La Commission des droits et libertés de l’Assemblée des représentants du peuple a consacré, mardi 17 février 2026, une séance d’audition aux représentants de l’initiative législative relative au projet de loi organique portant protection des données personnelles.
Un « contrat social numérique » en débat
En ouverture des travaux, le président de la commission, Thabet El Abed, a souligné que le débat ne se limite pas à un texte technique, mais qu’il touche à la définition d’un « contrat social numérique » encadrant la relation entre le citoyen et l’État, d’une part, et entre l’individu et l’économie numérique, d’autre part.
Il a insisté sur le rôle central de la loi dans la protection de la vie privée et des données personnelles, notamment face à l’essor des algorithmes, des dispositifs de surveillance et des systèmes d’intelligence artificielle influençant les décisions administratives et économiques.
Le président a relevé que le projet comporte des avancées notables, parmi lesquelles l’encadrement de l’usage de l’intelligence artificielle, la consécration du droit de ne pas être soumis exclusivement à une décision automatisée, l’instauration d’évaluations d’impact pour les traitements à haut risque, l’organisation du traitement des données de santé et l’encadrement de la vidéosurveillance.
Autorisation préalable ou logique de responsabilité ?
Des interrogations de fond ont toutefois été soulevées quant à la philosophie du dispositif proposé. Le débat porte notamment sur le choix entre un régime d’autorisations préalables étendu et un système fondé sur la responsabilisation des responsables de traitement, assorti d’un contrôle a posteriori rigoureux.
Selon le président de la commission, l’approche comparée privilégie généralement la responsabilisation, tandis que le texte en discussion opte pour un système d’autorisations couvrant plusieurs secteurs. Cette orientation pose la question de la capacité de l’instance compétente à traiter le volume des demandes, ainsi que celle du modèle économique recherché : économie de conformité basée sur la gouvernance ou économie d’autorisation administrative susceptible d’impacter l’investissement et l’innovation.
Sécurité, souveraineté et sanctions
Les discussions ont également porté sur la vidéosurveillance et le traitement des données à des fins sécuritaires. Les députés ont insisté sur la nécessité de concilier la protection de l’ordre public avec un contrôle indépendant effectif, en particulier pour les technologies à haut risque, dans le respect des principes de nécessité et de proportionnalité.
Concernant la souveraineté numérique, il a été précisé qu’elle ne signifie ni fermeture ni interdiction absolue du transfert ou de l’hébergement des données, mais plutôt maîtrise des conditions et des garanties, tout en préservant l’ouverture à l’informatique en nuage et à la coopération scientifique internationale, notamment dans le domaine de la santé, avec un niveau de protection équivalent.
S’agissant du régime des sanctions, la commission a mis l’accent sur l’importance de la dissuasion, avec une gradation des amendes financières, et la limitation des peines privatives de liberté aux cas les plus graves.
Un texte de 132 articles
Les représentants de l’initiative ont présenté un projet composé de 132 articles répartis en six chapitres, portant sur les dispositions générales, les principes du traitement et les droits des personnes concernées, les régimes de traitement, l’Instance de protection des données personnelles, les sanctions ainsi que les dispositions finales et transitoires.
Ils ont expliqué que cette réforme vise à doter la Tunisie d’un cadre législatif moderne, conforme aux standards internationaux et aux engagements du pays en matière de protection des données et des droits humains.
Parmi les motivations de la révision figurent les limites de la loi n°63 de 2004 relative à la protection des données personnelles, le vide institutionnel lié à l’absence d’un rôle effectif de l’Instance compétente, ainsi que l’absence d’encadrement précis dans des secteurs sensibles comme la presse et les médias, la vidéosurveillance ou encore le traitement des données par intelligence artificielle. La question du transfert des données à l’étranger et de l’insuffisance des garanties actuelles a également été soulevée.
Le projet prévoit notamment la création de la fonction de délégué à la protection des données et impose aux structures publiques des obligations de déclaration et de demande d’autorisation pour toute opération de traitement.
Les initiateurs ont indiqué que l’orientation nouvelle privilégie davantage les sanctions financières, dont certaines ont été revues à la hausse, avec la création d’une chambre spécialisée au sein de l’Instance pour prononcer ces amendes. Des dispositions spécifiques encadrant le traitement des données dans le domaine journalistique sont également prévues.
En conclusion, les représentants de l’initiative se sont déclarés ouverts aux propositions d’amendement des députés et ont recommandé l’élargissement des auditions à l’ensemble des parties prenantes.
À l’issue de la séance, les membres de la commission ont entamé l’examen détaillé du premier chapitre relatif aux dispositions générales. Les travaux doivent se poursuivre lors d’une prochaine réunion.
M.B.Z
