قوانين خصوصية البيانات في تونس: القانون الأساسي رقم 2004-63 وإصلاح 2025

يُلزم القانون الأساسي التونسي رقم 2004-63 الصادر في 27 يوليو 2004 كل جهة مسؤولة عن معالجة البيانات بتقديم تصريح مسبق إلى الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) قبل الشروع في معالجة البيانات الشخصية. وتتطلب البيانات الحساسة وعمليات النقل عبر الحدود ترخيصاً مسبقاً كاملاً. وتصل العقوبات الجزائية إلى 50,000 دينار تونسي (TND) والسجن لمدة سنتين في حالات المعالجة غير المرخصة.
تحتل تونس مكانة متميزة في تاريخ حماية البيانات. فعندما دخل القانون الأساسي رقم 2004-63 المتعلق بحماية المعطيات الشخصية حيز التنفيذ في 27 يوليو 2004، أصبحت تونس من أوائل الدول في القارة الأفريقية والعالم العربي التي تسن تشريعاً شاملاً لحماية البيانات الشخصية. وقد سبق هذا الإنجاز معظم الأطر المماثلة في المنطقة الأوسع بأكثر من عقد من الزمن.
استمد القانون مبادئه مباشرة من النموذج الفرنسي لحماية البيانات وتوجيه الاتحاد الأوروبي لحماية البيانات رقم 95/46/EC، بما يعكس تقاليد تونس في القانون المدني وعلاقتها الاقتصادية الوثيقة بجيرانها الأوروبيين. وبعد عشرين عاماً، لا يزال الإطار الأساسي سارياً، إلا أن تونس تمر الآن بعملية تحديث جوهرية. ومن شأن مشروع القانون الأساسي المقدم في فبراير 2025 أن يحل محل القانون الأساسي رقم 2004-63 بقانون متماشٍ مع اللائحة الأوروبية GDPR، يتضمن حقوقاً موسعة وصلاحيات إنفاذ أقوى وقواعد صريحة بشأن الذكاء الاصطناعي والبيانات البيومترية.
يغطي هذا الدليل الإطار الحالي بالكامل والإصلاح المرتقب: الحق الدستوري في الخصوصية، وآلية عمل الهيئة الوطنية لحماية المعطيات الشخصية، ونظام التصريح والترخيص، والأسس القانونية للمعالجة، وحقوق صاحب البيانات، وقواعد النقل عبر الحدود، والعقوبات، وما تحتاج الشركات إلى معرفته بشأن مرحلة الانتقال.
إجابة سريعة
تُلزم تونس جميع الجهات المسؤولة عن معالجة البيانات بتقديم تصريح مسبق إلى الهيئة الوطنية لحماية المعطيات الشخصية قبل معالجة البيانات الشخصية. وتستوجب فئات معينة، منها البيانات الحساسة وعمليات النقل عبر الحدود، ترخيصاً مسبقاً كاملاً. وتترتب على المخالفات عقوبات جزائية تصل إلى 50,000 دينار تونسي والسجن لمدة سنتين. ويمر حالياً بالبرلمان مشروع إصلاح كبير من شأنه أن يحوّل تونس نحو نظام غرامات إدارية على غرار اللائحة الأوروبية GDPR، وأن يستحدث الحق في المحو والحق في نقل البيانات.
الأساس الدستوري
يوفر الإطار الدستوري التونسي ضماناً مزدوجاً لحماية البيانات الشخصية.
الفصل 24 من دستور 2014 ينص على أن الدولة تحمي الحق في الخصوصية وحرمة المسكن وسرية المراسلات والاتصالات والبيانات الشخصية. وقد اعتُمد هذا الحكم في أعقاب ثورة 2011، ويعكس خياراً متعمداً لترسيخ حقوق البيانات في أعلى مستويات النظام القانوني.
الفصل 30 من دستور 2022 يواصل هذا الضمان في النص الدستوري الحالي لتونس. إذ يُلزم الفصل 30 الدولة بحماية الحياة الخاصة وحرمة المراسلات والاتصالات والبيانات الشخصية. وقد حل دستور 2022 محل نص 2014 بعد أن عزز الرئيس قيس سعيّد صلاحيات السلطة التنفيذية، إلا أن ضمان حماية البيانات الشخصية بقي محفوظاً.
ولأن القانون الأساسي رقم 2004-63 يحمل صفة «القانون الأساسي»، فإنه يحتل مرتبة في الهرم التشريعي التونسي أعلى من القوانين العادية. ويستوجب تعديله أو إلغاؤه أغلبية برلمانية موصوفة. وينطبق الأمر ذاته على القانون البديل المرتقب.
وتجدر الإشارة إلى أن كلا الدستورين يسمحان بتقييد الحقوق في حالات الطوارئ. وقد أبقت تونس على حالة الطوارئ سارية منذ عام 2015، وهو ما اعتبرته منظمات حقوق الإنسان خطراً محتملاً على الممارسة الفعلية للحق في الخصوصية.
القانون الأساسي رقم 2004-63: الإطار الأساسي
ينظم القانون الأساسي رقم 2004-63 المعالجة الآلية وغير الآلية للبيانات الشخصية من قبل الجهات العمومية والخاصة العاملة داخل التراب التونسي. ويُطبَّق القانون عندما تكون الجهة المسؤولة عن المعالجة مستقرة في تونس، أو عند استخدام وسائل معالجة موجودة في تونس، باستثناء ما يُستخدم لأغراض العبور فقط.
المبادئ الأساسية
يرسي القانون مجموعة من المبادئ الأساسية التي تحكم كل عمليات معالجة البيانات:
المشروعية والنزاهة في المعالجة. يجب جمع البيانات ومعالجتها بحسن نية، ولأغراض محددة وصريحة ومشروعة.
تحديد الغرض. لا يجوز استخدام البيانات المجمعة لغرض محدد في غرض مختلف جوهرياً دون الحصول على موافقة جديدة أو أساس قانوني جديد.
التناسب. يجب أن تكون البيانات المجمعة كافية وملائمة وغير مفرطة بالقياس إلى الغرض المعلن.
الدقة. يجب على الجهات المسؤولة عن المعالجة ضمان دقة البيانات وتحديثها عند الاقتضاء.
حدود الاحتفاظ بالبيانات. لا يجوز الاحتفاظ بالبيانات لمدة أطول مما هو ضروري لتحقيق الغرض الذي جُمعت من أجله.
الأمن. يجب على الجهات المسؤولة عن المعالجة اتخاذ التدابير التقنية والتنظيمية المناسبة لحماية البيانات من الوصول غير المصرح به أو التعديل أو الإفشاء أو الإتلاف.
تعريفات أساسية
البيانات الشخصية (données à caractère personnel): كل معلومة، بغض النظر عن مصدرها أو شكلها، تسمح بالتعرف على شخص طبيعي بصفة مباشرة أو غير مباشرة.
البيانات الحساسة (données sensibles): المعلومات المتعلقة بالأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو الانتماء النقابي، أو الحالة الصحية، أو الحياة الجنسية، أو الخصائص الجينية. وتحظى البيانات الحساسة بحماية مشددة وتستوجب دائماً ترخيصاً مسبقاً من الهيئة الوطنية لحماية المعطيات الشخصية.
الجهة المسؤولة عن المعالجة (responsable du traitement): الشخص الطبيعي أو المعنوي، أو السلطة العمومية، أو أي هيئة أخرى تحدد أغراض المعالجة ووسائلها.
معالجة البيانات (traitement des données): كل عملية أو مجموعة عمليات تُجرى على البيانات الشخصية، سواء بطريقة آلية أو يدوية، بما في ذلك الجمع والتسجيل والتخزين والتعديل والاستخدام والإفشاء والإتلاف.
الاستثناءات من نطاق التطبيق
لا يسري القانون على البيانات التي يعالجها الأفراد لأغراض شخصية أو منزلية بحتة. أما البيانات التي تُعالج لأغراض الأمن القومي فتخضع لأطر قانونية منفصلة خارج نطاق القانون الأساسي رقم 2004-63.
الهيئة الوطنية لحماية المعطيات الشخصية: الهيكل والصلاحيات
أُنشئت الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) بموجب القانون الأساسي رقم 2004-63، وبدأت عملها الفعلي سنة 2009، أي بعد فجوة زمنية بلغت ست سنوات أثارت انتقادات من منظمات المجتمع المدني. ويقع مقر الهيئة في 1 نهج محمد معلى، المطيلة، تونس العاصمة، وتتمتع بالشخصية القانونية والاستقلال المالي.
وتُعد الهيئة الوطنية لحماية المعطيات الشخصية أقدم هيئة لحماية البيانات في أفريقيا والعالم العربي. وتضم في تركيبتها رئيساً يعيّنه رئيس الجمهورية، وأعضاء من القضاء والحكومة والمجتمع المدني.
المهام الأساسية
التسجيل والترخيص. تتلقى الهيئة جميع التصاريح المسبقة وتُقيّم طلبات الترخيص. وتصدر القرارات المتعلقة بطلبات الترخيص في غضون شهر واحد من تاريخ استلامها.
التحقيقات والتفتيش. يجوز للهيئة التحقيق في أنشطة معالجة البيانات من تلقاء نفسها أو بناءً على شكوى، كما تملك صلاحية إجراء تفتيش ميداني للجهات العمومية والخاصة على حد سواء.
الإحالة للإنفاذ. عند اكتشاف مخالفات، تحيل الهيئة الملفات إلى وكيل الجمهورية. ولا تفرض الهيئة نفسها غرامات إدارية في ظل الإطار الحالي، إذ يتوقف الإنفاذ على الإجراءات الجزائية.
الآراء الاستشارية. تُسدي الهيئة المشورة للحكومة والبرلمان بشأن مشاريع التشريعات المتعلقة بالبيانات الشخصية.
التوعية العامة. تنشر الهيئة إرشادات، وتنظم برامج تدريبية، وتشارك في الشبكات الدولية لحماية البيانات، بما في ذلك شبكة الهيئات الأفريقية لحماية البيانات (RAPDP).
تحديات مؤسسية
واجهت الهيئة مخاوف مستمرة تتعلق بالموارد والاستقلالية. وقد تميزت القيادة الأولى ذات الخلفية القضائية بالحذر إزاء الإنفاذ الاستباقي، وكان امتثال القطاع الخاص ضعيفاً قبل عام 2015. وفي ظل رئاسة Chawki Gaddes للهيئة (اعتباراً من 2015)، زادت الهيئة من إحالاتها للإنفاذ ومن حضورها العام. وحتى يوليو 2023، كانت نحو ثلاثين جهة تواجه ملاحقة جزائية لمعالجتها بيانات شخصية دون التصريح المطلوب، مع وجود مئات القضايا المعلقة أمام المحاكم التونسية.
نظام التصريح والترخيص
يعتمد الإطار التونسي نظاماً متدرجاً من الضوابط الإدارية المسبقة على معالجة البيانات.
التصريح المسبق (لجميع عمليات المعالجة)
يُلزم الفصل 7 من القانون الأساسي رقم 2004-63 كل جهة مسؤولة عن المعالجة بتقديم تصريح مسبق إلى الهيئة قبل الشروع في أي معالجة للبيانات الشخصية. ويجب أن يتضمن التصريح:
- هوية الجهة المسؤولة عن المعالجة وبياناتها التفصيلية للاتصال
- الغرض من المعالجة
- فئات البيانات الشخصية المعنية
- فئات الأشخاص المعنيين بالبيانات
- الجهات المستقبلة للبيانات المزمعة
- مدة الاحتفاظ بالبيانات المقترحة
- التدابير الأمنية المعتمدة
- ما إذا كانت البيانات ستُنقل إلى الخارج
ويحدد الأمر عدد 2007-3004 المؤرخ في 27 نوفمبر 2007 إجراءات وصيغ التصاريح. وتصدر الهيئة وصل استلام عند تلقي التصريح، ويجوز الشروع في المعالجة بمجرد الحصول على هذا الوصل. ويُعد عدم تقديم التصريح قبل المعالجة جريمة جزائية تستوجب غرامة تتراوح بين 1,000 و10,000 دينار تونسي والسجن لمدة تتراوح بين شهر وأربعة أشهر.
الترخيص المسبق (فئات معينة)
تستوجب بعض أنشطة المعالجة ترخيصاً مسبقاً كاملاً من الهيئة بدلاً من مجرد تصريح. ويجب الحصول على الترخيص قبل الشروع في المعالجة. وتشمل عمليات المعالجة الخاضعة للترخيص المسبق:
- معالجة البيانات الشخصية الحساسة (الأصل العرقي أو الإثني، الآراء السياسية، الصحة، الدين، البيانات الجينية، الانتماء النقابي)
- نقل البيانات الشخصية عبر الحدود
- أنظمة المراقبة بالفيديو
- الربط بين قواعد بيانات ذات أغراض أصلية مختلفة
- معالجة البيانات الجينية
- المعالجة لأغراض بحثية تتضمن بيانات شخصية
- أنظمة التعرف البيومتري
تُقيّم الهيئة طلبات الترخيص، ويجوز لها منح الترخيص أو رفضه أو إخضاعه لشروط. وتسري مهلة الشهر الواحد على اتخاذ القرار. ويجوز سحب الترخيص إذا لم تلتزم الجهة المسؤولة عن المعالجة بالشروط المرفقة به.
وتستوجب المعالجة دون الترخيص المطلوب غرامة تتراوح بين 5,000 و50,000 دينار تونسي والسجن لمدة تتراوح بين ستة أشهر وسنتين.
الإعفاءات من التصريح
تُعفى بعض أنشطة المعالجة من شرط التصريح، بما في ذلك المعالجة التي ينص عليها القانون صراحة والمعالجة التي تتم لأغراض شخصية أو منزلية بحتة.
الأسس القانونية للمعالجة
يستوجب القانون الأساسي رقم 2004-63 وجود أساس قانوني لمعالجة البيانات. وتُعد الموافقة الأساس الرئيسي، إلا أن القانون يعترف بعدة بدائل أخرى.
الموافقة. يجب أن تكون الموافقة حرة ومحددة ومستنيرة. ويجب أن يفهم صاحب البيانات الغرض من المعالجة قبل الموافقة. ويجوز سحب الموافقة في أي وقت.
الضرورة التعاقدية. تكون المعالجة مشروعة دون الحاجة إلى موافقة منفصلة عندما تكون ضرورية لتنفيذ عقد يكون صاحب البيانات طرفاً فيه، أو لاتخاذ إجراءات بناءً على طلب صاحب البيانات قبل إبرام العقد.
الالتزام القانوني. لا تستوجب المعالجة التي يفرضها القانون موافقة صاحب البيانات.
المصالح الحيوية. تكون المعالجة الضرورية لحماية المصالح الحيوية لصاحب البيانات مشروعة حتى دون موافقته.
المصلحة العامة. يجوز إجراء المعالجة الضرورية لأداء مهمة ذات مصلحة عامة دون موافقة.
المصالح المشروعة. تكون المعالجة الضرورية لتحقيق مصالح مشروعة للجهة المسؤولة عن المعالجة أو لطرف ثالث مشروعة، شريطة ألا تطغى هذه المصالح على الحقوق والحريات الأساسية لصاحب البيانات.
ومن الناحية العملية، تُعد الموافقة الأساس الأكثر اعتماداً في معالجة البيانات لدى القطاع الخاص في تونس. ومن شأن مشروع إصلاح 2025 أن يقنّن هذه الأسس ويوضحها بصياغة أقرب إلى إطار اللائحة الأوروبية GDPR.
حقوق صاحب البيانات
يمنح القانون الأساسي رقم 2004-63 أصحاب البيانات عدة حقوق يمكنهم ممارستها تجاه الجهات المسؤولة عن المعالجة.
الحق في الإعلام. يجب على الجهات المسؤولة عن المعالجة، قبل جمع البيانات أو عند جمعها، إعلام أصحاب البيانات بهوية الجهة المسؤولة، وأغراض المعالجة، وما إذا كان تقديم البيانات إلزامياً أو اختيارياً، ونتائج رفض تقديم البيانات، والجهات المستقبلة للبيانات، وحقوق صاحب البيانات.
الحق في الاطلاع. يجوز لأصحاب البيانات طلب نسخة من بياناتهم الشخصية التي تحتفظ بها الجهة المسؤولة عن المعالجة. ويجب تقديم الرد خلال مدة معقولة وبصيغة مفهومة. وتكون طلبات الاطلاع مجانية في الغالب.
الحق في التصحيح. يجوز للأفراد طلب تصحيح البيانات غير الدقيقة أو الناقصة أو المتقادمة. ويجب إجراء التصحيحات دون تحميل صاحب البيانات أي تكلفة، وعلى الجهة المسؤولة عن المعالجة إخطار أي جهات مستقبلة بالبيانات المصححة.
الحق في الاعتراض. يجوز لأصحاب البيانات الاعتراض على معالجة بياناتهم لأسباب مشروعة تتعلق بوضعهم الخاص. كما يجوز لهم الاعتراض، في أي وقت ودون تكلفة، على معالجة بياناتهم لأغراض التسويق المباشر.
الحق في عدم الخضوع للقرارات الآلية. يحق لأصحاب البيانات عدم الخضوع لقرارات ذات آثار قانونية جوهرية تُتخذ استناداً حصرياً إلى معالجة آلية لبياناتهم الشخصية.
وتُمارَس هذه الحقوق بتقديم طلبات مباشرة إلى الجهة المسؤولة عن المعالجة. وإذا لم تستجب الجهة المسؤولة بشكل كافٍ أو خلال مدة معقولة، يجوز لصاحب البيانات تقديم شكوى إلى الهيئة. وتقبل قرارات الهيئة الطعن أمام محكمة الاستئناف بتونس، ثم أمام محكمة التعقيب في طور الطعن اللاحق.
حقوق لم يتضمنها القانون الحالي بعد
لا يتضمن الإطار الحالي حقاً صريحاً في المحو (الحق في النسيان)، ولا حقاً في نقل البيانات، ولا شرطاً إلزامياً بالإخطار عن خروقات البيانات. وقد تم تحديد هذه الثغرات كمحرك رئيسي للإصلاح، ومن شأن مشروع 2025 أن يستحدث هذه الحقوق الثلاثة جميعها.
نقل البيانات عبر الحدود
يفرض القانون الأساسي رقم 2004-63 ضوابط مهمة على نقل البيانات الشخصية خارج تونس.
القاعدة العامة
تخضع عمليات نقل البيانات إلى الدول الأجنبية لترخيص مسبق من الهيئة. وينطبق هذا الشرط بصرف النظر عن الدولة الوجهة. وتُقيّم الهيئة ما إذا كانت الدولة أو الجهة المستقبلة توفر مستوى ملائماً من حماية البيانات.
تقييم الملاءمة
وضع قرار الهيئة عدد 3 المؤرخ في 5 سبتمبر 2018 قائمة بالدول التي تُعتبر موفرة لحماية ملائمة لأغراض نقل البيانات. وتستفيد الدول الأعضاء في الاتحاد الأوروبي من قرينة إيجابية نظراً لتماشي تونس الوثيق مع الأطر الأوروبية. وبالنسبة للنقل إلى دول غير مدرجة في القائمة، تُقيّم الهيئة الإطار القانوني للجهة المستقبلة والضمانات الخاصة حالة بحالة.
الشروط الإلزامية
بالنسبة لأي عملية نقل عبر الحدود، يجب على الجهة المسؤولة عن المعالجة:
- الحصول على موافقة كتابية صريحة من صاحب البيانات، بعد إعلامه بغياب الحماية الملائمة في الدولة الوجهة (إن وُجد)
- تقديم طلب ترخيص إلى الهيئة يوضح الغرض وفئات البيانات وهوية الجهة المستقبلة والضمانات المعتمدة
- انتظار ترخيص الهيئة قبل الشروع في عملية النقل
وتستوجب عمليات النقل المتعلقة بالقصّر موافقة إضافية من محكمة الأسرة.
الاستثناءات
يجوز إجراء عمليات النقل دون قرار ملاءمة عندما يكون النقل ضرورياً بشكل قاطع من أجل: تنفيذ عقد بين صاحب البيانات والجهة المسؤولة عن المعالجة؛ أو عقد مبرم لمصلحة صاحب البيانات؛ أو لأسباب تتعلق بالمصلحة العامة؛ أو لإثبات حقوق قانونية أو ممارستها أو الدفاع عنها؛ أو لحماية المصالح الحيوية لصاحب البيانات.
ويجوز حظر عمليات النقل المتعلقة بالأمن القومي أو النظام العام أو المصالح الحيوية للدولة التونسية حظراً كاملاً، بصرف النظر عن الموافقة أو الترخيص.
ملاحظة عملية
يشكل شرط الترخيص خطوة إدارية مهمة بالنسبة للشركات الدولية. وينبغي للمؤسسات التي تنقل بيانات شخصية من تونس في إطار عملياتها التجارية الاعتيادية أن تخصص وقتاً كافياً لمراجعة الهيئة، وأن تُدرج تجديد الترخيص ضمن جداول حوكمة البيانات الخاصة بها.
اتفاقية 108 واتفاقية 108+
شكّل انضمام تونس إلى صكوك مجلس أوروبا لحماية البيانات ركيزة أساسية في تماشيها مع المعايير الدولية.
التصديق على اتفاقية 108 (1 نوفمبر 2017). صادق البرلمان التونسي بالإجماع على اتفاقية مجلس أوروبا لحماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية (اتفاقية 108) وبروتوكولها الإضافي رقم 181 المتعلق بالسلطات الرقابية وتدفق البيانات عبر الحدود. وأصبحت تونس العضو الحادي والخمسين في اتفاقية 108، وواحدة من عدد محدود فقط من الدول غير الأوروبية التي انضمت إليها في ذلك الوقت.
وبهذا التصديق، التزمت تونس بمواءمة قانونها الداخلي مع متطلبات اتفاقية 108، بما في ذلك ضمان الاستقلالية الوظيفية للهيئة إدارياً ومالياً.
التوقيع على اتفاقية 108+ (24 مايو 2019). أصبحت تونس الدولة الثلاثين التي توقّع على البروتوكول المعدل لاتفاقية 108 (اتفاقية 108+)، وهي النسخة المحدّثة التي تدمج عناصر من فكر حقبة اللائحة الأوروبية GDPR، بما في ذلك قواعد أكثر صرامة بشأن البيانات الحساسة والشفافية وحماية البيانات منذ التصميم. ويمثل التوقيع على اتفاقية 108+ التزاماً بالتحديث، إلا أنه لا يشكل بحد ذاته تصديقاً. ويستوجب التصديق الكامل خطوات تشريعية داخلية إضافية.
وقد استرشد مضمون مشروع إصلاح 2025 بالتزامات اتفاقية 108+، حيث يشير المشروع صراحة إلى التماشي مع اتفاقية 108+ كأحد أهدافه.
الإنفاذ والعقوبات
هيكل العقوبات الجزائية
يعتمد القانون الأساسي رقم 2004-63 على العقوبات الجزائية بدلاً من الغرامات الإدارية. وتحيل الهيئة المخالفات إلى وكيل الجمهورية الذي يباشر الإجراءات الجزائية. ويرد هيكل العقوبات في باب الإنفاذ من القانون:
| المخالفة | الغرامة (دينار تونسي) | السجن |
|---|---|---|
| المعالجة دون تقديم تصريح | 1,000 إلى 10,000 | شهر إلى 4 أشهر |
| المعالجة دون الترخيص المطلوب | 5,000 إلى 50,000 | 6 أشهر إلى سنتين |
| عدم احترام الالتزامات الأمنية | 1,000 إلى 10,000 | شهر إلى 6 أشهر |
| الجمع أو المعالجة غير المشروعة للبيانات الحساسة | 5,000 إلى 50,000 | سنة إلى سنتين |
| النقل غير المرخص للبيانات عبر الحدود | 5,000 إلى 50,000 | سنة إلى سنتين |
| إعاقة أنشطة الهيئة | 1,000 إلى 10,000 | شهر إلى 4 أشهر |
| عدم الامتثال لحقوق صاحب البيانات | 1,000 إلى 10,000 | شهر إلى 6 أشهر |
ويخضع الأشخاص المعنويون لذات الغرامات. وفي حالات العود، يجوز للمحاكم فرض عقوبات أعلى ضمن الحدود القانونية المقررة.
التدابير الإدارية للهيئة
بالإضافة إلى الإحالات الجزائية، يجوز للهيئة توجيه إنذارات رسمية، وسحب تراخيص المعالجة التي سبق أن منحتها، والأمر بالوقف الفوري للمعالجة غير المشروعة، وإلزام الجهة المسؤولة عن المعالجة باتخاذ تدابير تصحيحية محددة. وتعمل هذه التدابير الإدارية بشكل مستقل عن أي إجراءات جزائية.
التداخل مع الجرائم الإلكترونية: المرسوم عدد 2022-54
يتداخل المرسوم عدد 2022-54 المؤرخ في 13 سبتمبر 2022 المتعلق بمكافحة الجرائم الإلكترونية مع حماية البيانات بطرق مهمة. إذ يُلزم المرسوم مزودي خدمات الاتصالات بالاحتفاظ بهوية المستخدمين وبيانات الاتصال والبيانات الوصفية لمدة لا تقل عن سنتين. كما يخوّل المرسوم السلطات صلاحية حجز الأجهزة الشخصية واعتراض الاتصالات بأمر قضائي، مع عقوبات تصل إلى السجن لمدة خمس سنوات وغرامة قدرها 50,000 دينار تونسي بالنسبة لأخطر المخالفات، تُضاعف إذا كان الضحية موظفاً عمومياً.
وقد انتقدت منظمات حقوق الإنسان، بما في ذلك Human Rights Watch ومنظمة العفو الدولية، المرسوم عدد 54 لاتساع نطاقه. وحتى أواخر 2023، استُخدم المرسوم لملاحقة الصحفيين والمحامين والناشطين بدلاً من مرتكبي الجرائم الإلكترونية. ويتعارض شرط الاحتفاظ الإلزامي بالبيانات لمدة سنتين المنصوص عليه في المرسوم مع مبدأ حدود الاحتفاظ الوارد في القانون الأساسي رقم 2004-63، وسيتعين على مشروع إصلاح 2025 معالجة هذا التداخل.
سجل الإنفاذ
كان الإنفاذ في المراحل الأولى للقانون الأساسي رقم 2004-63 محدوداً للغاية. وقد حددت ندوة صحفية للهيئة عام 2016 مجموعة من المخالفات الممنهجة، منها الجمع غير المشروع للبيانات البيومترية، وتركيب كاميرات مراقبة غير قانونية، وتجاوزات في التسويق الهاتفي، وعمليات نقل غير مرخصة للبيانات إلى الخارج. وكانت الدعوى القضائية لعام 2017 ضد شركة OVH Tunisie بسبب نقل بيانات الزبائن إلى الخارج دون ترخيص من الهيئة من أبرز إجراءات الإنفاذ الأولى للهيئة. وبحلول منتصف 2023، كانت نحو ثلاثين جهة تواجه ملاحقة جزائية لعملها دون تصاريح، مع مئات القضايا الموصوفة بأنها معلقة أمام المحاكم التونسية.
إصلاح 2025: قانون جديد لحماية البيانات
يقف إطار حماية البيانات في تونس عند منعطف حاسم. فقد كان القانون الأساسي رقم 2004-63 قانوناً استشرافياً في عام 2004، إلا أنه سابق لعصر الحوسبة السحابية ووسائل التواصل الاجتماعي والتعلم الآلي وإطار اللائحة الأوروبية GDPR الذي أصبح منذ ذلك الحين المعيار المرجعي العالمي. وقد ظل إعداد بديل شامل جارياً لسنوات، ودخل رسمياً حيز المسار التشريعي في عام 2025.
الوضع التشريعي
قُدّم مشروع القانون الأساسي المتعلق بحماية البيانات ذات الطابع الشخصي (Projet de loi organique relatif à la protection des données à caractère personnel) رسمياً إلى البرلمان في 15 فبراير 2025. ويتألف المشروع من 123 فصلاً موزعة على ستة أبواب: الأحكام العامة، والمبادئ الناظمة لمعالجة البيانات، وحقوق صاحب البيانات، وأنظمة معالجة البيانات، وهيئة حماية البيانات، والعقوبات والأحكام الانتقالية.
وشرعت لجنة الحقوق والحريات في مجلس نواب الشعب التونسي في مراجعة باب الأحكام العامة من المشروع في مطلع 2025. وحتى مطلع 2026، كان المشروع لا يزال قيد المراجعة في اللجان البرلمانية ولم يُسنّ بعد كقانون. ويبقى الجدول الزمني التشريعي لإقراره النهائي غير مؤكد.
أبرز التغييرات التي سيستحدثها المشروع
توسيع النطاق ليشمل التقنيات الجديدة. يتناول مشروع القانون صراحة التعرف البيومتري، وتقنية التعرف على الوجه، والتنميط الخوارزمي، والمعالجة القائمة على الذكاء الاصطناعي. وهي مواضيع كانت غائبة إلى حد كبير عن نص 2004.
الحق في المحو. سيكون من حق أصحاب البيانات طلب حذف بياناتهم الشخصية عندما لا تعود تخدم غرضها الأصلي أو عند سحب الموافقة.
الحق في نقل البيانات. سيكون من حق الأفراد الحصول على بياناتهم الشخصية بصيغة منظمة وشائعة الاستخدام وقابلة للقراءة الآلية، ونقلها إلى جهة مسؤولة أخرى.
الإخطار الإلزامي بالخروقات. ستُلزم الجهات المسؤولة عن المعالجة والجهات المعالجة بإخطار الهيئة، وفي الحالات الخطيرة إخطار أصحاب البيانات المتضررين، عند وقوع خرق للبيانات الشخصية.
غرامات إدارية محسوبة على أساس رقم الأعمال. سيستبدل المشروع هيكل الغرامات الجزائية الثابتة بغرامات متناسبة مع رقم الأعمال السنوي العالمي، على غرار نهج اللائحة الأوروبية GDPR. وستستوجب أخطر المخالفات غرامات تمثل نسبة مئوية من الإيرادات العالمية.
مسؤولو حماية البيانات. ستُلزم بعض الجهات المسؤولة عن المعالجة والجهات المعالجة بتعيين مسؤول حماية بيانات يتولى ضمان الامتثال الداخلي.
استقلالية الهيئة وصلاحياتها. ستتمتع الهيئة بعد الإصلاح باستقلالية إدارية ومالية أكبر، وصلاحيات شبه قضائية موسعة لإصدار قرارات ملزمة وفرض غرامات مباشرة، وصلاحية إجراء مراجعات دورية لأنشطة المعالجة عالية المخاطر.
مراجعة دورية كل خمس سنوات. يفرض المشروع مراجعة تشريعية دورية كل خمس سنوات لإبقاء الإطار متماشياً مع تطور التكنولوجيا.
مسار الحصول على قرار ملاءمة أوروبي. يتمثل أحد الأهداف الصريحة للإصلاح في الحصول على قرار ملاءمة من الاتحاد الأوروبي، من شأنه أن يسمح بتدفق البيانات الشخصية بين تونس والدول الأعضاء في الاتحاد الأوروبي دون الحاجة إلى تراخيص النقل الفردية المعمول بها حالياً. ولهذا الأمر انعكاسات اقتصادية مباشرة على قطاع الإسناد الخارجي لتكنولوجيا المعلومات في تونس، وهو قطاع مهم يعتمد بشكل كبير على تدفقات البيانات مع العملاء الأوروبيين.
ما يبقى سارياً حتى الإقرار
إلى حين إقرار المشروع وانقضاء أي مهلة انتقالية، يبقى القانون الأساسي رقم 2004-63 هو القانون المعمول به بالكامل. وينبغي للمؤسسات الممتثلة حالياً لإطار 2004 متابعة التقدم البرلماني والشروع في تحليل الفجوات في مواجهة متطلبات مشروع 2025.
امتثال الشركات في ظل الإطار الحالي
الخطوة 1: حصر أنشطة المعالجة
قم بحصر جميع أنشطة معالجة البيانات الشخصية التي تُجريها مؤسستك في تونس، أو التي تتعلق ببيانات شخصية لمقيمين في تونس. وحدد فئات البيانات والأغراض والأسس القانونية والجهات المستقبلة ومدد الاحتفاظ والتدابير الأمنية لكل نشاط.
الخطوة 2: تقديم التصاريح المسبقة
بالنسبة لكل نشاط معالجة لا يخضع لشرط الترخيص، قدّم تصريحاً مسبقاً إلى الهيئة قبل الشروع في النشاط. ويجب أن تكون التصاريح مكتوبة باللغة العربية أو الفرنسية، ويمكن تقديمها في مقر الهيئة أو بأي وسيلة تترك أثراً كتابياً.
الخطوة 3: الحصول على التراخيص المسبقة
بالنسبة لأنشطة المعالجة التي تشمل البيانات الحساسة أو النقل عبر الحدود أو المراقبة بالفيديو أو الأنظمة البيومترية أو الربط بين قواعد البيانات أو البيانات الجينية أو البحث، قدّم طلب ترخيص إلى الهيئة. وخصص مهلة الشهر الواحد القانونية للمراجعة. ولا تشرع في النشاط إلا بعد الحصول على الترخيص فعلياً.
الخطوة 4: تفعيل آليات الموافقة
ضع إجراءات لجمع الموافقات تكون محددة ومستنيرة وحرة. واحتفظ بسجلات موثقة للموافقات. ووفّر آليات واضحة تتيح لأصحاب البيانات سحب موافقتهم، والتزم بتنفيذ السحب فوراً.
الخطوة 5: الاستجابة لحقوق صاحب البيانات
ضع إجراءات داخلية لمعالجة طلبات الاطلاع والتصحيح والاعتراض. واستجب خلال مدة معقولة ودون تحميل صاحب البيانات أي تكلفة. ودرّب الموظفين على كيفية التعرف على هذه الطلبات ومعالجتها.
الخطوة 6: تطبيق الضوابط الأمنية
اعتمد تدابير أمنية تقنية وتنظيمية تتناسب مع حساسية البيانات ودرجة المخاطر في أنشطة المعالجة لديك. ووثّق التدابير الأمنية كجزء من إجراءات التصريح.
الخطوة 7: متابعة الإصلاح
أجرِ تحليلاً للفجوات في مواجهة مشروع 2025. وحدد المجالات التي تستوجب تعديلاً، لا سيما إجراءات الإخطار بالخروقات، ومتطلبات تعيين مسؤول حماية البيانات، وآليات النقل عبر الحدود بموجب الإطار الجديد، ومسارات معالجة طلبات المحو.
ملاحظة للمؤسسات الدولية
تخضع المؤسسات المؤسسة خارج تونس والتي تستخدم وسائل معالجة موجودة فعلياً داخل التراب التونسي لأحكام القانون الأساسي رقم 2004-63. ويشمل ذلك الخوادم والبنية التحتية السحابية الموجودة في تونس. وتنطبق ذات شروط التصريح والترخيص بصرف النظر عن بلد تأسيس الجهة المسؤولة عن المعالجة.
مستجدات حديثة: من 2022 إلى 2026
مشروع القانون الأساسي لعام 2025 (فبراير 2025). يمثل أبرز مستجد في مشهد حماية البيانات في تونس مشروعَ الإصلاح المكوّن من 123 فصلاً الذي قُدّم إلى البرلمان في فبراير 2025. ولا تزال المراجعة في اللجان جارية. ومن شأن إقرار المشروع أن يعيد تشكيل مشهد الامتثال بشكل جوهري.
المرسوم عدد 2023-17 المتعلق بالأمن السيبراني والحوسبة السحابية (11 مارس 2023) أرسى متطلبات اعتماد لمزودي خدمات الحوسبة السحابية العاملين في تونس، بما في ذلك مراجعات إلزامية لأمن تكنولوجيا المعلومات للمؤسسات المعالجة للبيانات، وإجراءات اعتماد لمزودي البنية التحتية G-cloud وN-cloud.
إنفاذ المرسوم عدد 2022-54. بحلول أواخر 2023، كان المرسوم عدد 54 يُطبق في عشرات القضايا. ووثّقت Human Rights Watch استخدامه ضد المنتقدين والصحفيين بدلاً من مرتكبي الجرائم الإلكترونية، مما أثار قلق هيئات حقوق الإنسان الدولية.
مشروع بطاقة الهوية وجواز السفر البيومتريين. شاركت الهيئة في جلسات عمل وزارية في نوفمبر 2023 بشأن برنامج مقترح لبطاقة هوية وطنية وجواز سفر بيومتريين، وهو مشروع له انعكاسات جوهرية على حماية البيانات نظراً لمتطلبات ترخيص البيانات الحساسة بموجب القانون الحالي.
المشاركة في شبكة RAPDP. تواصل تونس مشاركتها في شبكة الهيئات الأفريقية لحماية البيانات (RAPDP)، وقد ساهمت في النقاشات الإقليمية بشأن مواءمة أطر حماية البيانات عبر القارة الأفريقية.
هدف الحصول على قرار الملاءمة الأوروبي. يمثل طموح تونس في الحصول على قرار ملاءمة من الاتحاد الأوروبي محركاً معلناً لمشروع إصلاح 2025. ويُعتبر الإطار الحالي غير كافٍ لاتخاذ مثل هذا القرار؛ وقد صُمم مشروع القانون المتماشي مع اللائحة الأوروبية GDPR جزئياً لسد هذه الفجوة وحماية وصول قطاع الإسناد الخارجي لتكنولوجيا المعلومات في تونس إلى تدفقات البيانات الأوروبية.
للمقارنة مع سوق مجاور، طالع دليل قوانين خصوصية البيانات في المغرب. وللاطلاع على السياق الدولي الأوسع، طالع نظرة عامة على قوانين خصوصية البيانات حول العالم والدليل التفصيلي لـ اللائحة الأوروبية GDPR. ولقواعد الموافقة على التسجيل في تونس، طالع قوانين التسجيل في تونس.
Frequently Asked Questions
ما هو القانون الأساسي رقم 2004-63 ومتى دخل حيز التنفيذ؟
القانون الأساسي رقم 2004-63 المتعلق بحماية المعطيات الشخصية هو القانون التونسي الشامل لخصوصية البيانات، الصادر في 27 يوليو 2004. وقد أنشأ الهيئة الوطنية لحماية المعطيات الشخصية، وجعل من تونس واحدة من أوائل الدول الأفريقية والعربية التي تعتمد إطاراً متكاملاً لحماية البيانات. ويستمد القانون مبادئه من النموذج الفرنسي لحماية البيانات وتوجيه الاتحاد الأوروبي لحماية البيانات لعام 1995.
ما هي الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) وما هي صلاحياتها؟
الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) هي الهيئة التونسية المستقلة لحماية البيانات، تعمل منذ عام 2009 وتُعد أقدم هيئة من نوعها في أفريقيا والعالم العربي. وتتلقى التصاريح وطلبات الترخيص، وتحقق في الشكاوى، وتجري تفتيشاً ميدانياً، وتصدر آراء استشارية بشأن التشريعات، وتحيل المخالفات إلى وكيل الجمهورية. وتقبل قراراتها الطعن أمام محكمة الاستئناف بتونس.
هل يجب علي التسجيل لدى الهيئة لمعالجة البيانات الشخصية في تونس؟
نعم. تستوجب جميع أنشطة معالجة البيانات تصريحاً مسبقاً إلى الهيئة قبل الشروع فيها. وتستوجب بعض الأنشطة، بما في ذلك معالجة البيانات الحساسة، والنقل عبر الحدود، والمراقبة بالفيديو، والربط بين قواعد البيانات، والأنظمة البيومترية، ومعالجة البيانات الجينية، ترخيصاً مسبقاً بدلاً من مجرد تصريح. وتُعد المعالجة دون التصريح أو الترخيص المطلوب جريمة جزائية.
ما هي الحمايات الدستورية للبيانات الشخصية في تونس؟
يحمي كل من دستوري تونس لعامي 2014 و2022 البيانات الشخصية. إذ يضمن الفصل 24 من دستور 2014 والفصل 30 من دستور 2022 الحق في الخصوصية وحرمة المسكن والمراسلات وحماية البيانات الشخصية. ويحمل القانون الأساسي رقم 2004-63 صفة القانون الأساسي، أي أنه يحتل مرتبة أعلى من التشريعات العادية في الهرم القانوني ويستوجب أغلبية برلمانية موصوفة لتعديله.
هل يمكن نقل البيانات الشخصية خارج تونس؟
تستوجب عمليات النقل عبر الحدود ترخيصاً مسبقاً من الهيئة، وتقتصر بشكل عام على الدول التي توفر حماية ملائمة. وتحتفظ الهيئة بقائمة للدول الملائمة (القرار عدد 3، 5 سبتمبر 2018). وتستوجب عمليات النقل إلى وجهات أخرى موافقة كتابية صريحة من صاحب البيانات إضافة إلى ترخيص الهيئة. كما تستوجب عمليات النقل المتعلقة بالقصّر موافقة محكمة الأسرة.
ما هي عقوبات مخالفة قانون حماية البيانات في تونس؟
العقوبات بموجب القانون الأساسي رقم 2004-63 هي عقوبات جزائية. وتتراوح بين غرامة من 1,000 إلى 50,000 دينار تونسي والسجن من شهر إلى سنتين، بحسب المخالفة. وتنطبق أعلى العقوبات على المعالجة غير المشروعة للبيانات الحساسة، والنقل غير المرخص عبر الحدود، والمعالجة دون الترخيص المطلوب. ويجوز للهيئة أيضاً سحب التراخيص والأمر بوقف المعالجة.
ما هو مشروع إصلاح حماية البيانات لعام 2025؟
قُدّم إلى البرلمان في 15 فبراير 2025 مشروع قانون أساسي مكوّن من 123 فصلاً ليحل محل القانون الأساسي رقم 2004-63. ويُماشي المشروع الإطار التونسي مع اللائحة الأوروبية GDPR واتفاقية 108+، ويستحدث الحق في المحو ونقل البيانات، والإخطار الإلزامي بالخروقات، والغرامات الإدارية المحسوبة على رقم الأعمال، ومتطلبات مسؤول حماية البيانات، وقواعد صريحة بشأن الذكاء الاصطناعي والبيانات البيومترية، وهيئة معززة تتمتع بصلاحيات شبه قضائية. وحتى مطلع 2026، كان المشروع قيد المراجعة في اللجان البرلمانية ولم يُسنّ بعد.
كيف يقارَن قانون تونس الحالي باللائحة الأوروبية GDPR؟
يشترك قانون تونس لعام 2004 مع اللائحة الأوروبية GDPR في مبادئ أساسية، منها تحديد الغرض والتناسب وحقوق صاحب البيانات والالتزامات الأمنية. وتشمل الثغرات الرئيسية: غياب الحق في المحو أو نقل البيانات، وعدم إلزامية الإخطار بالخروقات، وغرامات جزائية بدلاً من إدارية بحدود قصوى أقل بكثير، وغياب قواعد صريحة بشأن الذكاء الاصطناعي أو المعالجة البيومترية، ونظام ترخيص مسبق إلزامي يتجاوز نموذج المساءلة المعتمد في GDPR. وقد صُمم مشروع إصلاح 2025 لسد هذه الثغرات.
هل صادقت تونس على اتفاقية 108+؟
صادقت تونس على اتفاقية 108 الأصلية في نوفمبر 2017، لتصبح العضو الحادي والخمسين. ووقّعت على بروتوكول اتفاقية 108+ المحدّث في مايو 2019، لتصبح الدولة الثلاثين التي تفعل ذلك. ويمثل التوقيع التزاماً بالتماشي، إلا أنه لا يعادل التصديق. ويستوجب التصديق الكامل على اتفاقية 108+ خطوات تشريعية داخلية إضافية.
ما الذي يتعين على الشركات فعله للامتثال لقانون حماية البيانات في تونس اليوم؟
يجب على الشركات: (1) حصر جميع أنشطة معالجة البيانات الشخصية؛ (2) تقديم تصاريح مسبقة إلى الهيئة لكل نشاط قبل الشروع فيه؛ (3) الحصول على ترخيص مسبق بالنسبة للبيانات الحساسة والنقل عبر الحدود والمراقبة بالفيديو والأنظمة البيومترية والفئات المماثلة؛ (4) اعتماد إجراءات موافقة مكتوبة ومحددة ومستنيرة؛ (5) احترام حقوق صاحب البيانات في الاطلاع والتصحيح والاعتراض؛ (6) تطبيق تدابير أمنية موثقة؛ و(7) متابعة التقدم في مشروع إصلاح 2025 والتخطيط لمرحلة الانتقال.
Updates
تم التوسيع والتحديث: أُضيف مشروع إصلاح 2025 (123 فصلاً، قُدّم في فبراير 2025، قيد المراجعة في اللجان حتى مطلع 2026)، والفصل 30 من دستور 2022، وتوقيع اتفاقية 108+ (مايو 2019)، والتداخل مع المرسوم عدد 2022-54 المتعلق بالجرائم الإلكترونية، واعتماد المرسوم عدد 2023-17 المتعلق بالحوسبة السحابية، ومشروع الهوية البيومترية، وسجل إنفاذ الهيئة حتى 2023، وقسم كامل عن امتثال الشركات.
النشر الأولي يغطي إطار القانون الأساسي رقم 2004-63، والهيئة الوطنية لحماية المعطيات الشخصية، والأساس الدستوري، وحقوق صاحب البيانات، والنقل عبر الحدود، وهيكل العقوبات.
Sources and References
- INPDP - الموقع الرسمي(inpdp.tn).gov
- DLA Piper - قوانين حماية البيانات حول العالم - تونس(dlapiperdataprotection.com)
- مجلس أوروبا - اتفاقية 108 والبروتوكول(coe.int).gov
- مجلس أوروبا - تونس توقّع على اتفاقية 108+(coe.int).gov
- Access Now - تونس تصادق على اتفاقية 108(accessnow.org)
- مشروع القانون الأساسي التونسي لحماية البيانات الشخصية لعام 2025(regulations.ai)
- Boussayen Knani - دليل عملي: حماية البيانات في تونس(bkassocies.tn)
- Human Rights Watch - مرسوم الجرائم الإلكترونية التونسي يُستخدم ضد المنتقدين(hrw.org)
- CIHR - حماية البيانات في تونس: وهم قانوني؟(cihr.eu)
- Open Government Partnership - تونس TN0004(opengovpartnership.org)
- Access Now - الرقمنة في تونس والخصوصية(accessnow.org)
- UNCTAD - تشريعات حماية البيانات حول العالم(unctad.org)
- ICNL - المرسوم عدد 2022-54 المتعلق بالجرائم الإلكترونية في تونس(icnl.org)
- الوكالة الوطنية للسلامة المعلوماتية (ANSI) - تونس(ansi.tn).gov
- RAPDP - ملف الهيئة التونسية (INPDP)(rapdp.org)