Introduction.
Le décret-loi n° 2022-54 du 13 septembre 2022 en Tunisie, intitulé « relatif à la lutte contre les infractions se rapportant aux systèmes d’information et de communication », s’inscrit dans un contexte politique et juridique sensible. Promulgué par le président Kaïs Saïed en l’absence de Parlement, ce texte se veut une réponse aux défis de la cybersécurité et de la lutte contre la désinformation en ligne, sur fond de crise politique post-2021. Toutefois, dès son annonce, il a suscité de vives critiques des défenseurs des libertés numériques qui y voient une menace pour la liberté d’expression acquise après la Révolution de 2011, ainsi qu’un risque pour la vie privée et la protection des données personnelles des citoyens.
Ce texte introduit un dispositif pénal aux contours larges, au croisement de la lutte contre la cybercriminalité et du contrôle du discours en ligne. Sous couvert de réguler l’espace numérique, le décret étend considérablement les prérogatives de l’État en matière de surveillance, de répression de l’expression numérique et d’accès aux données personnelles, au prix d’un affaiblissement manifeste des garanties constitutionnelles relatives aux droits fondamentaux. Derrière la rhétorique sécuritaire invoquée pour justifier son adoption, ce texte soulève de sérieuses interrogations quant à sa compatibilité avec les principes de proportionnalité, de nécessité et de légalité des atteintes aux libertés, tels que consacrés tant par la Constitution tunisienne que par les instruments internationaux auxquels la Tunisie a adhéré. Sa mise en œuvre, notamment à travers l’article 24, révèle une tension aiguë entre les exigences de cybersécurité d’un État moderne et la préservation effective de la liberté d’expression, du droit à la vie privée et de la protection des données personnelles dans un espace numérique désormais sous étroite surveillance. Cette tension, loin d’être théorique, se traduit par des usages ciblés de l’appareil répressif, une marginalisation des garanties procédurales et une fragilisation de l’autorité indépendante chargée de la protection des données, l’INPDP, reléguée au second plan dans un domaine relevant pourtant de son cœur de mission.
Le décret-loi n° 2022-54 du 13 septembre 2022 constitue-t-il une réponse juridiquement proportionnée aux défis de la cybersécurité ou un instrument de régression des garanties fondamentales en matière de liberté d’expression et de protection des données personnelles en Tunisie ?
Contexte et enjeux : entre libertés numériques et cybersécurité.
Après la révolution tunisienne de 2011, la Tunisie s’était engagée dans un processus de démocratisation qui a consacré des libertés publiques sans précédent dans le monde arabe, notamment la liberté d’expression et la liberté d’information en ligne. Une effervescence médiatique et citoyenne en ligne avait fleuri, accompagnée de nouvelles lois progressistes telles que les décrets-lois 2011-115 et 2011-116 garantissant la liberté de la presse et de la communication audiovisuelle. Parallèlement, la Tunisie s’est dotée dès 2004 d’un cadre légal pour la protection des données à caractère personnel (loi organique n° 2004-63) et a adhéré à la Convention 108 du Conseil de l’Europe en 2017, témoignant d’une volonté de protéger la vie privée à l’ère numérique.
Cependant, le pays a connu à partir de 2021 une période de turbulences politiques majeures. Le 25 juillet 2021, le président Kaïs Saïed a invoqué l’article 80 de la Constitution pour s’octroyer les pleins pouvoirs dans ce qu’une partie de la société a qualifié de « coup d’État » constitutionnel. Le Parlement a été suspendu puis dissous, et une série de gouvernements par décret ont suivi, sans contre-pouvoir parlementaire. C’est dans ce contexte - marqué par un discours officiel mettant en avant la lutte contre la corruption, le chaos institutionnel et les « complots » supposés, mais aussi par une concentration du pouvoir exécutif - que le décret-loi n° 2022-54 a été pris. Le préambule du texte indique vouloir prévenir et réprimer les infractions liées aux systèmes d’information, collecter les preuves électroniques afférentes et soutenir l’effort international en la matière. La référence explicite à la sûreté publique et à la défense nationale dans le champ d’application du décret montre qu’il est justifié politiquement par des impératifs de cybersécurité et de stabilité de l’État face aux menaces numériques comme la cybercriminalité, terrorisme, propagande numérique hostile, etc.
Les enjeux soulevés par ce décret-loi sont donc doubles. D’un côté, il s’agit pour les autorités de combler un vide juridique et de disposer d’outils pour lutter contre les cyber-infractions (hacking, fraude en ligne, manipulation de l’information, etc.), enjeu légitime à l’ère de la transformation numérique. De l’autre, la manière dont le décret encadre voir restreindre les usages d’Internet soulèvent la crainte d’un recul des libertés numériques. En effet, nombre d’observateurs y voient un instrument servant avant tout à museler l’opposition et la critique en ligne. Plusieurs arrestations de blogueurs, journalistes, avocats ou activistes ont déjà eu lieu sur la base de ce texte dès 2022-2023. L’enjeu est donc de concilier la sécurité numérique avec le respect des droits fondamentaux comme la liberté d’expression et droit à la vie privée, équilibre délicat au cœur des débats actuels en Tunisie.
L’article 24 et les nouvelles infractions numériques.
Le décret-loi n° 2022-54 du 13 septembre 2022 comporte plusieurs chapitres détaillant un ensemble d’infractions et d’obligations nouvelles liées aux technologies de l’information. Il couvre à la fois des délits techniques de cybercriminalité comme l’intrusion dans des systèmes, l’atteinte aux données, la fraude informatique ou encore l’exploitation sexuelle des enfants via Internet, ainsi que des infractions relatives au contenu informationnel diffusé en ligne. C’est dans cette seconde catégorie que s’inscrit l’article 24, particulièrement controversé en raison de son impact potentiel sur la liberté d’expression.
Avant d’aborder cet article, il convient de résumer la structure générale du décret. En premier lieu, les infractions techniques, les premières dispositions définissent les notions fondamentales (système d’information, données informatiques, etc.) et incriminent les attaques informatiques. Ainsi, l’article 13 punit l’accès illégal à un système, l’article 14 la violation de données confidentielles, l’article 17 la diffusion de logiciels malveillants. Ces incriminations s’alignent sur les standards internationaux, notamment la Convention de Budapest sur la cybercriminalité.
En second lieu, le texte introduit une nouvelle catégorie d’infractions, celles liées au contenu diffusé en ligne. La sous-section 3, intitulée « Des rumeurs et fausses nouvelles », est une innovation dans le droit tunisien. L’article 23 sanctionne la falsification de données causant un préjudice. Mais c’est surtout l’article 24 qui a attiré l’attention, en raison de la sévérité de ses sanctions et de la formulation imprécise de ses incriminations.
Ce dernier érige en infraction le fait d’utiliser sciemment des systèmes d’information pour produire, diffuser ou envoyer de « fausses nouvelles », « fausses données », « rumeurs » ou « documents falsifiés », avec l’intention de porter atteinte aux droits d’autrui, à la sûreté publique ou à la défense nationale. La peine encourue est de cinq ans d’emprisonnement et 50 000 dinars d’amende. Les termes utilisés - « fausses nouvelles », « rumeurs », « atteinte aux droits d’autrui », ne sont pas définis, laissant une grande marge d’interprétation aux autorités répressives.
Le deuxième paragraphe du même article étend la sanction à toute personne diffusante, par le biais d’un système d’information, des contenus contenant des données personnelles ou des informations infondées dans le but de diffamer autrui ou de porter atteinte à leur réputation. Le texte vise également les incitations à la haine ou aux agressions. La peine reste la même : cinq ans d’emprisonnement et 50 000 dinars d’amende. Ces dispositions marquent un changement de paradigme : alors que la loi de 2004 sur les données personnelles prévoyait une peine de trois mois pour de tels faits (article 93), le décret-loi 54 introduit une répression bien plus sévère.
Enfin, le troisième paragraphe de l’article 24 prévoit un doublement des peines si la personne visée est un agent public. Ainsi, critiquer un responsable public peut exposer à une peine de dix ans de prison et 100 000 dinars d’amende. Cette protection renforcée des autorités va à l’encontre des standards internationaux, notamment la jurisprudence de la Cour européenne des droits de l’homme, selon laquelle les personnalités publiques doivent tolérer un degré plus élevé de critique dans le débat démocratique.
En résumé, l’article 24 introduit dans le droit tunisien une série d’infractions numériques à la formulation large et imprécise, assorties de peines d’une sévérité exceptionnelle. Comme l’a souligné l’International Commission of Juristes, ces dispositions sont susceptibles de restreindre gravement la liberté d’expression en raison de leur portée vague et de leur champ d’application extensif.
Par ailleurs, le décret-loi comporte également des obligations pesant sur les opérateurs numériques. L’article 6 impose aux fournisseurs de services de télécommunication de conserver les données de connexion et d’identification des utilisateurs pendant une durée minimale de deux ans, fixée par arrêté interministériel. Ces données comprennent notamment les identifiants d’utilisateurs, les informations de trafic, les données de géolocalisation et les caractéristiques des terminaux utilisés. Il s’agit là d’une obligation générale de conservation, indépendante de toute infraction.
D’autres dispositions renforcent les pouvoirs d’accès des autorités judiciaires aux données. L’article 9 permet au procureur ou au juge d’instruction d’ordonner la saisie de systèmes informatiques ou la collecte en temps réel des données de trafic. L’exécution de ces décisions est confiée aux services du ministère de l’Intérieur et de la Défense (article 4). Le non-respect de l’obligation de conservation est passible d’un an de prison et de 10 000 dinars d’amende (article 27).
Ces mesures étendent considérablement les capacités de surveillance de l’État tunisien, sans offrir de garanties suffisantes en matière de contrôle judiciaire, de protection des données et de transparence. L’ensemble de ce dispositif, combiné à l’article 24, fait peser une menace sérieuse sur la confidentialité des communications et sur la liberté d’expression en ligne.
Risques pour la liberté d’expression et la vie privée des citoyens.
Au regard de son contenu, le décret-loi 54/2022 fait peser de sérieux risques sur les libertés fondamentales, en particulier la liberté d’expression en ligne et le droit à la protection de la vie privée.
Immédiatement après sa promulgation, ce texte a été dénoncé comme une arme légale pour faire taire les voix critiques du pouvoir. En pratique, les craintes se sont confirmées : depuis 2022, les poursuites judiciaires fondées sur le décret 54 ont visé principalement des journalistes, des opposants politiques, des avocats et des activistes s’étant exprimés sur Facebook ou dans les médias traditionnels. L’article 24 est devenu l’outil privilégié pour poursuivre des propos considérés comme “fausses nouvelles” ou “diffamatoires” envers les autorités. Par exemple, en mai 2023, le journaliste Khalifa Guesmi a été condamné à cinq ans de prison pour avoir refusé de révéler ses sources suite à un article, sanction facilitée par le décret 54 selon les observateurs. De même, en décembre 2023, Chaima Issa, figure de l’opposition, et Sofiane Zneidi ont été condamnés respectivement à un an de prison en vertu du décret 54 pour des critiques formulées en ligne contre le président. D’après un communiqué de Human Rights Watch, “au lieu d’utiliser ce décret pour combattre la cybercriminalité, les autorités s’en sont servies pour détenir, inculper ou enquêter au moins 20 personnes […] pour leurs déclarations publiques”. L’ONG souligne que les “infractions relatives à l’expression définie de manière extensive et vague, telle que répandre de fausses nouvelles’” permettent de museler et d’intimider un large éventail de voix dissidentes.
Il en résulte un climat d’autocensure grandissant au sein de la société civile et des médias tunisiens. Le Syndicat National des Journalistes Tunisiens (SNJT) a tiré la sonnette d’alarme sur l’effet dissuasif de ces poursuites : au moins une vingtaine de procès étaient en cours contre des journalistes sur la base du décret 54 dès mi-2023.
De plus, l’existence en parallèle de textes plus anciens comme le Code pénal qui incrimine aussi la diffamation ou le décret-loi 2011-115 sur la presse crée une insécurité juridique : les autorités disposent d’un arsenal multiple pour sanctionner une même expression, risquant une application arbitraire selon le texte offrant la peine la plus lourde. Cela contrevient au principe de sécurité juridique et de nécessité des délits et des peines. Surtout, les sanctions disproportionnées tel que les peines de prison fermes allant jusqu’à 10 ans, prévues pour des actes d’expression non violents sont en elles-mêmes contraires aux standards internationaux. Le Pacte international relatif aux droits civils et politiques (PIDCP), ratifié par la Tunisie, n’admet des restrictions à la liberté d’expression qu’à condition qu’elles soient nécessaires et proportionnées à un objectif légitime comme la protection de la sécurité nationale, de l’ordre public, des droits d’autrui, etc. Or, criminaliser la diffusion de simples “fausses nouvelles” sans exigence de démontrer un préjudice concret, et punir de prison des critiques du gouvernement, excède manifestement ces critères de proportionnalité.
Les comparaisons internationales illustrent le décalage du décret 54 ; d’ailleurs en Europe, la tendance est à la dépénalisation de la diffamation ou à tout le moins à l’élimination des peines d’emprisonnement, et les lois punissant la propagation de fausses informations en tant que telles sont extrêmement rares et encadrées. La Cour européenne des droits de l’homme a jugé que des peines privatives de liberté pour des délits de presse ne se justifient qu’en cas de discours gravement préjudiciables (incitation à la violence, haine raciale, etc.), ce qui n’est pas le cas de la plupart des expressions visées par le décret tunisien. Enfin, la disposition aggravant la peine lorsque la personne visée est un agent public renverse le principe démocratique de reddition de comptes des dirigeants : elle institue de facto un délit de lèse-magistrat ou lèse-officier, propre à dissuader toute critique des autorités. Cette orientation va à rebours de l’évolution observée dans les démocraties, où les délits d’offense aux chefs d’État ou fonctionnaires tendent à être abolis ou invalidés pour incompatibilité avec la liberté d’expression.
Le second grand volet de risques concerne la protection des données et la vie privée des utilisateurs. Le décret 54 confère aux autorités des pouvoirs de surveillance numérique étendus, avec peu de garanties explicites pour les citoyens. L’article 6, en organisant une conservation généralisée des données de connexion de tous les utilisateurs pendant au moins deux ans, instaure une forme de rétention des données à grande échelle. Cette obligation s’applique de manière indifférenciée à l’ensemble de la population, sans ciblage sur des individus suspects de crimes graves. Ainsi, même des citoyens n’ayant commis aucune infraction voient leurs données de communication (identifiants, historiques d’appels ou de connexions, localisation…) stockées par les opérateurs sur une longue durée, à disposition des autorités.
Une telle mesure évoque la directive 2006/24/CE de l’Union européenne qui imposait aux opérateurs européens de conserver les métadonnées télécom pendant 6 à 24 mois pour les besoins des enquêtes. Or, cette directive a été invalidée en 2014 par la Cour de justice de l’UE (CJUE) au motif qu’elle constituait « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données personnelles » garantis par la Charte des droits fondamentaux. La CJUE a dénoncé le caractère systématique et indifférencié d’une telle conservation, qui touchait « la quasi-totalité de la population » sans distinction ni contrôle, et l’a jugée disproportionnée par rapport aux objectifs poursuivis. En Tunisie, la mesure de l’article 6 du décret 54 souffre des mêmes défauts : c’est un stockage massif des données de tous, créant un fichage latent de la population. Cela heurte de front le principe de proportionnalité consacré par la Constitution tunisienne de 2022 (article 55) pour toute atteinte aux droits et libertés, ainsi que les principes fondamentaux de la protection des données (limitation des finalités et minimisation des données collectées).
En outre, les modalités d’accès aux données retenues par le décret posent également un problème du point de vue de la vie privée. Le texte permet au procureur, au juge d’instruction ou même à des officiers de police judiciaire dûment habilités, d’ordonner directement la remise de données stockées ou l’interception en temps réel des communications (articles 8 et 9). Il ne prévoit pas de contrôle par une autorité indépendante préalable à ces réquisitions, ni d’information a posteriori des personnes concernées, ni de possibilité de recours spécifique pour contester la surveillance - garanties pourtant recommandées par les instances internationales en matière de surveillance des communications. Le seul garde-fou inscrit est l’article 2 du décret, purement déclaratif, qui enjoint aux autorités de respecter les droits humains et la législation relative aux données personnelles lors de l’application du texte. Aucune sanction n’est prévue en cas de violation de cette clause générale, ce qui la rend largement ineffective en pratique.
Par ailleurs, l’Instance nationale de protection des données personnelles (INPDP) - créée par la loi 2004-63 pour veiller au respect de la vie privée - a été totalement mise à l’écart dans l’élaboration du décret 54. Son président, Chawki Gaddes, a publiquement regretté que l’INPDP « n’ait pas été consultée » alors même que le décret empiète sur un domaine relevant de ses attributions. Il a relevé l’existence de « beaucoup de points problématiques dans le texte », soulignant le besoin d’une analyse approfondie avant de communiquer la position officielle de l’Instance. Ce défaut de consultation est révélateur d’une tendance à écarter les contre-pouvoirs et experts indépendants dans la prise de décisions touchant aux libertés individuelles durant la période des décrets-lois. On peut ainsi s’interroger sur la conformité du processus législatif suivi pour le décret 54 avec l’exigence de loi organique normalement requise en Tunisie pour légiférer en matière de droits et libertés (la protection des données personnelles ayant été introduite par une loi organique en 2004). En effet, les lois organiques, par nature, supposent un débat parlementaire renforcé et une majorité qualifiée, garanties absentes dans le cas d’un décret-loi pris par le seul exécutif. Le choix de passer par un décret-loi a de fait contourné les mécanismes démocratiques qui auraient permis de mieux équilibrer sécurité et vie privée.
En définitive, le décret-loi 54 crée un environnement juridique où les communications numériques des Tunisiens peuvent être surveillées et contrôlées plus aisément par l’État. L’effet cumulatif de la censure pénale (via l’article 24) et de la surveillance de masse (via l’article 6 et suivants) fait craindre une régression nette par rapport aux acquis de la dernière décennie. La vie privée numérique des citoyens se trouve fragilisée, aussi bien quant à la protection de leurs données personnelles (risque de fuite, d’exploitation abusive, etc.) que quant à leur droit à l’anonymat ou à la confidentialité de leurs échanges en ligne. Cela est d’autant plus préoccupant que la Tunisie s’était engagée, notamment via la loi 2004-63 et son adhésion aux conventions internationales, à respecter et promouvoir la protection des données personnelles.
Conclusion.
L’analyse juridique du décret-loi n° 2022-54 du 13 septembre 2022 révèle l’adoption d’un texte déséquilibré, promulgué dans un contexte d’exception, dont les effets s’avèrent profondément néfastes sur la protection des données personnelles et les libertés publiques en Tunisie. S’il répond en apparence à une finalité légitime, celle de lutter contre les infractions liées au cyberespace, il le fait en sacrifiant des garanties fondamentales de l’État de droit numérique. L’article 24, en particulier, illustre cette dérive par la formulation vague et extensive des infractions d’expression, ouvrant la voie à une répression disproportionnée de la parole en ligne. Parallèlement, le décret instaure des dispositifs de surveillance généralisée, en imposant notamment une conservation indifférenciée des données et en facilitant l’accès aux informations numériques par les autorités, en contradiction manifeste avec l’esprit de la loi tunisienne sur les données personnelles et les standards internationaux en vigueur.
En définitive, le décret-loi 54/2022, en dépit de sa prétention à garantir la cybersécurité, incarne un recul préoccupant des libertés fondamentales. Il a toutefois permis une mobilisation salutaire de la doctrine, des institutions indépendantes et des acteurs de la société civile, révélant l’attachement profond du pays aux valeurs démocratiques. C’est à partir de ce sursaut critique que doit émerger une réforme ambitieuse, conciliant efficacement la lutte contre les abus numériques avec la protection des droits fondamentaux. À l’heure où la Tunisie accélère sa transformation digitale, la confiance des citoyens dans le respect de leur vie privée et de leur liberté d’expression constitue une exigence non négociable. Rétablir la primauté des droits dans la régulation du cyberespace n’est pas un luxe, mais une nécessité.
Références.
Décret-loi n° 2022-54 du 13 septembre 2022 relatif à la lutte contre les infractions se rapportant aux systèmes d’information et de communication, JORT n° 103, 13 septembre 2022.
Loi organique n° 2004-63 du 27 juillet 2004 relative à la protection des données à caractère personnel.
Décret-loi n° 2011-115 du 2 novembre 2011 relatif à la liberté de la presse, de l’impression et de l’édition.
Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, signée par la Tunisie en 2017.
Protocole d’amendement à la Convention 108 (Convention 108+), signé par la Tunisie le 20 mai 2019.
Règlement (UE) 2016/679, dit Règlement général sur la protection des données (RGPD), Parlement européen et Conseil de l’Union européenne, 27 avril 2016.
Cour de justice de l’Union européenne, Digital Rights Ireland, arrêts du 8 avril 2014, C-293/12 et C-594/12.
Pacte international relatif aux droits civils et politiques, Nations Unies, adopté le 16 décembre 1966, ratifié par la Tunisie le 18 mars 1969.
Amnesty International, Tunisie. Il faut abroger le décret-loi relatif à la cybercriminalité qui menace la liberté d’expression et la vie privée, 13 septembre 2022.
Human Rights Watch, Tunisie : Abroger un décret répressif sur la cybercriminalité, 15 décembre 2022 ; Rapport 2023.
Commission internationale de juristes (CIJ/ICJ), Tunisie : le décret-loi 54 viole les droits à la vie privée et à la liberté d’expression, 2023.
Access Now, Tunisia : Repeal the cybercrime decree-law 54, 2022.
Reporters sans frontières (RSF), Classement mondial de la liberté de la presse 2023 – Tunisie.
Article 19, Tunisie : les autorités doivent abroger le décret-loi 54, 2023.
Déclaration de Chawki Gaddes, président de l’INPDP, cité par Kapitalis et autres médias, septembre 2022.
Déclaration de la Coalition pour les libertés numériques (SNJT, LTDH, Access Now, etc.), octobre 2022.
Sana Ben Achour, propos rapportés par Nawaat, 2022.
Ines Jaibi, propos rapportés par Inkyfada et médias spécialisés en droit numérique.
Convention de Budapest sur la cybercriminalité, Conseil de l’Europe, 2001 (non ratifiée par la Tunisie).
