charges fixant les clauses particuliéres a la mise en ceuvre et I'exploitation des
services a valeur ajoutée des télécommunications de type Internet (cet arrété impose aux
fournisseurs de services de « communiquer 4 lopérateur public concemé la liste nominative
éorite, dament signée et actualisée, de tous ses abonnés au début de chaque mois »
[article 8] et rend responsable les hébergeurs des contenus quills hébergent [article 9)).
‘+ Arrété du ministre des technologies de l'information et de la communication du 29 juillet
2013, portant approbation du cahier des charges fixant les conditions et les procédures de
fourniture des services des télécommunications de contenu et services interactifs des
t6lécommunications.
+ Décret n® 2008-3026 du 15 septembre 2008, fixant les conditions générales d'exploitation
des réseaux publics des télécommunications et des réseaux d'accés, tel que modifié et
‘complété par le décret n° 2014-53 du 10 janvier 2014,
+ Circulaire n* 19 - du 11 avril 2007 (uniquement en langue arabe), relatif au renforcement
des mesures de sécurité informatique dans les établissements publiques (création d'une
Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systémes
d'information RSSI ; et mise en place d'un Comité de pilotage)
+ Loi organique n° 63-2004 du 27 juillet 2004 portant sur la protection des données &
caractére personnel.
* Loi n® 2004-5 du 3 février 2004, relative a la sécurité informatique, portant sur organisation
du domaine de la sécurité informatique et fixant les ragles générales de protection des
hitps:lwwn.coeintlenwebloctopusicountry-wiki-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 6/10,2oriorz2 19:41 Tunisia
systémes informatiques et des réseaux
+ Décret n° 1250 - 2004 du 25 mai 2004, fixant les systémes informatiques et les réseaux des
organismes soumis a audit obligatoire périodique de la sécurité informatique et les oritéres
relatifs la nature de laudit et a sa périodicité et aux procédures de suivi de l'application
des recommandations contenues dans le rapport d'audit.
‘+ Décret n® 1248-2004, du 25 mai 2004, fixant les conditions et les procédures de certification
des experts dans le domaine de la sécurité informatique,
* Circulaire n° 22-2004, portant sur la sureté des locaux appartenant aux ministéres et aux
entreprises publiques.
+ Circulaire n° 19 du 18 juillet 2003, relatif aux mesures de sécurité et de prévention des
batiments des ministéres et des collectivités locales et des entreprises publiques.
* Décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures
du
sation des moyens ou des services de cryptage a travers les réseaux de
télécommunications, ainsi que l'exercice des activités y afférentes, modifié par le décret
n°2007-1070 du 2 mai 2007 fixant les restrictions et les sanctions résultant de l'utilisation
des technologies de cryptage.
+ Loi n°2000-83 sur la certification électronique.
) Specialised institutions
L’Agence Nationale de la Sécurité informatique effectue un contréle général des systémes.
informatiques et des réseaux relevant des divers organismes publics et privés. Elle est chargée des
missions suivantes (article 3 de la loi n° 2004-5 du 3 février 2004, relative a la sécurité informatique)
+ Veiller a 'exécution des orientations nationales et de la stratégie générale en systémes de
sécurité des systémes informatiques et des réseaux.
‘+ Suivre lexécution des plans et des programmes relatifs a la sécurité informatique dans le secteur
public & 'exception des applications particuliéres a la défense et a la sécurité nationale et assurer
la coordination entre les intervenants dans ce domaine
+ Assurer la veille technologique dans le domaine de la sécurité informatique.
+ Etablir des normes spécifiques a la sécurité informatique et élaborer des guides techniques en
objet et procéder a leur publication
+ CEuvrer a encourager le développement de solutions nationales dans le domaine de la sécurité
informatique et a les promouvoir conformément aux priorités et aux programmes qui seront fixés
par agence.
hitps:lwwn.coentle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 7/102oriorz2 19:41 Tunisia
+ Participer a la consolidation de la formation et du recyclage dans le domaine de la sécurité
informatique.
+ Veiller a 'exécution des réglementations relatives a obligation de l'audit périodique de la sécurité
des systémes informatiques et des réseaux
Aussi, elle gare le tunCERT, le centre d'assistance et de soutien en matiére de sécurité informatique
(Computer Emergency Response Team).
Ce centre offre gratuitement assistance nécessaire aussi bien aux citoyens qu’aux professionnels
concemant tous les problémes ayant trait a la sécurité des systémes d'information et veille a la
disponibilité des moyens appropriés, aptes @ assurer la protection de l'espace cybernétique national.
Il vise aussi a informer et sensibiliser la communauté nationale sur les menaces de sécurité et la
guider sur les moyens de s’en protéger.
L’Agence Technique des Télécommunications a également de larges pouvoirs. Le décret n 2013-
4506 du 6 novembre 2013, relatif & sa création dispose notamment
Art, 2 + L'agence technique des télécommunications assure l'appui technique aux investigations
judiciaires dans les crimes des systemes d'information et de la communication, elle est & cet effet
chargée des missions suivantes:
+ La réception et le traitement des ordres d'investigation et de constatation des crimes des
systémes d'information et de la communication issus du pouvoir judiciaire conformément a la
légistation en vigueur.
+ La coordination avec les différents opérateurs de réseaux publics de télécommunications et
opérateurs de réseaux d'acoas et tous les fournisseurs de services de télécommunications
concernés, dans tout ce qui relve de ses missions conformément a la Iégislation en vigueur.
+ Lexploitation des systémes nationaux de contréle du trafic des télécommunications dans le cadre
du respect des traités internationaux relatifs aux droits de I'Homme et des cadres législatifs relatifs
la protection des données personnelles.
Art. 6 - Il est créé au sein de agence technique des télecommunications, un comité de suivi qui veille
la bonne exploitation des systémes nationaux de contréle du trafic des télécommunications dans le
cadre de la protection des données personnelles et des libertés publiques, elle est chargée a cet effet
de
+ la réception et qualification technique les ordres d’investigation et de constatation des crimes des
systémes d'information et de la communication issus du pouvoir judiciaire conformément a la
législation en vigueur,
* le transfert des ordres d'investigation et de constatation aux services spécifiques de 'agence ou
ordonner leur renvoi aux structures concernées avec obligation de motivation,
+ le suivi de 'exécution technique des ordres d'investigation et de constatation,
+ ordonner le transfert des résultats des ordres d'investigation et de constatation aux structures
concernées conformément a la législation en vigueur en matiére de confidentialité et de protection
hitps:ilwwn.coentle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7M4RGb¢Zicontenttunisaipop_up?_101_INSTANCE_CmDb7MAR... 8/10,2onorz022 19:41 Tunisia
des données personnelles,
+ le transfert de rapports annuels sur le traitement des ordres d'investigation et de constatation des
crimes des systémes d'information et de la communication, au conseil investi du pouvoir légistatit.
lexiste également Agence Nationale de Certification Electronique (TUNTRUST), créée par la loi
1n°2000-83 du 9 Aotit 2000 et dont les missions sont les suivantes
+ La signature et le cryptage des messages électroniques.
+ La sécurisation des transactions et des échanges électroniques.
+ La fourniture des clés pour les Réseaux Privés Virtuels (VPNs).
+ Lhomologation des systémes de cryptage.
+ La sécurisation des échanges effectués par les entreprises.
+ Llanalyse des risques pour une entreprise.
+ Les services d'horodatage.
) International cooperation
» Jurisprudence/case law
Peu de décisions judiciaires sont disponibles sur la cybercriminalité, et elles ne sont pas publiées en
ligne.
) Sources and links
* Agence Tunisienne de Internet : http:/www.ati.tn/,
+ Agence Nationale de la Sécurité Informatique : hilp:/\www.ansi.tr/.
+ tunCERT (Computer Emergency Response Team) - hitps:/mww.ansi.trvtuncertipresentation
+ Ministére de I’Enseignement Supérieur, de la Recherche Scientifique et des technologies de
[Information et de communications, Tunisie Digital 2018, Projet de Plan National Stratégique, en
frangais : http:/hwww-mincom-tn/index.php?id=portailduministredestechnol0&L=3.
hitps:lwwn.coeintle/webloctopusicountry-wiki-ap-fasset_publisheriCmOb7MARGD¢ZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 9/10,2orror2022 19:41 Tons
La Constitution tunisienne du 25 janvier 2014 :
http://www. legislation tn/sites/default/files/constitution/constitution pdf.
+ Code de procédure pénale : http://www. legislation tn/fr/codes-en-vigueur/91_fr.
* Code pénal : http:/Awww. legislation tn/fricodes-en-vigueur/89_fr.
+ Privacy International, State of surveillance Tunisia, 2019, https:!/privacyinternational.org/state-
privacy/1012/state-surveillance-tunisia .
* Ministére des Technologies de la Communication et de I'Economie Numérique
https://www.mincom.tn/.
hitps:lwwn.coeintlewebloctopusicountry-wiki-ap-fasset_publisheriCmOb7MARGDéZIcontenttunisaipop_up?_101_INSTANCE_CmDb7Ms... 10/10,