Mémoire

Le XXI siècle a connu une révolution des technologies numériques comme la fin du Moyen-
âge a vu celle de l’imprimerie. Cette révolution contemporaine est notamment liée à la

structure même d’internet et de l’espace virtuel qu’il génère, le cyberespace1. Ce dernier est
communément défini comme un ensemble de données numérisées constituant un univers
d’information et de communication, lié à l’interconnexion mondiale des ordinateurs, plus
précisément défini comme « un ensemble de réseaux commerciaux, réseaux publics, réseaux
privés, réseaux d’enseignement, réseaux de services, qui opèrent à l’échelle planétaire » 2.
L’espace informationnel vient désormais s’ajouter aux espaces terrestre, maritime et aérien
dont la protection et la sécurité entrent naturellement dans le champ de compétences
régaliennes de l’Etat.
L’ère numérique ignore désormais toutes les frontières. Elle permet l’accès à la culture et à la
connaissance, favorise les échanges entre les personnes. Elle rend possible la constitution
d’une économie en ligne et rapproche le citoyen de son administration. Les technologies
numériques sont porteuses d’innovation et de croissance, en même temps qu’elles peuvent
aider ou accélérer le développement des pays émergents.
Le développement des NTIC et la vulgarisation d'Internet ont provoqué des bouleversements
majeurs, tant au niveau de la communication à l'échelle mondiale qu'au niveau du droit
applicable. On voit émerger de nouveaux modes de communication, révolutionnés par cette
possibilité de connecter le monde entier en permanence, et notamment de nouveaux modes
d'échanges, comme le commerce en ligne, ou commerce électronique. Il est désormais
possible de conclure une transaction à des milliers de kilomètres de distance de son
interlocuteur et par un simple clic.
Mais un certain pessimiste vient tempérer cette approche idéaliste. Ainsi, toute activité
humaine porteuse de progrès économiques, sociaux et culturels qui en sont la finalité sociale,
génèrent aussi de nouvelle fragilités et vulnérabilités propices aux menaces ou aux risques,
car ils aiguisent l’imagination des criminels.
En effet, l'utilisation des TIC s'accompagne de divers risques et menaces. Par exemple, le
médicament contient une substance active qui a des effets thérapeutiques sur votre
organisme. Peuvent aussi subvenir des effets indésirables avec tout traitement. Il est là pour
soigner mais s’il est mal utilisé, il peut être dangereux. L'utilisation croissante des TIC a
également entraîné des défis en matière de cybersécurité, des menaces en ligne et la nécessité
de protéger les données. Les TIC peuvent présenter des risques et des menaces pour les
personnes et les organisations.
Les TIC ont favorisé l'apparition de nouvelles formes de criminalité, comme la
cybercriminalité, le trafic de drogue, la traite des êtres humains et le terrorisme 3 . Ces
activités criminelles sont souvent difficiles à détecter et à poursuivre, car elles utilisent de
nouvelles formes et de nouveaux moyens de communication.
1
Pr. HADID Noufyele et Mr. MERBOUHI Samir, Conséquences de l’utilisation des TIC sur la criminalité économique et
financière en Algérie, Université d’Alger 3, Revue Nouvelle Economie
2
Convention des Nations Unies sur la lutte contre l’utilisation des Technologies d’Information et de la Communication à des
fins criminelles
3
Convention de Budapest sur la cybercriminalité
La cybercriminalité est désormais une réalité. Elle est d’autant plus dangereuse qu’elle
pénètre au sein des familles, là où la délinquance ordinaire n’avait pas accès jusqu’à présent.
En 1972, le Doyen jean CARBONNIER affirmait déjà que << l’évolution des mœurs et des
techniques donne naissance à des nouvelles formes de délinquance >> 4. En effet, la plupart
des grandes découvertes technologiques ont presque toujours engendré, à côté des progrès
économiques qu’elles procurent à l’humanité, des retombées négatives parmi lesquels figure
en bonne place l’avènement de nouvelles formes de criminalité. Internet n’échappe pas à
cette loi sociologique du développement.5
Selon le général d’Armée Marc WATIN-AUGOUARD, « lorsque le développement
économique se limitait au secteur primaire agricole, l’insécurité se résumait aux atteintes
contre les personnes. Le secteur secondaire a vu l’apparition de la production de biens
manufacturés et donc de vols, destructions, dégradations. Le développement des secteurs
tertiaires des services a inspiré les infractions dites intelligentes » 6. Avec l’apparition d’un
secteur quaternaire de l’économie, celui où l’information est devenue source de richesse, la
cybercriminalité. Elle joue des frontières entre les États, rapproche la victime de son
agresseur mais éloigne le délinquant de son juge.
La cybercriminalité n’étant pas définie avec rigueur, elle conduit vers des dérives
terminologiques. Ainsi, MM. Alterman et Bloch retiennent comme définition du délit
informatique, la définition de la cybercriminalité proposée par des experts de l’Organisation
pour la Coopération et le Développement Economique (OCDE), à savoir « tout
comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement
automatique de données et/ou de transmissions de données »7.
Selon l’O.N.U., la « cybercriminalité » doit recouvrir « tout comportement illégal faisant
intervenir des opérations électroniques qui visent la sécurité des systèmes informatiques et
des données qu’ils traitent », et dans une acception plus large « tout fait illégal commis au
moyen d’un système ou d’un réseau informatique ou en relation avec un système
informatique »8. Cette définition utilise le terme comportement illégal pour se référer à la
cybercriminalité. Cependant, un comportement peut être considéré illégal dans un Etat et
légal dans l’autre.
…...........Mais le terme de cybercriminalité demeure difficile à conceptualiser, car il ne fait
l'objet d'aucune définition légale ou réglementaire » 9 ; tout du moins, ne fait-il pas l'objet
d’une définition universelle de la part des États, chacun ayant tenté d'appréhender cette notion
selon ses propres critères..................
…..Il n’existe pas de définition communément admise de la cybercriminalité. La méthode la

plus courante consiste à définir les termes-clés utilisés dans les enquêtes sur les cyber-
4
Les technologies de l’information et de la communication et leur impact sur l’économie, OCDE, page 7
5
Dr. Kamel REZGUI, Droit de la sécurité du cyberespace, Master Droit des TIC, Université Internationale de
Tunis, 2022
6
Wikipédia, cyberattaque
7
GASSIN (R.), « Le droit pénal de l'informatique », DS., [1986], Chron p. 35.
8
CSIS, Centre for Stratégie and international Studies
9
Dr. Sami SOUDANI, Introduction à la sécurité informatique, Master Droit des TIC, Université Internationale
de Tunis, 2022
infractions. L’examen de ces définitions permet d’identifier les grands concepts et d’utiliser
ces définitions de manière cohérente dans le cadre d’une stratégie nationale de lutte contre la
cybercriminalité...............
...............Un exemple de cette méthode est le Décret-loi n°2022-54 du 13 septembre 2022,
relatif à la lutte contre les infractions se rapportant aux systèmes d’information et de
communication qui introduit des dispositions sur la cybercriminalité. Ce texte de loi
commence par définir quelques termes-clés: système d’information, données informatiques,
système de communication, fournisseur de service de communication, flux de trafic ou
données d’accès, support informatique, programme, l'effacement de données informatiques.
Après avoir défini ces termes-clés, la Loi énumère les principales infractions considérées
comme entrant dans le périmètre de la cybercriminalité : la violation de l’intégrité des
systèmes d’informations et des données et de leur confidentialité, les infractions commises à
l'aide de systèmes d'information ou de données informatiques. Cette approche est très
similaire à celle adoptée par la Convention sur la cybercriminalité du Conseil de l’Europe
(Convention de Budapest). …......................................
La cybercriminalité peut se définir comme toute action illégale dont l’objet est de perpétrer
des infractions pénales sur ou au moyen d’un système informatique interconnecté à un réseau
de télécommunication. Elle vise soit des infractions spécifiques à l’intérêt pour lesquelles les
technologies de l’information et de la communication sont l’objet même du délit, soit des
infractions de droit commun pour lesquelles internet est le moyen de développer des
infractions préexistantes.
En tant que tel, dans l’activité de chaque organisation, on utilise une quantité importante
d’information. La protection des données est devenue un enjeu majeur pour les personnes et
les organisations face à la cybercriminalité. Les données sont une mine d’or pour les
organisions, mais leur valeur est trop souvent sous-estimée. Les données personnelles sont le
carburant du numérique (Isabelle Falque-Pierrotin, Présidente de la Cnil).
Une donnée est une information factuelle et brute, sans contexte. Dans certaines situations,
cela correspond à chaque information communiquée volontairement par une personne. Ce
sont par exemple, des données démographiques (âge, sexe, lieu de résidence…). Les données
peuvent aussi correspondre à tous résultats de recherches, d’analyses et autres informations
détenues par une organisation. Les données correspondent donc à tout ce qui est collecté par
une organisation. Soit par ses propres moyens, soit lors d’échanges avec des clients, patients,
partenaires, … dès lors qu’ils ont donné leur accord. Les données se révèlent nécessaires
uniquement quand elles peuvent être exploitées, confrontées, analysées, et mener à un
résultat. Sans le travail de confrontation et d’analyse, les données sont bien souvent peu
utiles.;;;;;;;;;;;;;;;;;(reference)
;;;;;;;;;;;;;;;;; Pour ce faire, la convention de boudapste a definit type de données.............

l'expression «données informatiques» désigne toute représentation de faits, d'informations ou
de concepts sous une forme qui se prête à un traitement informatique, y compris un
programme de nature à faire en sorte qu'un système informatique exécute une fonction
«données relatives au trafic» désigne toutes données ayant trait à une communication passant
par un système informatique, produites par ce dernier en tant qu’élément de la chaîne de
communication, indiquant l’origine, la destination, l’itinéraire, l’heure, la date, la taille et la
durée de la communication ou le type de service sous-jacent.,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Les Données informatiques désigne toute représentation de faits, d’informations ou de

concepts sous un format adapté au traitement par un système informatique, y compris un
programme permettant à un système informatique d’exécuter une fonction.10
Les utilisateurs d’applications fournissent aux entreprises l’accès à des quantités

considérables de données, lesquelles sont souvent des données personnelles et dont les
utilisations sont toujours plus variées. Les données recueillies peuvent être utilisées non
seulement pour personnaliser l’expérience, mais aussi pour générer des gains de productivité
et de qualité à grande échelle, à travers une expérimentation contrôlée. Les données
personnelles peuvent être obtenues de différentes manières : fournies volontairement par les
utilisateurs (par exemple, quand ils s’inscrivent pour pouvoir utiliser un service en ligne),
observées (par exemple, en enregistrant le parcours de navigation sur l’Internet, les données
de localisation, etc.), ou déduites (par exemple, d’une analyse des activités en ligne). La
capacité de collecter des données utiles augmente avec le nombre d’appareils connectés à
l’Internet, de l’informatique en nuage, de l’Internet des objets et de la robotique avancée.
Toutes sortes d’entreprises font usage des données sur les utilisateurs, car cela leur permet
d’adapter leurs offres à la clientèle. Les administrations progressent dans la mise à disposition
du public de ressources lisibles par les machines, notamment des données. C’est ce que l’on
appelle « politique de données ouvertes », « administration ouverte »,ou encore « démocratie
ouverte ». À mesure que des quantités de plus en plus grandes de données potentiellement
utiles sont recueillies, il est nécessaire de mettre au point des techniques de plus en plus
sophistiquées pour pouvoir collecter, traiter de façon pertinente et analyser ces11
Ainsi, l’internet se relève un lieu opportun pour le développement des crimes et délits
relevant de la criminalité classique, mais aussi informatique. En effet, internet n’a pas
seulement favorisé la perpétration d’actes de criminalité classique, il a modernisé cette
criminalité et a donné naissance à des nouvelles infractions. Et la forte augmentation des
actes commis et le préjudice financier qu’ils causent, témoignent de l’intérêt particulier que
suscite le réseau internet auprès des criminels12. Statiquement, la cybercriminalité a engendré
un préjudice estimé à « 600milliards de dollar en 2019, soit environ 1% du PIB mondial13.
Une cyberattaque est tout type d’action offensive visant des systèmes informatiques, des
infrastructures ou des réseaux, voire des ordinateurs personnels, utilisent diverses méthodes
pour voler, modifier ou détruite des données ou des systèmes informatiques.14
10
https://www.ibm.com/fr-fr/topics/cyber-attack
11
12
13
https://blog.netwrix.fr/2018/07/04/les-10-types-de-cyberattaques-les-plus-courants/
14
En plus de la cybercriminalité, les cyberattaques peuvent également être associées à la guerre
cybernétique ou au cyberterrorisme, comme les hacktivistes. Les motivations peuvent varier,
en d’autres termes. Et dans ces motivations, on trouve trois catégories principales :
criminelle, politique et personnelle. Les pirates motivés par des motifs criminels recherchent
un gain financier via le vol d’argent, le vol de données ou la perturbation des activités. De
même, les personnes motivées par des griefs personnels, comme les employés anciens ou
actuels mécontents, saisiront de l’argent, des données ou une simple chance d’interrompre le
système d’une entreprise. Cependant, ils cherchent principalement à se venger. Les pirates
dont les motivations sont socio-politiques cherchent à attirer l’attention sur leurs causes. En
conséquence, ils font en sorte que leurs attaques connues du public - c'est-ce qu’on appelle
aussi le hacktivisme. Parmi les autres motivations de cyberattaque, on peut citer l’espionnage
industriel (dans le but d’obtenir un avantage déloyal sur les concurrents) et le défi
intellectuel.15
Les organisations criminelles, les acteurs de l’Etat et les personnes physiques lancent des
cyberattaques contre les entreprises. L'une des manières de classer les risques de cyberattaque
consiste à distinguer les menaces externes des menaces internes. Les cybermenaces externes
comprennent : les criminels organisés ou les groupes criminels, les pirates professionnels, tels
les acteurs parrainés par un Etat, les pirates amateurs, dont font partie les hacktivistes. Les
menaces internes proviennent des utilisateurs qui détiennent un accès légitime et autorisé aux
actifs d’une entreprise et en abusent délibérément ou accidentellement ; notamment : les
employés négligents vis-à-vis des politiques et procédures de sécurité, les employés actuels
ou anciens mécontents, les partenaires commerciaux, les clients, les sous-traitants ou les
fournisseurs ayant accès au système16.
Les cyberattaques se produisent dès lors que des organisations, des acteurs pour le compte
d’un Etat ou des personnes privées veulent s’accaparer une ou plusieurs choses, telles que :
les données financières de l’entreprise, de listes des clients, des données financières
concernant des clients, des bases de données clients, y compris les informations
personnellement identifiables (PII), des adresses électroniques et des justificatifs d’identité
pour les ouvertures de session, toute propriété intellectuelle, comme des secrets commerciaux
ou des conceptions de produits, un accès l’infrastructures informatique, les services
informatiques, pour accepter les paiements financiers, des données à caractère personnel, la
possibilité d’infiltrer les départements du gouvernement et les agences gouvernementales17.
Dans l’environnement numérique connecté actuel, les cybercriminels utilisent des outils
sophistiqués pour lancer des cyberattaques contre les entreprises. Leurs cibles d’attaque
comprennent les ordinateurs personnels, les réseaux informatiques, l’infrastructure
informatique et les systèmes informatiques18. Les types courants de cyberattaques sont les
suivants :19
15
Dixième Congrès des Nations Unies, à Vienne, sous le titre « la prévention du crime et le traitement des
délinquants », [10 – 17 avril 2000], disponible sur ,(consulté le 12/11/2004).
16
H. ALTERMAN et A. BLOCH : La Fraude Informatique (Paris, Gaz. Palais), [3 sep. 1988] p. 530
17
Dérivé de l'anglais « Cyberspace », contraction des mots « Cybernétique » et « Espace », ce terme a été
introduit pour la première fois par l'auteur américain William Gibson dans son roman de science-fiction «
Neuromancer », paru en 1984.
18
LEBERT (M-F.), « De l'imprimé à Internet », thèse Paris, éd. 00h00, [1999].
19
CARBONNIER (J.), « Sociologie juridique », éd. A. Colin, [1972], éd. PUF, coll. Thémis, Paris, [1978],
Refondue coll. Quadrige, [1994] et [2004].
- Les chevaux de Troie de porte dérobée : un cheval de Troie crée une porte dérobée
vulnérable dans le système la victime, permettant au pirate d’en obtenir le contrôle à
distance et presque total. Fréquemment utilisé pour relier un groupe d’ordinateurs de
victimes, dans un réseau de bots ou réseau de Zombies, les pirates peuvent se servir
du cheval de Troie pour d’autres cybercrimes.
- Attaque de script intersite (XSS) : les attaques cross-site Scripting insèrent un code
malveillant dans un site web ou un script d’application légitime dans le but d’obtenir
les informations d’un utilisateur, souvent à l’aide de ressources web tierces. Les
pirates se servent fréquemment de JavaScript pour les attaques XSS, mais Microsoft
VCScript, ActiveX et Adobe Flash peuvent également être utilisés.
- Attaque par déni de service (DoS) et l’attaque par déni de service distribuée (DDoS)
inondent les ressources d’un système, les surchargeant et empêchant les réponses aux
demandes de services, ce qui réduit la capacité de fonctionnement du système, le
rendant indisponible pour les utilisateurs légitimes. Souvent, ce type d’attaque prépare
une autre attaque.
- Tunnellisation des systèmes de noms de domaines (DNS) : les cybercriminels utilisent
la tunnellisation DNS, un protocole transactionnel, pour échanger des données
d’applications, comme l’extraction de données en mode silencieux ou l’établissement
d’un canal de communication avec un serveur inconnu, à l’image de l’échange de
commande et de contrôle (C&C) à titre d’exemple.
- Logiciels malveillants : Il s’agit d’un logiciel malveillant qui peut rendre les systèmes
infectés inopérants. La plupart des variantes de logiciels malveillants détruisent les
données en supprimant ou en effaçant les fichiers essentiels au fonctionnement du
système d’exploitation.
- Hameçonnage : L’escroquerie par hameçonnage tente de voler les identifiants ou les
données sensibles des utilisateurs comme les numéros de cartes de crédit. Dans ce cas,
les escrocs envoient aux utilisateurs des e-mails ou des SMS conçus pour avoir l’air
de venir d’un code source légitime, en utilisant de faux hyperliens.
- Rançongiciel : le rançongiciel est un logiciel malveillant sophistiqué qui tire avantage
des faiblesses du système, en utilisant un chiffrement renforcé pour retenir les
données ou la fonctionnalité du système en otage. Les cybercriminels se servent du
rançongiciel pour exiger un paiement en échange de la libération du système. Un
développement récent avec le rançongiciel est l’ajout de tactiques d’extorsion.
- Injection SQL : Les attaques par injection de langage de requête structurée (langage
SQL) intègrent un code malveillant dans des applications vulnérables, produisant des
résultats finaux de requêtes de bases de données et exécutant des commandes ou des
actions similaires que l’utilisateur n’a pas demandées.
- Exploit zero-day : Les attaques zero-day tirent avantages des faiblesses inconnues du
matériel et du logiciel. Ces vulnérabilités peuvent exister pendant des jours, des mois
ou des années avant que les développeurs ne prennent connaissances de ces failles.
- Attaques de type Man-in-the-middle (MitM) : dans ce type d'attaque, un pirate
informatique intercepte la communication entre deux parties pour voler ou modifier
des informations.
- Attaques par mot de passe : les attaques par mot de passe utilisent diverses méthodes,
telles que la force brute ou les attaques par dictionnaire, pour deviner ou déchiffrer les
mots de passe et obtenir un accès non autorisé aux systèmes informatiques.
- Attaque Ping of Death : Les attaques Ping of Death impliquent l’envoi de paquets de
données surdimensionnés à un ordinateur, le faisant planter ou ne plus répondre.
En cas de succès, les cyberattaques peuvent porter préjudice aux entreprises. Elles peuvent
causer une indisponibilité précieuse, des manipulations ou des pertes de données, et des
pertes d’argent par le biais de rançons. De plus, les temps d’indisponibilité peuvent entrainer
des interruptions de service majeures et des pertes financières. Par exemple :
- Les attaques DoS, DDoS et par logiciel malveillant peuvent causer des plantages du
système ou du serveur.
- Les attaques par tunnelisations DNS ou injection SQL ont la capacité de modifier,
supprimer, insérer ou voler des sonnées à l’intérieur d’un système.
- Les attaques par hameçonnage et les exploits du jour zéro permettent aux pirates
d’entrer dans un système pour causer des dommages ou voler de précieuses
informations.
- Les attaques par hameçonnage et les exploits du jour zéro permettent aux pirates
d’entrer dans un système pour causer des dommages ou voler de précieuses
informations.
- Les attaques par rançongiciel peuvent désactiver un système jusqu’à ce que
l’entreprise paie une rançon au pirate.
À titre d’illustration, Darkside, un gang de rançongiciels, a attaqué Colonial Pipeline, un
large réseau américain de pipelines de produits raffinés, le 29 avril 2021. Par l’intermédiaire
d’un réseau privé virtuel (VPN) et d’un mot de passe compromis (lien externe à ibm.com),
cette cyberattaque de pipeline a pénétré dans les réseaux de l’entreprise et a perturbé les
opérations du pipeline. En effet, DarkSide a fermé le pipeline qui transporte 45% du gaz, du
diesel et du carburéacteur qui est acheminé vers la cote est des États-Unis. Rapidement après
le blocage du pipeline, l’entreprise a reçu une demande de rançon de près de 5 millions de
dollars en cryptomonnaie Bitcoin, finalement payée par le PDG de colonial Pipeline5lien
externe à ibm.com). Suite à cette mésaventure, Colonial Pipeline a engagé une entreprise de
cybersécurité tierce et a informé les agences fédérales et les autorités américaines20.
Les mesures de cybersécurité, telles que le pare-feu, les logiciels antivirus et le chiffrement,
peuvent aider à se protéger contre les cyberattaques. Il est important de rester informé des
dernières menaces et de suivre les meilleures pratiques en matière de cybersécurité afin de
minimiser le risque d'une cyberattaque.
Les Nations Unies ont adopté une convention pour lutter contre l'utilisation des TIC à des fins
criminelles21.
La lutte contre le piratage des données est un enjeu important pour les États, qui ont mis en
place des stratégies nationales de cybersécurité pour y faire face. Ces stratégies nationales
visent à protéger les citoyens et les entreprises contre les cyberattaques et à réduire la
menace, l'impact et la victimisation de la cybercriminalité. Elles comprennent des mesures
pour renforcer la sécurité des systèmes d'information, sensibiliser les utilisateurs aux risques
liés à la cybersécurité, et lutter contre le piratage des données. Les États travaillent également
en collaboration avec des organisations internationales telles qu'INTERPOL pour lutter
20
WATIN-AUGOUARD (M.), Préface du livre « Cybercriminalité Défi mondial », VII.
21
CHAWKI (M.), « Essai sur la notion de cybercriminalité », IEHEI, [2006], p. 6.
contre la cybercriminalité à l'échelle mondiale. La Tunisie a en revanche une stratégie de
cybersécurité 2020 – 2025. Cette stratégie vise à diriger et gérer le cyberespace national, en
identifiant les parties impliquées et en soutenant la coordination entre elles. Elle vise aussi à
prévenir les cybermenaces et à améliorer la résilience du pays face à ces menaces en
renforçant les capacités nationales, en accélérant la sensibilisation et en protégeant les
infrastructures d’informations vitales. Pour atteindre ces objectifs, la stratégie mise sur 5 axes
principaux, y compris la mise en place de stratégies sectorielles de cybersécurité,
l’amélioration du cadre juridique et réglementaire, le renforcement des compétences, la
promotion de la culture de la cybersécurité ainsi que la maîtrise des normes et des
technologies en relation avec la sécurité digitale."
Face à ces stratégies nationales de lutte contre la cybercriminalité et dans le but de construire
un raisonnement logique autour de notre sujet de recherche, se pose le problème de savoir à
quel point le cadre juridique sur la lutte contre la cybercriminalité en Tunisie répond-il aux
enjeux de la protection des données ? Pour répondre à cette problématique nous allons voir
dans quelle mesure ce cadre juridique répond efficacement à la lutte contre le piratage des
données (I) avant d’étudier ses faiblesses (II).
Première partie. Etat de la législation tunisienne sur la cybercriminalité face à la
protection des données .
Dans cette partie, la législation Tunisienne sera présentée par rapport à ses réactions contre la
cybercriminalité touchant aux données. Ainsi donc, nous exposerons les mesures juridiques et
réglementaires sur la cybercriminalité face à la protection des données (Chapitre I) et les
organismes de réglementation, de contrôle et de répression impliquées dans la lutte contre les
cybercrimes (chapitre II).
Chapitre I. Mesures juridiques et réglementaires sur la cybercriminalité face à la

protection des données
Les mesures juridiques et réglementaires sur la cybercriminalité face à la protection des
données en droit tunisien, nous renvoie directement à réfléchir sur les mesures préventives
(section 1) et les mesures répressives (section 2).
Section I. les mesures préventives

Nous traiterons dans cette section l'aspect législatif de l'atteinte aux systèmes d’information et
des données. Avec le développement et la généralisation des systèmes informatiques dans
tous les secteurs de la société, le système judiciaire a dû s’adapter à de nouvelles infractions
et délits et mettre en place des mesures pour faire face à ces phénomènes. Ainsi, voici les
principales lois sur le sujet sans se vouloir exhaustif :
- Loi n° 99- 89 du 02 août 1999 modifiant et complétant certaines dispositions du code
pénal, notamment dans ses articles 199 bis et 199 ter
- Le chapitre 6 du code des télécommunications
- Le chapitre 7 de la loi sur les échanges et le commerce électronique
- Loi sur le transfert électronique des fonds
- Loi sur la lutte contre le cyber terrorisme et le blanchiment d’argent ….
- La Convention européenne sur la cybercriminalité du 23 novembre 2001, convention
africaine de la cybersécurité, Convention arabe ……
Cependant le législateur Tunisien dans le souci de moderniser la cybercriminalité a
promulguée le Décret-Loi no. 2022-54 du 13 septembre 2022, relatif à la lutte contre les
infractions se rapportant aux systèmes d'informations et de communication qui contient des
dispositions pénales en vue de la protection des systèmes d’informations et des données. En
principe, seule la loi crée les infractions et détermine les peines qui leur sont applicables en
vertu du principe « Nullum crimen, nulla poena sine lege ».
Paragraphe 1. Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité
1.1. La mesure de l’audit obligatoire
Le Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité pose comme principe

l’obligation de soumission à l’audit obligatoire périodique applicable aux organismes publics
et non publics à l’exception des réseaux des ministères de la défense et de l’intérieur suivants
22
:
- Les opérateurs de réseaux publics de télécommunications et les fournisseurs des
services de télécommunications et d'internet,
- Les entreprises dont les réseaux informatiques sont interconnectés à travers des
réseaux de télécommunications,
- Les fournisseurs des services d’hébergement et d’informatique en nuages.
- Les entreprises qui procèdent au traitement automatisé des données personnelles de
leurs usagers dans le cadre de la fourniture de leurs services à travers les réseaux de
télécommunications.
- Les infrastructures numériques d’importance vitale
La procédure d’audit périodique est prévue pour chaque année et organisée par les articles 7 à
9 du Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité.
1.2. La mesure d’information
Le Décret-loi n° 2023-17 du 11 mars 2023 oblige tout organisme public ou privé d’informer
l'ANC de toute attaque, intrusion ou perturbation de leur système ou réseau.
1.3. La mesure de sécurité
Le Décret-loi n° 2023-17 du 11 mars 2023 oblige tout organisme public ou privé de se
conformer aux mesures de sécurité arrêtées par l’ANC.
1.4. La mesure d’octroi du label sécurisé
Le Décret-loi n° 2023-17 du 11 mars 2023 charge l’ANC sera d’attribuer le label « sécurisé
» à chaque logiciel ou équipement électronique sur demande du développeur ou de
l’importateur. Ce label, facultatif, est renouvelé tous les trois ans, et peut être retiré avant
22
article 6 du Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité
l’expiration de la durée de la validité en cas de modification des caractéristiques techniques
ou survenance de changement technologique qui introduit des failles au logiciel ou
équipement électronique.
Les procédures et conditions d’octroi du label « sécurisé » et de son retrait seront fixées par
arrêté du ministre chargé du portefeuille des Technologies de la communication.
Un registre national des logiciels et équipements électroniques ayant obtenu le label «

sécurisé » sera publié par l’ANC et mis à jour régulièrement.
En vertu de ce décret, les structures qui gèrent des infrastructures numériques d’importance
vitale sont tenues d’utiliser des logiciels et équipements ayant le label « sécurisé », avoir leur
propre centre d’hébergement principal et un centre de backup auprès d’un fournisseur de
services informatique en nuage ayant obtenu le label, et respecter les mesures et les
procédures nécessaires pour assurer la continuité d’activité et protéger les bases de données
sensibles dont l’atteinte à l’intégrité pourrait affecter à la sécurité nationale en cas de crise
cybernétique, et ce selon un manuel de procédure approuvé par décret sur proposition du
ministre chargé des Technologies de la communication.
L’ANC sera, également, chargée d’attribuer, renouveler et retire le label « Fournisseur de

services informatique en nuage gouvernemental (G-cloud) » et le label « Fournisseur de
services informatique en nuage national (N-cloud) » aux fournisseurs des services
d’hébergement après avis des ministres de la défense nationale et de l’intérieur.
Le label « Fournisseur de services informatique en nuage gouvernemental (G-cloud) » et le

label « Fournisseur de services informatique en nuage national (N-cloud) » sont renouvelés
annuellement, selon le même décret.
L’ANC est, également, amenée à élaborer et appliquer le plan national de réponse

aux urgences cybernétiques en collaboration avec les centres de réponse aux
urgences cybernétiques sectoriels publics et privés, mettre en place les modalités
techniques nécessaires à la détection précoce des incidents et attaques
cybernétiques qui menacent l’espace cybernétique, mettre en place et exploiter les
canaux de signalement des incidents et attaques cybernétiques, réduire les
répercussions des incidents et attaques cybernétiques et garantir la continuité de
l’activité et la récupération rapide de leurs effets, ou encore alerter les institutions, les
administrations et les individus, renforcer les systèmes d’information, gérer les
incidents, organiser et coordonner les efforts pour remédier aux faiblesses, les
étudier, les analyser et prévoir les solutions appropriées.
Paragraphe 2. Décret n° 2008-2639 du 21 juillet 2008, fixant les conditions et procédures
d'importation et de commercialisation des moyens ou des services de cryptages à travers
les réseaux de télécommunications
Le décret n° 2008-2639 du 21 juillet 2008 soumet l’exercice de certaines activités de cryptage

à travers les réseaux de télécommunication au régime d’autorisation à l’exception du cryptage
opéré par les ministères de souveraineté et les missions diplomatiques et consulaires23.
2.1. Mesure d’importation et commercialisation
L’importation et commercialisation des moyens de cryptage à usage courant homologués par
l’ANCE24 :
- Elles ne sont pas soumises à l’autorisation de l’ANCE
- Etablissement par l’ANCE d’une liste mise à jour de ces moyens homologués
accessibles au public
L'importation et la commercialisation des autres moyens de cryptage qui ne sont pas prévus
dans cette liste sont soumisses à l’autorisation de l’ANCE sur base du certificat
d’homologation.
Les moyens de cryptage importés par des entreprises à titre temporaire pour répondre à leurs
propres besoins ne sont pas soumis à l’autorisation et homologation technique.
- La liste de ces entreprises est établie et actualisée par l’ANCE
2.2. Mesure d’homologation
L'homologation des moyens de cryptage à l’exception des moyens de cryptage importés par
des entreprises à titre temporaire pour répondre à leurs propres besoins dont une liste est
publiée par l’ANCE est effectuée par l’autorisation de l’ANCE par certificat d’homologation
et l’établissement d’une liste des moyens homologués accessible au public25.
L’ANCE vérifie dans l’homologation les éléments suivants :
- Les règles techniques dans le domaine d’utilisation des moyens de cryptage
- L’interfonctionnement du moyen de cryptage et les réseaux publics des
télécommunications
- La sécurité des données relatives aux usagers.
2.3. La mesure de contrôle
Le décret n° 2008-2639 du 21 juillet 2008 alloue aux ministres de la défense nationale et de
l’intérieur des prérogatives suivantes :
23
article 4 du Décret n° 2008-2639 du 21 juillet 2008, fixant les conditions et procédures
d'importation et de commercialisation des moyens ou des services de cryptages à travers les
réseaux de télécommunications
24
article 1
25
article 3
- Possibilité de consulter tous les documents relatifs aux équipements et aux systèmes
électroniques permettant de crypter les données ou examiner lesdits équipements et
systèmes
- Intervenir auprès de toute personne détenant ces équipements ou systèmes
- Obligation à la charge de ces personnes de délivrer ces équipements ou systèmes à la
première demande et de s’exécuter aux mesures
Paragraphe 3. Décret gouvernemental n° 2020-48 du 23 janvier 2020, relatif aux

procédures d'homologation d'importation et de commercialisation des équipements
terminaux de télécommunications et des équipements radioélectriques
Le décret gouvernemental n°2020-48 du 23 janvier 2020 a soumis l’importation et la

commercialisation des équipements terminaux et équipements radioélectriques fabriqués en
Tunisie ou bien importés connectés ou non à un réseau public, ou destinés à l’usage public à
l’exception des équipements terminaux des télécommunications et aux équipements
radioélectriques utilisés par le ministère de la défense nationale et le ministère de l’intérieur
aux régimes d’homologation, contrôle de conformité et contrôle technique.
3.1. La mesure d’homologation des équipements
L'octroi par le CERT d’un certificat d’homologation renouvelable par type, marque et
modèle.
L’homologation est octroyée selon des critères/exigences établis par le CERT/Guichet unique
compte tenu de certains impératifs :
- La protection des réseaux publics des télécommunications contre tout dommage
- La compatibilité électromagnétique spécifique à l’équipement terminal
- La sécurité électronique de l’équipement terminal
- Les effets des rayons non ioniques
- Les règles d’utilisation et d’exploitation du spectre des fréquences radioélectriques
- L'interfonctionnement de l’équipement terminal avec les réseaux publics des
télécommunications
- La sécurité des usagers et du personnel exploitant les équipements
- La sécurité des usagers et du personnel d’exploitation
Toute modification de l’équipement homologué nécessite une nouvelle demande de
l’homologation de l’équipement.
3.2. La mesure de contrôle de la conformité
Le décret gouvernemental n°2020-48 du 23 janvier 2020 a soumis les équipements terminaux
et ceux radioélectriques importés pour les besoins personnels, ou ceux importés à titre
temporaire; ceux importés dans le cadre d’exécution de contrats de marchés publics pour le
compte des opérateurs de télécommunications ou des structures et entreprises publiques pour
leur usage; les prototypes des équipements terminaux des télécommunications et des
équipements radioélectriques importés par les personnes physiques, morales ou les startups,
dans le développement; les pièces de rechange des équipements terminaux des
télécommunications et des équipements radioélectriques homologués; les équipements
terminaux des télécommunications et les équipements terminaux radioélectriques importés
dans le cadre du régime de garantie du vendeur au régime de contrôle de conformité.
Les critères de vérification sont les suivants :
- Exigences techniques d’interfonctionnement avec les réseaux publics
- Règles d’utilisation des fréquences radioélectriques
Seuls les terminaux suivants sont autorisés à être importés par les personnes physiques pour
leur besoin propre :
- Terminal GSM, Poste téléphonique simple, Poste téléphonique DECT ou
CORDLESS, Télécopieur, Récepteur TV-SAT, Convertisseur TV-SAT, Antenne
parabolique pour TV-SAT et modem...
3.3. Les mesures de contrôle technique
Le décret gouvernemental n°2020-48 du 23 janvier 2020 a soumis les équipements
radioélectriques à un regime de contrôle technique auprès de l’ANF.
L'ANF a des attributions suivantes:
- Le contrôle des conditions techniques des équipements radioélectriques et la
protection de l’utilisation des fréquences radioélectrique
L'ANF a le pouvoir d’approbation/autorisation en matière d’équipements radioélectriques sur
:
- Les activités de fabrication, importation, installation, exploitation des équipements
utilisant des fréquences
- Tout transfert, modification ou destruction de ces équipements
L'ANF et les ministres de l’intérieur et de la défense donne l’avis sur l’arrêté du ministre
chargé des télécommunications fixant la puissance maximale et la limite de la portée des
appareils radio.
Les équipements radioélectriques de faible puissance et de portée limitée ne sont pas soumis
à l’autorisation du ministre chargé des télécommunications.
Paragraphe 4. Loi n° 2000-83 du 9 aout 2000, relative aux échanges et au commerce
électroniques
L'un des aspects essentiels de la cybersécurité est la sécurité des échanges dans le
cyberespace.
Cette loi encadre le régime juridique des fournisseurs de services de certification
électronique.
L'accès aux activités de fournisseur des services de certification :
- Le fournisseur de services de certification est une personne physique ou morale de
nationalité tunisienne chargée de l’émission, la délivrance et la conservation de
certificats électroniques
- Exerce ses activités sur autorisation de l’ANCE et un cahier des charges
Les obligations légales à la charge du fournisseur
- Obligation d’assurer la fiabilité et la confidentialité des moyens de l’émission et de la
conservation et de gestion des certificats
- Obligation de tenir un registre des certificats électroniques
- Obligation d’assurer la confidentialités des données des certificats et des données
personnelles y afférentes
Paragraphe 5. Décret n° 2008-3026 du 15 Septembre 2008, fixant les conditions

générales d’exploitation des réseaux publics des télécommunications et des réseaux
d’accès
Ce décret renseigne sur les obligations des opérateurs de réseaux publics de

télécommunications de fournir leurs services dans les meilleures conditions économiques. Il
renseigne également sur les conditions d'installation et d'exploitation de ces réseaux.
Ce décret en outre énonce que les réseaux publics de télécommunications et les réseaux
d'accès doivent être exploités dans des conditions de concurrence loyale, conformément à la
légalité. Les opérateurs des réseaux publics des télécommunications sont tenus de rendre
leurs services dans les meilleures conditions économiques.
Les opérateurs prennent les mesures nécessaires pour garantir la neutralité de ses services vis-
à-vis du contenu des messages transmis sur son réseau et la confidentialité des
correspondances.
L'opérateur prend les mesures nécessaires pour assurer la protection, l'intégrité, et la
confidentialité des données à caractère personnel qu'il détient, qu'il traite ou qu'il inscrit sur le
module d'identification des abonnés
Paragraphe 5. Décret n° 2014-4773 du 26 décembre 2014, fixant les conditions et les

procédures d'octroi d'autorisation pour l’activité de fournisseur de services internet
Ce decret a soumis l’activité de fourniture de services internet au regime d’autorisation accordée par
décision du Ministre chargé des télécommunications et après avis du Ministre de l’Intérieur , de
l’Instance Nationale des Télécommunications et de la commission consultative créée en
l’occurrence.
5.1. Les obligations du fournisseur de service vis à vis de l’Etat
- mettre à la disposition du ministère chargé des télécommunications et de l’Instance Nationale de

Télécommunications toutes les informations relatives aux questions d’ordres techniques,
opérationnelles, financières et comptables conformément aux modalités fixées par l’instance, -
soumettre à l’approbation de l’Instance Nationale de Télécommunications le model du contrat de
service à conclure avec les clients,
- pouvoir répondre aux besoins de la défense nationale et de la sécurité et de la sureté publique

conformément à la législation et la réglementation en vigueurs, - fournir aux autorités compétentes
les moyens nécessaires pour l’exécution de ses fonctions, et dans ce contexte, le fournisseur de
services internet doit obéir aux instructions des autorités judiciaires, militaires et de la sécurité
nationale, - respecter les conventions et les traités internationaux ratifiés par la Tunisie. informer le
publique des conditions générales des offres et de services publier les tarifs de fourniture de chaque
catégorie de service. Les fournisseurs de services internet sont tenus avant de la commercialisation
du service, de présenter une notice portant publicité des tarifs selon les conditions suivantes : - un
exemplaire de la notice est transmis à l’instance nationale de télécommunications au moins quinze
(15) jours avant la commercialisation de toute nouvelle offre envisagée - un exemplaire de la notice
publicitaire définitive librement consultable est mis à la disposition du public de façon électronique
et dans tous les espaces des services concernés
5.2. Les obligations du fournisseur de service envers les clients
- fournir l'accès aux services Internet à tous les demandeurs en utilisant les solutions techniques les
plus efficaces, - mettre à la disposition des abonnés des informations claires concernant l’objet et les
méthodes d’accès au service et de les soutenir en cas de demande,
- fournir un service de réponse aux questions et requêtes des abonnés et leurs suivi à travers un
point focal permanent. prendre les dispositions nécessaires pour assurer la qualité des services qu’il
fournit aux abonnés et de respecter leurs droits résultant du contrat de service conclu avec eux, à
cet effet il est tenu de prendre les mesures nécessaires pour :
- assurer la neutralité de ses services, la confidentialité et l’intégralité des données transmises dans
le cadre des services fournis conformément à la législation et réglementation en vigueur
- assurer la protection, la sécurité et la confidentialité des donnés d’ordre personnel qu’ils gardent
ou traite ou enregistre à l’unité d’identification des abonnés conformément à la législation et
réglementation en vigueur
- la non divulgation aux tiers des données transmises ou détenues, relatives aux abonnés et
notamment celles nominatives, et ce sans l’accord de l’abonné concerné sous réserve des
prescriptions exigées par la défense nationale et la sécurité publique et les prérogatives de l’autorité
judiciaire et par la législation en vigueur
- garantir le droit à tout abonné de ne pas figurer à n’importe quelle base de données nominative du
fournisseur à l’exception de celles relatives à la facturation, - garantir le droit à tout abonné de
s’opposer à l’utilisation des données de facturation le concernant à des fins de prospections
commerciales
- garantir le droit à tout abonné de rectifier les données à caractères personnel le concernant ou de
les compléter ou de les clarifier ou de les mettre à jour, ou de les supprimer
- respecter ses obligations relatives aux conditions de confidentialité et de neutralité dans le cadre
de ses relations contractuelles avec les sociétés de commercialisation de services - fournir un service
d'accompagnement et d'information sur la nature des services à offrir à ses abonnés en assurant la
protection de leurs données à caractère personnel à travers le réseau d'Internet - adopter les
solutions et mécanismes qui permettent d'assurer d'un service de la navigation sécurisée des
enfants sur Internet
- définir le service de la de navigation sécurisée des enfants sur Internet et le prévoir dans les
contrats de services en tant que service au choix qui dépend de la volonté du client - donner aux
abonnés la possibilité de changer leur choix à propos du service de la de navigation sécurisée des
enfants sur Internet et ce à travers des mécanismes simples et instantanés.
- assurer la continuité des services ,selon la nature des contrats à conclure avec ses abonnés, et
garantir la permanence de fonctionnement du matériel et des programmes informatiques exploités
et de prendre les mesures nécessaires pour maintenir le niveau d'indicateurs de qualité de services
Internet prévu par les normes en vigueur à l'échelle nationale et internationale.
Paragraphe 6. Décret n° 2014-412 du 16 janvier 2014, fixant les conditions et les

procédures d'octroi de l'autorisation pour l'exercice de l'activité d'opérateur d'un
réseau virtuel des télécommunications
Pour obtenir l'autorisation d'exercer l'activité d'opérateur de réseau virtuel de
télécommunications en Tunisie, les conditions et démarches suivantes doivent être remplies :
6.1. Conditions:
La personne représentant l'opérateur virtuel doit être de nationalité tunisienne et titulaire d'un
diplôme de l'enseignement supérieur ou équivalent
L'activité d'opérateur de réseau virtuel de télécommunications est soumise à autorisation du
ministre chargé des télécommunications
6.2. Procédures:
L'exploitation d'un réseau virtuel de télécommunications est soumise à autorisation préalable
du ministre chargé des télécommunications.
Pour obtenir l'autorisation, les intéressés doivent déposer une demande auprès du Ministère
des technologies de la communication.
La demande doit comprendre une description des moyens techniques et financiers à la
disposition du demandeur, ainsi qu'un plan d'affaires.
Le ministère des Technologies de la communication examinera la demande et pourra
demander des informations ou des documents supplémentaires.
Si la demande est approuvée, le ministère délivrera une autorisation au demandeur.
6.3. Les obligations de l’opérateur virtuel
Les responsabilités d'un opérateur virtuel de réseau de télécommunications en Tunisie
peuvent inclure les éléments suivants :
- Fournir des services de télécommunications aux clients utilisant le réseau physique
d'un opérateur agréé, tel que Tunisie Telecom
- S'assurer que les services fournis sont de haute qualité et répondent aux besoins des
clients
- Se conformer aux réglementations et lois régissant le secteur des télécommunications
en Tunisie, y compris l'obtention des autorisations et licences nécessaires
- Contribuer au développement du secteur des télécommunications en Tunisie en
investissant dans les infrastructures et en favorisant l'utilisation des TIC
- Participer à des initiatives visant à améliorer la compétitivité du pays et à encourager
les investissements
- Coopérer avec les autres opérateurs du secteur, comme dans le cas de la portabilité
des numéros mobiles, rendue effective entre tous les opérateurs en Tunisie en 2017
- Garantir la sécurité et la confidentialité des données clients et respecter les règles de
protection des données
- Il est important de noter que les responsabilités spécifiques d'un opérateur virtuel
peuvent varier en fonction des termes de son autorisation et de la réglementation en
vigueur à ce moment-là.
Paragraphe 7. Loi n°2005-51 du 27 juin 2005, relative au transfert électronique de fonds
Il est à noter qu'en Tunisie, tous les flux monétaires doivent, sauf cas particuliers, obtenir
l'agrément de la Banque Centrale de Tunisie (BCT)
l'émetteur doit mettre gratuitement à la disposition du public un document reprenant les
conditions contractuelles d'utilisation de l'instrument de transfert électronique.
La loi sur les transferts électroniques de fonds stipule que l'émetteur doit s'assurer de l'identité
du bénéficiaire et vérifier l'instrument de transfert électronique avant d'effectuer l'opération.
Les banques tunisiennes sont tenues d'identifier et de vérifier l'identité des clients
occasionnels et, le cas échéant, des bénéficiaires finaux
Pour les virements à l'étranger via les agences de transfert d’argent, le demandeur doit fournir
des pièces d'identité et se conformer aux obligations légales
Il est possible que certaines banques aient leurs propres procédures spécifiques pour vérifier
l'identité des bénéficiaires avant les transferts électroniques de fonds.
Paragraphe 8. Loi n°94-36 du 24 février 1994 relative à la propriété littéraire et
artistique telle que modifiée par la loi n°2009-33 du 23 juin 2009
La loi n°94-36 du 24 février 1994 encadre la protection des œuvres protégées par le droit
d’auteur venant de la numérisation et des réseaux contre les menaces.
La protection des œuvres à lieu à trois niveaux :
- Protection juridique par le droit d’auteur
- Protection technique par les mécanismes de contrôle de l’accès, usage et traçabilité
- Protection juridique des mesures techniques contre leur contournement
L'INNORPI joue le rôle de régulateur en matière de mesures techniques de protection des
œuvres.
Les différents titres de propriétés industrielle sont :
- Le brevet d’invention : Le brevet peut être déposé en arabe, français ou anglais
auprès de l’INNORPI. L’invention doit respecter les règles de brevetabilité, à savoir
nouveauté, activité inventive et application industrielle, mais l’INNORPI ne vérifie
pas ces conditions. Les brevets étant délivrés aux risques et périls des demandeurs, il
est conseillé de procéder au préalable à une recherche d’antériorité pour éviter toute
insécurité juridique. Le brevet est valable vingt ans à compter de la date de dépôt de la
demande. La Tunisie a adhéré en 2001 au Traité de coopération en matière de brevets
(PCT). Un déposant étranger peut donc étendre la protection de son titre en Tunisie
via un brevet international (délai de priorité de douze mois à compter du premier
dépôt). Cependant, la Tunisie applique le principe de l’épuisement international : le
droit exclusif ne s’étend pas à l’importation sur le territoire tunisien du produit
breveté après que ce produit a été mis, de manière licite, dans le commerce de
n’importe quel pays (par le propriétaire du brevet ou avec son consentement). De
plus, depuis un accord de 2017 entre le gouvernement tunisien et l’Office européen
des brevets (OEB), les brevets européens peuvent être validés en Tunisie.
- La marque: Pour être enregistrée auprès de l’INNORPI, la marque doit être
distinctive, licite et disponible. Il est possible d’effectuer une recherche d’antériorité
sur la base TMView. L’INNORPI peut exercer cette prestation sur demande,
moyennant payement. La marque enregistrée est protégée pour dix ans, renouvelable
indéfiniment. Le Protocole de Madrid est applicable en Tunisie et permet l’extension
des droits depuis ou vers la Tunisie (délai de priorité de six mois à compter du
premier dépôt).
- Le dessin et modèle: L’INNORPI ne réalisant pas d’examen au fond, il revient au seul
déposant de s’assurer du respect des conditions de validité que sont la nouveauté et le
caractère propre. La protection ne peut excéder quinze ans. Le système de La Haye
permet l’extension des titres depuis ou vers la Tunisie (délai de priorité de six mois).
- Les indications géographiques: La Tunisie adhère depuis 1973 à l’arrangement de
Lisbonne concernant la protection des appellations d’origine et leur enregistrement
international. A cela s’ajoutent les indications géographiques ainsi que les indications
de provenance (loi n°99-57 du 28 juin 1999). Un plan national de développement de
l’artisanat 2017-2021 a été lancé, avec pour objectifs la création d’emplois, la
réhabilitation d’établissements artisanaux et l’augmentation de la contribution du
secteur dans le PIB à 6%.
N.B : Le pays dispose par ailleurs d’une législation sur les marques collectives et, pour la
protection de l’environnement, d’un Ecolabel Tunisien.
La Tunisie est membre de l’OMPI depuis 1975 et a ratifié la Convention de Berne pour la
protection des œuvres littéraires et artistiques. L’auteur ainsi que des artistes interprètes ou
exécutants jouissent de droits moraux et patrimoniaux. L’Office tunisien de protection des
droits d’auteurs et des droits voisins (OTDAV), établissement sous tutelle du Ministère de la
culture, fixe les conditions pécuniaires et matérielles d’exploitation des œuvres, et gère la
perception et la répartition des redevances. La protection est accordée à l’œuvre du seul fait
de sa création. Néanmoins, l’OTDAV met à la disposition des créateurs un service de dépôt
des œuvres, qui permet de dater leur création.
Paragraphe 9. Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des
données à caractère personnel
9.1. Les obligations à la charge du responsable du traitement des données personnelles
La loi organique n° 2004 - 63 a mis à la charge du responsable du traitement des données
personnelles un ensemble d’obligations légales :
9.1.1. L’obligation de finalité
L'obligation de finalité implique du traitement implique:
- La détermination préalable des finalités du traitement
- Les traitements doivent être nécessaires compte tenu des finalités exprimées
- Interdiction de dépasser les finalités du traitement affichées pour d’autres motifs non
déclarés
- Principe de proportionnalité entre le contenu et la qualité des données traitées et les
objectifs du traitement
La loi prévoit des exceptions:
- consentement de la personne; le traitement est nécessaire pour préserver un intérêt
vital de la personne; le traitement se fait pour des finalités scientifiques
9.1.2. L’obligation de sécurité et de confidentialité des données
La sécurité est conçue compte tenu des règles de l’art qui sont évolutives.
Cette obligation exige la prise de mesures et de solutions préventives et curatives matérielles
et logicielles.
Il s’agit d’une obligation de résultat.
L'Obligation de sécurité selon le RDDP (art 32)

- obligation de mise en œuvre des mesures techniques et
organisationnelles appropriées afin de garantir un niveau de
sécurité adapté au risque:
- Le recours aux techniques suivantes : la pseudonymisation, le
chiffrement des données; les moyens permettant de garantir la
confidentialité, l'intégrité, la disponibilité et la résilience des
systèmes et des services de traitement; une procédure visant à
tester, à analyser et à évaluer régulièrement l'efficacité des
mesures techniques et organisationnelles pour assurer la sécurité
du traitement.
- Compte tenu de plusieurs paramètres tels que : l'état des
connaissances, des coûts de mise en œuvre et de la nature, de la
portée, du contexte et des finalités du traitement
9.1.3. L’obligation de mise à jour des données traitées

Obligation d’actualiser les données.
Obligation de les corriger en cas d’erreur.
Obligation de les supprimer à la demande de la personne concernée et dans certains cas
prévus par la loi.
La Mise à jour à lieu même en l’absence de demande de la personne concernée.
9.1.4. L’obligation de notification

Le RGPD prévoit une Obligation de notification à l'autorité
de contrôle des violations de DP (art 33)
- Obligation de notifier ces violations dans les meilleurs délais et si
possible dans les 72 heures
- Obligation de documenter tout ce qui se rapporte à la violation et
aux mesures prises
- Obligation de communiquer la violation à la personne concernée si
elle est susceptible d'engendrer un risque élevé pour les droits et
libertés d'une personne physique sauf dans des cas cités par
l’article 34 surtout sil a déjà pris les mesures correctives ou en cas
d’efforts disproportionnés…
9.2. Les droits de la personnes concernée
La loi organique reconnaît aux personnes faisant l’objet

de traitements de données certains droits. Il s’agit
essentiellement du:
- Consentement préalable au traitement
- Droit d’accès
- Droit d’opposition
9.2.1. Consentement préalable au traitement
Le consentement doit accompagner tout le processus de
traitement: il n’intéresse pas uniquement la phase de collecte
des données.
La personne ayant consentie au traitement peut se rétracter à
n’importe quel moment.
La Nécessité d’un nouveau consentement pour le traitement
qui a dépassé la forme ou la finalité du traitement ayant déjà
été consenti.
Le consentement doit préalable au traitement, exprès et par
écrit.
La loi prevoit des exceptions: traitements dans l’intérêt
manifeste de la personne; impossibilité du contact ou si le
contact demande des efforts disproportionnés…
9.2.2. le droit d’accès
La personne concernée a droit d’accéder aux données
personnelles traitées afin d’en prendre connaissance, d’en
prendre copie, de les corriger, de les mettre à jour, de les
modifier, ou de les supprimer.
C'est un droit d’ordre public. Un droit reconnu à la personne
concernée, à ses héritiers et à son tuteur.
C'est un droit qui est exercé gratuitement. Il est exercé par une
demande écrite avec un délai de réponse de 1 mois.
La loi prevoit des exceptions: le traitement est effectué pour des
finalités de recherche scientifique ; les traitements de certaines
personnes publiques; le motif de la limitation tient à la protection de
la personne concernée ou des tiers
9.2.3. Droit d’opposition
La personne concernée a droit d’opposition au traitement, à la
communication ou au transfert des données.
C'est un droit conditionné : pour raisons valables, légitimes et
sérieuses sous le contrôle de l’Instance.
Le droit d’opposition a un effet suspensif.
La loi prévoit des exceptions : le droit d’opposition ne joue pas
lorsque le traitement est prévu par la loi ou le contrat.
9.2.4. Droit à la portabilité des DP : art 20 RGDP
La personne concernée a :
- Droit de recevoir les DP les concernant dans un format structuré,
couramment utilisé et lisible par machine.
- Droit de transmettre ces données à un autre responsable du
traitement
- Droit d'obtenir que les DP soient transmises directement d'un
responsable du traitement à un autre, lorsque cela est
techniquement possible
Ces droits ne s'appliquent pas au traitement nécessaire à l'exécution
d'une mission d'intérêt public ou relevant de l'exercice de l'autorité
publique.
9.2.5. Droit à l’oubli (à l’effacement): art 17 RGDP

La personne concernée a droit de demander l’effacement des DP dans
les meilleurs délais.
Le RGDP oblige le responsable du traitement d’effacer les DP dans les
meilleurs délais dans des cas où: les DP ne sont plus nécessaire ; retrait
du consentement ; exercice du droit d’opposition.
Ce droit ne s’exerce pas si le traitement est nécessaire pour : l’exercice
du droit à la liberté d’expression et d’information; le respect d’ une
obligation légale; à des fins archivistiques dans l'intérêt public, à des fins
de recherche scientifique ou historique ou à des fins statistiques…
La notification à chaque destinataire des DP toute rectification ou tout
effacement de données à caractère personnel effectuée.
9.3. La mise en conformité
La mise en place de la conformité RGDP passe par 6

étapes ( CNIL FR) :
–Désigner un pilote pour gouverner les DP : le délégué
à la protection des DP
–Cartographier les traitements des DP
–Identifier les actions à mener en priorité dans la
conformité
–Gérer les risques à travers la mise en place de
l’analyse d'impact relative à la protection des
données
–Organiser les processus internes: revoir les documents
contractuels et les procédures internes (CGV/CGU,
pavés d’informations, notification des failles de
sécurité, droit d’accès…)…
–Documenter la conformité
Section 2. Les mesures répressives
Nous traiterons dans cette section l'aspect législatif de l'atteinte aux systèmes d’information et
des données. Avec le développement et la généralisation des systèmes informatiques dans
tous les secteurs de la société, le système judiciaire a dû s’adapter à de nouvelles infractions
et délits et mettre en place des mesures pour faire face à ces phénomènes. Ainsi, voici les
principales lois sur le sujet sans se vouloir exhaustif :
Paragraphe 1. Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité
Le décret-loi n° 2023-17 du 11 mars 2023 crée des sanctions aux incriminations suivantes :
1.1. Sanctions administratives
Le ministre chargé des technologies de la communication peut, sur rapport motivé de
l’Agence, dégrader les organismes mentionnés à l'article 6 du présent décret-loi, et classés
aux premier et deuxième niveaux, et ce dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes
d’information.
- Le défaut de remise à l'Agence d'une copie électronique protégée du rapport d'audit
dans le délai mentionné à l'article 8 du présent décret-loi.
- La non-exécution des recommandations du rapport d'audit ou leur exécution partielle
dans un délai n'excédant pas une année.
- Le non-respect des mesures d'urgence prescrites par le point de contact national pour
la réponse aux urgences cybernétiques ou les centres de réponse aux urgences
cybernétiques suite à la survenance d'un incident ou d'une attaque cybernétique.
- Le non-relève des défaillances dans le délai mentionné à l'article 17 du présent décret-
loi.
- La non-création d’un centre de réponse aux urgences cybernétiques ou la non-
adhésion aux centres de réponse aux urgences cybernétiques.
- Le non-respect du référentiel mentionné à l'article 14 du présent décret-loi
1.2. Sanctions financières
Plusieurs sanctions sont, également, prévues dans ce décret en cas d’infraction ; une
amende de cinquante mille (50 000) dinar à cent mille (100 000) dinar les organismes
mentionnés à l’article 6 du présent décret-loi, et classés au troisième niveau, et ce
dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes
d’information.
- La non-exécution des recommandations du rapport d’audit ou leur exécution
partielle dans un délai n’excédant pas une année.
- Le non-respect des mesures d’urgence prescrites par le point de contact
national pour la réponse aux urgences cybernétiques ou les centres de réponse
aux urgences cybernétiques suite à la survenance d’un incident ou d’une
attaque cybernétique.
- Le non-relève des défaillances dans le délai mentionné à l’article 17 du présent
décret-loi.
- La non-création d’un centre de réponse aux urgences cybernétique ou la non
adhésion aux centres de réponse aux urgences cybernétiques.
Paragraphe 2. Décret n° 2008-2639 du 21 juillet 2008, fixant les conditions et procédures

d'importation et de commercialisation des moyens ou des services de cryptages à travers
les réseaux de télécommunications
Le décret crée des sanctions adminstratives aux incriminations suivantes :
- En cas de manquement flagrant aux dispositions du présent décret, le ministre chargé

des télécommunications peut prononcer la suspension immédiate de l’autorisation, et la
régularisation de la situation du contrevenant concerné dans un délai n’excédant pas
deux mois à compter de la date de la suspension.
- Les moyens de cryptage de toutes catégories peuvent être saisis provisoirement, sans
indemnité, par décision du ministre de la défense nationale et du ministre de l’intérieur et
de développement local s’il s’avère que l’utilisation de ces moyens perturbe la défense
nationale et la sécurité publique, et du ministre des technologies de la communication s’il
s’avère que l’utilisation de ces moyens perturbe la sécurité des réseaux de
télécommunications.
Paragraphe 3. Loi n° 2000-83 du 9 aout 2000, relative aux échanges et au commerce

électroniques
Le loi crée des sanctions aux incriminations suivantes :
3.1. Sanctions administratives

- L'autorisation est retirée du fournisseur de services de certification électronique et son
activité est arrêté s'il a failli à ses obligations prévues par la présente loi ou ses textes
d'application. L'agence nationale de certification électronique retire l'autorisation après
audition du fournisseur concerné.
3.2. Sanctions pénales
- Est puni d'une amende de 1.000 à 10.000 dinars tout fournisseur de services de certification
électronique qui n'a pas respecté les dispositions du cahier des charges prévu à l'article 12 de
la présente loi.
- Quiconque exerce l'activité de fournisseur de services de certification électronique sans
avoir obtenu une autorisation préalable conformément à l'article 11 de la présente loi est puni
d'un emprisonnement de deux mois à trois ans et d'une amende de 1.000 à 10.000 dinars ou
de l'une de ces deux peines.
- Est puni d'un emprisonnement de six mois à deux ans et d'une amende de 1.000 à 10.000
dinars ou de l'une de ces deux peines qui aura fait sciemment des fausses déclarations au
fournisseur de services de certification électronique ainsi qu'à toute partie à laquelle il a
demandé de se fier à sa signature.
- Est puni d'un emprisonnement de six mois à deux ans et d'une amende de 1.000 à 10.000
dinars ou de l'une de ces deux peines celui qui utilise de manière illégitime les éléments de
cryptage personnels relatifs à la signature d'autrui.
- Loi n°200-83 du 9 août 2000, relative aux échanges et au commerce électronique 10 Toute
personne contrevenant aux dispositions des articles 25, 27, 29, du deuxième paragraphe de
l'article 31 de l'article 34 et du premier paragraphe de l'article 35 de la présente loi est puni
d'une amende de 500 à 5000 dinars.
- Sans préjudice des dispositions du code pénal, quiconque aura abusé de la faiblesse ou de
l'ignorance d'une personne pour lui faire souscrire, dans le cadre d'une vente électronique, des
engagements au comptant ou à crédits sous quelque forme que ce soit, sera puni d'une
amende de 1000 à 20.000 dinars, lorsque les circonstances montrent que cette personne n'était
pas en mesure d'apprécier la portée des engagements qu'elle prenait ou de déceler les ruses ou
artifices déployés pour la convaincre à y souscrire ou font apparaître qu'elle a été soumise à
une contrainte.
- Toute personne contrevenant aux dispositions des articles 38 et 39 est punie d'une amende
de 1.000 à 10.000 dinars.
- Sont punis selon l'article 254 du code pénal le fournisseur de services de certification
électronique et ses agents qui divulguent, incitent ou participent à divulguer les informations
qui leur sont confiées dans le cadre de l'exercice de leurs activités, à l'exception de celles dont
la publication ou la communication sont autorisées par le titulaire du certificat par écrit ou par
voie électronique ou dans les cas prévus par la législation en vigueur.
- Sans préjudice des droits des victimes à réparation, le ministre chargé du commerce peut effectuer
des transactions concernant les infractions prévues à l'article 49 de la présente loi et qui sont
constatées conformément aux dispositions de la présente loi.
- Sans préjudice des droits des victimes à réparation, le ministre chargé d61-la tutelle de l'agence
nationale de certification électronique peut effectuer des transactions concernant les infractions
prévues à l'article 45 de la présente loi, et qui sont constatées conformément aux dispositions de la
présente loi.
- Sans préjudice des droits des tiers, les modalités et procédures des transactions sont celle prévues
par les textes en vigueur régissant le contrôle économique, notamment la loi n°91-64 du 29 juillet
1991 relative à la concurrence et aux prix, ensemble les textes qui l'ont complété et modifié.
Paragraphe 4. Décret n° 2014-4773 du 26 décembre 2014, fixant les conditions et les

procédures d'octroi d'autorisation pour l’activité de fournisseur de services internet
En cas de défaillance grave ou de manquement flagrant aux dispositions du présent décret,

le Ministre des télécommunications, sur la base d’un rapport établi par l’Instance Nationale
de Télécommunication, peut prononcer la suspension immédiate de l’activité et convoquer
le fournisseur de services internet pour présenter ses observations relatives aux faits qui lui
sont imputés devant la commission qui établit un rapport motivé avec le règlement de la
situation de l’exploitant dans un délai ne dépassant pas un mois à compter de la date de la
date de la suspension Conformément aux dispositions de la Section 2.du chapitre 6 du Code
des télécommunications des sanctions pénales, consistant soit en des amendes soit en des
peines privatives de liberté ou bien les deux sanctions cumulativement quiconque installe
ou exploite un réseau public des télécommunications sans avoir obtenu la licence et toute
personne qui fournit des services des télécommunications au public sans avoir obtenu
l’autorisation ou continue à fournir les services après le retrait de ladite autorisation .
Les dispositions du Code pénale et les sanctions prévues dans son article 253 s’appliquent à
quiconque divulgue, incite ou participe à la divulgation du contenu des communications et
des échanges transmis à travers les réseaux des télécommunications.
Le fournisseur de services Internet peut faire l’objet des sanctions pénales prévues dans les
législations régissant la presse, la propriété littéraire et artistique, la concurrence et aux prix,
la protection du consommateur et la protection des données personnelles dans tous les cas
où il résulte des pratiques inhérentes à son activité une infraction aux dispositions et règles
prescrites dans ces législations.
Paragraphe 5. Décret n° 2014-412 du 16 janvier 2014, fixant les conditions et les

procédures d'octroi de l'autorisation pour l'exercice de l'activité d'opérateur d'un
réseau virtuel des télécommunications
Ce décret crée les sanctions administratives aux incriminations suivantes:
- En cas de défaillance grave ou de manquement flagrant aux dispositions du présent décret,
le ministre chargé des télécommunications, sur la base d'un rapport établi par l'instance
nationale des télécommunications, peut prononcer la suspension immédiate de l'activité et
convoquer l'opérateur du réseau virtuel de télécommunications pour présenter ses
observations relatives aux faits qui lui sont infligés devant la commission qui établit un
rapport motivé à propos du règlement de la situation de l'opérateur dans un délai ne dépassant
pas un mois à partir de la date de la suspension.
- L'autorisation est retirée d'une manière automatique de l'opérateur de réseau virtuel de
télécommunications dans les cas suivants : la dissolution ou la faillite de la personne morale,
et la résiliation du contrat avec les opérateurs des réseaux publics de télécommunications.
Paragraphe 6. Loi n°2005-51 du 27 juin 2005, relative au transfert électronique de fonds
Cette loi crée des sanctions pénales aux incriminations suivantes :
Est puni d'un emprisonnement de dix ans et d'une amende de dix mille dinars quiconque :
- falsifie un instrument de transfert électronique de fonds,
- utilise en connaissance de cause un instrument de transfert électronique de fonds
falsifié,
- accepte en connaissance de cause un transfert par l'utilisation d'un instrument de
transfert électronique de fonds falsifié.
Est puni d'un emprisonnement de trois ans et d'une amende de trois mille dinars, quiconque
utilise un instrument de transfert électronique de fonds sans l'accord de son titulaire.
Paragraphe 7. Loi n°94-36 du 24 février 1994 relative à la propriété littéraire et
artistique telle que modifiée par la loi n°2009-33 du 23 juin 2009
La présente loi vise à préserver les droits des créateurs. L’offre de moyens illicites de mise à
disposition du public d’œuvres ou objets protégés est réprimée. Les éditeurs et les distributeurs de
logiciels dédiés ou utilisés dans ce but sont désormais passibles du délit de contrefaçon.
Malgré un arsenal juridique de bonne qualité, la Tunisie est un marché favorable à la

contrefaçon : un pouvoir d’achat limité de la population locale, un marché informel très
important, une destination touristique, des frontières vulnérables. Les domaines du luxe, des
articles de sport et du textile sont très touchés par une contrefaçon le plus souvent importée,
mais d’autres secteurs tels que les pièces détachées automobiles, la cosmétique, les produits
électriques sont aussi fortement impactés et représentent de grands dangers pour des
consommateurs peu informés. A l’instar de ses voisins, la Tunisie éprouve également de
grandes difficultés face à l’importance de la piraterie dans les domaines artistiques et
informatiques.
Le propriétaire d’une marque antérieure (ou le bénéficiaire d’un droit exclusif d’exploitation)
peuvent s’opposer à l’enregistrement d’une marque dans les deux mois qui suivent sa
publication. Le système d’opposition repose sur la conciliation, et la majorité des litiges sont
réglés auprès de l’INNORPI par un accord amiable.
Le Code des douanes dote les services douaniers d’un pouvoir d’investigation et de
constatation assez large en matière de contrefaçon. Ils peuvent, de leur propre initiative,
suspendre le dédouanement de marchandises et procéder à des saisies. Le propriétaire d’une
marque enregistrée peut réclamer auprès des douanes (exigence de motifs sérieux) la
suspension du dédouanement à l’importation de marchandises supposée contrefaisantes. Si
les services des douanes constatent que des marchandises correspondent en effet à celles
indiquées dans la demande, ils procèdent à la rétention de ces marchandises. Ils transmettent
ensuite toutes les informations à leur disposition au propriétaire de droits, qui dispose d’un
délai de dix jours pour engager une action en justice.
La contrefaçon engage la responsabilité civile et pénale de son auteur. Le président du
tribunal, saisi en référé, peut interdire sous astreinte la poursuite des actes de contrefaçon (ou
supposés comme tels). Il peut aussi subordonner la poursuite de ces actes à la constitution de
garanties permettant l’indemnisation du propriétaire de la marque. Si le jugement reconnaît
que des marchandises sont contrefaisantes, le tribunal ordonnera leur destruction, ou bien leur
exclusion du circuit commercial (à condition de ne pas porter atteinte aux droits du titulaire
de la marque). Le délit simple de contrefaçon est puni d'une amende de 5 000 à 50 000 dinars
pour un brevet, et de 10 000 à 50 000 dinars pour une marque [entre 1 500 et 15 000 euros].
En cas de récidive, une peine d’emprisonnement de un à six mois peut être prononcé outre
l'amende qui est portée au double. Par ailleurs, une action en concurrence déloyale peut être
intentée par le titulaire de la marque si celui-ci prouve que des faits distincts de la contrefaçon
lui ont causé un préjudice (notamment dans le cas où la marque n’a pas été déposée en
Tunisie). Mode de règlement alternatif des conflits : La législation tunisienne en matière de
propriété industrielle prévoit que les dispositions relatives à la contrefaçon et à ses sanctions
ne font pas obstacle au recours à l’arbitrage. Un tel recours est encadré par le Code de
l’arbitrage.
Au sein du ministère du commerce, la direction générale de la concurrence et des enquêtes
économiques couvre, entre autres, la lutte contre la contrefaçon et l’application des normes.
Elle peut déclencher des enquêtes aboutissant parfois à des sanctions. Le ministère du
commerce supervise par ailleurs le Conseil national de lutte contre la contrefaçon, un
partenariat public-privé à vocation consultative. Outre ses devoirs de sensibilisation et de
coopération, il est chargé principalement de donner son avis sur les programmes nationaux de
lutte anti-contrefaçon, et d’en coordonner les différents acteurs.
Paragraphe 8. Loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des
données à caractère personnel
Cette loi prévoit des sanctions en cas violations de ses dispositions suivantes :
Sanctions administratives :
- Retrait ou suspension de l’autorisation
- Interdiction de traitement
Sanctions pénales :
- Les amendes
- L’emprisonnement
Paragraphe 9. Code de telecommunications
La code sus-évoqué réprime un certain nombre de comportements à l’occasion de l’usage des
télécommunications dans son chapitre 6. Cette répression est prévue aux articles 81, 82, 83,
84, 85, 86, 87.
L’article 89 du code sous examen, prévoit une procédure spéciale pour les infractions en
matière de communication. Ainsi donc, au terme de l’article susmentionné, « les infractions
en matière des télécommunications prévues à l’article 81 donnent lieu à une procédure de
transaction. Le Ministre chargé des télécommunications peut transiger avec le contrevenant et
faire payer une amende transactionnelle.
Paragraphe 10. Décret-loi n° 2022-54 du 13 septembre 2022, relatif à la lutte contre les
infractions se rapportant aux systèmes d'information et de communication
Le Decret-Loi no. 2022-54 prévoit les infractions suivantes :
 Violation de l’intégrité des systèmes d’informations et des données et de leur

confidentialité (articles 16 - 21);
 Fraude informatique (article 22);
 Falsification informatique (article 23);
 Rumeurs et fausses nouvelles (article 24), qui n'est pas prévue par la Convention de
Budapest;
 Accès illégal aux contenus protégés (article 25);
 Exploitation des enfants (article 26);
 Répression du manquement aux obligations de la collecte des preuves électroniques
(articles 27-31);
 Responsabilité pénale des personnes morales et leurs dirigeants (article 32).
 Dommages causés aux systèmes informatiques dans le cadre d’un projet terroriste
(article 14 de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le
terrorisme et la répression du blanchiment d’argent).
 Divulgation du contenu des communications et des échanges électroniques (article
85 du Code des télécommunications).
 Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes
(particulièrement articles 50 à 55 de la loi n° 94-36 du 24 février 1994 relative à la
propriété littéraire et artistique, trois autres lois adoptées en 2001 règlementant la
protection des marques de fabrique, de commerce et de service ; la protection des
dessins et modèles industriels ; et la protection des schémas de configuration des
circuits intégrés).
Paragraphe 11. Code pénal
Il s’agit de la loi n°99-89 du 02 aout 1999 modifiant certaines dispositions du code pénal,
notamment dans ses articles 199 bis 199 ter. En effet, cette loi ne réprime que partiellement
les infractions qui sont prévues par la Convention de Budapest.
Ainsi donc, cette loi incrimine quatre types d’infractions, à savoir :
- L'infraction d’accès et du maintien frauduleux dans un système informatique
- L'infraction d’introduction de données dans un système informatique
- L'infraction de faux informatique
Chapitre 2 : Les organismes de réglementation, de contrôle et de répression impliquées dans la
lutte contre les cyber-crimes
Nous allons présenter dans ce chapitre les principaux agences techniques existants dans le cadre de la lutte
contre les cybercrimes touchant les données (section I) et les juridictions compétentes pour leur répression
(section2).
Section 1. Les agences techniques
Paragraphe I. Au niveau national
La cybercriminalité est reconnue par beaucoup d’experts comme étant la nouvelle forme de
criminalité du 21ème siècle. Dès lors, pour la contrôler, la Tunisie a mis en place de nouveaux organes
de lutte. En voici quelques exemples :
Nous développerons rapidement leurs rôles et les actions qu'ils peuvent entreprendre.
1.1. l'agence nationale de la cybersécurité
l'agence nationale de la cybersécurité effectue un contrôle général des systèmes

informatiques et des réseaux relevant des divers organismes publics et privés. Elle est
chargée des missions suivantes (article 5 du Décret-loi n° 2023-17 du 11 mars 2023, relatif à
la cybersécurité
):
- Elaborer et mettre à jour les politiques et mécanismes de gouvernance et de la sécurité
de l’espace cybernétique national et les mettre à la disposition des secteurs et
organismes concernés.
- Suivre la mise en œuvre des plans d’actions pour la sécurité de l’espace cybernétique
national concernant :
- Les mesures proactives pour éviter les menaces délibérées et accidentelles sur
l’espace cybernétique national.
- Les mesures préventives pour se protéger contre les risques cybernétiques.
- Les mécanismes de détection et de signalement instantanés des incidents et des
attaques cybernétiques.
- La réponse urgente en cas d’urgences pour faire face aux attaques cybernétiques et
atténuer leurs impacts.
- La reprise rapide suite à effets des incidents et des attaques cybernétiques pour assurer
la continuité de l’activité.
- L’enquête et l’investigation numérique pour diagnostiquer les incidents et déterminer
les responsabilités en relation avec la cyber sécurité.
- Elaborer et suivre la mise en œuvre des programmes de développement des
compétences dans le domaine de la cybersécurité à travers :
- La participation à l’élaboration des programmes académiques et professionnels
spécialisés dans le domaine de la cyber sécurité.
- La validation des programmes de formation dans le domaine de la cyber sécurité et
leur publication sur le site officiel de l'Agence.
- L’organisation des sessions de formations spécialisées dans le domaine de la
cybersécurité.
- Elaborer et publier les référentiels, les modèles et les guides liés à la cybersécurité
dont les organismes publics et privés doivent adopter.
- Elaborer les indicateurs de mesure du niveau national de cybersécurité et publier les
tableaux de bord de façon périodique.
- Mener des campagnes périodiques de communication et de sensibilisation dans le
domaine de la cybersécurité, notamment lors des crises cybernétiques.
- Assurer la veille technologique et suivre les évolutions dans le domaine de la
cybersécurité,
- La coopération internationale et la coordination avec les structures étrangères
officielles compétentes conformément aux accords conclus à cet effet à l’échelle
bilatérale, régionale et internationale.
Aussi, elle gère le tunCERT, le centre d'assistance et de soutien en matière de sécurité
informatique (Computer Emergency Response Team).
Ce centre offre gratuitement l'assistance nécessaire aussi bien aux citoyens

qu’aux professionnels concernant tous les problèmes ayant trait à la sécurité
des systèmes d’information et veille à la disponibilité des moyens appropriés,
aptes à assurer la protection de l’espace cybernétique national. Il vise aussi à
informer et sensibiliser la communauté nationale sur les menaces de sécurité et
la guider sur les moyens de s’en protéger.
1.2. L’Agence Technique des Télécommunications

L’Agence Technique des Télécommunications a également de larges pouvoirs. Le décret n
2013-4506 du 6 novembre 2013, relatif à sa création dispose notamment :
Art. 2 - L'agence technique des télécommunications assure l'appui technique aux
investigations judiciaires dans les crimes des systèmes d'information et de la
communication, elle est à cet effet chargée des missions suivantes:
 La réception et le traitement des ordres d'investigation et de constatation des crimes
des systèmes d'information et de la communication issus du pouvoir judiciaire
conformément à la législation en vigueur.
 La coordination avec les différents opérateurs de réseaux publics de
télécommunications et opérateurs de réseaux d'accès et tous les fournisseurs de
services de télécommunications concernés, dans tout ce qui relève de ses missions
conformément à la législation en vigueur.
 L'exploitation des systèmes nationaux de contrôle du trafic des télécommunications
dans le cadre du respect des traités internationaux relatifs aux droits de l'Homme et
des cadres législatifs relatifs à la protection des données personnelles.
Art. 6 - Il est créé au sein de l'agence technique des télécommunications, un comité de suivi
qui veille à la bonne exploitation des systèmes nationaux de contrôle du trafic des
télécommunications dans le cadre de la protection des données personnelles et des libertés
publiques, elle est chargée à cet effet de :
 la réception et qualification technique les ordres d'investigation et de constatation

des crimes des systèmes d'information et de la communication issus du pouvoir
judiciaire conformément à la législation en vigueur,
 le transfert des ordres d'investigation et de constatation aux services spécifiques de
l'agence ou ordonner leur renvoi aux structures concernées avec obligation de
motivation,
 le suivi de l'exécution technique des ordres d'investigation et de constatation,
 ordonner le transfert des résultats des ordres d'investigation et de constatation aux
structures concernées conformément à la législation en vigueur en matière de
confidentialité et de protection des données personnelles,
 le transfert de rapports annuels sur le traitement des ordres d'investigation et de
constatation des crimes des systèmes d'information et de la communication, au
conseil investi du pouvoir législatif.
Paragraphe 3. l'Agence Nationale de Certification Électronique
Il existe également l'Agence Nationale de Certification Électronique (TUNTRUST), créée par
la loi n°2000-83 du 9 Août 2000 et dont les missions sont les suivantes :
 La signature et le cryptage des messages électroniques.

 La sécurisation des transactions et des échanges électroniques.
 La fourniture des clés pour les Réseaux Privés Virtuels (VPNs).
 L'homologation des systèmes de cryptage.
 La sécurisation des échanges effectués par les entreprises.
 L'analyse des risques pour une entreprise.
 Les services d'horodatage.
Paragraphe 4. L’Instance nationale de télécommunications
L'Instance Nationale des Télécommunications (INT) est une autorité administrative

indépendante en Tunisie qui a été créée pour réguler le secteur des télécommunications
Voici les principales missions et actions de l'INT :
- Gérer le plan national de numérotation et d'adressage pour assurer la couverture des
besoins des utilisateurs
- Réaliser es mesures d'observation et de contrôle pour garantir la qualité des services
de télécommunications offerts aux utilisateurs
- Lancer des appels d'offres pour l'acquisition d'équipements informatiques
- Protéger les droits des consommateurs et assainir le marché des télécommunications
- Recevoir les plaintes des consommateurs et les traiter
- Réguler les relations entre les opérateurs et les installateurs de télécommunications
En résumé, l'INT a pour mission de réguler le secteur des télécommunications en Tunisie, de
garantir la qualité des services offerts aux utilisateurs, de protéger les droits des
consommateurs et d'assainir le marché.
Paragraphe 5. L’instance nationale de protection des données à caractère personnel
L'Instance Nationale de Protection des Données à Caractère Personnel (INPDP) en Tunisie
est chargée de veiller au respect des dispositions de la loi relative à la protection des
données en mettant en œuvre les moyens nécessaires à l'exercice de son mandat, tels que
des manuels de procédures, des formations et des campagnes de sensibilisation
Elle est également chargée d'accorder les autorisations, de recevoir les déclarations et de
traiter les plaintes relatives à la protection des données personnelles
L'INPDP dispose de la personnalité morale et jouit de l'autonomie financière.
Ses missions principales sont les suivantes:
- Accorder les autorisations
- Recevoir les déclarations
- Traiter les plaintes relatives à la protection des données personnelles
- Veiller au respect des dispositions de la loi relative à la protection des données
- Mettre en œuvre les moyens nécessaires à l'exercice de son mandat, tels que des
manuels de procédures, des formations et des campagnes de sensibilisation
- Élaborer des outils de formation et de sensibilisation à la protection des données à
destination des professionnels de la santé ou de la presse par exemple
Le Conseil de l'Europe propose son expertise législative afin d'accompagner l'alignement des
nouvelles dispositions législatives avec les normes internationales et européennes en
matière de protection des données personnelles, notamment la Convention pour la
protection des personnes à l'égard du traitement automatisé des données à caractère
personnel (Convention 108) et son Protocole additionnel (CETS 181) ratifiés par la Tunisie en
juillet 2017
Paragraphe 2. au niveau international
Les Etats du monde ont rapidement compris que pour être efficace, la lutte contre la cybercriminalité
devrait être mondiale. Ainsi donc, plusieurs organes ont été créés, entre autre :
2.1. INTERPOL
International police (INTERPOL) : crée le 7 septembre 1923 dans le but de promouvoir la coopération
policière internationale. C’est une organisation internationale de police criminelle (OIPC) ayant pour
siège dans la ville de Lyon en France ;
2.2. Cybersud
Le Conseil de l'Europe a un projet appelé CyberSud, qui vise à améliorer la coopération

internationale dans la lutte contre la cybercriminalité dans la région sud de la Méditerranée. Le
projet comprend des ateliers sur la coopération internationale en matière de cybercriminalité pour
les juges et les procureurs, et la Tunisie est l'un des pays bénéficiaires
2.3. ONUDC
L'Office des Nations Unies contre la drogue et le crime (ONUDC) a fourni à la Tunisie des
équipements et des logiciels forensic pour aider à arrêter la cybercriminalité. L'ONUDC travaille avec
des partenaires nationaux et internationaux en Tunisie
Section 2. les juridictions
Il a été constaté que, en droit tunisien, les infractions cybernétiques sont punissables soit d’une peine
d’emprisonnement et d’une amende. Par conséquent, les juridictions suivantes restent compétentes. A
savoir : le tribunal de premier instance, la cour d’appel et la cour de cassation.
Toute infraction donne ouverture à une action publique ayant pour but l'application des peines et, si
un dommage a été causé, à une action civile en réparation de ce dommage. Ainsi l’action publique
est l’œuvre du procureur et le juge d'instruction.
Paraparaphe 1. Le procureur et le juge d’instruction

Le procureur de la République, le juge d’instruction ou les officiers de la police judiciaire
autorisés par écrit, sont habilités à ordonner :
- De leur fournir les données informatiques stockées dans un système ou support
informatique ou celles relatives au trafic des télécommunications ou à leurs
utilisateurs, ou autres données pouvant aider à révéler la vérité.
- De saisir un système d’information en totalité ou en partie ou un support
informatique y compris les données stockées pouvant aider à révéler la vérité. Si la
saisie du système d’information s’avère non nécessaire ou impossible à réaliser, les
données en relation avec l’infraction ainsi que celles permettant leur lecture et leur
compréhension seront copiées sur un support informatique de manière à assurer
l’authenticité et l’intégrité de leur contenu.
- De collecter ou enregistrer en temps réel les données relatives au trafic des
télécommunications par l’usage des moyens techniques appropriés.
Dans les cas où la nécessité de l'enquête l’exige, le procureur de la République ou le juge
d'instruction peut recourir à l’interception des communications des suspects, en vertu d’une
décision écrite et motivée. Dans les mêmes cas, sur rapport motivé de l’officier de police
judiciaire habilité à constater les infractions, l’interception des communications des suspects
peut également avoir lieu, et ce, en vertu d’une décision écrite et motivée du procureur de
la République ou du juge d'instruction.
Paragraphe 2. La coopération avec les agences techniques
Ils sont aussi habilités à accéder directement ou avec l’assistance des experts à tout système
ou support informatique et procéder à une investigation afin d’obtenir les données stockées
pouvant aider à révéler la vérité.
Les services compétents du ministère de la défense nationale et du ministère de l'intérieur
assurent l’opération de saisie, sa localisation et le processus d'accès aux systèmes
d'information, aux données, aux informations stockées, aux logiciels et à tous ces supports
relatifs aux deux ministères, chacun selon son domaine de compétence.
L’interception des communications comprend l’obtention des données d’accès, l'écoute, ou
l’accès au leur contenu, leur reproduction, leur enregistrement à l'aide des moyens
techniques appropriés et en recourant, en cas de besoin, aux structures compétentes,
chacun selon le type de prestation de service qu'il fournit.
Partie 2 : les limites du cadre juridique tunisien sur la cybercriminalité face à la protection des
données
Chapitre 1 : Les difficultés liées à une mise en œuvre efficace de la réglementation sur la
cybercriminalité en Tunisie
Section 1 : Difficultés liées à la nature transfrontalière des cybercrimes
La lutte contre la cybercriminalité, forme de délinquance ignorant les frontières, exige

nécessairement une coopération internationale. Le continent européen est en pointe dans cette
lutte et bénéficie de l’action du Conseil de l’Europe et de l’Union européenne dont la coopération
policière et judiciaire est de plus en plus intégrée.
Paragraphe 1. Le cyber crime n’est pas un crime simple – il est transfrontalier - dimension
international
Le principe de territorialité de la loi pénale donne compétence au juge répressif dès lors
qu’une infraction est commise sur le territoire national, quelle que soit la nationalité des
auteurs ou des victimes 1 , même si la jurisprudence admet la compétence des juridictions
françaises lorsque l’infraction commise à l’étranger a développé ses effets en France. Aussi,
quand une enquête est ouverte en France, c’est généralement parce que les victimes s’y
trouvent. Les auteurs eux-mêmes peuvent aussi s’y trouver, comme l’a montré cette affaire
dans laquelle deux jeunes Français de 21 ans ayant envoyé des millions de messages
électroniques de chantage à la vidéo intime (sextorsion) ont été arrêtés en France, fin
décembre 2019, après que 28 000 personnes eurent signalé cette arnaque, et plus de 2 000
d’entre elles déposé plainte. De même, les effets d’une décision de condamnation sont
limités au territoire de l’État où elle a été rendue. De ce fait, un jugement de condamnation
étranger n’est normalement pas exécutoire en France. Or, la cybercriminalité est, par
essence, un phénomène international : Internet permet de réaliser très rapidement quantité
de délits dans plusieurs États. Le cyberespace s’affranchit par nature de toutes les frontières
étatiques, d’autant plus que les cyberdélinquants ont tendance à commettre leurs délits
dans des pays où la législation est embryonnaire, voire inexistante. Ainsi, beaucoup de
cybercriminels se trouvent à l’étranger, en particulier en Europe de l’Est – « Hackerville » est
le surnom donné par la presse américaine à la ville roumaine de Ramnicu Vâlcea qui, selon
elle, serait la capitale mondiale du vol sur Internet et où le FBI a envoyé une équipe épauler
la police locale – dans l’ancien espace soviétique, ainsi qu’en Afrique. La directrice générale
de Tracfin a par exemple expliqué que des centres d’appel se situant à l’étranger pouvaient
organiser des escroqueries prenant la forme de faux investissements prétendument très
rentables, dans des produits tels que des forêts, des terres rares ou des diamants, en
incitant les victimes à s’enregistrer sur des sites Internet situés au Moyen-Orient, en Israël,
en Europe de l’Est, voire au Royaume-Uni. Il en est de même pour les atteintes sexuelles
contre les mineurs sur Internet, qui impliquent très souvent des individus, les victimes en
particulier, se trouvant non seulement hors du territoire national, mais aussi hors du
territoire européen, en Asie en général. Cette situation constitue un obstacle au traitement
de ces affaires. Ainsi, tant les services enquêteurs que judiciaires peuvent se heurter aux
frontières nationales et au principe de souveraineté dès lors que les États concernés ne
veulent, ou ne peuvent, coopérer loyalement. Il existe également des zones de non droit,
propices à la prolifération d’activités illégales de toutes sortes, y compris dans le
cyberespace. Par exemple, des cybercriminels se sont installés en Crimée depuis l’annexion
illégale de ce territoire ukrainien par la Russie en 2014. Ils se trouvent ainsi à l’abri de toute
procédure de coopération judiciaire : l’Ukraine n’a plus autorité sur ce territoire, et il est
diplomatiquement inenvisageable d’émettre une demande à la Russie… L’une des difficultés
dans la lutte contre la cybercriminalité est que cette forme de délinquance mondiale défie
les règles classiques de compétence législative fondées en grande partie sur la souveraineté
étatique : les États sont libres dans l’organisation de leur système répressif de telle sorte
qu’une multitude de règles pénales nationales cohabitent, ce qui pose problème en cas
d’infraction concernant plusieurs États à la fois. Le caractère international des infractions
cybercriminelles est souvent source de difficultés pour déterminer la juridiction
territorialement compétente pour juger de l’affaire. Le traitement judiciaire de la
cybercriminalité appelle régulièrement des investigations transfrontalières. Celles-ci sont
rendues d’autant plus complexes que des informations doivent parfois être sollicitées
auprès d’opérateurs étrangers ou dont les activités sont situées en territoire étranger, tels
que les GAFAM1 , dont le siège se trouve aux États-Unis, ainsi qu’auprès des hébergeurs
importants basés en Suisse. Au total, les cybercriminels paraissent souvent insaisissables. Ils
ne le sont cependant pas toujours, y compris les plus importants d’entre eux. Ainsi, le 23
janvier dernier, deux juges d’instruction du pôle financier du tribunal judiciaire de Paris ont
obtenu de la Grèce l’extradition du Russe Alexander Vinnik, un grand délinquant du
darkweb, également recherché par les États-Unis et la Russie. Dès son arrivée en France, il a
été mis en examen pour blanchiment aggravé, association de malfaiteurs et piratage
informatique en bande organisée. Il est soupçonné de blanchiment d’argent sur la
plateforme d’échange de bitcoins BTC-e, dont il est le fondateur, qui aurait été la plus
grande « lessiveuse » de capitaux de la planète, avec un préjudice se chiffrant en milliards
de dollars. La Russie a demandé son extradition à la France.
Paragraphe 2. Manque de coopération et d’entraide international
Face aux limites de la coopération internationale classique, le Conseil de l’Europe a mis en
place une convention innovante dont la portée universelle inspire les législations et les
pratiques au-delà du Vieux Continent. Dans ce schéma d’ensemble, il est essentiel que
l’Union européenne continue de coopérer étroitement avec le Royaume-Uni pour lutter
contre la cybercriminalité.
2.1. Manque de coopération internationale
La convention de Budapest, « l’un des plus beaux succès du Conseil de l’Europe » La sécurité
de l’espace numérique se négocie dans un contexte mondial marqué par des intérêts et des
objectifs divergents. Si l’Europe se positionne en faveur d’un Internet ouvert, ce n’est pas
nécessairement le cas de certains de ses partenaires. Les négociations de conventions
internationales en matière numérique sont rendues plus complexes par ce facteur
géopolitique. C’est pourquoi elles aboutissent généralement à des textes de portée
générale, dont le champ géographique est seulement régional ; tel est le cas, par exemple,
de la convention de Malabo sur la lutte contre la cybercriminalité, qui concerne l’Afrique.
L’Union européenne, quant à elle, dispose d’une réglementation de plus en plus large en
matière de cybercriminalité et de cybersécurité (cf. infra), mais pas d’un traité global. C’est
pourquoi elle soutient la convention sur la cybercriminalité du 23 novembre 2001, dite
convention de Budapest, établie dans le cadre du Conseil de l’Europe, seul traité à portée
universelle sur ce sujet. Son objectif principal est de poursuivre une politique pénale
commune destinée à protéger la société de la criminalité dans le cyberespace, notamment
par l’adoption d’une législation appropriée et l’amélioration de la coopération
internationale. Certains États contestent toutefois le caractère universel de la convention de
Budapest. Ainsi, à l’initiative de la Russie, l’Assemblée générale de l’ONU a, le 27 décembre
2019, adopté une résolution visant à établir une convention des Nations unies en matière de
lutte contre la cybercriminalité. L’Union européenne et ses États membres s’étaient alors
opposés à ce texte, estimant que le cadre juridique international actuel était suffisant et
qu’il convenait de porter les efforts de la communauté internationale sur le développement
de législations nationales et le renforcement des capacités. Depuis l’adoption de cette
résolution, l’Union et ses États membres se coordonnent pour éviter que le nouveau
processus de négociation pour une convention des Nations unies ne remette en cause
l’équilibre nécessaire entre renforcement des moyens dédiés à la lutte contre la
cybercriminalité et respect des droits fondamentaux et de l’État de droit, qui prévaut
actuellement dans le cadre de la convention de Budapest. La convention de Budapest est
ouverte à l’ensemble des pays, audelà des 47 États membres du Conseil de l’Europe – la
Russie ne l’a ni signée ni ratifiée, contrairement à la Turquie. Elle compte d’ailleurs
actuellement 65 États parties, dont les États-Unis, et une centaine de pays s’inspireraient de
ses dispositions dans leur législation nationale. Deux États membres de l’Union européenne
l’ont seulement signée sans la ratifier : la Suède et l’Irlande. Cette convention, sans donner
de définition de la cybercriminalité, aborde ce phénomène sous deux angles : celui du droit
pénal, en visant des infractions qui doivent être intégrées dans la législation nationale des
États parties, et celui de la coopération internationale – « dans la mesure la plus large
possible » stipule l’article 23 –, en facilitant l’extradition entre États parties et l’entraide
pénale judiciaire, par exemple par des échanges de preuves numériques localisées dans ces
États. Son champ d’application porte sur les atteintes aux systèmes d’information et de
données, la fraude aux moyens de paiement et les atteintes aux mineurs en ligne. La
convention de Budapest a été qualifiée par l’une des personnes auditionnées par les
rapporteurs d’ « un des plus beaux succès du Conseil de l’Europe ». Cet instrument a en
effet démontré son efficacité : il permet une harmonisation des outils d’entraide tels que la
conservation des données informatiques, très utile aux enquêteurs pour obtenir des
preuves, l’injonction de produire, la perquisition et la saisie de données informatiques
stockées ou encore l’accès transfrontière à des données stockées, avec consentement ou
lorsqu’elles sont accessibles au public. Ce texte permet de « figer les scènes de crimes
numériques » et donne ainsi la possibilité de remonter jusqu’aux auteurs des infractions
informatiques. Par exemple, il constitue le fondement de la base de données relative aux
commissions rogatoires internationales initiées par les autorités françaises. Les États-Unis, le
Canada, l’Australie, le Royaume-Uni, l’Allemagne ou encore les Pays-Bas, ainsi que la France,
comptent parmi les États parties les plus impliqués dans la mise en œuvre de la convention
de Budapest. La convention a également institué un « réseau 24/7 », c’est-à-dire un point de
contact joignable 24 heures sur 24, 7 jours sur 7, désigné par chaque État partie afin
d’assurer une assistance immédiate pour mener des investigations concernant les
infractions pénales liées à des systèmes et à des données informatiques, ou pour recueillir
les preuves sous forme électronique d’une infraction pénale. Le point de contact français est
l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la
communication (OCLCTIC), division de la sous-direction de la lutte contre la cybercriminalité
au sein de la direction centrale de la police judiciaire du ministère de l’intérieur. Le comité
de la convention sur la cybercriminalité, qui représente les États parties, a pour objectif de
faciliter l’usage et la mise en œuvre effective de la convention, l’échange d’informations et
l’examen de tout futur amendement à la législation. Il publie des rapports et des notes
d’information sur tout sujet se rapportant à la convention, en particulier sur l’interprétation
des dispositions de la convention au regard des évolutions techniques intervenues, ce qui
permet une adaptation souple de l’application de la convention. Il publie également des
formulaires d’utilisation concrète de la convention, sur la conservation des données par
exemple. Par ailleurs, la convention de Budapest donne lieu à des programmes de
coopération en faveur des États parties les moins avancés, en Afrique, au Maghreb ou en
Asie-Pacifique. Les actions de formation, en particulier le programme GLACY +, mis en
œuvre conjointement avec l’Union européenne, sont conduites et coordonnées par le
Bureau de programme sur la cybercriminalité (C-PROC), institué par le Comité des ministres
du Conseil de l’Europe en 2013, situé à Bucarest. La convention de Budapest fait, depuis
septembre 2017, l’objet d’importantes négociations visant à la doter d’un deuxième
protocole additionnel1 . Celui-ci a pour objectif de moderniser et compléter la convention
sur plusieurs aspects : une entraide juridique plus efficace (régime simplifié pour les
demandes d’entraide, injonctions de produire internationales, coopération directe entre
autorités judiciaires pour les demandes d’entraide, enquêtes et équipes d’enquête
communes, audition audio/vidéo des témoins, des victimes et des experts, procédures
d’urgence pour les demandes d’entraide) ; la coopération directe avec des fournisseurs de
services dans d’autres juridictions pour ce qui est des demandes relatives à des informations
sur les abonnés, des demandes de conservation et des demandes en urgence ; un cadre plus
clair et des garanties plus fortes concernant les pratiques existantes en matière d’accès
transfrontière aux données, et des garanties, notamment quant aux conditions relatives à la
protection des données. La Commission européenne a mandat, depuis juin 2019, pour
participer à ces négociations au nom de l’Union européenne et de ses États membres. Les
négociations donnent souvent lieu à des débats et soulèvent des interrogations sur la
souveraineté territoriale dans le cyberespace. Elles sont prévues pour se terminer fin 2020,
mais seront sans doute prolongées, du fait à la fois de la crise sanitaire et de la longueur des
discussions. Le deuxième protocole additionnel, après son adoption, devra être approuvé
par l’Assemblée parlementaire du Conseil de l’Europe puis ratifié par l’ensemble des États
parties.
La lutte contre la cybercriminalité donne lieu, depuis 2007 et tous les 12 à 18 mois, à
l’organisation d’un événement international, connu sous le nom de conférence Octopus. La
dernière édition de la conférence a été organisée à Strasbourg, du 20 au 22 novembre 2019,
dans le cadre de la Présidence française du Comité des ministres du Conseil de l’Europe,
avec un ordre du jour portant notamment sur les preuves dans le cyberespace, l’exploitation
et les abus sexuels d’enfants en ligne, les enjeux de la protection des données et de la
justice pénale, la coopération en matière de cybercriminalité et de cybersécurité ou encore
les fake news et l’ingérence électorale. Les conférences Octopus réunissent des ministres,
des représentants d’organisations internationales et non gouvernementales, des
universitaires, des associations, des entreprises privées, en particulier les GAFAM, ou encore
des représentants des autorités nationales de protection des données, telles que la CNIL
française, soit environ 250 personnes. Elles permettent de débattre des dernières
évolutions, les cyberviolences par exemple, et de « tester » les réactions des acteurs du
cyberespace.
2.2. Manque d’entraide internationale
Toutes les conventions d’entraide judiciaire pénale, qui sont nombreuses, peuvent
contribuer à lutter contre la cybercriminalité dès lors que l’infraction concernée relève de
l’espace « cyber ». C’est le cas, par exemple, du traité de Paris de décembre 1998 entre la
France et les ÉtatsUnis. Néanmoins, ce cadre bilatéral a, par définition, une portée
restreinte. La commission rogatoire est l’outil procédural privilégié d’entraide judiciaire
permettant de poursuivre les infractions transnationales telles que les cybercrimes.
Consistant, pour un juge, à confier à toute autorité judiciaire relevant d’un autre État la
mission de procéder en son nom à des mesures d’instruction ou à d’autres actes judiciaires,
elle porte sur tout acte d’instruction, l’audition des témoins, les perquisitions et saisies ou
encore l’arrestation des suspects. Elle permet ainsi en théorie de surmonter les difficultés
liées aux frontières. Pourtant, la commission rogatoire est une procédure lourde à manier et
présentant de longs délais de réponse ; elle est donc un outil lent par rapport à la vitesse
d’exécution des infractions informatiques et la volatilité des preuves numériques. Elle
connaît deux principales limites. La première tient à la subordination de la commission
rogatoire à l’existence d’accords bilatéraux ou multilatéraux entre les États. Bien que l’envoi
d’une demande ne soit pas, en principe, subordonné à l’existence d’une convention
bilatérale entre l’État demandeur et l’État requis, l’existence de celle-ci conditionne souvent
l’acceptation et la coopération des États. En l’absence d’une telle convention, le demandeur
n’est jamais sûr d’une réponse positive. La recevabilité de la demande de commission
rogatoire relève de l’appréciation de l’autorité compétente de l’État requis, qui aura la
possibilité d’invoquer l’exception de défaut de réciprocité et toute autre fin de non-recevoir.
Le principe de souveraineté permet en effet aux États de se dérober à leur obligation de
coopération, surtout lorsqu’il peut exister certaines tensions entre eux. La seconde limite
est relative aux difficultés liées à la portée de la commission rogatoire. L’exécution de la
commission rogatoire dépend de la législation nationale de l’État qui reçoit la demande, la
commission rogatoire étant exécutée conformément aux règles usuelles de procédures et
de fond de l’État requis et non de l’État demandeur. Les traités bilatéraux, lorsqu’ils
existent, peuvent limiter l’objet et la portée des commissions rogatoires. Certains traités
limitent la commission rogatoire à l’audition de témoins ou la production de pièces à
conviction ou des documents judiciaires. D’autres mesures d’instruction peuvent être
subordonnées à des conditions particulières. Ainsi est-il généralement difficile d’obtenir des
réponses positives de certains États tels que la Russie, la Chine ou Israël qui se montrent
parfois réticents à communiquer des données stockées chez leurs fournisseurs d’accès à
Internet. Il a également été indiqué aux rapporteurs que les services de police suisses
souhaitaient rarement coopérer et qu’ils orientaient leurs collègues français vers cette
procédure judicaire. Les autorités judiciaires américaines ne seraient pas non plus très
allantes en matière d’entraide judiciaire internationale, alors que les GAFAM sont des
entreprises américaines. D’ailleurs, lors de la signature de la convention sur la
cybercriminalité du Conseil de l’Europe, en 2001 (cf. infra), de nombreux États ont émis des
réserves portant sur les demandes d’exécution de commission rogatoire, si la condition de
double incrimination n’était pas remplie. En effet, la commission rogatoire suppose
également une double incrimination, à savoir l’incrimination de l’infraction dans les deux
États concernés. Or, de nombreuses cyberinfractions restent actuellement exclues de toute
incrimination dans de nombreux États, rendant ainsi la commission rogatoire inopérante
dans de nombreux cas. Cette différence des règles nationales applicables peut
compromettre l’instruction des infractions transnationales, ce qui permet aux
cybercriminels de continuer à échapper à la justice. Cette difficulté peut se retrouver dans la
lutte contre le blanchiment d’argent en ligne. Les standards du Groupe d’action financière
(GAFI) définissent les modalités de coopération internationale et prévoient la réciprocité des
échanges d’informations. Mais, selon Tracfin, la qualité des relations de travail diffère
beaucoup selon la volonté de coopération de ses interlocuteurs étrangers : les échanges
sont très bons en Europe, bons avec les pays d’Amérique centrale et du Sud et ceux du
Golfe, qui ont adopté une démarche de coopération, mais ils le sont moins avec la Chine et
même les États-Unis, d’autant plus que les services de renseignement financier de ces
derniers seraient dotés de pouvoirs d’investigation bien plus limités, ce qui réduit l’intérêt
des informations transmises.
Section 2 : Difficultés liées à la complexité des procédures
- Lourdeur des procédures

- Difficulté de collecte de preuve + définition du responsable
Le principal obstacle rencontré par les magistrats et par les enquêteurs réside dans la
difficulté à accéder à la preuve numérique. Le recueil de la preuve numérique dépend de la
durée de conservation des données par chaque hébergeur, qui n’obéit à aucune norme
commune, mais aussi de la garantie que pourront apporter les enquêteurs que la preuve n’a
pas été falsifiée. Comme l’a souligné Myriam Quémener 1 , avocate générale près la cour
d’appel de Paris, « la matière pénale renforce les exigences sur les enquêteurs qui devront
pouvoir démontrer son origine et son authenticité aux avocats et aux magistrats. Le respect
de la procédure d’accès à la preuve numérique est d’une importance fondamentale car elle
permet de démontrer l’intégrité des données électroniques et d’expliquer la manière dont
elles ont été obtenues en conformité avec les droits des parties ». Des négociations sont
actuellement en cours au niveau de l’Union européenne, dans le cadre du paquet « e-
evidence », afin d’harmoniser les règles applicables à l’échelle européenne (cf. infra). La
question de l’accès à la preuve numérique dépasse d’ailleurs le cadre de la lutte contre la
cybercriminalité : dans les affaires d’une certaine complexité, quelle qu’en soit la nature, les
enquêteurs ont souvent comme premier réflexe d’exploiter des données de téléphonie
mobile, de vidéosurveillance ou de solliciter des expertises informatiques, ce qui témoigne
de la nécessité de sécuriser ces données.
b) La question de la responsabilité des hébergeurs Les rapporteurs ont concentré leurs
investigations sur la lutte contre la cybercriminalité par l’autorité judiciaire et par les
services enquêteurs. Ils n’ont pas étudié la question de la responsabilité des hébergeurs, qui
reste aujourd’hui en débat. Deux développements récents soulignent la complexité de ce
sujet. D’abord, la censure par le Conseil constitutionnel de la proposition de loi présentée
par la députée Laetitia Avia, sur laquelle le Sénat avait multiplié les mises en garde. Ce texte
avait pour ambition d’imposer le retrait dans des délais extrêmement brefs de certains
contenus illicites. Il aurait obligé certains opérateurs de plateforme en ligne, sous peine de
sanction pénale, à retirer ou à rendre inaccessibles, dans un délai de vingt-quatre heures,
des contenus illicites en raison de leur caractère haineux ou sexuel, sur la base d’un simple
signalement par un utilisateur. Il aurait également imposé aux hébergeurs ou 1 Cette
citation est extraite de la contribution écrite que Mme Quémener a adressée aux
rapporteurs. - 34 - aux éditeurs d’un service de communication en ligne de retirer, dans un
délai d’une heure, les contenus à caractère terroriste ou pédopornographique notifiés par
l’autorité administrative. Le non-respect de ces obligations aurait été passible d’une lourde
sanction pénale. Saisi par plus de soixante sénateurs, dont le rapporteur Sophie Joissains, le
Conseil constitutionnel a estimé, par sa décision n° 2020-801 DC du 18 juin 2020, que ces
dispositions portaient une atteinte disproportionnée à la liberté d’expression et de
communication et qu’elles devaient donc être déclarées contraires à la Constitution. Elles
auraient accordé un pouvoir considérable à l’administration pour décider des contenus à
retirer et fait peser une forte contrainte sur les opérateurs qui auraient été tentés de retirer
tous les contenus signalés pour se mettre à l’abri de poursuites pénales, compte tenu de la
difficulté de procéder à un véritable examen des contenus litigieux dans le délai court qui
leur était imparti. Par ailleurs, la Cour des comptes a publié, en février 2020, un rapport sur
la lutte contre les contrefaçons dans lequel elle suggère de renforcer les obligations
juridiques des plateformes du commerce en ligne afin de mieux lutter contre le commerce
de contrefaçons. La Cour des comptes estime que « les plateformes numériques sont
relativement passives dans la lutte contre la contrefaçon au motif qu’elles ne sont que des
intermédiaires sans obligation de vigilance particulière. Ce régime de responsabilité limitée
résulte de la directive commerce électronique 2000/31/CE qui dispense les plateformes du
contrôle général des contenus qu’elles hébergent. C’est seulement en cas d’inaction à la
suite d’une notification que l’intermédiaire peut, le cas échéant, voir sa responsabilité
engagée ». Sans aller jusqu’à imposer aux plateformes (moteurs de recherche, réseaux
sociaux, places de marché) un devoir de surveillance générale a priori de la totalité des
contenus, produits et services qu’ils référencent, la Cour suggère de définir de nouvelles
obligations de vigilance renforcée, qui les obligeraient notamment à vérifier l’identité des
vendeurs et à communiquer cette information aux consommateurs, à suivre les flux
permettant d’identifier les étapes de la chaîne de distribution et à mettre en place une
procédure de notification des contenus contrefaisants, avec un délai de retrait homogène et
rapide. Compte tenu du grand nombre d’infractions constatées dans l’univers cyber, il est
vraisemblable qu’une meilleure régulation d’Internet par ses principaux acteurs, dans un
cadre défini par les États ou, mieux, par l’Union européenne, se révèlera nécessaire pour
compléter les efforts de la police et de la justice.
- Divers organismes impliquées + éclatement des compétences

Les enquêtes de même que la perquisition, la saisie et l’extradition sont régies par les
dispositions générales du code de procédure pénale, applicables à toute infraction.
Le Decret-Loi 2022-54 introduit les suivants pouvoirs procedurales:
 Obligation de conservation (article 6), qui n'est pas prevue dans la Convention de
Budapest;
 Constatation des infractions et l'exécution des ordonnances d’interception et d’accès
(articles 8 - 11);
 Interception des communications (article 10);
 Collecte des preuves électroniques (articles 12-15).
Le Decret-Loi no. 2022 - 54 ne transpose pas les dispositions relatives à la préservation des
données de la Convention de Budapest sur la cybercriminalité (articles 16, 17, 29 et 30).
En matière d’interceptions relative aux contenus, les articles 54 à 56 de la loi organique n°
2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du
blanchiment d’argent permettent, « lorsque la nécessité de l’enquête l’exige », de « recourir
à l’interception des communications des prévenus », laquelle comprend « les données des
flux, l'écoute, ou l’accès au leur contenu, leur reproduction, leur enregistrement », sous le
contrôle du procureur de la République ou du juge d’instruction (art. 54).
Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20
novembre 2001 est interdit par l’article 9 du Code des télécommunications, l’article 87 de ce
même code réprimant notamment l’utilisation et la détention en vue de la leur distribution
à titre gratuit ou onéreux de ces moyens. La responsabilité des fournisseurs d’accès n’étant
pas spécifiquement régulée, et l’article 87 du Code des télécommunications ne requérant
pas d’intention frauduleuse, la possible responsabilité des fournisseurs d’accès pour avoir
transporté des moyens illégaux de cryptologie, sur la base de ces articles, reste en question
(en matière civile, par application des articles 82 et 83 du Code des obligations et des
contrats (COC), les fournisseurs d’accès ne paraissent pouvoir être déclarés responsables
que s’ils peuvent techniquement agir, savent qu’ils doivent agir et n’agissent pas).
De nombreuses infractions prévues par le Décret loi sont déjà sanctionnées dans
d’autres tex tes juridiques. Les crimes mentionnés dans le Décret loi tels que la
diffamation, la diffusion des images d’abus sexuels d’enfants et le discours de haine sont
déjà sanctionnés dans d’autres textes juridiques, à savoir le Code pénal, le Décret loi n°
115 d e 2011 relatif à la liberté de la presse , de l’imprimerie et de l’édition ci après le
Décret loi n° 115 de 2011 ) ou le Code des télécommunications , avec différentes peines
applicables à ce qui correspond effectivement aux mêmes délits. Cela n’est pas
conf orme au principe de sécurité juridique et accroît la possibilité d’une application
Chapitre 12 : Les risques d’atteinte aux droites et aux libertés individuelles
Section 1 : Risques liées à la collecte, à la conservation, à l’accès et à l’interception des données

personnelles.
L’Article 6 du Décret loi contraint les fournisseurs de services de télécommunication s à
conserver, généralement et systématiquement, les données stockées dans un système
d’information pendant au moins deux ans et potentiellement plus , par arrêté conjoint des
ministre s de la Défense nationale, de l’Intérieur, de la Justice ainsi que du ministère chargé
des Télé communications. Les personnes dont les données sont conservé e s ne sont pas
obligées d’être, même indirectement, dans une situation susceptible de donner lieu à des
poursuites pénales.
Les données qui doivent être stockées comprennent des données sur l’identité de
l’utilisateur, le trafic et les données de localisation (métadonnées des communications
électroniques). Il est généralement admis que l’analyse de ce type de données peut
permettre de tirer des conclusions précises sur les individus impliqués, telles que les
habitudes de vie quotidienne, les lieux permanents ou temporaires de résidence, les
mouvements quotidiens et autres, les activités entreprises, les relations sociales de ces
Section 2 : risques liées à l’atteinte à la liberté d’expression

Mémoire

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire

Transféré par

Droits d'auteur :

Formats disponibles

Le XXI siècle a connu une révolution des technologies numériques comme la fin du Moyen-

âge a vu celle de l’imprimerie. Cette révolution contemporaine est notamment liée à la

…..Il n’existe pas de définition communément admise de la cybercriminalité. La méthode la

;;;;;;;;;;;;;;;;; Pour ce faire, la convention de boudapste a definit type de données.............

Les Données informatiques désigne toute représentation de faits, d’informations ou de

Les utilisateurs d’applications fournissent aux entreprises l’accès à des quantités

Chapitre I. Mesures juridiques et réglementaires sur la cybercriminalité face à la

Section I. les mesures préventives

Paragraphe 1. Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité

1.1. La mesure de l’audit obligatoire

Le Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité pose comme principe

Un registre national des logiciels et équipements électroniques ayant obtenu le label «

L’ANC sera, également, chargée d’attribuer, renouveler et retire le label « Fournisseur de

Le label « Fournisseur de services informatique en nuage gouvernemental (G-cloud) » et le

L’ANC est, également, amenée à élaborer et appliquer le plan national de réponse

Le décret n° 2008-2639 du 21 juillet 2008 soumet l’exercice de certaines activités de cryptage

Paragraphe 3. Décret gouvernemental n° 2020-48 du 23 janvier 2020, relatif aux

Le décret gouvernemental n°2020-48 du 23 janvier 2020 a soumis l’importation et la

Paragraphe 5. Décret n° 2008-3026 du 15 Septembre 2008, fixant les conditions

Ce décret renseigne sur les obligations des opérateurs de réseaux publics de

Paragraphe 5. Décret n° 2014-4773 du 26 décembre 2014, fixant les conditions et les

5.1. Les obligations du fournisseur de service vis à vis de l’Etat

- mettre à la disposition du ministère chargé des télécommunications et de l’Instance Nationale de

- pouvoir répondre aux besoins de la défense nationale et de la sécurité et de la sureté publique

5.2. Les obligations du fournisseur de service envers les clients

Paragraphe 6. Décret n° 2014-412 du 16 janvier 2014, fixant les conditions et les

L'Obligation de sécurité selon le RDDP (art 32)

9.1.3. L’obligation de mise à jour des données traitées

9.1.4. L’obligation de notification

La loi organique reconnaît aux personnes faisant l’objet

9.2.5. Droit à l’oubli (à l’effacement): art 17 RGDP

La mise en place de la conformité RGDP passe par 6

Section 2. Les mesures répressives

Paragraphe 1. Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité

Paragraphe 2. Décret n° 2008-2639 du 21 juillet 2008, fixant les conditions et procédures

Le décret crée des sanctions adminstratives aux incriminations suivantes :

- En cas de manquement flagrant aux dispositions du présent décret, le ministre chargé

Paragraphe 3. Loi n° 2000-83 du 9 aout 2000, relative aux échanges et au commerce

3.1. Sanctions administratives

Paragraphe 4. Décret n° 2014-4773 du 26 décembre 2014, fixant les conditions et les

En cas de défaillance grave ou de manquement flagrant aux dispositions du présent décret,

Paragraphe 5. Décret n° 2014-412 du 16 janvier 2014, fixant les conditions et les

Malgré un arsenal juridique de bonne qualité, la Tunisie est un marché favorable à la

 Violation de l’intégrité des systèmes d’informations et des données et de leur

Section 1. Les agences techniques

Paragraphe I. Au niveau national

1.1. l'agence nationale de la cybersécurité

l'agence nationale de la cybersécurité effectue un contrôle général des systèmes

Ce centre offre gratuitement l'assistance nécessaire aussi bien aux citoyens

1.2. L’Agence Technique des Télécommunications

 la réception et qualification technique les ordres d'investigation et de constatation

 La signature et le cryptage des messages électroniques.

L'Instance Nationale des Télécommunications (INT) est une autorité administrative

Le Conseil de l'Europe a un projet appelé CyberSud, qui vise à améliorer la coopération

Section 2. les juridictions

Paraparaphe 1. Le procureur et le juge d’instruction

Section 1 : Difficultés liées à la nature transfrontalière des cybercrimes

La lutte contre la cybercriminalité, forme de délinquance ignorant les frontières, exige

- Lourdeur des procédures

- Divers organismes impliquées + éclatement des compétences

Section 1 : Risques liées à la collecte, à la conservation, à l’accès et à l’interception des données

L’Article 6 du Décret loi contraint les fournisseurs de services de télécommunication s à

conserver, généralement et systématiquement, les données stockées dans un système

ministre s de la Défense nationale, de l’Intérieur, de la Justice ainsi que du ministère chargé