Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE
Loi n° 2004-5 du 3 Février 2004 relative à la sécurité informatique
Au nom du peuple,
La chambre des députés ayant adopté,
Le Président de la République promulgue la loi dont la teneur suit :
CHAPITRE PREMIER – De l'agence nationale de la sécurité informatique
Article premier – La présente loi a pour objet d'organiser le domaine de la sécurité informatique et de
fixer les règles générales de protection des systèmes informatiques et des réseaux.
Art. 2 – Est créée, une entreprise publique à caractère non administratif dotée de la personnalité morale
et de l'autonomie financière dénommée "Agence Nationale de la Sécurité Informatique". Elle est soumise
dans ses relations avec les tiers à la législation commerciale et son siège est fixé à Tunis.
L'agence est soumise à la tutelle du ministère chargé des technologies de la communication.
L'organisation administrative et financière et les modalités de fonctionnement de l'agence sont fixées par
décret.
Art. 3 – L'agence nationale de la sécurité informatique effectue un contrôle général des systèmes
informatiques et des réseaux relevant des divers organismes publics et privés et elle est chargée
notamment des missions suivantes :
veiller à l'exécution des orientations nationales et de la stratégie générale en matière de
sécurité des systèmes informatiques et des réseaux,
suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le
secteur public à l'exception des applications particulières à la défense et à la sécurité
nationale et assurer la coordination entre les intervenants dans ce domaine,
assurer la veille technologique dans le domaine de la sécurité informatique,
établir des normes spécifiques à la sécurité informatique et élaborer des guides techniques
en l'objet et procéder à leur publication,
œuvrer à encourager le développement de solutions nationales dans le domaine de la
sécurité informatique et à les promouvoir conformément aux priorités et aux programmes
qui seront fixés par l'agence,
participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité
informatique,
veiller à l'exécution des réglementations relatives à l'obligation de l'audit périodique de la
sécurité des systèmes informatiques et des réseaux.
L'autorité de tutelle peut confier à l'agence toute autre activité en rapport avec le domaine de son
intervention.
Art. 4 – En cas de dissolution de l'agence, ses biens feront retour à l'Etat qui exécute ses obligations et
ses engagements conformément à la législation en vigueur.
CHAPITRE II – De l'audit obligatoire
Page 1 sur 3
Accès aux lois, décrets et autres textes juridiques consolidés et mis à jour
WWW.LEGISLATION-SECURITE.TN
Art. 5 – Les systèmes informatiques et les réseaux relevant des divers organismes publics sont soumis à
un régime d'audit obligatoire et périodique de la sécurité informatique, à l'exception des systèmes
informatiques et des réseaux appartenant aux ministères de la défense nationale et de l'intérieur et du
développement local.
Sont, également, soumis à l'audit obligatoire périodique de la sécurité informatique, les systèmes
informatiques et les réseaux des organismes qui seront fixés par décret.
Sont fixés par décret, les critères relatifs à la nature de l'audit, à sa périodicité et aux procédures de suivi
de l'application des recommandations contenues dans le rapport d'audit.
Art. 6 – Dans le cas où les organismes prévus à l'article 5 de la présente loi n'effectuent pas l'audit
obligatoire périodique, L'agence nationale de la sécurité informatique avertit l'organisme concerné qui
devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement.
A l'expiration de ce délai sans résultat, l'agence est tenue de désigner, aux frais de l'organisme
contrevenant, un expert qui sera chargé de l'audit sus-indiquée.
Art. 7 – Sous réserve des exceptions prévues aux articles 3 et 5 de la présente loi, les organismes
publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui
seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité
informatique afin d'accomplir leurs missions.
CHAPITRE III – Des auditeurs
Art. 8 – L'opération d'audit est effectuée par des experts, personnes physiques ou morales,
préalablement certifiées par l'agence nationale de la sécurité informatique.
Sont fixées par décret, les conditions et les procédures de certification de ces experts.
Art. 9 – Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés
des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de
leurs missions.
Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou
incite à la divulgation de ces informations.
CHAPITRE IV – Des dispositions diverses
Art. 10 – Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit
informer immédiatement l'agence nationale de la sécurité informatique de toutes attaques, intrusions et
autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou
réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.
L'exploitant est tenu de se conformer aux mesures arrêtées par l'agence nationale de la sécurité
informatique pour mettre fin à ces perturbations.
Art. 11 – Dans les cas prévus à l'article précédent et afin de protéger les systèmes informatiques et les
réseaux, l'agence nationale de la sécurité informatique peut proposer l'isolement du système informatique
ou du réseau concerné jusqu'à ce que ces perturbations cessent. L'isolement est prononcé par décision
du ministre chargé des technologies de la communication.
Page 2 sur 3
Base de données
LA LEGISLATION DU SECTEUR DE LA SECURITE EN TUNISIE
Concernant les exceptions prévues à l'article 3 de la présente loi, des procédures adéquates seront
arrêtées en coordination avec les ministres de la défense nationale et de l'intérieur et du développement
local.
La présente loi sera publiée au Journal Officiel de la République Tunisienne et exécutée comme loi de
l'Etat.
Tunis, le 3 février 2004.
Page 3 sur 3