13/11/2022 10:39 Tunisia -

Tunisia

Print Tunisia

Status regarding Budapest Convention

Status
: NA

SEE LEGAL PROFILE

Cybercrime policies/strategies
Jusqu’en 2013, la Tunisie ne semble pas avoir mis en place de stratégie particulière en matière de lutte contre
la cybercriminalité. A compter de 2013, a été créée l’Agence technique des télécommunications, chargée
d’assurer « l'assistance technique aux enquêtes judiciaires concernant la lutte contre la cybercriminalité ».
Depuis 2013 également, il est question de l’élaboration d’un projet de loi sur la cybercriminalité qui n’a toutefois
pour l’instant pas été dévoilé.

La Tunisie a en revanche une stratégie de sécurité informatique mise en place depuis la fin des années 90,
incluant:

Janvier 2003 : création de l‘Agence Nationale de la Sécurité informatique.

Février 2004 : promulgation d’une loi relative à la sécurité informatique (Loi n°2004-05 du 3 février 2004 et
ses actes réglementaires associés).
Septembre 2005 : Lancement du tunCERT (Computer Emergency Response Team).

Concernant le développement du secteur des technologies de l’information et de la communication en Tunisie,

un plan Stratégique a été élaboré en 2010/2011. Un séminaire de travail l’a suivi en juin 2013, afin de
déterminer les orientations stratégiques du Plan National Stratégique (PNS) « Tunisie Digitale 2018 », dont le
projet a été élaboré en mai 2014 et finalisé la même année. Le plan d’action a été déterminé en 2017 et a
donné naissance au Plan National Stratégique « Tunisie Digitale 2020 ». Ce plan a pour objet de « positionner
la Tunisie en tant que référence internationale du développement numérique en tant que levier important pour
le développement socio-économique et [de] doter la Tunisie d’une infrastructure technologique en phase avec
une économie moderne ». Ce Plan National inclut  « l’élaboration d’un cadre législatif : le Code du Numérique ».

› Cybercrime legislation

State of cybercrime legislation

Le droit pénal définit peu d’infractions en lien à l’informatique (intégrées dans le Code pénal par
une loi n° 99-89 du 2 aout 1999) et ne réprime pas ou ne réprime que partiellement celles qui sont
https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 1/10
13/11/2022 10:39 Tunisia -

prévues par la Convention de Budapest. La seule incrimination répondant aux exigences de la

Convention est celle d’accès illégal, outre les atteintes aux droits de propriété intellectuelle. Les
infractions d’atteinte à l’intégrité des données, de falsification et de fraude informatique, d’atteinte à
l’intégrité de systèmes informatiques et d’interception illégale ne sont réprimées que partiellement.
Les infractions relatives à l’abus de dispositif et à la pornographie enfantine ne sont pas
réprimées.

Sur le terrain procédural, peu de dispositions spécifiques existent, mais il en résulte une possible
divulgation par les fournisseurs d’accès à Internet et de services Internet, à la puissance publique,
de données de trafic et de contenu des communications susceptibles de concerner toute
information et toute personne dans un nombre indéfini d’objectifs. Par ailleurs, les interceptions de
correspondances et de communications sont rendues possibles par une loi spécifique à la lutte
contre le terrorisme mais paraissant susceptible de s’appliquer dans le cadre de toute enquête.

Substantive law

Le droit pénal tunisien inclut peu de dispositions correspondant à celles qui sont requises par la
Convention sur la cybercriminalité. Il prévoit en effet les infractions suivantes :

Accès et maintien frauduleux dans un système informatique (article 199 bis du Code pénal).
Altération ou destruction du fonctionnement de données (y compris non intentionnelle) suite à
un accès ou maintien frauduleux dans le système qui les traite (article 199 bis du Code pénal).
Altération ou destruction intentionnelle du fonctionnement d’un traitement automatisé, après y
avoir accédé ou s’y être maintenu frauduleusement (article 199 bis du Code pénal).
Altération des données que contient un programme ou de son mode de traitement ou de
transmission par introduction frauduleuse de données dans le système (article 199 bis du
Code pénal).
Modification du contenu de documents électroniques originairement véritables (punissable en
cas de préjudice, une intention frauduleuse n’étant pas requise) et utilisation intentionnelle des
faux ainsi obtenus (article 199 ter du Code pénal).
Dommages causés aux systèmes informatiques dans le cadre d’un projet terroriste (article 14
de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la
répression du blanchiment d’argent).
Divulgation du contenu des communications et des échanges électroniques (article 85 du
Code des télécommunications).

Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes

(particulièrement articles 50 à 55 de la loi n° 94-36 du 24 février 1994 relative à la propriété
littéraire et artistique, trois autres lois adoptées en 2001 règlementant la protection des
marques de fabrique, de commerce et de service ; la protection des dessins et modèles
industriels ; et la protection des schémas de configuration des circuits intégrés).

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 2/10
13/11/2022 10:39 Tunisia -

Procedural law

Les enquêtes de même que la perquisition, la saisie et l’extradition sont régies par les dispositions
générales du code de procédure pénale, applicables à toute infraction.

Aucune disposition ne règlemente spécifiquement la collecte, la conservation et la divulgation de

données informatiques stockées ou de trafic. Deux décrets en date de 2008 et 2014 imposent
uniquement (mais très largement) aux fournisseurs de services internet et opérateurs de
communications électroniques de « pouvoir répondre aux besoins de la défense nationale et de la
sécurité et de la sûreté publiques conformément à la législation et à la réglementation en vigueur
», dans la limite permise par leur réseau pour ce qui concerne les opérateurs.

En matière d’interceptions relative aux contenus, il n’existe pas de disposition relative à la

cybercriminalité de manière générale, mais les articles 54 à 56 de la loi organique n° 2015-26 du 7
août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent
apparaissent suffisamment généraux pour pouvoir être appliqués dans le cadre de toute enquête.
Ces articles permettent, « lorsque la nécessité de l’enquête l’exige », de « recourir à l’interception
des communications des prévenus », laquelle comprend « les données des flux, l'écoute, ou
l’accès au leur contenu, leur reproduction, leur enregistrement », sous le contrôle du procureur de
la République ou du juge d’instruction (art. 54).

Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20 novembre

2001 est interdit par l’article 9 du Code des télécommunications, l’article 87 de ce même code
réprimant notamment l’utilisation et la détention en vue de la leur distribution à titre gratuit ou
onéreux de ces moyens. La responsabilité des fournisseurs d’accès n’étant pas spécifiquement
régulée, et l’article 87 du Code des télécommunications ne requérant pas d’intention frauduleuse,
la possible responsabilité des fournisseurs d’accès pour avoir transporté des moyens illégaux de
cryptologie, sur la base de ces articles, reste en question (en matière civile, par application des
articles 82 et 83 du Code des obligations et des contrats (COC), les fournisseurs d’accès ne
paraissent pouvoir être déclarés responsables que s’ils peuvent techniquement agir, savent qu’ils
doivent agir et n’agissent pas). 

Safeguards

Malgré une affirmation prononcée, dans la Constitution et de récentes lois, de la volonté tunisienne
de protéger et renforcer la protection des droits fondamentaux, les dispositions de droit substantiel
et de droit procédural présentent d’importantes faiblesses en la matière.

En effet, des garanties (pour la plupart non spécifiques à la cybercriminalité) sont prévues par la
Constitution du 25 janvier 2014, le Code pénal, le Code des télécommunications et le Code de
procédure pénal.

En particulier, la Constitution de 2014 garantit aux citoyens les droits et libertés suivants :

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 3/10
13/11/2022 10:39 Tunisia -

Les« libertés et les droits individuels et collectifs » (article 21).

La « vie privée et le secret des correspondances, des communications et des données

personnelles » (article 24).

La présomption d’innocence (article 27).

La personnalité de la peine (article 28).

La liberté physique (article 29).

Les libertés d’opinion, de pensée, d’expression, d’information et de publication (article 31).

Le droit à l’information et le droit à l’accès à l’information, notamment aux réseaux de

communication (article 32).

Les libertés académiques et la liberté de recherche (article 33).

Le droit de propriété, y compris intellectuelle (article 41).

Le droit à la culture (article 42).

Le droit à un procès équitable et à un double degré de juridiction (article 108).

Par ailleurs, la Constitution prévoit que le législateur est compétent pour intervenir par loi
organique sur les sujets concernant les libertés et les droits de l’Homme (article 65), que la
profession d’avocat est libre et indépendante (article 105) et que le pouvoir judiciaire (et plus
largement juridictionnel) est garant de ces droits et libertés (article 102), les magistrats étant
indépendants - article 102) et nommés par décret présidentiel sur avis conforme du Conseil
supérieur de la magistrature (article 106), lequel est composé aux deux tiers de magistrats et
d’experts indépendants et présidé par un magistrat (article 112).

En outre, une Instance des droits de l’Homme « contrôle le respect des libertés et des droits de
l’Homme et œuvre à leur renforcement » (article 128).

Toutefois, l’effectivité de ces garanties paraît menacée par des faiblesses pouvant être notées à
plusieurs égards.

En premier lieu, les incriminations en lien avec l’informatique ne requièrent pas systématiquement
une commission intentionnelle et sans droit, entraînant un risque de répression de
comportements légitimes, et leurs termes ne sont pas définis, comme le requiert l’article 1 de la
Convention de Budapest dans un objectif de sécurité juridique.

Par ailleurs, plusieurs dispositions ne semblent pas suffisamment garantir la protection des droits
fondamentaux des citoyens (principalement au respect de la vie privée et de la liberté
d’expression) contre des ingérences non nécessaires ou disproportionnées de la puissance
publique.

En particulier, l’étendue des pouvoirs de l’Agence Technique des Télécommunications en termes

de recueil d’information sur les utilisateurs d’Internet est incertaine : l’article 2 du décret n° 2013-
4506 du 6 novembre 2013, relatif à la création de l'agence technique des télécommunications
énonce notamment que : « L'agence technique des télécommunications assure l'appui technique
https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 4/10
13/11/2022 10:39 Tunisia -

aux investigations judiciaires dans les crimes des systèmes d'information et de la

communication, elle est à cet effet chargée des missions suivantes: [1] la réception et le
traitement des ordres d'investigation et de constatation des crimes des systèmes d'information et
de la communication issus du pouvoir judiciaire conformément à la législation en vigueur ; [...] [2]
l'exploitation des systèmes nationaux de contrôle du trafic des télécommunications dans le cadre
du respect des traités internationales relatifs aux droits de l'Homme et des cadres législatifs
relatifs à la protection des données personnelles ».

Par ailleurs, les obligations des fournisseurs d’accès à Internet en termes de collecte et de
divulgation à la puissance publique de données de trafic et de contenu des communications sont
susceptibles de concerner toute information et toute personne dans un nombre indéfini d’objectifs,
l’ensemble étant associé à un régime d’autorisation (sous peine de sanction pénale - article 87 du
Code des télécommunications) pour la fourniture d’accès au réseau (articles 5 et 31 (quater) du
Code des télécommunications) et la fourniture de « services basés sur le protocole Internet »
(article 2 du décret n° 2014-4773, qui se réfère à l’article 2§29 du Code des télécommunications,
lequel ne définit pas cette notion de « services basés sur le protocole Internet »), et à une
interdiction du chiffrement - assortie de sanctions pénales - lorsque ce dernier ne répond pas aux
exigences du décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures
d’utilisation des moyens ou des services de cryptage à travers les réseaux de
télécommunications, ainsi que l’exercice des activités y afférentes. 

Enfin, la procédure d’interception du contenu des communications ne semble pas être soumise
au contrôle d’un magistrat indépendant (article 54 de la loi organique n° 2015-26 du 7 août 2015
relative à la lutte contre le terrorisme et la répression du blanchiment d’argent, semblant être
applicable à toute infraction pénale), et les données ainsi recueillies échappent « à la législation en
vigueur dans le domaine de la protection des données personnelles » lorsqu’elles donnent lieu à
des poursuites pénales (article 56, dernier alinéa, de la loi organique n° 2015-26 du 7 août 2015
relative à la lutte contre le terrorisme et la répression du blanchiment d’argent, semblant être
applicable à toute infraction pénale : « Si les données collectées de l’interception ne donnent pas
lieux à des poursuites pénales, elles bénéficient des dispositions de protection, conformément à
la législation en vigueur dans le domaine de la protection des données personnelles »).

Related laws and regulations

Lois et règlements relatifs au droit substantiel

Loi n° 99-89 du 2 août 1999 modifiant et complétant certaines dispositions du code pénal.
Loi n° 94-36 du 24 février 1994 relative à la propriété littéraire et artistique.
Loi n°2001-36 du 17 avril 2001 relative à la protection des marques de fabrique, de commerce
et de service ;
Loi n°2001-21 du 6 février 2001 relative à la protection des dessins et modèles industriels.
Loi n°2001-20 du 6 février 2001 relative à la protection des schémas de configuration des
circuits intégrés.

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 5/10
13/11/2022 10:39 Tunisia -

Lois et règlements relatifs au droit substantiel et procédural

Loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression
du blanchiment d’argent.

Lois et règlements adoptés sur des sujets connexes

Loi organique n° 2016-22 du 24 mars 2016 relative au droit d’accès à l’information.

Décret n°2014-4773 du 26 décembre 2014 fixant les conditions et les procédures d'octroi
d'autorisation pour l’activité de fournisseur de services internet. Ce décret remplace le décret
n° 97-501 du 14 mars 1997, relatif aux services à valeur ajoutés des télécommunications et
abroge a priori , également (ce n’est toutefois pas précisé par le texte), l’arrêté du ministre des
communications du 22 mars 1997, portant approbation du cahier des charges fixant les
clauses particulières à la mise en œuvre et l’exploitation des services à valeur ajoutée des
télécommunications de type Internet (cet arrêté impose aux fournisseurs de services de «
communiquer à l'opérateur public concerné la liste nominative écrite, dûment signée et
actualisée, de tous ses abonnés au début de chaque mois » [article 8] et rend responsable les
hébergeurs des contenus qu’ils hébergent [article 9]).
Arrêté du ministre des technologies de l’information et de la communication du 29 juillet 2013,
portant approbation du cahier des charges fixant les conditions et les procédures de fourniture
des services des télécommunications de contenu et services interactifs des
télécommunications.
Décret n° 2008-3026 du 15 septembre 2008, fixant les conditions générales d’exploitation des
réseaux publics des télécommunications et des réseaux d’accès, tel que modifié et complété
par le décret n° 2014-53 du 10 janvier 2014.
Circulaire n° 19 - du 11 avril 2007 (uniquement en langue arabe), relatif au renforcement des
mesures de sécurité informatique dans les établissements publiques (création d'une Cellule
Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes
d'Information RSSI ; et mise en place d'un Comité de pilotage).
Loi organique n° 63-2004 du 27 juillet 2004 portant sur la protection des données à caractère
personnel.
Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique, portant sur l'organisation du
domaine de la sécurité informatique et fixant les règles générales de protection des systèmes
informatiques et des réseaux.
Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des
organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères
relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des
recommandations contenues dans le rapport d'audit.
Décret n° 1249-2004, du 25 mai 2004, fixant les conditions et les procédures de certification
des experts dans le domaine de la sécurité informatique.

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 6/10
13/11/2022 10:39 Tunisia -

Circulaire n° 22-2004, portant sur la sureté des locaux appartenant aux ministères et aux
entreprises publiques.
Circulaire n° 19 du 18 juillet 2003, relatif aux mesures de sécurité et de prévention des
bâtiments des ministères et des collectivités locales et des entreprises publiques.
Décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures d’utilisation
des moyens ou des services de cryptage à travers les réseaux de télécommunications, ainsi
que l’exercice des activités y afférentes, modifié par le décret n°2007-1070 du 2 mai 2007
fixant les restrictions et les sanctions résultant de l’utilisation des technologies de cryptage.
Loi n°2000-83 sur la certification électronique.

› Specialised institutions
L’Agence Nationale de la Sécurité informatique effectue un contrôle général des systèmes informatiques
et des réseaux relevant des divers organismes publics et privés. Elle est chargée des missions
suivantes (article 3 de la loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique) :

Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité

des systèmes informatiques et des réseaux.
Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur
public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la
coordination entre les intervenants dans ce domaine.
Assurer la veille technologique dans le domaine de la sécurité informatique.
Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet
et procéder à leur publication.
Œuvrer à encourager le développement de solutions nationales dans le domaine de la sécurité
informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par
l'agence.
Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité
informatique.
Veiller à l'exécution des réglementations relatives à l'obligation de l'audit périodique de la sécurité des
systèmes informatiques et des réseaux.

Aussi, elle gère le tunCERT, le centre d'assistance et de soutien en matière de sécurité informatique
(Computer Emergency Response Team).

Ce centre offre gratuitement l'assistance nécessaire aussi bien aux citoyens qu’aux professionnels
concernant tous les problèmes ayant trait à la sécurité des systèmes d’information et veille à la
disponibilité des moyens appropriés, aptes à assurer la protection de l’espace cybernétique national. Il
https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 7/10
13/11/2022 10:39 Tunisia -

vise aussi à informer et sensibiliser la communauté nationale sur les menaces de sécurité et la guider
sur les moyens de s’en protéger.

L’Agence Technique des Télécommunications a également de larges pouvoirs. Le décret n 2013-4506

du 6 novembre 2013, relatif à sa création dispose notamment :

Art. 2 - L'agence technique des télécommunications assure l'appui technique aux investigations
judiciaires dans les crimes des systèmes d'information et de la communication, elle est à cet effet
chargée des missions suivantes:

La réception et le traitement des ordres d'investigation et de constatation des crimes des systèmes
d'information et de la communication issus du pouvoir judiciaire conformément à la législation en
vigueur.
La coordination avec les différents opérateurs de réseaux publics de télécommunications et
opérateurs de réseaux d'accès et tous les fournisseurs de services de télécommunications
concernés, dans tout ce qui relève de ses missions conformément à la législation en vigueur.
L'exploitation des systèmes nationaux de contrôle du trafic des télécommunications dans le cadre du
respect des traités internationaux relatifs aux droits de l'Homme et des cadres législatifs relatifs à la
protection des données personnelles.

Art. 6 - Il est créé au sein de l'agence technique des télécommunications, un comité de suivi qui veille à
la bonne exploitation des systèmes nationaux de contrôle du trafic des télécommunications dans le
cadre de la protection des données personnelles et des libertés publiques, elle est chargée à cet effet de
:

la réception et qualification technique les ordres d'investigation et de constatation des crimes des
systèmes d'information et de la communication issus du pouvoir judiciaire conformément à la
législation en vigueur,
le transfert des ordres d'investigation et de constatation aux services spécifiques de l'agence ou
ordonner leur renvoi aux structures concernées avec obligation de motivation,
le suivi de l'exécution technique des ordres d'investigation et de constatation,
ordonner le transfert des résultats des ordres d'investigation et de constatation aux structures
concernées conformément à la législation en vigueur en matière de confidentialité et de protection
des données personnelles,
le transfert de rapports annuels sur le traitement des ordres d'investigation et de constatation des
crimes des systèmes d'information et de la communication, au conseil investi du pouvoir législatif.

Il existe également l'Agence Nationale de Certification Électronique (TUNTRUST), créée par la loi
n°2000-83 du 9 Août 2000 et dont les missions sont les suivantes :

La signature et le cryptage des messages électroniques.

La sécurisation des transactions et des échanges électroniques.
La fourniture des clés pour les Réseaux Privés Virtuels (VPNs).
L'homologation des systèmes de cryptage.

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 8/10
13/11/2022 10:39 Tunisia -

La sécurisation des échanges effectués par les entreprises.

L'analyse des risques pour une entreprise.
Les services d'horodatage.

› International cooperation

› Jurisprudence/case law
Peu de décisions judiciaires sont disponibles sur la cybercriminalité, et elles ne sont pas publiées en
ligne.

› Sources and links

Agence Tunisienne de l’Internet : http://www.ati.tn/.
Agence Nationale de la Sécurité Informatique : http://www.ansi.tn/.   
tunCERT (Computer Emergency Response Team) - https://www.ansi.tn/tuncert/presentation .
Ministère de l’Enseignement Supérieur, de la Recherche Scientifique et des technologies de
l’Information et de communications, Tunisie Digital 2018, Projet de Plan National Stratégique, en
français : http://www.mincom.tn/index.php?id=portailduministredestechnol0&L=3.
La Constitution tunisienne du 25 janvier 2014 :
 http://www.legislation.tn/sites/default/files/constitution/constitution.pdf.
Code de procédure pénale : http://www.legislation.tn/fr/codes-en-vigueur/91__fr.
Code pénal : http://www.legislation.tn/fr/codes-en-vigueur/89__fr.
Privacy International, State of surveillance Tunisia, 2019, https://privacyinternational.org/state-
privacy/1012/state-surveillance-tunisia .
Ministère des Technologies de la Communication et de l'Economie Numérique
https://www.mincom.tn/.

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 9/10
13/11/2022 10:39 Tunisia -

https://www.coe.int/en/web/octopus/country-wiki-ap/-/asset_publisher/CmDb7M4RGb4Z/content/tunisia/pop_up?_101_INSTANCE_CmDb7M4RGb4Z_vie… 10/10