La Tunisie dispose d'une législation pionnière sur la protection des données personnelles depuis 2004. La loi n° 2004-63 du 27 juillet 2004 instaure un cadre proche du RGPD européen et confie à l'Instance Nationale de Protection des Données Personnelles (INPDP) le contrôle de son application. Avec la digitalisation accélérée (ELFATOORA, e-commerce, IA), la conformité devient une obligation incontournable pour toute entreprise tunisienne.
1. Qu'est-ce qu'une donnée personnelle ?
Toute information permettant d'identifier directement ou indirectement une personne physique : nom, prénom, CIN, adresse, email, téléphone, photo, IP, données de santé, biométrie, opinions politiques ou religieuses, etc.
Les données sensibles (santé, religion, casier, biométrie) bénéficient d'une protection renforcée.
2. La loi 2004-63 et ses textes d'application
- Loi organique n° 2004-63 du 27 juillet 2004
- Décrets d'application sur les autorisations et déclarations
- Convention 108+ du Conseil de l'Europe (ratifiée par la Tunisie)
- Projet de réforme aligné sur le RGPD européen (en discussion 2026)
3. L'INPDP : missions et pouvoirs
L'Instance Nationale de Protection des Données Personnelles (inpdp.tn) :
- Délivre les autorisations de traitement de données sensibles
- Reçoit les déclarations de traitements ordinaires
- Contrôle et inspecte les responsables de traitement
- Inflige des sanctions administratives
- Reçoit les plaintes des personnes concernées
- Sensibilise le public et les entreprises
4. Obligations des entreprises tunisiennes
Avant tout traitement
- Déclarer le traitement à l'INPDP (formulaire en ligne)
- Obtenir une autorisation si données sensibles ou transfert hors Tunisie
- Définir une finalité légitime et explicite
- Limiter la collecte au strict nécessaire (minimisation)
- Informer les personnes concernées
Pendant le traitement
- Sécuriser les données (chiffrement, accès restreint)
- Respecter les droits : accès, rectification, opposition, suppression
- Tenir un registre des traitements
- Conserver les données seulement le temps nécessaire
Votre site collecte des données ?
web6 met votre site en conformité INPDP — bandeau cookies, politique, déclaration. +216 22 999 002
5. Cas concrets en entreprise
| Situation | Obligation |
|---|---|
| Site web avec formulaire de contact | Politique de confidentialité, bandeau cookies, déclaration INPDP |
| Boutique e-commerce | Déclaration + CGV conformes (voir guide e-commerce) |
| Newsletter / email marketing | Consentement explicite + désabonnement facile |
| Données de santé | Autorisation préalable INPDP |
| Vidéosurveillance | Déclaration + affichage informatif |
| Application mobile | Politique de confidentialité + permissions justifiées |
| Hébergement à l'étranger | Autorisation de transfert transfrontalier |
6. Démarches de déclaration INPDP
- Créer un compte sur inpdp.tn
- Remplir le formulaire en ligne (finalité, données, destinataires, durée…)
- Joindre les pièces : CIN du responsable, statuts, formulaires de collecte
- Recevoir un récépissé de déclaration ou une autorisation
- Mettre à jour la déclaration si la finalité change
7. Droits des personnes concernées
- Droit d'accès aux données les concernant
- Droit de rectification en cas d'erreur
- Droit d'opposition à certains traitements (marketing notamment)
- Droit de suppression en fin de finalité
- Droit de plainte auprès de l'INPDP
8. Sanctions encourues
| Infraction | Sanction |
|---|---|
| Traitement sans déclaration | Amende 1 000 à 10 000 DT + emprisonnement jusqu'à 1 an |
| Traitement de données sensibles sans autorisation | Amende jusqu'à 50 000 DT + emprisonnement jusqu'à 5 ans |
| Transfert international illégal | Amende lourde + suspension du traitement |
| Atteinte à la sécurité des données | Sanctions administratives + responsabilité civile |
9. RGPD européen et entreprises tunisiennes
Si vous traitez des données de résidents européens (clients export, freelances B2C UE), le RGPD européen s'applique en plus de la loi tunisienne. Cela impose : registre, DPO, étude d'impact (DPIA), notification des fuites en 72h, etc.
10. Bonnes pratiques techniques
- Chiffrement HTTPS (SSL/TLS) sur tout le site — voir notre guide SSL ANCE
- Hashage des mots de passe (bcrypt, Argon2)
- Sauvegardes chiffrées et testées
- Mise à jour régulière des CMS et plugins
- Limitation des accès (principe du moindre privilège)
- Logs et traçabilité des accès
- Formation des équipes (phishing, ingénierie sociale)
FAQ
Suis-je obligé de déclarer mon site vitrine ?
Si vous collectez le moindre formulaire (contact, newsletter), oui. Un site purement vitrine sans collecte peut être dispensé.
Une déclaration tunisienne suffit-elle pour le RGPD ?
Non. Pour traiter des données européennes, vous devez ajouter une démarche RGPD (registre, DPO si requis).
• Cybersécurité site web Tunisie
• Sécurité informatique entreprise
• Signature électronique ANCE
• Guide e-commerce Tunisie
• Cyberattaques Tunisie : protection
🛡️ web6 — site & app conformes INPDP / RGPD
Politique de confidentialité, bandeau cookies, formulaires de consentement, gestion DPO. Nous concevons votre solution en conformité totale avec la loi tunisienne et le RGPD européen.
Demander un devis ou +216 22 999 002Conclusion
La protection des données personnelles n'est pas une formalité — c'est un actif stratégique. En Tunisie, la loi 2004-63 et l'INPDP imposent des règles claires que toute entreprise digitale doit intégrer dans sa stratégie : déclaration, transparence, sécurité, droits des personnes. Mieux vaut anticiper que subir un contrôle.
Audit de conformité INPDP / RGPD
Évaluation de votre site, mise en conformité, documents juridiques : on s'occupe de tout. Devis gratuit sous 24h.
Demander un devis