|
Le Président de la République,
Sur proposition du ministre de la justice et des droits de
l’Homme,
Vu la loi organique n° 2004-63 du 27 juillet 2004,
portant sur la protection des données à caractère personnel
et notamment les articles 7, 8 et 81,
Vu le décret n°93-982 du 3 mai 1993, relatif à la relation
entre l’administration et ses usagers, tel que modifié par le
décret n° 2007-1259 du 21 mai 2007,
Vu le décret n° 94-1692 du 8 août 1994, relatif aux
imprimés administratifs, tel que complété par le décret n°
2006-2967 du 13 novembre 2006,
Vu le décret n° 2007-1260 du 21 mai 2007, fixant les
cas où le silence de l’administration vaut acceptation
implicite,
Vu le décret n° 2007-3003 du 27 novembre 2007, fixant
les modalités de fonctionnement de l’instance nationale de
protection des données à caractère personnel,
Vu l’avis du tribunal administratif.
Décrète :
 Article premier - Le présent décret fixe les conditions et
les procédures de déclaration préalable et de demande
d’autorisation pour le traitement des données à caractère
personnel ainsi que les procédures de retrait de
l’autorisation et de l’interdiction du traitement.
CHAPITRE PREMIER -Dispositions communes
Art. 2 - Toute opération de traitement des données Ã
caractère personnel est soumise à une déclaration préalable
ou à une autorisation dans les cas prévus par la loi
organique relative à la protection des données à caractère
personnel susvisée.
Art. 3 - Les déclarations préalables et les demandes
d’autorisation de traitement des données à caractère
personnel sont présentées par le biais de formulaires sous
format papier ou dans une version électronique mise à la
disposition du public.
Les formulaires doivent être signés personnellement par le
responsable du traitement s’il s’agit d’une personne physique
ou par le représentant légal pour la personne morale.
Art. 4 - La déclaration ou la demande d’autorisation est
déposée directement à l’instance nationale de protection des
données à caractère personnel contre récépissé ou envoyée
par lettre recommandée avec accusé de réception ou par
tout autre moyen laissant une trace écrite.
Art. 5 - L’instance nationale de protection des données Ã
caractère personnel peut demander des informations
supplémentaires ou d’autres documents nécessaires pour
examiner la déclaration ou statuer sur la demande
d’autorisation.
Dans le cas où un manque de protection suffisante des
données est constaté, l’instance peut exiger du déclarant ou
du demandeur d’autorisation de fournir des garanties
supplémentaires.
Art. 6 - Dans le cas où des informations, garanties
supplémentaires, ou autres documents nécessaires sont
exigés au sens de l’article 5 du présent décret, l’instance
nationale de protection des données à caractère personnel
fixe à l’intéressé un délai pour fournir ce qui lui a été
demandé. Dans ce cas, l’écoulement du délai légal pour
examiner la déclaration ou statuer sur la demande
d’autorisation est interrompu. Ce délai est compté de
nouveau à partir de la date de fourniture de ce qui est
demandé ou à partir de la réponse explicite négative de
l’intéressé ou l’expiration du délai prévu à cet effet par
l’instance sans fournir ce qui a été demandé.
Art. 7 - Dans le cas où l’intéressé ne fournit pas ce qui
lui a été demandé dans le délai qui lui a été fixé, l’instance
examine la déclaration ou statue sur la demande
d’autorisation en l’état.
CHAPITRE II -
La déclaration
Art. 8 - Le formulaire de déclaration préalable au
traitement des données à caractère personnel comprend les
informations suivantes :
- le nom, prénom et domicile du responsable du
traitement, du sous traitant et de leurs agents pour la
personne physique, et s’il s’agit d’une personne morale, sa
dénomination sociale, son siège social, l’identité de son
représentant légal et le numéro d’immatriculation au
registre de commerce, le cas échéant,
- l’identité des personnes concernées par les données Ã
caractère personnel et leurs domiciles,
- les finalités du traitement et ses normes,
- les catégories du traitement, son lieu et la date du traitement,
- les données à caractère personnel dont le traitement est
envisagé, ainsi que leur origine,
- les personnes ou les autorités susceptibles de prendre
connaissance des données à caractère personnel en raison de leur fonction,
- les bénéficiaires des données à caractère personnel objet du traitement,
- le lieu de conservation des données à caractère
personnel objet du traitement et sa durée,
- les mesures prises pour assurer la confidentialité des
données à caractère personnel et leur sécurité,
- la description des bases de données auxquelles le
responsable du traitement est interconnecté,
- l’engagement de procéder au traitement des données Ã
caractère personnel conformément aux dispositions prévues par la loi,
- la déclaration que les conditions de la nationalité
tunisienne, la résidence en Tunisie et l’absence
d’antécédents judiciaires sont remplies pour le responsable
du traitement des données à caractère personnel, le sous traitant et leurs agents.
Art. 9 - Sans préjudice des dispositions de l’article 6 du
présent décret, l’instance nationale de protection des données Ã
caractère personnel examine la déclaration dans un délai ne
dépassant pas un mois à partir de la date de son dépôt. Le
défaut d’opposition dans le délai prévu vaut acceptation.
CHAPITRE III -
L’autorisation
Art. 10 - Avant l’utilisation de moyens de vidéosurveillance,
une autorisation doit être obtenue de l’instance
nationale de protection des données à caractère personnel.
Le formulaire de demande d’autorisation comprend, outre
les informations prévues à l’article 8 de la loi organique
relative à la protection des données à caractère personnel
susvisée, les informations suivantes :
- le numéro d’immatriculation au registre de commerce,
le cas échéant, pour la personne morale,
- la description globale des lieux où les moyens de
vidéo-surveillance sont installés,
- le but de l’utilisation des moyens de vidéo-surveillance.
Art. 11 - Une autorisation doit aussi être obtenue de
l’instance nationale de protection des données à caractère
personnel avant l’exécution des opérations suivantes :
- la communication des données à caractère personnel
aux tiers en l’absence du consentement de l’intéressé ou de
ses héritiers ou de son tuteur,
- le transfert des données à caractère personnel vers
l’étranger,
- la communication des données à caractère personnel
relatives à la santé aux personnes ou établissements
effectuant de la recherche scientifique dans le domaine de
la santé,
- le traitement des données à caractère personnel qui
concernent directement ou indirectement les origines
raciales ou génétiques, les convictions religieuses, les
opinions politiques, philosophiques ou syndicales ou la
santé.
Le formulaire de la demande d’autorisation comprend,
outre les informations prévues à l’article 8 de la loi
organique relative à la protection des données à caractère personnel, les informations suivantes :
- le numéro d’immatriculation au registre de commerce,
le cas échéant, pour la personne morale,
- les données à caractère personnel destinées au transfert et leur nature,
- le pays auquel les données à caractère personnel vontêtre transférées.
Art. 12 - Sans préjudice des dispositions de l’article 6
du présent décret, l’instance statue sur la demande
d’autorisation dans un délai ne dépassant pas un mois Ã
partir de la date de son dépôt. L’absence de réponse de sa
part dans le délai prévu vaut refus implicite. L’instance peut
décider l’octroi de l’autorisation après engagement du
responsable du traitement de prendre des précautions et des
mesures préventives nécessaires. Ces précautions et ces
mesures lui sont communiquées d’une manière écrite.
L’instance ne peut octroyer la décision de l’autorisation
au responsable du traitement qu’après avoir présenté
l’engagement précité signé et légalisé.
CHAPITRE IV -
Le retrait de l’autorisation ou l’interdiction du
traitement
Art. 13 - Si le responsable du traitement ou le soustraitant
porte atteinte aux obligations légales auxquelles il
est soumis, l’instance décide après son audition le retrait de
l’autorisation ou l’interdiction du traitement.
L’instance peut, avant la prise de sa décision de retrait
de l’autorisation ou d’interdiction du traitement, lui fixer un
délai pour régulariser les manquements.
En cas d’urgence et si la poursuite du traitement objet
de l’autorisation ou de la déclaration constitue une violation
flagrante de la loi, l’instance peut interdire provisoirement
le traitement et ce, pour un délai ne dépassant pas un mois.
Au cours de ce délai, une décision définitive de retrait de
l’autorisation ou d’interdiction du traitement doit être prise.
Art. 14 - L’intéressé est convoqué par l’instance pour
audition au moins sept jours avant la date prévue à cet effet
et ce, par lettre recommandée avec accusé de réception ou
par tout autre moyen laissant une trace écrite.
Art. 15 - Le ministre de la justice et des droits de
l’Homme est chargé de l’exécution du présent décret qui
sera publié au Journal Officiel de la République Tunisienne.
Tunis, le 27 novembre 2007.
- - -
|
