Académique Documents
Professionnel Documents
Culture Documents
MANUEL DE PROCEDURES
www.inpdp.tn
inpdp@inpdp.tn
Février 2020
www.facebook.com/inpdp.tn
www.youtube.com/channel/ucewcesim0pszpm_xrpjxcia
SOMMAIRE الفهرس
INTRODUCTION ................................................................................................................................................ 1
A. POURQUOI UN MANUEL DE PROCEDURES ? ............................................................................................................... 1
B. A QUI EST DESTINE CE MANUEL DE PROCEDURES ? ...................................................................................................... 1
C. QUELLE VALEUR JURIDIQUE A CE MANUEL DE PROCEDURES ? ........................................................................................ 2
D. QUE COMPREND CE MANUEL ?............................................................................................................................... 2
I. REUNION DU CONSEIL DE L’INSTANCE ........................................................................................................... 3
A. BASE LEGALE DES REUNIONS DU CONSEIL .................................................................................................................. 3
1. Loi organique n° 63 du 27 juillet 2004 ........................................................................................................ 3
2. Décret n° 2007-3003 du 27 novembre 2007 ............................................................................................... 4
B. DECLENCHEMENT DE LA PROCEDURE DE TENUE DE LA REUNION DU CONSEIL .................................................................... 4
C. ORDRE DU JOUR DE LA REUNION DU CONSEIL ............................................................................................................ 5
1. La liste des dossiers .................................................................................................................................... 5
2. Les autres décisions .................................................................................................................................... 5
D. CONVOCATION A LA REUNION DU CONSEIL ............................................................................................................... 5
E. TENUE DE LA REUNION DU CONSEIL .......................................................................................................................... 6
F. PRISE DE DECISION PAR LE CONSEIL .......................................................................................................................... 7
G. PROCES-VERBAL DE LA REUNION DU CONSEIL ............................................................................................................ 7
H. REDACTION DES DECISIONS DU CONSEIL ................................................................................................................... 8
I. REMISE ET DIFFUSION DE LA DECISION DU CONSEIL ...................................................................................................... 8
J. APPEL CONTRE LES DECISIONS DE L’INPDP ................................................................................................................ 9
II. DECLARATION ET AUTORISATION DE TRAITEMENT DE DONNEES PERSONNELLES ..................................... 10
A. BASE LEGALE DE LA PROCEDURE ............................................................................................................................ 10
1. Déclaration ............................................................................................................................................... 10
2. Autorisation .............................................................................................................................................. 11
3. Autorisation & déclaration ....................................................................................................................... 12
B. INTERVENANTS EXTERNE A L’INSTANCE ................................................................................................................... 12
C. INTERVENANTS INTERNE A L’INSTANCE ................................................................................................................... 12
D. ELEMENT DECLENCHEUR DE LA PROCEDURE............................................................................................................. 13
E. RECEPTION PAR L’INSTANCE DE LA DECLARATION OU DE LA DEMANDE D’AUTORISATION .................................................. 13
F. DOCUMENTS JOINTS A LA DECLARATION OU A LA DEMANDE D’AUTORISATION ................................................................ 13
1. Déclaration ............................................................................................................................................... 14
2. Autorisation de vidéosurveillance............................................................................................................. 14
3. Autorisation de transfert de données à l’étranger ................................................................................... 14
4. Autorisation de traitement de données de santé ..................................................................................... 14
G. ACCUSE DE RECEPTION DU DEPOT DE LA DECLARATION OU DE LA DEMANDE D’AUTORISATION .......................................... 15
H. ENREGISTREMENT DE LA DECLARATION OU DE LA DEMANDE D’AUTORISATION................................................................ 15
I. CREATION DU DOSSIER DE TRAITEMENT ................................................................................................................... 16
J. SAISIE DU DOSSIER DANS LE SYSTEME DE GESTION INFORMATIQUE ................................................................................ 16
K. AFFECTATION DU DOSSIER POUR PRETRAITEMENT ..................................................................................................... 16
L. PRETRAITEMENT DU DOSSIER ................................................................................................................................ 16
M. DEMANDE DE COMPLEMENT DE DOSSIER ............................................................................................................... 17
N. PROPOSITION DE DECISION .................................................................................................................................. 17
O. SUITE DU TRAITEMENT DES DOSSIERS ..................................................................................................................... 17
III. PLAINTES ................................................................................................................................................... 18
A. BASE LEGALE DE LA PROCEDURE ............................................................................................................................ 18
1. Déclaration
Article 7, loi organique n° 2004-63 : « Toute opération de traitement des données à caractère personnel
est soumise à une déclaration préalable déposée au siège de l'instance nationale de protection des données
à caractère personnel contre récépissé ou notifiée par lettre recommandée avec accusé de réception ou par
tout autre moyen laissant une trace écrite.
La déclaration est effectuée par le responsable du traitement ou son représentant légal.
La déclaration n'exonère pas de la responsabilité à l'égard des tiers.
Les conditions et les procédures de la présentation de la déclaration sont fixées par décret.
La non opposition de l'Instance au traitement des données à caractère personnel, dans un délai d'un mois à
compter de la présentation de la déclaration, vaut acceptation ».
Article 2, décret n° 2007-3004 : « Toute opération de traitement des données à caractère personnel est
soumise à une déclaration préalable ou à une autorisation dans les cas prévus par la loi organique relative
à la protection des données à caractère personnel susvisée ».
Article 8, décret n° 2007-3004 : « Le formulaire de déclaration préalable au traitement des données à
caractère personnel comprend les informations suivantes :
- le nom, prénom et domicile du responsable du traitement, du sous-traitant et de leurs agents pour la
personne physique, et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social,
l’identité de son représentant légal et le numéro d’immatriculation au registre de commerce, le cas
échéant,
- l’identité des personnes concernées par les données à caractère personnel et leurs domiciles,
- les finalités du traitement et ses normes,
- les catégories du traitement, son lieu et la date du traitement,
- les données à caractère personnel dont le traitement est envisagé, ainsi que leur origine,
- les personnes ou les autorités susceptibles de prendre connaissance des données à caractère personnel
en raison de leur fonction,
- les bénéficiaires des données à caractère personnel objet du traitement,
- le lieu de conservation des données à caractère personnel objet du traitement et sa durée,
- les mesures prises pour assurer la confidentialité des données à caractère personnel et leur sécurité,
- la description des bases de données auxquelles le responsable du traitement est interconnecté,
- l’engagement de procéder au traitement des données à caractère personnel conformément aux
dispositions prévues par la loi,
- la déclaration que les conditions de la nationalité tunisienne, la résidence en Tunisie et l’absence
d’antécédents judiciaires sont remplies pour le responsable du traitement des données à caractère
personnel, le sous-traitant et leurs agents ».
Article 9, décret n° 2007-3004 : « Sans préjudice des dispositions de l’article 6 du présent décret,
l’instance nationale de protection des données à caractère personnel examine la déclaration dans un délai
ne dépassant pas un mois à partir de la date de son dépôt. Le défaut d’opposition dans le délai prévu vaut
acceptation ».
Responsable de traitement :
Personne physique
Représentant légal d’une personne morale
Représentant sur la base d’une procuration ou décision interne
Bureau d’ordre
Secrétariat permanent
Président de l’Instance
Réception par l’Instance du formulaire mis en ligne par l’Instance dument remplie.
Le formulaire peut porter sur une déclaration (Annexe II. 1) ou une demande
d’autorisation qui peut être relative au traitement de données de :
Santé (Annexe II. 2)
Vidéosurveillance (Annexe II. 3)
Transfert de données à l’étranger (Annexe II. 4)
Biométrie (Annexe II. 5)
Convictions et appartenances (Annexe II. 6)
Communication (Annexe II. 7)
2. Autorisation de vidéosurveillance
Elle doit être accompagnée de :
Une copie du plan général d’installation des caméras de surveillance et de leur champ
de vision.
Eventuellement des images des caméras ou avant installation d’un appareil photo
avec la même orientation que les caméras qui seront installés.
Une copie ou image des planches d’information du public de l’existence de système
de vidéosurveillance
Si le responsable de traitement est un syndic d’habitation collective, d’une copie du
procès-verbal de l’assemblée générale des copropriétaires ayant pris la décision de
l’installation de ces équipements
L. Prétraitement du dossier
N. Proposition de décision
La proposition de décision est insérée dans le projet d’ordre du jour du Conseil pour
discussion et approbation ou révision.
B. Partie externe
Toute personne victime d’une violation des normes de protection de ses données
personnelles.
L’huissier notaire pour le constat de la violation faisant l’objet de la plainte.
C. Partie interne
Bureau d’ordre
Secrétariat permanent
Président de l’Instance
Membres permanents
Conseil de l’Instance
D. Elément déclencheur
Dépôt de la plainte pour violation des normes de protection (Annexe III. 1.) ou pour
réception de sms indésirables (Annexe III. 2.), ou encore pour installation sans
autorisation ou non conforme aux normes de protection d’un système de
vidéosurveillance (Annexe III. 3.).
E. Canal de réception
Réception de la plainte par le bureau d’ordre de l’Instance :
Déposée au siège de l'Instance contre récépissé ;
F. Accusé de réception
L’accusé de réception permet d’établir la preuve de la réception par l’Instance de la
déclaration ou de la demande d’autorisation et déterminer la date de son dépôt ce qui
ouvre la voie au décompte des délais.
Le récépissé est la décharge papier délivrée par l’INPDP et qui comprend la date de
réception, la nature de la demande ainsi que le tampon de l’Instance (Annexe II. 8.) ;
Pour la lettre avec accusé de réception, la poste renvoi l’accusé de réception à
l’expéditeur comme preuve de la réception du document par l’Instance ;
Pour la télécopie, l’INPDP envoi par le même canal un accusé de réception à
l’expéditeur ;
Pour le courrier électronique, un accusé de réception textuel est envoyé à
l’expéditeur sur la boite de l’expéditeur (Annexe II. 9.).
L. Prétraitement du dossier
N. Proposition de décision
La proposition de décision est insérée dans le projet d’ordre du jour du Conseil pour
discussion et approbation ou révision.
B. Partie externe
Toute personne a le droit de demander à l’Instance un avis portant sur un sujet en relation
avec la protection des données personnelles (personne morale de droit public, personne
morale de droit privée, personne physique).
L’Instance elle-même peut à l’occasion d’événements s’autosaisir à donner son avis
relativement à la protection des données personnelles qui prend la forme d’un
communiqué public.
C. Partie interne
Bureau d’ordre
Secrétariat permanent
Président de l’Instance
Membres permanents
Conseil de l’Instance
E. Canal de réception
F. Enregistrement de la demande
A la réception de l’avis, le bureau d’ordre l’introduit dans le registre des arrivées en lui
attribuant un numéro séquentiel dans le rôle sous le format comprenant l’année, une
barre de séparation puis le numéro séquentiel dans l’année (année/n°)
G. Création du dossier
I. Affectation du dossier
Le dossier est transmis par le secrétariat permanent au président qui l’affecte à l’un des
membres permanents pour prétraitement : président, magistrat administratif, magistrat
judiciaire.
La réponse aux demandes d’avis ne sont pas légalement soumises à un délai maximum.
Ainsi il revient à l’Instance au vu de la nature de la demande et de son urgence, de faire
les efforts qui s’imposent pour y répondre au plus vite.
K. Proposition de décision
L’avis provisoire rendu au nom du président de l’Instance est inséré dans le projet d’ordre
du jour du Conseil pour discussion et approbation.
2. Contrôle inopiné
Si l’Instance constate des violations graves des normes de protection ou dénombre des
dépôts de plaintes répétitives concernant un responsable de traitement, le président peut
décider d’effectuer un contrôle inopiné qu’il fait entériner par la première réunion du
Conseil.
E. Modalités du contrôle
Sur décision de son président, le contrôle par l'INPDP peut suivre quatre modalités
différentes qui suivant la situation peuvent être utilisées de manière complémentaire :
3. Contrôle en ligne
Une équipe de contrôle peut réaliser ces investigations en ligne à travers le site web du
responsable de traitement ou de son application de téléphonie.
بعد التحية،
أما بعد ،فقد تقرر دعوة املجلس لالنعقاد يوم الثالثاء 28أوت 2018على الساعة التاسعة صباحا بمقر
الهيئة حسب جدول األعمال التالي :
تقديم وثيقة التعديالت املقترح إدخالها على مشروع القانون األساس ي املتعلق بحماية املعطيات
الشخصية املعروض من قبل الحكومة على أنظار مجلس نواب الشعب ،وهي الوثيقة املنبثقة عن
عن أعمال مجلس الهيئة خالل جلساته األخيرة املنعقدة بصفة قانونية.
املصادقة على تحيين القرار عدد 1املتعلق بالدول التي توفر حماية كافية للمعطيات الشخصية.
املصادقة على مشروع القرار عدد 3املتعلق بحماية املعطيات الشخصية في ميدان الصحة.
النظر في امللفات املطروحة على الهيئة والتي يفوق عددها بتاريخ هذا االستدعاء 450ملف.
ّ
مع العلم وأنه تطبيقا للقانون الجاري به العمل فإن انعقاد مجلس الهيئة ال يكون قانونيا اال بتوفر النصاب
القانوني وهو يتكون من 8أعضاء على األقل ،األمر الذي سوف يتعذر إنجازه في االجتماع املقبل نظرا النتفاء
صفة العضوية بالنسبة إلى عدد هام من األعضاء ألسباب مختلفة .ولذلك فإنه سيتم يوم 28أوت تحرير
محضر في عدم توفر النصاب القانوني واإلستدعاء الجتماع ثاني ليوم األربعاء 5سبتمبر ،والذي سينعقد
مهما كان عدد األعضاء الحاضرين تطبيقا للفصل الثالث من األمر عدد 3003لسنة .2007
قرار
بسبب تغيب رئيس الهيئة في إطار مهمة بالخارج من 18الى 21نوفمبر 2019وطبقا ملقتضيات
الفصل الرابع من األمر 3003-2007الذي ينص على أنه "في صورة حصول مانع أو غياب رئيس
الهيئة ،يتولى هذا األخير تعيين من ينوبه من بين العضوين املباشرين ملهامهما كامل الوقت وعند
ّ
تعذر يتولى ئاسة الهيئة مؤقتا أكبرهما ّ
سنا" تقرر تعيين ...........................للقيام بمباشرة مهام ر ال
رئاسة الهيئة للمدة املذكورة.
قراررئيس الهيئة
حيث جرت العادة منذ تركيز الهيئة أن الكاتب العام هو من يكلف بتحرير محاضر جلسات
مجلسها.
حيث ّ
عدد األمر عدد 3003لسنة 2007املؤرخ في 27نوفمبر 2007املتعلق بضبط طرق سير
الهيئة الوطنية لحماية املعطيات الشخصية في فصله 11مهام الكتابة القارة ومن بينها تحرير
محاضر الجلسات وحفظها ولم يسند الى الكاتبة العامة صراحة تحرير محاضر الجلسات،
وحيث أقر الفصل 12من نفس األمر أنه يتم ّ
تسيير الكتابة القارة كاتب عام تحت إشراف رئيس
الهيئة،
حيث أن مسؤولية تسيير عمل الهيئة وحسن سير أعمالها يرجع الى رئيس الهيئة دون سواه،
تعيين ...مقررة ملجلس الهيئة تباشر مهامها خالل اجتماعات املجلس تحت مسؤولية رئيس
الهيئة.
بعد التحية،
أما بعد ،فقد تقرر دعوة املجلس لالنعقاد يوم الثالثاء 28أوت 2018على الساعة التاسعة صباحا بمقر
الهيئة حسب جدول األعمال التالي :
• تقديم وثيقة التعديالت املقترح إدخالها على مشروع القانون األساس ي املتعلق بحماية املعطيات
الشخصية املعروض من قبل الحكومة على أنظار مجلس نواب الشعب ،وهي الوثيقة املنبثقة عن
عن أعمال مجلس الهيئة خالل جلساته األخيرة املنعقدة بصفة قانونية.
• املصادقة على تحيين القرار عدد 1املتعلق بالدول التي توفر حماية كافية للمعطيات الشخصية.
• املصادقة على مشروع القرار عدد 3املتعلق بحماية املعطيات الشخصية في ميدان الصحة.
• النظر في امللفات املطروحة على الهيئة والتي يفوق عددها بتاريخ هذا االستدعاء 450ملف.
ّ
مع العلم وأنه تطبيقا للقانون الجاري به العمل فإن انعقاد مجلس الهيئة ال يكون قانونيا اال بتوفر النصاب
القانوني وهو يتكون من 8أعضاء على األقل ،األمر الذي سوف يتعذر إنجازه في االجتماع املقبل نظرا النتفاء
صفة العضوية بالنسبة إلى عدد هام من األعضاء ألسباب مختلفة .ولذلك فإنه سيتم يوم 28أوت تحرير
محضر في عدم توفر النصاب القانوني واإلستدعاء الجتماع ثاني ليوم األربعاء 5سبتمبر ،والذي سينعقد
مهما كان عدد األعضاء الحاضرين تطبيقا للفصل الثالث من األمر عدد 3003لسنة .2007
إنعقد اإلجتماع ...للدورة ...للهيئة الوطنية لحماية املعطيات الشخصية يوم ...على الساعة
التاسعة صباحا بمقرها الكائن بميتوالفيل برئاسة السيد شوقي قداس رئيس الهيئة وقد حضر
الجلسة السيدات والسادة األعضاء ... :وبحضور مقررة الجلسة الكاتبة العامة للهيئة ...
ونظرا لعدم توفر النصاب القانوني تقرر تأجيل الجلسة إلى األسبوع القادم تحديدا يوم ...على
الساعة التاسعة صباحا للنظر في نفس جدول أعمال هذه الجلسة .ستنعقد الجلسة مهما كان
عدد األعضاء الحاضرين تطبيقا للفصل الثالث من األمر عدد 3003لسنة .2007
اإلمضاءات
قــرارإحالة شكاية
ّ
عمال بالقانون األساس ي عدد 63لسنة 2004املؤرخ في 27جويلية 2004املتعلق بحماية املعطيات
الشخصية وخاصة الفصول من 69الى 71و 76و 77و 87منه،
ّ
واألمر عدد 3003لسنة 2007املؤرخ في 27نوفمبر ،2007املتعلق بضبط طرق سير الهيئة
الوطنية لحماية املعطيات الشخصية،
والقرار الصادر عن الهيئة الوطنية لحماية املعطيات الشخصية تحت عدد 5بتاريخ 5سبتمبر
،2018واملتعلق بضبط شروط وإجراءات تركيز وسائل املراقبة البصرية
وبعد االطالع على العريضة املقدمة إلى الهيئة بتاريخ ................من املدعو .............القاطن ب ..............
ض ّـد املدعو ............القاطنة ...............
حيث جاء بالعريضة املقدمة ،أن املشتكى بها قد أقدمت على تركيز وسيلة مراقبة تكشف على عقار
العارض وقد أدلى لتأييد شكايته ،بمحضر معاينة بواسطة عدل تنفيذ وكذلك جملة من الصور
الفوتوغرافية.
وحيث حدد القانون األساس ي عدد 63لسنة ،2004املؤرخ في 27جويلية ،2004األماكن القانونية
لتركيز وسائل مراقبة ورتب عقـوبة بالسجن والخطية لكل مخالف لذلك (الفصل 87منه).
وحيث أن األفعال التي أتاها املشتكى به ،من شأنها أن تجعله مخالفا للقانون املشار إليه آنفا ،ومرتكبا
الجريمة املنصوص عليها وعلى عقاب مرتكبها بالفصل 87منه.
وحيث اقتض ى الفصل 77من القانون األساس ي عدد 63لسنة ،2004أنه على الهيئة إعالم وكيل
الجمهورية املختص ترابيا بالجرائم التي بلغت إلى علمها في إطار عملها.
لـذا
قررت الهيئة الوطنية لحماية املعطيات الشخصية إحالة الشكاية على السيد وكيل الجمهورية ّ
باملحكمة االبتدائية بّ .........
للتعهد.
وصدر هذا القـرار عن الهيئـة الوطنيـة لحمايـة املعطيـات الشخصيـة ّ
املتكونة من ...بجلستهــا املنعقـدة
في ..............
عـدد
المالحظـــــــات الموضـــــــوع
الوثائق
مقدمـة من ...........ض ّـد ّ إحالة للشكاية
للتفض ـ ـ ـ ـ ــل بـ ـ جراء الال واإل ن .............على معنى الفصل 77من القـانـون
ّ ـؤرخ فـي 27 األسـاســي عــدد 63لسنــة 2004امل ّ
بمو افاتنا بامل ــآل والس ـ ـ ــال ./ .
ّ
جويليـة 2004املتعلق بحمايـة املعطيــات
الش ّ ّ
خصيــة.
01 املصاحيب:
-الشكاية (نسخة)
01 -قرار عدد (../04-...األصل)
02
Bonjour,
Le secrétariat permanent de l’Instance atteste par le présent
courrier avoir reçu le dossier conformément aux données
indiquées dans votre mail en date du ……………...
Cet accusé de réception est délivré à l’intéressé qui doit le
présenter à l’occasion du suivi du traitement du dossier auprès de
l’Instance.
Cordialement
،بعد التحية
تشهد الكتابة القارة للهيئة الوطنية لحماية املعطيات الشخصية أنها توصلت
.......... بامللف املودع لديها عن طريق البريد االلكتروني بتاريخ
.يسلم هذا الوصل لألدالء به عند متابعة امللف لدى الهيئة
.والسالم
ّ
بعد االطالع على :
الدستور وخاصة الفصل 24منه،
واإلتفاقية 108ملجلس أوروبا املتعلقة بحماية األشخاص تجاه املعالجة اآللية
للمعطيات ذات الطابع الشخص ي وبروتوكولها اإلضافي عدد 181الخاص بسلطات
املراقبة وانسياب وتدفق املعطيات عبر الحدود ،املصادق عليهما بالقانون األساس ي
عدد 42لسنة 2017املؤرخ في 30ماي ،2017
والقانون األساس ي عدد 63لسنة 2004املؤرخ في 27جويلية ،2004املتعلق بحماية
املعطيات الشخصية وخاصة الفصول 1و 6و 76و 77و 81منه،
واألمر عدد 3003لسنة 2007املؤرخ في 27نوفمبر ،2007املتعلق بضبط طرق سير
الهيئة الوطنية لحماية املعطيات الشخصية ،وخاصة الفصل 6منه،
واألمر عدد 3004لسنة 2007املؤرخ في 27نوفمبر ،2007املتعلق بضبط شروط
وإجراءات التصريح والترخيص ملعالجة املعطيات الشخصية ،وخاصة الفصل 13منه،
واملنشور عدد 17املؤرخ في 16أكتوبر ،2016حول احترام األحكام القانونية املتعلقة
بحماية املعطيات الشخصية،
وقرار الهيئة الوطنية لحماية املعطيات الشخصية عدد 2املؤرخ في 6أكتوبر ،2017
املتعلق بالقواعد السلوكية الخاصة بمعالجة املعطيات الشخصية في نطاق العمل
السياس ي،
وقرار الهيئة الوطنية لحماية املعطيات الشخصية عدد 3بتاريخ 5سبتمبر ،2018
املتعلق بتحديد الدول التي توفر حماية كافية ومالئمة للمعطيات الشخصية،
الفصل .1يضبط هذا القرار البرنامج السنوي لعمليات الرقابة التي تقوم بها الهيئة الوطنية
لحماية املعطيات الشخصية خالل سنة.2019
الفصل .2يشمل هذا البرنامج مختلف مجاالت النشاط مهما كان نوعها او طبيعتها ،والتي يتم
في اطارها معالجة معطيات شخصية سواء كانت هذه املعالجة آلية أو الكترونية.
الفصل .3تجرى عمليات الرقابة على كل شخص طبيعي ،وكل شخص معنوي عمومي أو خاص
يقوم بمعالجة معطيات شخصية ،بما في ذلك األحزاب والجمعيات واملنظمات.
الفصل .4تتضمن القائمة املرفقة بهذا القرار الهياكل واملؤسسات العمومية والخاصة التي
ستكون محل مراقبة سنة .2019وقد ّ
تم عند إعداد هذه القائمة مراعاة التوازن في توزيع
عمليات الرقابة بين القطاعين العام والخاص.
شركة اوليس للتوزيع " كارفور" شركة شبكة تونس للتجارة التجارة
وكالة االسفار " ترافل تودو " شركة الترفيه السياحي السياحة
ّ
بعد االطالع على:
الدستور وخاصة الفصل 24منه،
واالتفاقية 108ملجلس أوروبا املتعلقة بحماية األشخاص تجاه املعالجة اآللية للمعطيات
ذات الطابع الشخص ي وبروتوكولها اإلضافي عدد 181الخاص بسلطات املراقبة وانسياب
وتدفق املعطيات عبر الحدود ،املصادق عليهما بالقانون األساس ي عدد 42لسنة 2017
املؤرخ في 30ماي ،2017
والقانون األساس ي عدد 63لسنة 2004املؤرخ في 27جويلية ،2004املتعلق بحماية
املعطيات الشخصية وخاصة الفصول 1و 6و 76و 77و 81منه،
واألمر عدد 3003لسنة 2007املؤرخ في 27نوفمبر ،2007املتعلق بضبط طرق سير
الهيئة الوطنية لحماية املعطيات الشخصية ،وخاصة الفصل 6منه،
واألمر عدد 3004لسنة 2007املؤرخ في 27نوفمبر ،2007املتعلق بضبط شروط
وإجراءات التصريح والترخيص ملعالجة املعطيات الشخصية ،وخاصة الفصل 13منه،
والقرار الصادر عن الهيئة الوطنية لحماية املعطيات الشخصية ،تحت ع ــدد 6بتاريخ 2
جويلية ،2019املتعلق بأعمال الرقابة التي تقوم بها الهيئة،
والقرار الصادر عن الهيئة الوطنية لحماية املعطيات الشخصية ،عدد 7املؤرخ في 2
جويلية ،2019املتعلق باملصادقة على البرنامج السنوي لعميات الرقابة،
واالعالم بعملية رقابة عدد م/ر ،6الصادر عن رئيس الهيئة الوطنية لحماية املعطيات
الشخصية ،بتاريخ 8جوان .2020
للسيد شوقي قداس والسيدة ملياء الزرقوني ،أعضاء مجلس الهيئة الوطنية لحماية
املعطيات الشخصية ،بإجراء عملية رقابة باملركز الوطني لإلعالمية ،يومي 29جوان
و1جويلية .2020
حيث أن القانون األساس ي عدد 63لسنة ،2004املؤرخ في 27جويلية 2004واملتعلق بحماية املعطيات
الشخصية ،منح الهيئة بموجب الفصل 76منه ،صالحية النفاذ الى املعطيات الشخصية التي تتم معالجتها
من قبل كل شخص طبيعي وكل شخص معنوي عمومي أو خاص ،بما في ذلك األحزاب والجمعيات
واملنظمات ،قصد التثبت من مدى مطابقة عمليات معالجة املعطيات الشخصية لألحكام القانونية املتعلقة
بحماية تلك املعطيات.
أن الفصل 77من نفس القانون األساس يّ ،
خول للهيئة في هذا اإلطار إجراء األبحاث الالزمة ،بما في ذلك كما ّ
سماع كل شخص ترى فائدة في سماعه ،وإجراء املعاينات أو اإلذن بها في األماكن واملقرات التي تتم فيها
معالجة املعطيات الشخصية ،باستثناء محالت السكنى.
لذا ،وعمال بأحكام القانون األساس ي املذكور،
وبالقرار الصادر عن الهيئة الوطنية لحماية املعطيات الشخصية تحت ع ــدد 6بتاريخ 2جويلية ،2019
املتعلق بأعمال الرقابة التي تقوم بها الهيئة،
وبالقرار الصادر عن الهيئة الوطنية لحماية املعطيات الشخصية ،املؤرخ في 2جويلية ،2019واملتعلق
باملصادقة على البرنامج السنوي لعميات الرقابة لسنة ،2019
ونطلب منكم االذن ملصالحكم بتجميع كل الوثائق واملؤيدات الالزمة وخاصة منها:
سجل املعطيات الشخصية التي تتم معالجتها داخل مؤسستكم طبقا لالستمارة املوضوعة على
ذمتكم على موقع الهيئة عبر الرابط،www.inpdp.nat.tn/Fiche_cartographie.pdf :
نسخة من قرارات التصريح و/أو الترخيص املتحصل عليها من الهيئة،
نسخة من الوثيقة املتضمنة لسياسية املؤسسة في ميدان حماية املعطيات الشخصية،
نسخة من التزام أعوان املؤسسة باملحافظة على سرية املعطيات الشخصية التي تتم معالجتها،
نسخة من قرار تكليف مصلحة أو شخص بمتابعة تنفيذ سياسة املؤسسة في حماية املعطيات
الشخصية،
نسخ من الوثائق واالستمارات والعقود التي يتم بمقتضاها تجميع املعطيات الشخصية لحرفائكم،
نسخ من العقود املتضمنة إلحالة للغير أو تحويل للخارج ملعطيات شخصية،
نسخة دراسة املخاطر املتعلقة بحماية املعطيات الشخصية،
نسخة من آخر تدقيق إجباري ودوري للسالمة املعلوماتية،
...
كما نطلب منكم وضع املسؤولين اآلتي ذكرهم على ذمة فريق الرقابة طيلة مدة اجرائها وإعطاء تعليماتكم
للسماح لهم بتمكين الفريق بكل املعطيات التي تدخل في نطاق مهمتهم الرقابية والتأكيد على أنه ال يمكن
مجابهتهم بالسر املنهي :
املكلف بالشؤون القانونية،
املكلف باملطابقة،
املكلف بالسالمة املعلوماتية،
املكلف بتأمين مقراتكم.
.Iالتعريف بالهيكل
.1اسم الهيكل ................................................................................................................................
.2طبيعة الهيكل .............................................................................................................................
.3عنوان الهيكل .............................................................................................................................
.4ميدان النشاط ...........................................................................................................................
.5اسم ولقب املمثل القانوني .....................................................................................................
موافقة التزام تعاقدي و .على أي أساس تتم املعالجة؟ ---------إلزام قانوني
.مد فريق الرقابة بنسخة من اإللتزام التعاقدي ---------------------------------------
ال -------------------------------------------------------------------------------------------------------------------------------------نعم
ال نعم ج .مد فريق الرقابة بعدد التصاريح أو التراخيص وتواريخها ---------------------
ب .ما هي القواعد املتبعة في عملية الفسخ عند انتهاء الغاية من املعالجة؟
مناولة املعطيات الرقمية املعطيات الورقية
ال نعم ج .هل تخضع منظومة املعالجة لتدقيق في السالمة املعلوماتية؟ -------------
ال ل .مد فريق الرقابة بنسخة من آخر تقرير تدقيق ----------------------------------------------نعم
ال نعم هل تم تضمين تدابير السالمة بعقد املناولة؟ ------------------------------------------------ ج.
ال نعم د .مد فريق الرقابة بنسخة من عقد املناولة --------------------------------------------------------
ال نعم
ب .مد فريق الرقابة باألساس القانوني و/أو بنسخة من العقد --------------------------
ال نعم ب .مد فريق الرقابة باألساس القانوني و/أو بالعقد أو اإلتفاقية -----------------------
ال نعم ح .مد فريق الرقابة بنسخة من هذه املوافقة -----------------------------------------------------
ال نعم ط .هل يتم اتخاذ التدابير التقنية الالزمة لضمان سالمة املعطيات؟ --------------
ال نعم ل .مد فريق الرقابة بعدد الترخيص وتاريخه -------------------------------------------------------
ال نعم ----------- ح .هل تتضمن الالفتات بمن يمكن اإلتصال لالطالع على التسجيالت؟
ط .ما هي التدابير الخصوصية لتخزين وإيواء هذه املعطيات؟
ال نعم د .مد فريق الرقابة بعدد الترخيص وتاريخه ---------------------------------------------------------
ال نعم ه .هل تم إعالم العون املعني بتركيز نظام املراقبة؟ ---------------------------------------------
ال نعم و .مد فريق الرقابة بما يثبت ذلك -------------------------------------------------------------------------
ال نعم ح .هل توجد تدابير خاصة لتأمين املعطيات البيومترية؟ ------------------------------------
ال نعم و .هل تم الحصول على موافقة الشخص املعني؟ -----------------------------------------------
ال نعم .مد فريق الرقابة بنسخة من الوثيقة املثبتة للحصول على املوافقة --------------
ال نعم د .هل تم الحصول على موافقة الشخص املعني؟ -----------------------------------------------
ال نعم ه .مد فريق الرقابة بنسخة من الوثيقة املثبتة للحصول على املوافقة --------------
ال نعم ج .مد فريق الرقابة بعدد الترخيص وتاريخه --------------------------------------------------------
ال نعم د .هل تم الحصول على موافقة الشخص املعني؟ -----------------------------------------------
ال نعم ه .مد فريق الرقابة بنسخة من الوثيقة املثبتة للحصول على املوافقة --------------
ال نعم د .مد فريق الرقابة بعدد الترخيص وتاريخه ---------------------------------------------------------
ال نعم ه .هل تم الحصول على موافقة الشخص املعني؟ ----------------------------------------------
ال نعم و .مد فريق الرقابة بنسخة من الوثيقة املثبتة للحصول على املوافقة --------------
.1الحق في النفا
ال نعم أ .هل يتم إعالم الشخص بحقه في النفاذ إلى معطياته الشخصية؟
------------------
ال نعم ب .مد فريق الرقابة بالوثيقة املثبتة لهذا اإلعالم ------------------------------------------------
.2الحق في االعتراض
ال نعم أ .هل تم إعالم الشخص بحقه في اإلعتراض على املعالجة؟ --------------------------------
ال نعم -------------------------------------- ب .مد فريق الرقابة بالوثيقة املثبتة لإلعالم بهذا الحق
ج .كيف يتم تمكينه من ممارسة هذا الحق؟
ال نعم -------------------------------------- ب .مد فريق الرقابة بالوثيقة املثبتة لإلعالم بهذا الحق
ال نعم -------------------------------------- ب .مد فريق الرقابة بالوثيقة املثبتة لإلعالم بهذا الحق
ج .كيف يتم تمكينه من ممارسة هذا الحق؟
IIـ النتائج التي توصل إليها فريق الرقابة ERROR! BOOKMARK NOT DEFINED. ................................................
ERROR! BOOKMARK NOT DEFINED. .1الجوانب اإليجابية فيما يتعلق بحماية المعطيات الشخصية
Error! Bookmark not defined. أ .وجود مؤشرات ملموسة لثقافة حماية المعطيات الشخصية
Error! Bookmark not defined. ب .تسمية مكلف بحماية المعطيات الشخصية
ج .وجود سياسة داخلية في مجال حماية المعطيات الشخصية Error! Bookmark not defined.
Error! Bookmark not defined. د .القيام ببعض اإلجراءات المسبقة لدى الهيئة
ه .وجود سياسة داخلية للسالمة المعلوماتية Error! Bookmark not defined.
و .وجود مشاريع في مجال الحماية ،بصدد اإلنجاز Error! Bookmark not defined.
ERROR! BOOKMARK NOT DEFINED. .2النقائص واإلخالالت التي تم تسجيلها فيما يتعلق بحماية المعطيات الشخصية
Error! Bookmark not defined. أ .المكلف بحماية المعطيات الشخصية
Error! Bookmark not defined. ب .خارطة عمليات المعالجة
Error! Bookmark not defined. ج .اإلجراءات المسبقة للتصريح والترخيص
Error! Bookmark not defined. د .إعالم الشخص المعني بالمعالجة
Error! Bookmark not defined. ه .عقود المناولة
و .إحالة المعطيات الشخصية إلى الغير Error! Bookmark not defined.
Error! Bookmark not defined. ز .فسخ وإتالف المعطيات الشخصية عند اإلنتهاء من معالجتها
Error! Bookmark not defined. ح .وسائل المراقبة البصرية
.IIIتوصيات فريق الرقابة ERROR! BOOKMARK NOT DEFINED. ................................................................
تبعا للمهمة التي قام بها فريق الرقابة للهيئة الوطنية لحماية املعطيات الشخصية باملقر
االجتماعي ملؤسستكم ،أتشرف بأن أحيل عليكم رفقة هذا التقرير النهائي الذي تم اعداده في
الغرض.