Sécurité informatique

Loi n°2004-5 du 3 février 2004,
relative à la sécurité informatique.

Au nom
du peuple,

La
chambre des députés ayant adopté,

Le
Président de la République promulgue la loi dont la teneur suit :

Chapitre Premier : De l’agence nationale de la sécurité informatique

Article premier. –

La présente loi a pour objet d’organiser le domaine de la sécurité
informatique et de fixer les règles générales de protection des systèmes
informatiques et des réseaux.

Art.2. – Est créée, une
entreprise publique à caractère non administratif dotée de la personnalité
morale et de l’autonomie financière dénommée ”

Agence Nationale de la Sécurité Informatique “.
Elle est soumise dans ses relations avec les tiers à la législation
commerciale et son siège est fixé à Tunis.

L’agence est soumise à la tutelle du ministère chargé des technologies de la
communication.

L’organisation administrative et financière et les modalités de
fonctionnement de l’agence sont fixées par décret.

Art.3. – L’agence
nationale de la sécurité informatique effectue un contrôle général des
systèmes informatiques et des réseaux relevant des divers organismes publics
et privés et elle est chargée notamment des missions suivantes :

– veiller à l’exécution des
orientations nationales et de la stratégie générale en matière de sécurité
des systèmes informatiques et des réseaux,

– suivre l’exécution des plans
et des programmes relatifs à la sécurité informatique dans le secteur public
à l’exception des applications particulières à la défense et à la sécurité
nationale et assurer la coordination entre les intervenants dans ce domaine,

– assurer la veille
technologique dans le domaine de la sécurité informatique,

– établir des normes spécifiques
à la sécurité informatique et élaborer des guides techniques en l’objet et
procéder à leur publication,

– oeuvrer à encourager le
développement de solutions nationales dans le domaine de la sécurité
informatique et à les promouvoir conformément aux priorités et aux
programmes qui seront fixés par l’agence,

– participer à la consolidation
de la formation et du recyclage dans le domaine de la sécurité informatique,

– veiller à l’exécution des
réglementations relatives à l’obligation de l’audit périodique de la
sécurité des systèmes informatiques et des réseaux.

L’autorité de tutelle peut
confier à l’agence toute autre activité en rapport avec le domaine de son
intervention.

Art.4. – En
cas de dissolution de l’agence, ses biens feront retour à l’Etat qui exécute
ses obligations et ses engagements conformément à la législation en vigueur.

Chapitre II : De l’audit obligatoire

Art.5. – Les systèmes
informatiques et les réseaux relevant des divers organismes publics sont
soumis à un régime d’audit obligatoire et périodique de la sécurité
informatique, à l’exception des systèmes informatiques et des réseaux
appartenant aux ministères de la défense nationale  et de l’intérieur
et du développement local.

Sont également, soumis à l’audit obligatoire périodique de la sécurité
informatique, les systèmes informatiques et les réseaux des organismes qui
feront fixés par décret.

Sont fixés par décret, les critères relatifs à la nature de l’audit, à sa
périodicité et aux procédures de suivi de l’application des recommandations
contenues dans le rapport d’audit.

Art.6. – Dans le cas où
les organismes prévus à l’article 5 de la présente loi n’effectuent pas
l’audit obligatoire périodique, l’agence nationale de la sécurité
informatique avertit l’organisme concerné qui devra effectuer l’audit dans
un délai ne dépassant pas un mois à partir de la date de cet avertissement.

A l’expiration de ce délai sans résultat, l’agence est tenue de désigner,
aux frais de l’organisme contrevenant, un expert qui sera chargé de l’audit
sus-indiquée.

Art.7. – Sous réserve des
exceptions prévues aux articles 3 et 5 de la présente loi, les organismes
publics et privés doivent permettre à l’agence nationale de la sécurité
informatique et aux experts qui seront chargés de l’opération d’audit, de
consulter tous les documents et dossiers relatifs à la sécurité informatique
afin d’accomplir leurs missions.

Chapitre III : Des auditeurs

Art.8. – L’opération
d’audit est effectuée par des experts, personnes physiques ou morales,
préalablement certifiées par l’agence nationale de la sécurité informatique.

Sont fixées par décret, les conditions et les procédures de certification de
ces experts.

Art.9. – Il est interdit
aux agents de l’agence nationale de la sécurité informatique et aux experts
chargés des opérations d’audit de divulguer toutes informations dont ils ont
eu connaissance lors de l’exercice de leurs mission.

Sont passibles des sanctions prévues à l’article 254 du code pénal,
quiconque divulgue, participe ou incite à la divulgation de ces
informations.

Chapitre IV : Des dispositions diverses

Art.10. – Tout exploitant
d’un système informatique ou réseau, qu’il soit organisme public ou privé,
doit informer immédiatement l’agence nationale de la sécurité informatique
de toutes attaques, intrusions et autres perturbations susceptibles
d’entraver le fonctionnement d’un autre système  informatique ou
réseau, afin de lui permettre de prendre les mesures nécessaires pour y
faire face.

L’exploitant est tenu de se conformer aux mesures arrêtées par l’agence
nationale de la sécurité informatique pour mettre fin à ces perturbations.

Art.11. – Dans les cas
prévus à l’article précédent et afin de protéger les systèmes informatiques
et les réseaux, l’agence nationale de la sécurité informatique peut proposer
l’isolement du système informatique ou du réseau concerné jusqu’à ce que ces
perturbations cessent. L’isolement est prononcé par décision du ministre
chargé des technologies de la communication.

Concernant les exceptions prévues à l’article 3 de la présente loi, des
procédures adéquates seront arrêtées en coordination avec les ministres de
la défense nationale et de l’intérieur et du développement local.

La présente loi sera publiée au Journal Officiel de la République Tunisienne
et exécutée comme loi de l’Etat.

Tunis, le
3 février 2004.

Zine El
Abidine Ben ALI