على خلفية إصدار رئاسة الجمهورية بلاغا يوم 25 مارس 2022 تؤكد فيه على “ضرورة اتخاذ كل الإجراءات تحسّبا للهجمات السيبرنية التي هي نوع من الإرهاب لا تتورّع في اللجوء إليه الشبكات الإرهابية لضرب مؤسسات الدولة وسائر المؤسسات بوجه عام مثلما حصل في الساعات والأيام الأخيرة”، أكدت الهيئة الوطنية لحماية المعطيات الشخصية في بيان لها، ”أن الأنظمة المعلوماتية للمؤسسات العمومية والخاصة تقوم بمعالجة المعطيات الشخصية للأشخاص وتكون تبعا لذلك محمولة قانونا على إحترام منظومة حماية المعطيات الشخصية.

لذلك أدرج القانون الأساسي عدد 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية فصل 18 ينص على أن ” كل شخص يقوم بنفسه أو بواسطة الغير بمعالجة المعطيات الشخصية ملزم إزاء الأطراف المعنية بأن يتخذ جميع الاحتياطات اللازمة للمحافظة على أمان المعطيات ومنع الغير من تعديلها أو الإضرار بها أو الاطلاع عليها دون إذن صاحبها”.

ويحدد نفس القانون في فصله 19 التدابير التي يجب اتخاذها في هذا الإطار، ولقد نص الفصل 94 على العقوبة الجزائية عند عدم الالتزام بذلك: “يعاقب بالسجن مدة ثلاثة أشهر وبخطية قدرها ألف دينار كل من يخالف أحكام الفصول 12 و18 و19 … من هذا القانون”.

وتابع بيان الهيئة، ”نفس الإطار لقد نص القانون عدد 5 لسنة 2004 والمتعلق بالسلامة المعلوماتية في فصله الخامس أنه “تخضع النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية، باستثناء النظم المعلوماتية وشبكات وزارتي الدفاع الوطني والداخلية والتنمية المحلية لنظام تدقيق إجباري ودوري للسلامة المعلوماتية”. وهو إلزام سنوي طبقا للأوامر الترتيبية المطبقة لهذا القانون. لكنه يتضح أن جل المؤسسات لا تقوم باحترام مقاضياته أساسا لغياب عقوبات في القانون الأساسي المذكور”.

وطالبت الهيئة رئيس الجمهورية بإعطاء تعليماته للهياكل العمومية وخاصة المصالح الاستراتيجية بالقيام فورا بالتدقيق للسلامة المعلوماتية ودراسة المخاطر وأخذ التدابير اللازمة للتقليل من إمكانية تكرر هذه الوقائع.

كما ذكرت الهيئة رئيس الجمهورية ”بأنه لا يمكن محاربة ومعاقبة هذه الجرائم السيبرنية دون الانخراط في إجراءات تعاون دولي وسن قانون لزجرها الذي ما فتئ في طور الصاغة منذ الإدارة التونسية منذ 2010 والذي يستوجب إصداره سريعا للسماح للجمهورية التونسية بالانضمام لمعاهدة بودابست لمجلس أوروبا التي تم استدعائها للقيام بالمصادقة عليها علما وأن الاستدعاء قائم مدة خمس سنوات ينتهي أجله في فيفري 2023”.

كما لفتت الهيئة النظر إلى أن مثل ما حصل من هجمات ضد المنظومات المعلوماتية ليس إلا إثباتا آخر على صحة احترازاتها حول إنشاء قاعدة بيانات بيومترية للأشخاص في إطار مشروع بطاقة التعريف الجديدة والتي لا يمكن علميا وعمليا للدولة حمايتها من الهجمات السيبرنية وقوعها والمس من سيادة الدولة على معطيات مواطنيها وقد تعرضت لذلك فعلا عدة دول مثل الهند وأخيرا الارجنتين.