Tunisia Print Tunisia Status regarding Budapest Convention Ee Status : NA Cybercrime policies/strategies Jusqu'en 2013, la Tunisie ne semble pas avoir mis en place de stratégie particuliére en matiére de lutte contre la cybercriminalité, A compter de 2013, a été créée |'Agence technique des télécommunications, chargée d’assurer « ‘assistance technique aux enquétes judiciaires concernant la lutte contre la cybercriminalité ». Depuis 2013 également, il est question de Iélaboration d'un projet de loi sur la cybercriminalité qui n’a toutefois pour l'instant pas été dévoilé. La Tunisie a en revanche une stratégie de sécurité informatique mise en place depuis la fin des années 90, incluant: * Janvier 2003 : création de I'Agence Nationale de la Sécurité informatique. + Février 2004 : promulgation d'une loi relative a la sécurité informatique (Loi n°2004-05 du 3 février 2004 et ses actes réglementaires associés). + Septembre 2005 : Lancement du tunCERT (Computer Emergency Response Team). Concernant le développement du secteur des technologies de |'information et de la communication en Tunisie, un plan Stratégique a été élaboré en 2010/2011. Un séminaire de travail I'a suivi en juin 2013, afin de déterminer les orientations stratégiques du Plan National Stratégique (PNS) « Tunisie Digitale 2018 », dont le projet a été élaboré en mai 2014 et finalisé la méme année. Le plan d'action a été déterminé en 2017 et a donné naissance au Plan National Stratégique « Tunisie Digitale 2020 ». Ce plan a pour objet de « positioner la Tunisie en tant que référence internationale du développement numérique en tant que levier important pour le développement socio-économique et [de] doter la Tunisie d'une infrastructure technologique en phase avec une économie moderne ». Ce Plan National inclut « I'élaboration d'un cadre législatif: le Code du Numérique » ») Cybercrime legislation State of cybercrime legislation hitps:lwwn.coentle/webloctopusicountry-wiki-ap/-fasset_publisheriCmDb7M4RGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 1/10,2orror2022 19:41 Tunisia- Le droit pénal définit peu ractions en lien a informatique (intégrées dans le Code pénal par une loi n° 99-89 du 2 aout 1999) et ne réprime pas ou ne réprime que partiellement celles qui sont prévues par la Convention de Budapest. La seule incrimination répondant aux exigences de la Convention est celle d’accas illégal, outre les atteintes aux droits de propriété intellectuelle. Les infractions d'atteinte a lintégrité des données, de falsification et de fraude informatique, datteinte a lintégrité de systémes informatiques et diinterception illégale ne sont réprimées que partiellement. Les infractions relatives & 'abus de dispositif et & la pornographie enfantine ne sont pas réprimées. Sur le terrain procédural, peu de dispositions spécifiques existent, mais il en résulte une possible divulgation par les fournisseurs d’accés a Internet et de services Internet, ala puissance publique, de données de trafic et de contenu des communications susceptibles de concerner toute information et toute personne dans un nombre indéfini d'objectifs. Par ailleurs, les interceptions de correspondances et de communications sont rendues possibles par une loi spécifique @ a lutte contre le terrorisme mais paraissant susceptible de s’appliquer dans le cadre de toute enquéte. Substantive law Le droit pénal tunisien inclut peu de dispositions correspondant a celles qui sont requises par la Convention sur la cybereriminalité. II prévoit en effet les infractions suivantes ‘+ Accas et maintien frauduleux dans un systéme informatique (article 199 bis du Code pénal). ‘* Allération ou destruction du fonctionnement de données (y compris non intentionnelle) suite un accés ou maintien frauduleux dans le systéme qui les traite (article 199 bis du Code pénal). ‘+ Altération ou destruction intentionnelle du fonctionnement d'un traitement automatisé, aprés y avoir accédé ou s'y étre maintenu frauduleusement (article 199 bis du Code pénal). + Altération des données que contient un programme ou de son mode de traitement ou de transmission par introduction frauduleuse de données dans le systéme (article 199 bis du Code pénal). ‘+ Modification du contenu de documents électroniques originairement véritables (punissable en cas de préjudice, une intention frauduleuse n’étant pas requise) et utilisation intentionnelle des faux ainsi obtenus (article 199 ter du Code pénal). * Dommages causés aux systémes informatiques dans le cadre d'un projet terroriste (article 14 de la loi organique n° 2015-26 du 7 aod 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent). + Divulgation du contenu des communications et des échanges électroniques (article 85 du Code des télécommunications) hitps:lwwn.coeintle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisalpop_up?_101_INSTANCE_CmO7MAR... 2/10,2orror2022 19:41 Tunisia- ‘+ Infractions liées aux atteintes a la propriété intellectuelle et aux droits connexes (particuligrement articles 50 a 55 de la loi n° 94-36 du 24 février 1994 relative la propriété littéraire et artistique, trois autres lois adoptées en 2001 réglementant la protection des marques de fabrique, de commerce et de service ; la protection des dessins et modéles industriels ; et la protection des schémas de configuration des circuits intégrés). Procedural law Les enquétes de méme que la perquisition, la saisie et I'extradition sont régies par les dispositions générales du code de procédure pénale, applicables a toute infraction Aucune disposition ne réglemente spécifiquement la collecte, la conservation et la divulgation de données informatiques stockées ou de trafic. Deux décrets en date de 2008 et 2014 imposent uniquement (mais trés largement) aux fournisseurs de services internet et opérateurs de communications électroniques de « pouvoir répondre aux besoins de la défense nationale et de la sécurité et de la sireté publiques conformément 4 la législation et a la réglementation en vigueur », dans la limite permise par leur réseau pour ce qui conceme les opérateurs. En matigre diinterceptions relative aux contenus, il n’existe pas de disposition relative a la cybercriminalité de maniére générale, mais les articles 54 & 56 de la loi organique n° 2015-26 du 7 aod 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent apparaissent suffisamment généraux pour pouvoir étre appliqués dans le cadre de toute enquéte. Ces articles permettent, « lorsque la nécessité de renquéte exige », de « recourir & interception des communications des prévenus », laquelle comprend « les données des flux, 'écoute, ou 'aceés au leur contenu, leur reproduction, leur enregistrement », sous le contrdle du procureur de la République ou du juge d’instruction (art. 54). Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20 novembre 2001 est interdit par 'article 9 du Code des télécommunications, l'article 87 de ce méme code réprimant notamment l'utilisation et la détention en vue de la leur distribution a titre gratuit ou onéreux de ces moyens. La responsabilité des fournisseurs d’accés n’étant pas spécifiquement régulée, et larticle 87 du Code des télécommunications ne requérant pas d'intention frauduleuse, la possible responsabilité des fournisseurs d’accés pour avoir transporté des moyens illégaux de cryptologie, sur la base de ces articles, reste en question (en matiére civile, par application des articles 82 et 83 du Code des obligations et des contrats (COC), les fournisseurs d'accés ne paraissent pouvoir étre déclarés responsables que sils peuvent techniquement agir, savent qu'ils doivent agir et n'agissent pas). Safeguards Malgré une affirmation prononcée, dans la Constitution et de récentes lois, de la volonté tunisienne de protéger et renforcer la protection des droits fondamentaux, les dispositions de hitps:lwwn.coeintle/webloctopusicountry-wik-ap-fasset_publisheriCmDb7MARGb¢ZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 3/10,2orror2022 19:41 Tunisia- droit substantiel et de droit procédural présentent d'importantes faiblesses en la matiére. En effet, des garanties (pour la plupart non spécifiques a la cybercriminalité) sont prévues par la Constitution du 25 janvier 2014, le Code pénal, le Code des télécommunications et le Code de procédure pénal. En particulier, la Constitution de 2014 garantit aux citoyens les droits et libertés suivants : + Les« libertés et les droits individuels et collectifs » (article 21). + La « vie privée et le secret des correspondances, des communications et des données personnelles » (article 24), + La présomption dinnocence (article 27). «La personnalité de la peine (article 28). + La liberté physique (article 29). + Les libertés d'opinion, de pensée, d'expression, d'information et de publication (article 31). + Le droit a information et le droit 4 Vaccas a l'information, notamment aux réseaux de ‘communication (article 32). + Les libertés académiques et la liberté de recherche (article 33). «Le droit de propriété, y compris intellectuelle (article 41), + Le droit 4 la culture (article 42). + Le droit a un procas équitable et a un double degré de juridiction (article 108). Par ailleurs, la Constitution prévoit que le législateur est compétent pour intervenir par loi organique sur les sujets concernant les libertés et les droits de ! Homme (article 65), que la profession davocat est libre et indépendante (article 105) et que le pouvoir judiciaire (et plus largement juridictionnel) est garant de ces droits et libertés (article 102), les magistrats étant indépendants - article 102) et nommés par décret présidentiel sur avis conforme du Conseil supérieur de la magistrature (article 106), lequel est composé aux deux tiers de magistrats et d'experts indépendants et présidé par un magistrat (article 112). En outre, une Instance des droits de Homme « contréle le respect des libertés et des droits de Homme et couvre a leur renforcement » (article 128). Toutefois, leffectivité de ces garanties parait menacée par des faiblesses pouvant étre notées @ plusieurs égards. En premier lieu, les incriminations en lien avec |'informatique ne requiérent pas systématiquement une commission intentionnelle et sans droit, entrainant un risque de répression de comportements légitimes, et leurs termes ne sont pas définis, comme le requiert Varticle 1 de la Convention de Budapest dans un objectif de sécurité juridique. Par ailleurs, plusieurs dispositions ne semblent pas suffisamment garantir la protection des droits fondamentaux des citoyens (principalement au respect de la vie privée et de la liberté hitps:lwwn.coeintle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7M4RGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 4/10,2orror2022 19:41 Tunisia- d'expression) contre des ingérences non nécessaires ou disproportionnées de la puissance publique. En particulier, 'étendue des pouvoirs de I'Agence Technique des Télécommunications en termes de recueil d'information sur les utilisateurs d'Internet est incertaine : article 2 du décret n® 2013-4506 du 6 novembre 2013, relatif a la création de l'agence technique des télécommunications énonce notamment que : « L’agence technique des télécommunications assure l'appui technique aux investigations judiciaires dans les crimes des systémes d'information et de la communication, elle est & cet effet chargée des missions suivantes: [1] la réception et le traitement des ordres d'investigation et de constatation des crimes des systémes d'information et de la communication issus du pouvoir judiciaire conformément a la Iégislation en vigueur ; [.. [2] exploitation des systémes nationaux de contréle du trafic des télécommunications dans le cadre du respect des traités internationales relatifs aux droits de I'Homme et des cadres législatifs relatifs a la protection des données personnelles ». Par ailleurs, les obligations des fournisseurs d'accés a Internet en termes de collecte et de divulgation a la puissance publique de données de trafic et de contenu des communications sont susceptibles de concerner toute information et toute personne dans un nombre indéfini d'objectifs, I'ensemble étant associé a un régime d’autorisation (sous peine de sanction pénale - article 87 du Code des télécommunications) pour la fourniture d’accés au réseau (articles 5 et 31 (quater) du Code des télécommunications) et la fourniture de « services basés sur le protocole Internet » (article 2 du décret n° 2014-4773, qui se référe a l'article 2§29 du Code des communications, lequel ne définit pas cette notion de « services basés sur le protocole Internet »), et & une interdiction du chiffrement - assortie de sanctions pénales - lorsque ce demier ne répond pas aux exigences du décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures d'utilisation des moyens ou des services de cryptage a travers les réseaux de télécommunications, ainsi que l'exercice des activités y afférentes. Enfin, la procédure d'interception du contenu des communications ne semble pas étre soumise au contréle d'un magistrat indépendant (article 54 de la loi organique n° 2015-26 du 7 aoat 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent, semblant @tre applicable a toute infraction pénale), et les données ainsi recueillies échappent « 4 /a égistation en viqueur dans le domaine de la protection des données personnelles » lorsqu'elles donnent lieu a des poursuites pénales (article 56, dernier alinéa, de la loi organique n° 2015-26 du 7 aott 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent, semblant étre applicable @ toute infraction pénale : « Si les données collectées de I'interception ne donnent pas lieux 4 des poursuites pénales, elles bénéficient des dispositions de protection, conformément a la législation en vigueur dans le domaine de la protection des données personnelles »), Related laws and regulations Lois et raglements relatifs au droit substantiel hitps:lwwn.coeintle/webloctopusicountry-wiki-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisa/pop_up?_101_INSTANCE_CmOb7MAR... 5/10,2oriorz2 19:41 Tunisia + Loin’ 99-89 du 2 aotit 1999 modifiant et complétant certaines dispositions du code pénal. + Loi n® 94-36 du 24 février 1994 relative a la propriété littéraire et artistique + Loi n°2001-36 du 17 avril 2001 relative a la protection des marques de fabrique, de commerce et de service ; + Loi n°2001-21 du 6 février 2001 relative a la protection des dessins et modales industriels. + Loi n°2001-20 du 6 février 2001 relative a la protection des schémas de configuration des circuits intégrés. Lois et raglements relatifs au droit substantiel et procédural + Loi organique n° 2015-26 du 7 aod 2015 relative a la lutte contre le terrorisme et la répression du blanchiment d'argent. Lois et réglements adoptés sur des sujets connexes + Loi organique n° 2016-22 du 24 mars 2016 relative au droit d’acoas a l'information. + Décret n°2014-4773 du 26 décembre 2014 fixant les conditions et les procédures d'octroi dautorisation pour l'activité de fournisseur de services internet. Ce décret remplace le décret n° 97-501 du 14 mars 1997, relatif aux services a valeur ajoutés des télécommunications et abroge a priori, également (ce n'est toutefois pas précisé par le texte), I'arrété du ministre des communications du 22 mars 1997, portant approbation du cahier des charges fixant les clauses particuliéres a la mise en ceuvre et I'exploitation des services a valeur ajoutée des télécommunications de type Internet (cet arrété impose aux fournisseurs de services de « communiquer 4 lopérateur public concemé la liste nominative éorite, dament signée et actualisée, de tous ses abonnés au début de chaque mois » [article 8] et rend responsable les hébergeurs des contenus quills hébergent [article 9)). ‘+ Arrété du ministre des technologies de l'information et de la communication du 29 juillet 2013, portant approbation du cahier des charges fixant les conditions et les procédures de fourniture des services des télécommunications de contenu et services interactifs des t6lécommunications. + Décret n® 2008-3026 du 15 septembre 2008, fixant les conditions générales d'exploitation des réseaux publics des télécommunications et des réseaux d'accés, tel que modifié et ‘complété par le décret n° 2014-53 du 10 janvier 2014, + Circulaire n* 19 - du 11 avril 2007 (uniquement en langue arabe), relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systémes d'information RSSI ; et mise en place d'un Comité de pilotage) + Loi organique n° 63-2004 du 27 juillet 2004 portant sur la protection des données & caractére personnel. * Loi n® 2004-5 du 3 février 2004, relative a la sécurité informatique, portant sur organisation du domaine de la sécurité informatique et fixant les ragles générales de protection des hitps:lwwn.coeintlenwebloctopusicountry-wiki-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 6/10,2oriorz2 19:41 Tunisia systémes informatiques et des réseaux + Décret n° 1250 - 2004 du 25 mai 2004, fixant les systémes informatiques et les réseaux des organismes soumis a audit obligatoire périodique de la sécurité informatique et les oritéres relatifs la nature de laudit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. ‘+ Décret n® 1248-2004, du 25 mai 2004, fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique, * Circulaire n° 22-2004, portant sur la sureté des locaux appartenant aux ministéres et aux entreprises publiques. + Circulaire n° 19 du 18 juillet 2003, relatif aux mesures de sécurité et de prévention des batiments des ministéres et des collectivités locales et des entreprises publiques. * Décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures du sation des moyens ou des services de cryptage a travers les réseaux de télécommunications, ainsi que l'exercice des activités y afférentes, modifié par le décret n°2007-1070 du 2 mai 2007 fixant les restrictions et les sanctions résultant de l'utilisation des technologies de cryptage. + Loi n°2000-83 sur la certification électronique. ) Specialised institutions L’Agence Nationale de la Sécurité informatique effectue un contréle général des systémes. informatiques et des réseaux relevant des divers organismes publics et privés. Elle est chargée des missions suivantes (article 3 de la loi n° 2004-5 du 3 février 2004, relative a la sécurité informatique) + Veiller a 'exécution des orientations nationales et de la stratégie générale en systémes de sécurité des systémes informatiques et des réseaux. ‘+ Suivre lexécution des plans et des programmes relatifs a la sécurité informatique dans le secteur public & 'exception des applications particuliéres a la défense et a la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine + Assurer la veille technologique dans le domaine de la sécurité informatique. + Etablir des normes spécifiques a la sécurité informatique et élaborer des guides techniques en objet et procéder a leur publication + CEuvrer a encourager le développement de solutions nationales dans le domaine de la sécurité informatique et a les promouvoir conformément aux priorités et aux programmes qui seront fixés par agence. hitps:lwwn.coentle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7MARGbéZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 7/102oriorz2 19:41 Tunisia + Participer a la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique. + Veiller a 'exécution des réglementations relatives a obligation de l'audit périodique de la sécurité des systémes informatiques et des réseaux Aussi, elle gare le tunCERT, le centre d'assistance et de soutien en matiére de sécurité informatique (Computer Emergency Response Team). Ce centre offre gratuitement assistance nécessaire aussi bien aux citoyens qu’aux professionnels concemant tous les problémes ayant trait a la sécurité des systémes d'information et veille a la disponibilité des moyens appropriés, aptes @ assurer la protection de l'espace cybernétique national. Il vise aussi a informer et sensibiliser la communauté nationale sur les menaces de sécurité et la guider sur les moyens de s’en protéger. L’Agence Technique des Télécommunications a également de larges pouvoirs. Le décret n 2013- 4506 du 6 novembre 2013, relatif & sa création dispose notamment Art, 2 + L'agence technique des télécommunications assure l'appui technique aux investigations judiciaires dans les crimes des systemes d'information et de la communication, elle est & cet effet chargée des missions suivantes: + La réception et le traitement des ordres d'investigation et de constatation des crimes des systémes d'information et de la communication issus du pouvoir judiciaire conformément a la légistation en vigueur. + La coordination avec les différents opérateurs de réseaux publics de télécommunications et opérateurs de réseaux d'acoas et tous les fournisseurs de services de télécommunications concernés, dans tout ce qui relve de ses missions conformément a la Iégislation en vigueur. + Lexploitation des systémes nationaux de contréle du trafic des télécommunications dans le cadre du respect des traités internationaux relatifs aux droits de I'Homme et des cadres législatifs relatifs la protection des données personnelles. Art. 6 - Il est créé au sein de agence technique des télecommunications, un comité de suivi qui veille la bonne exploitation des systémes nationaux de contréle du trafic des télécommunications dans le cadre de la protection des données personnelles et des libertés publiques, elle est chargée a cet effet de + la réception et qualification technique les ordres d’investigation et de constatation des crimes des systémes d'information et de la communication issus du pouvoir judiciaire conformément a la législation en vigueur, * le transfert des ordres d'investigation et de constatation aux services spécifiques de 'agence ou ordonner leur renvoi aux structures concernées avec obligation de motivation, + le suivi de 'exécution technique des ordres d'investigation et de constatation, + ordonner le transfert des résultats des ordres d'investigation et de constatation aux structures concernées conformément a la législation en vigueur en matiére de confidentialité et de protection hitps:ilwwn.coentle/webloctopusicountry-wik-ap/-fasset_publisheriCmOb7M4RGb¢Zicontenttunisaipop_up?_101_INSTANCE_CmDb7MAR... 8/10,2onorz022 19:41 Tunisia des données personnelles, + le transfert de rapports annuels sur le traitement des ordres d'investigation et de constatation des crimes des systémes d'information et de la communication, au conseil investi du pouvoir légistatit. lexiste également Agence Nationale de Certification Electronique (TUNTRUST), créée par la loi 1n°2000-83 du 9 Aotit 2000 et dont les missions sont les suivantes + La signature et le cryptage des messages électroniques. + La sécurisation des transactions et des échanges électroniques. + La fourniture des clés pour les Réseaux Privés Virtuels (VPNs). + Lhomologation des systémes de cryptage. + La sécurisation des échanges effectués par les entreprises. + Llanalyse des risques pour une entreprise. + Les services d'horodatage. ) International cooperation » Jurisprudence/case law Peu de décisions judiciaires sont disponibles sur la cybercriminalité, et elles ne sont pas publiées en ligne. ) Sources and links * Agence Tunisienne de Internet : http:/www.ati.tn/, + Agence Nationale de la Sécurité Informatique : hilp:/\www.ansi.tr/. + tunCERT (Computer Emergency Response Team) - hitps:/mww.ansi.trvtuncertipresentation + Ministére de I’Enseignement Supérieur, de la Recherche Scientifique et des technologies de [Information et de communications, Tunisie Digital 2018, Projet de Plan National Stratégique, en frangais : http:/hwww-mincom-tn/index.php?id=portailduministredestechnol0&L=3. hitps:lwwn.coeintle/webloctopusicountry-wiki-ap-fasset_publisheriCmOb7MARGD¢ZIcontenttunisaipop_up?_101_INSTANCE_CmOb7MAR... 9/10,2orror2022 19:41 Tons La Constitution tunisienne du 25 janvier 2014 : http://www. legislation tn/sites/default/files/constitution/constitution pdf. + Code de procédure pénale : http://www. legislation tn/fr/codes-en-vigueur/91_fr. * Code pénal : http:/Awww. legislation tn/fricodes-en-vigueur/89_fr. + Privacy International, State of surveillance Tunisia, 2019, https:!/privacyinternational.org/state- privacy/1012/state-surveillance-tunisia . * Ministére des Technologies de la Communication et de I'Economie Numérique https://www.mincom.tn/. hitps:lwwn.coeintlewebloctopusicountry-wiki-ap-fasset_publisheriCmOb7MARGDéZIcontenttunisaipop_up?_101_INSTANCE_CmDb7Ms... 10/10,