حماية المعطيات الشخصية: تونس تستعدّ لإصلاحها على غرار الـ RGPD
طيلة أكثر من عشرين سنة، ارتكزت حماية المعطيات في تونس على القانون الأساسي عدد 2004-63. وهو نصّ رائد بمقاييس عصره — تونس كانت أوّل دولة عربية تتبنّى تشريعاً من هذا القبيل — لكنّه أصبح قاصراً هيكلياً أمام الاقتصاد الرقمي لسنة 2026.
مشروع القانون المطروح هذه السنة يُشكّل قطيعة حقيقية: فهو يُنزّل جوهر مبادئ اللائحة العامّة لحماية المعطيات الأوروبية (RGPD)، مع أثر مباشر على كلّ مؤسّسة تجمع أو تعالج معطيات في تونس.
لماذا لم يعد قانون 2004 كافياً
الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) اعترفت بنفسها في تقريرها لسنة 2025 بأنّ الإطار الحالي يعاني من ثلاث نقائص كبرى:
- عقوبات هزيلة: الخطايا لا تتجاوز مستويات لا أثر رادعاً لها على المنصّات الكبرى.
- صلاحيات تحقيق محدودة: صعوبة في مراقبة المتعاملين الأجانب الذين يستهدفون السوق التونسية.
- غياب نظام لنقل المعطيات إلى الخارج، وهو موضوع محوري بالنسبة لفروع المجموعات الأوروبية.
النتيجة: توافق فعلي مع الـ RGPD لدى المؤسّسات المصدِّرة، وفراغ قانوني بالنسبة للسوق الداخلية.
أبرز ما يأتي به مشروع 2026
1. تدعيم الموافقة وحقوق الأشخاص
يشترط النصّ الجديد موافقة حرّة ومخصوصة ومستنيرة ولا لبس فيها. الخانات المُعلَّم عليها مسبقاً، والشروط العامّة التي لا يقرأها أحد، والموافقات الشاملة تصبح غير صالحة.
وتتوسّع حقوق الأشخاص بشكل ملحوظ:
- حقّ النفاذ في أجل أقصاه شهر واحد.
- حقّ قابلية نقل المعطيات إلى مزوّد خدمة آخر.
- حقّ المحو (« حقّ النسيان »)، شريطة مراعاة التزامات الحفظ القانونية.
- حقّ الاعتراض على المعالجة الآلية وعلى التنميط.
2. التزامات مشدَّدة على المؤسّسات
سيكون على المسؤولين عن المعالجة تعيين مكلَّف بحماية المعطيات (DPO) كلّما قاموا بمعالجة واسعة النطاق أو بمعطيات حسّاسة. ويصبح إمساك سجلّ المعالجات واجباً.
كما سيتعيّن على المؤسّسات إنجاز دراسة أثر (DPIA) قبل كلّ معالجة عالية الخطر، والإعلام بأيّ خرق للمعطيات إلى الهيئة في أجل 72 ساعة.
3. عقوبات رادعة
لعلّ هذا هو التغيير الأبرز. يمكن أن تبلغ الخطايا الإدارية نسبة من رقم المعاملات العالمي — وهو استلهام مباشر من الـ RGPD الأوروبي. كما تُشدَّد العقوبات الجزائية في صورة المخالفات المتعمَّدة.
وتُوسَّع صلاحيات الهيئة في التحقيق والمراقبة الميدانية والعقاب، مع تأكيد على الاستقلالية المالية.
4. نقل المعطيات إلى الخارج: إطار واضح أخيراً
يُرسي النصّ إطاراً منظَّماً لنقل المعطيات خارج تونس:
- دول تُعتبر ضامنة لـمستوى حماية ملائم.
- شروط تعاقدية نموذجية تصدرها الهيئة.
- قواعد مُلزمة للمجموعات متعدّدة الجنسيات.
من هو المعني؟
خلافاً لفكرة شائعة، القانون لا يستهدف فقط مؤسّسات التكنولوجيا الكبرى. المعنيّون هم:
- جميع متعاملي التجارة الإلكترونية، سواء كانوا في تونس أو يستهدفون المقيمين بها.
- المؤسّسات المالية، شركات التأمين، التعاضديات.
- العيادات، العيادات الطبية والمخابر (المعطيات الصحّية = معطيات حسّاسة).
- مكاتب التشغيل والخدمات الخارجية للموارد البشرية.
- المدارس والجامعات ومؤسّسات التكوين.
- الجماعات المحلّية والإدارات.
عملياً، كلّ هيكل يُمسك ملفّاً للحرفاء أو المرتقبين أو المرضى معنيّ بالقانون.
الأثر العملي على المؤسّسات التونسية
في صورة اعتماد النصّ في صيغته الحالية، سيكون على المؤسّسات أن تنجز في ظرف 12 شهراً:
- رسم خريطة للمعالجات المنجَزة للمعطيات.
- تحيين سياسات الخصوصية في المواقع والتطبيقات.
- مراجعة العقود مع مزوّدي الخدمات (المناولون، المستضيفون، أدوات الـ SaaS).
- تعيين مكلَّف بحماية المعطيات داخلياً أو خارجياً، حسب الحجم والقطاع.
- إنجاز عمليات تكوين الأعوان، خاصّةً في الأقسام التجارية والموارد البشرية.
ملاحظة مكتبنا: الكثير من المؤسّسات التونسية تعتقد أنها مطابقة لأنّها نسخت سياسة خصوصية وجدتها على الأنترنت. هذه ليست مطابقة. القانون الجديد سيشترط توثيقاً فعلياً للمعالجات والسندات القانونية والإجراءات الأمنية. التخطيط منذ 2026 يُجنّبك ضغط المراقبة أو الشكاية في 2027.
يرافق مكتبنا المؤسّسات التونسية وفروع المجموعات الأجنبية في مسار المطابقة: رسم خرائط المعالجات، تحرير سياسات الخصوصية، عقود المناولة، الردّ على طلبات ممارسة الحقوق، والعلاقة مع الهيئة الوطنية لحماية المعطيات.