Le Président de la République,
Sur proposition du ministre de la justice et des droits de l’Homme,
Vu la loi organique n° 2004-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel et notamment les articles 7, 8 et 81,
Vu le décret n°93-982 du 3 mai 1993, relatif à la relation entre l’administration et ses usagers, tel que modifié par le décret n° 2007-1259 du 21 mai 2007,
Vu le décret n° 94-1692 du 8 août 1994, relatif aux imprimés administratifs, tel que complété par le décret n° 2006-2967 du 13 novembre 2006,
Vu le décret n° 2007-1260 du 21 mai 2007, fixant les cas où le silence de l’administration vaut acceptation implicite,
Vu le Décret n° 2007-3003 du 27 novembre 2007, fixant les modalités de fonctionnement de l’instance nationale de protection des données à caractère personnel,
Vu l’avis du tribunal administratif.
Décrète :
Article premier.-
Le présent décret fixe les conditions et les procédures de déclaration préalable et de demande d’autorisation pour le traitement des données à caractère personnel ainsi que les procédures de retrait de l’autorisation et de l’interdiction du traitement.
CHAPITRE PREMIER -Dispositions communes
Article 2. –
Toute opération de traitement des données à caractère personnel est soumise à une déclaration préalable ou à une autorisation dans les cas prévus par la loi organique relative à la protection des données à caractère personnel susvisée.
Article 3.-
Les déclarations préalables et les demandes d’autorisation de traitement des données à caractère personnel sont présentées par le biais de formulaires sous format papier ou dans une version électronique mise à la disposition du public.
Les formulaires doivent être signés personnellement par le responsable du traitement s’il s’agit d’une personne physique ou par le représentant légal pour la personne morale.
Article 4.-
La déclaration ou la demande d’autorisation est déposée directement à l’instance nationale de protection des données à caractère personnel contre récépissé ou envoyée par lettre recommandée avec accusé de réception ou par tout autre moyen laissant une trace écrite.
Article 5.-
L’instance nationale de protection des données à caractère personnel peut demander des informations supplémentaires ou d’autres documents nécessaires pour examiner la déclaration ou statuer sur la demande d’autorisation.
Dans le cas où un manque de protection suffisante des données est constaté, l’instance peut exiger du déclarant ou du demandeur d’autorisation de fournir des garanties supplémentaires.
Article 6.-
Dans le cas où des informations, garanties supplémentaires, ou autres documents nécessaires sont exigés au sens de l’article 5 du présent décret, l’instance nationale de protection des données à caractère personnel fixe à l’intéressé un délai pour fournir ce qui lui a été demandé. Dans ce cas, l’écoulement du délai légal pour examiner la déclaration ou statuer sur la demande d’autorisation est interrompu. Ce délai est compté de nouveau à partir de la date de fourniture de ce qui est demandé ou à partir de la réponse explicite négative de l’intéressé ou l’expiration du délai prévu à cet effet par l’instance sans fournir ce qui a été demandé.
Article 7.-
Dans le cas où l’intéressé ne fournit pas ce qui lui a été demandé dans le délai qui lui a été fixé, l’instance examine la déclaration ou statue sur la demande d’autorisation en l’état.
CHAPITRE II .- La déclaration
Article 8. –
Le formulaire de déclaration préalable au traitement des données à caractère personnel comprend les informations suivantes :
le nom, prénom et domicile du responsable du traitement, du sous traitant et de leurs agents pour la personne physique, et s’il s’agit d’une personne morale, sa dénomination sociale, son siège social, l’identité de son représentant légal et le numéro d’immatriculation au registre de commerce, le cas échéant,
l’identité des personnes concernées par les données à caractère personnel et leurs domiciles,
les finalités du traitement et ses normes,
les catégories du traitement, son lieu et la date du traitement,
les données à caractère personnel dont le traitement est envisagé, ainsi que leur origine,
les personnes ou les autorités susceptibles de prendre connaissance des données à caractère personnel en raison de leur fonction,
les bénéficiaires des données à caractère personnel objet du traitement,
le lieu de conservation des données à caractère personnel objet du traitement et sa durée,
les mesures prises pour assurer la confidentialité des données à caractère personnel et leur sécurité,
la description des bases de données auxquelles le responsable du traitement est interconnecté,
l’engagement de procéder au traitement des données à caractère personnel conformément aux dispositions prévues par la loi,
la déclaration que les conditions de la nationalité tunisienne, la résidence en Tunisie et l’absence d’antécédents judiciaires sont remplies pour le responsable du traitement des données à caractère personnel, le sous traitant et leurs agents.
Article 9.-
Sans préjudice des dispositions de l’article 6 du présent décret, l’instance nationale de protection des données à caractère personnel examine la déclaration dans un délai ne dépassant pas un mois à partir de la date de son dépôt. Le défaut d’opposition dans le délai prévu vaut acceptation.
CHAPITRE III – L’autorisation
Article 10.-
Avant l’utilisation de moyens de vidéosurveillance, une autorisation doit être obtenue de l’instance nationale de protection des données à caractère personnel.
Le formulaire de demande d’autorisation comprend, outre les informations prévues à l’article 8 de la loi organique relative à la protection des données à caractère personnel susvisée, les informations suivantes :
le numéro d’immatriculation au registre de commerce, le cas échéant, pour la personne morale,
la description globale des lieux où les moyens de vidéo-surveillance sont installés,
le but de l’utilisation des moyens de vidéo-surveillance.
Article 11.-
Une autorisation doit aussi être obtenue de l’instance nationale de protection des données à caractère personnel avant l’exécution des opérations suivantes :
la communication des données à caractère personnel aux tiers en l’absence du consentement de l’intéressé ou de ses héritiers ou de son tuteur,
le transfert des données à caractère personnel vers l’étranger,
la communication des données à caractère personnel relatives à la santé aux personnes ou établissements effectuant de la recherche scientifique dans le domaine de la santé,
le traitement des données à caractère personnel qui concernent directement ou indirectement les origines raciales ou génétiques, les convictions religieuses, les opinions politiques, philosophiques ou syndicales ou la santé.
Le formulaire de la demande d’autorisation comprend, outre les informations prévues à l’article 8 de la loi organique relative à la protection des données à caractère personnel , les informations suivantes :
le numéro d’immatriculation au registre de commerce, le cas échéant, pour la personne morale,
les données à caractère personnel destinées au transfert et leur nature,
le pays auquel les données à caractère personnel vontêtre transférées.
Article 12.-
Sans préjudice des dispositions de l’article 6 du présent décret, l’instance statue sur la demande d’autorisation dans un délai ne dépassant pas un mois à partir de la date de son dépôt. L’absence de réponse de sa part dans le délai prévu vaut refus implicite. L’instance peut décider l’octroi de l’autorisation après engagement du responsable du traitement de prendre des précautions et des mesures préventives nécessaires. Ces précautions et ces mesures lui sont communiquées d’une manière écrite.
L’instance ne peut octroyer la décision de l’autorisation au responsable du traitement qu’après avoir présenté l’engagement précité signé et légalisé.
CHAPITRE IV .- Le retrait de l’autorisation ou l’interdiction du traitement
Article 13. –
Si le responsable du traitement ou le soustraitant porte atteinte aux obligations légales auxquelles il est soumis, l’instance décide après son audition le retrait de l’autorisation ou l’interdiction du traitement.
L’instance peut, avant la prise de sa décision de retrait de l’autorisation ou d’interdiction du traitement, lui fixer un délai pour régulariser les manquements.
En cas d’urgence et si la poursuite du traitement objet de l’autorisation ou de la déclaration constitue une violation flagrante de la loi, l’instance peut interdire provisoirement le traitement et ce, pour un délai ne dépassant pas un mois.
Au cours de ce délai, une décision définitive de retrait de l’autorisation ou d’interdiction du traitement doit être prise.
Article 14.-
L’intéressé est convoqué par l’instance pour audition au moins sept jours avant la date prévue à cet effet et ce, par lettre recommandée avec accusé de réception ou par tout autre moyen laissant une trace écrite.
Article 15.-
Le ministre de la justice et des droits de l’Homme est chargé de l’exécution du présent décret qui sera publié au Journal Officiel de la République Tunisienne.
Tunis, le 27 novembre 2007.