La nouvelle loi relative à la protection des personnes physiques dans le traitement des données personnelles est officiellement entrée en vigueur le 10 juin 2018 après sa publication au Journal officiel n°34. Elle a pour objet de fixer les règles de protection des personnes physiques dans le traitement des données à caractère personnel.

« Le traitement des données à caractère personnel, quelle que soit son origine ou sa forme, doit se faire dans le cadre du respect de la dignité humaine, de la vie privée, des libertés publiques et ne doit pas porter atteinte aux droits des personnes, à leur honneur et à leur réputation », stipule la loi.

Le traitement des données à caractère personnel « ne peut être effectué qu’avec le consentement exprès de la personne concernée. Si la personne concernée est incapable ou interdite, le consentement est régi par les règles du droit commun. La personne concernée peut, à tout moment, se rétracter », indique en outre la nouvelle loi.

Les données à caractère personnel objet du traitement « ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement et du destinataire et sous réserve du consentement préalable de la personne concernée », stipule la loi.

Le traitement des données à caractère personnel « qui concerne un enfant ne peut s’effectuer qu’après l’obtention du consentement de son représentant légal ou, le cas échéant, de l’autorisation du juge compétent », est-il précisé.

Le consentement n’est toutefois pas exigé si le traitement des données est nécessaire « au respect d’une obligation légale à laquelle est soumise la personne concernée ou le responsable du traitement », « à la sauvegarde de la vie de la personne concernée » ou encore « à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ».

« Toute opération de traitement des données à caractère personnel, est soumise à une déclaration préalable à l’autorité nationale ou à son autorisation conformément aux dispositions prévues par la présente loi », stipule un article.

Une autorité administrative indépendante de protection des données à caractère personnel est également créée dans le cadre de la nouvelle loi. Elle est composée de trois personnalités choisies par le président de la République, de trois magistrats proposés par le Conseil supérieur de la magistrature, parmi les magistrats de la Cour suprême et du Conseil d’État, d’un membre de chacune des chambres du Parlement et de représentants de différents ministères dont celui de la Défense nationale ou encore des Affaires étrangères.

L’autorité a pour rôle de veiller à ce que le traitement des données à caractère personnel soit « mis en œuvre, conformément aux dispositions de la présente loi et de s’assurer que l’utilisation des technologies de l’information et de la communication ne comporte pas de menaces au regard des droits des personnes, des libertés publiques et de la vie privée ».

La loi introduit par ailleurs une interdiction de « la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable ».

Dans le cas où le consentement a été obtenu, « il est interdit d’émettre, à des fins de prospection directe, des messages au moyen d’automates d’appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci ».

De même qu’il est interdit de « dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec le service proposé ».

Par ailleurs, quiconque procède sans le consentement exprès de la personne concernée aux traitements des données sensibles encourt une peine d’emprisonnement de deux à cinq ans et d’une peine d’une amende de 200 000 à 500 000 dinars. D’autres peines sont également prévues en cas d’infraction aux dispositions présentes dans la nouvelle loi.