Le fournisseur de services de certification électronique est chargé de l’émission, de la délivrance et de
la conservation des certificats conformément à un cahier des charges qui sera approuvé par décret, et
le cas échéant de sa suspension ou de son annulation conformément aux dispositions de la présente
loi.
Ce cahier des charges comprend notamment :
- Les coûts d’étude et de suivi des dossiers de demande des certificats,
- Les délais d’étude des dossiers,
- Les moyens matériels, financiers et humains qui doivent être fournis pour l’exercice de l’activité,
- Les conditions assurant l’interopérabilité des systèmes de certification et l’interconnexion des
registres de certificats,
- Les règles relatives à l’information afférente à ses services et aux certificats délivrés et devant être
conservés par le fournisseur de services de certification électronique.
Article 13 :
Le fournisseur de services de certification électronique est tenu d’utiliser des moyens fiables pour
l’émission, la délivrance et la conservation des certificats ainsi que les moyens nécessaires pour les
protéger de la contrefaçon et la falsification conformément au cahier des charges prévu par l’article 12
de la présente loi.
Article 14 :
Le fournisseur de services de certification électronique doit tenir un registre électronique des certificats
à la disposition des utilisateurs, accessible en permanence pour consultation électronique des
informations y contenues.
Le registre des certificats contient, le cas échéant, la date de suspension ou d’annulation du certificat.
Le registre des certificats doit être protégé contre toute modification non autorisée.
Article 15 :
Les fournisseurs de services de certification électronique ainsi que leurs agents doivent garder
secrètes les informations confiées à eux dans le cadre de l’exercice de leurs activités à l’exception de
celles dont la publication ou la communication ont été autorisées par écrit ou par voie électronique par
le titulaire du certificat ou dans les cas prévus par la législation en vigueur.
Article 16 :
En cas de demande de certificat, le fournisseur de services de certification électronique collecte les
informations à caractère personnel directement auprès de la personne concernée ou, moyennant son
accord écrit ou électronique, auprès des tiers.
Il est interdit au fournisseur de services de certification électronique de collecter les informations non
nécessaires à la délivrance du certificat.
Il est interdit au fournisseur de services de certification électronique d’utiliser, en dehors du cadre des
activités de certification, les informations qu’il a collectés pour délivrer le certificat sans avoir obtenu
l’accord écrit ou électronique de la personne concernée.
Article 17 :
Le fournisseur de services de certification électronique émet des certificats conformes aux exigences
de sécurité et de fiabilité. Les données techniques relatives au certificat et sa fiabilité seront fixées par
arrêté du Ministère chargé des télécommunications.
Ce certificat comprend notamment :
- l’identité du titulaire du certificat,
- L’identité de la personne qui l’a émis et sa signature électronique,
- Les éléments de vérification de la signature du titulaire du certificat,
- La durée de validité du certificat,
- Les domaines d’utilisation du certificat.
Article 18 :
Le fournisseur de services de certification électronique garantit :
- L’exactitude des informations certifiées contenues dans le certificat à la date de sa délivrance,
- Le lien entre le titulaire du certificat et le dispositif de vérification de signature qui lui est propre,
- La détention exclusive par le titulaire du certificat d’un dispositif de création de signature conforme
aux dispositions de l’arrêté prévu à l’article 5 de la présente loi et complémentaire avec le dispositif de
vérification de la signature identifié dans le certificat à la date de sa délivrance.
Lorsque le certificat est délivré à une personne morale le fournisseur de services de certification
électronique est tenu de vérifier préalablement l’identité et le pouvoir de représentation de la personne
physique qui se présente .
Article 19 :
Le fournisseur de services de certification électronique suspend le certificat immédiatement à la
demande de son titulaire ou lorsqu’il apparaît que :
- Le certificat a été délivré sur la base d’informations erronées ou falsifiées,
- Le dispositif de création de signature a été violé,
- Le certificat a fait l’objet d’une utilisation frauduleuse,
- Les informations contenues dans le certificat ont changé.
Le fournisseur de services de certification électronique informe immédiatement le titulaire du certificat
de la suspension et son motif.
La suspension est levée immédiatement lorsqu’il est démontré l’exactitude de l’information contenue
dans le certificat et son utilisation légitime.
La décision de suspension du certificat du fournisseur de services est opposable au titulaire du
certificat et aux tiers dès la date de sa publication au registre électronique prévu par l’article 14 de la
présente loi.
Article 20 :
Le fournisseur de services de certification électronique annule immédiatement le certificat dans les
cas ci après :
- A la demande du titulaire du certificat,
- Lorsqu’il est informé du décès de la personne physique ou de la dissolution de la personne morale
titulaire du certificat,
- Suite à la suspension, si des examens approfondis démontrent que les informations sont erronées
ou falsifiées ou non conformes à la réalité ou que le dispositif de création de signature a été violé ou le
certificat a été utilisé frauduleusement.
La décision d’annulation du certificat par le fournisseur de services est opposable au titulaire du
certificat et aux tiers dès la date de sa publication au registre électronique prévu par l’article 14 de la
présente loi.
Article 21 :
Le titulaire du certificat est seul responsable de la confidentialité et de l’intégrité du dispositif de
création de signature qu’il utilise et toute utilisation de ce dispositif est réputée être son fait.
Le titulaire du certificat est tenu de notifier au fournisseur de services de certification électronique
toute modification des informations contenues dans le certificat.
Le titulaire du certificat suspendu ou annulé ne peut plus utiliser les éléments de cryptage personnel
de la signature objet de ce certificat et il ne peut faire certifier ces éléments de nouveau par un autre
fournisseur de services de certification électronique.
Article 22 :
Le fournisseur de services de certification électronique est responsable de tout préjudice subi par
toute personne qui, de bonne foi, se fie aux garanties prévues par l’article 18 de la présente loi.
Le fournisseur de services de certification électronique est responsable du préjudice subi par toute
personne du fait de la non suspension ou de la non annulation d’un certificat conformément aux
articles 19 et 20 de la présente loi.
Le fournisseur de services de certification électronique n’est pas responsable des préjudices résultant
du non-respect du titulaire du certificat des conditions de son utilisation ou des conditions de création
de la signature électronique par le titulaire du certificat.
Article 23 :
Les certificats délivrés par un fournisseur de services de certification électronique établi dans un pays
étranger ont la même valeur que ceux délivrés par un fournisseur de services de certification
électronique établi en Tunisie, si cet organisme est reconnu dans le cadre d’un accord de
reconnaissance mutuelle conclu par l’agence nationale de certification électronique.
Article 24 :
Le fournisseur de services de certification électronique désirant mettre fin à son activité est tenu
d’informer l’agence nationale de certification électronique, au moins 3 mois avant la date d’arrêt .
Le fournisseur de services de certification électronique peut transférer à un autre fournisseur tout ou
partie de ses activités selon les conditions suivantes :
- Informer les titulaires des certificats en vigueur de sa volonté de transférer les certificats à un autre
fournisseur, au moins un mois avant le transfert envisagé,
- Préciser l’identité du fournisseur de services de certification électronique à qui les certificats seront
transférés,
- Informer les titulaires des certificats de la possibilité de refuser le transfert envisagé ainsi que les
délais et modalités de refus. Les certificats sont annulés si, au terme de ce délai, leurs titulaires
expriment par écrit ou par voie électronique leur refus.
En cas de décès, faillite, dissolution ou liquidation du fournisseur de services de certification
électronique les héritiers, tuteur ou liquidateur sont soumis aux dispositions du deuxième paragraphe
du présent article dans un délai ne dépassant pas trois mois.
Dans tous les cas de cessation d’activité, les données personnelles restant chez le fournisseur,
doivent être détruites en présence d’un représentant de l’agence nationale de certification
électronique.
Chapitre Cinq : Des transactions commerciales électroniques
Article 25 :
Avant la conclusion du contrat, le vendeur est tenu lors des transactions commerciales électroniques
de fournir au consommateur de manière claire et compréhensible les informations suivantes :
- L’identité, l’adresse et le téléphone du vendeur ou du prestataire des services,
- Une description complète des différentes étapes d’exécution de la transaction,
- La nature, les caractéristiques et le prix du produit,
- Le coût de livraison et les tarifs d’assurance du produit et les taxes exigées,
- La durée de l’offre du produit aux prix fixés,
- Les conditions de garanties commerciales et du service après-vente,
- Les modalités et les procédures de paiement et, le cas échéant les conditions de crédit proposées,
- Les modalités et les délais de livraison et l’exécution du contrat et les résultats de l’inexécution des
engagements.
- La possibilité de rétractation et son délai,
- Le mode de confirmation de la commande,
- Le mode de retour du produit, d’échange ou de remboursement,
- Le coût d’utilisation des moyens de télécommunications lorsqu’ils sont calculés sur une autre base
que les tarifs en vigueur,
- Les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou à une durée
supérieure à un an,
- La durée minimale du contrat, pour les contrats portant sur la fourniture à long terme ou
périodiquement d’un produit ou d’un service.
Ces informations doivent être fournies par voie électronique et mises à la disposition du
consommateur pour consultation à tous les stades de la transaction.
Article 26 :
Il est interdit au vendeur de délivrer un produit non commandé par le consommateur lorsqu’il est
assorti d’une demande de paiement.
En cas de délivrance d’un produit non commandé par le consommateur, celui-ci ne peut être sollicité
pour le paiement de son prix ou du coût de sa livraison.
Article 27 :
Avant la conclusion du contrat, le vendeur doit permettre au consommateur de récapituler
définitivement l’ensemble de ses choix et de confirmer la commande ou de la modifier selon sa
volonté et de consulter le certificat électronique relatif à sa signature.
Article 28 :
Sauf accord contraire entre les parties, le contrat est conclu à l’adresse du vendeur et à la date de
l’acceptation de la commande par ce dernier par un document électronique signé et adressé au
consommateur.
Article 29 :
Le vendeur doit fournir au consommateur, à sa demande, et dans les 10 jours suivant la conclusion du
contrat un document écrit ou électronique contenant l’ensemble des données relatives à l’opération de
vente.
Article 30 :
Sous réserve des dispositions de l’article 25 de la présente loi, le consommateur peut se rétracter
dans un délai de 10 jours ouvrables, courants :
- à compter de la date de leur réception par le consommateur, pour les marchandises,
- à compter de la date de conclusion du contrat, pour les services.
La notification de la rétractation se fait par tout moyen prévu préalablement dans le contrat.
Dans ce cas, le vendeur est tenu de rembourser le montant payé au consommateur dans les 10 jours
ouvrables à compter de la date de retour des marchandises ou la renonciation au service.
Le consommateur supporte les frais de retour des marchandises.
Article 31 :
Nonobstant la réparation du préjudice au profit du consommateur, ce dernier peut restituer le produit
en l’état s’il n’est pas conforme à la commande ou si le vendeur n’a pas respecté les délais de
livraison et ce, dans un délai de 10 jours ouvrables courant à compter de la date de livraison.
Dans ce cas, le vendeur doit rembourser la somme payée et les dépenses y afférentes au
consommateur dans un délai de 10 jours ouvrables à compter de la date de restitution du produit.
Article 32 :
Sous réserve des dispositions de l’article 30 de la présente loi et à l’exception des vices apparents ou
cachés, le consommateur ne peut pas se rétracter dans les cas suivants :
- Lorsque le consommateur demande la livraison du service avant l’expiration du délai de rétractation
et que le vendeur le lui fourni,
- Si le consommateur reçoit des produits confectionnés selon des caractéristiques personnalisés ou
des produits qui ne peuvent être réexpédiés ou sont susceptibles d’être détériorés ou périmés à cause
de l’expiration des délais de validité,
- Lorsque le consommateur descelle les enregistrements audio ou vidéo ou les logiciels informatiques
livrés ou téléchargés,
- L’achat de journaux et magazines.
Article 33 :
Lorsque l’opération d’achat est entièrement ou partiellement couverte par un crédit accordé au
consommateur par le vendeur ou par un tiers sur la base d’un contrat conclu entre le vendeur et le
tiers, la rétractation du consommateur entraîne la résiliation, sans pénalité, du contrat de crédit.
Article 34 :
A l’exception des cas de mauvaise utilisation, le vendeur supporte, dans les cas de vente avec essai,
les risques auquel le produit est exposé et ce, jusqu’à l’accomplissement de la période d’essai du
produit. Est considérée nulle et non avenue toute clause exonératoire de responsabilité contraire aux
dispositions du présent article.
Article 35 :
Dans le cas d’indisponibilité du produit ou du service commandé, le vendeur doit en informer le
consommateur dans un délai maximum de 24 heures avant la date de livraison prévue au contrat et
rembourser l’intégralité de la somme payée à son titulaire.
Sauf cas de force majeure, le contrat est résilié si le vendeur enfreint à ses engagements et le
consommateur récupère les sommes payées sans préjudice des dommages et intérêts.
Article 36 :
Le vendeur doit prouver l’existence de l’information préalable, la confirmation des informations, le
respect des délais et le consentement du consommateur et tout accord contraire est considéré nul et
non avenu.
Article 37 :
Les opérations de paiement relatives aux échanges et au commerce électroniques sont soumises à la
législation et la réglementation en vigueur.
Le titulaire du moyen de paiement électronique a l’obligation de notifier à l’émetteur la perte ou le vol
de ce moyen ou des instruments qui en permettent l’utilisation, ainsi que toute utilisation frauduleuse
s’y rapportant.
L’émetteur d’un moyen de paiement électronique doit fixer les moyens appropriés pour cette
notification dans le contrat conclu avec son titulaire.
Nonobstant les cas de fraude, le titulaire du moyen de paiement électronique :
- assume, jusqu’à sa notification à l’émetteur, les conséquences de la perte ou du vol du moyen de
paiement ou son utilisation frauduleuse par un tiers,
- est dégagé de toute responsabilité de l’utilisation du moyen de paiement électronique après la
notification à l’émetteur.
L’utilisation du moyen de paiement électronique, sans présentation du moyen et identification par voie
électronique, n’engage pas son titulaire.
Chapitre six : De la protection des données personnelles
Article 38 :
Le fournisseur de services de certification ne peut traiter les données personnelles qu’après accord du
titulaire du certificat concerné.
Le consentement électronique peut être retenu, si le fournisseur garantit que :
- L’utilisateur a été informé de son droit de retirer son consentement à tout moment,
- Les parties utilisatrices des données personnelles peuvent être identifiées,
- La preuve du consentement est conservée et ne peut être modifiée.
Article 39 :
Sauf consentement du titulaire du certificat, le fournisseur de services de certification électronique ou
un de ses agents ne peut collecter les informations relatives au titulaire du certificat qu’autant que ces
informations soient nécessaires à la conclusion du contrat, à la fixation de son contenu, à son
exécution et à la préparation et l’émission des factures.
Les données collectées conformément au premier paragraphe du présent article ne peuvent être
utilisées par le fournisseur ou un tiers à des fins autres que celles mentionnées ci-dessus, que dans la
mesure où le titulaire du certificat en a été informé et ne s’y est pas opposé.
Article 40 :