Décret En vigueur

Décret n°078/PR/2019 du 21 janvier 2019 fixant les modalités de fourniture des prestations et moyens de cryptologie

Décret 19-078

Décrète :

Chapitre 1 : Dispositions générales

Article 1 : Le présent décret fixe les conditions de déclaration et d’autorisation préalable, ainsi que les conditions d’obtention du certificat d’homologation en vue de la fourniture, de l’exportation, de l’importation ou de l’utilisation des moyens ou de prestations de cryptographie.

Article 2 : Au sens du présent décret, les définitions ci-après sont appliquées :

1. Activité de cryptologie : toute activité ayant pour but la production, l’importation, l’exportation ou la commercialisation des moyens de cryptologie ;

2. Authentification : procédure dont le but est de s’assurer de l’identité d’une personne pour contrôler l’accès à un logiciel ou à un système d’information ou de vérifier l’origine d’une information ;

3. Conventions secrètes : l’accord de volontés portant sur des clés non publiées nécessaires à la mise en œuvre d’un moyen ou d’une prestation de cryptologie ;

4. Cryptanalyse : ensemble des moyens permettant d’analyser une information préalablement chiffrée en vue de la déchiffrer ;

5. Cryptographie : ensemble des services mettant en œuvre les principes, moyens et méthodes de transformation de données dans le but de cacher leur contenu sémantique, d’établir leur authenticité, d’empêcher que leur modification passe inaperçue, de prévenir leur répudiation et d’empêcher leur utilisation non autorisée;

6. Cryptologie : Science relative à la protection et à la sécurité des informations notamment pour la confidentialité, l’authentification, l’intégrité et non-répudiation des données transmises. Elle est composée de la cryptanalyse et de la cryptographie ;

7. Intégrité : critère de sécurité définissant l’état d’un réseau de communications électroniques, d’un système d’information ou d’un équipement terminal qui est demeuré intact et qui permet de s’assurer que les ressources n’ont pas été altérées (modifiées ou détruites) d’une façon tant intentionnelle qu’accidentelle, de manière à assurer leur exactitude, leur fiabilité et leur pérennité.

8. Moyen de Cryptage: les équipements ou les systèmes électroniques permettant le cryptage des données échangées à travers les réseaux de télécommunications.

9. Service de Cryptage: toute opération réalisée par une entreprise dont l’objectif est de permettre au tiers d’exploiter les équipements de cryptage ;

10. Homologation Technique: les opérations de vérifications effectuées par un organisme habilité pour attester que les caractéristiques techniques de l’équipement de cryptage répondent aux normes et aux règlements techniques en vigueur.

Article 3 : La fonction d’autorité de cryptologie est exercée par l’Agence Nationale de Sécurité Informatique et de Certification Electronique, en abrégé ANSICE, conformément aux dispositions de l’article 9 de la loi N°006/PR/2015 du 10 Février 2015.

A ce titre, l’ANSICE est chargée de :

  • Délivrer des autorisations d’exercer la profession ;
  • Prononcer les interdictions d’exercer la profession de prestataire de cryptologie ou le retrait des moyens de cryptologie ;
  • Statuer sur toute question relative au développement des moyens ou prestations de cryptologie sur le territoire national ;
  • Proposer des projets de textes législatifs et règlementaires en matière de cryptologie ;
  • Etablir les normes techniques adoptées dans le domaine de la cryptologie ;
  • Recevoir les déclarations prévues au présent décret ;
  • Demander la communication des moyens de cryptologie mis en œuvre sur le territoire national, en respectant, le cas échéant, la confidentialité des données ;
  • Mener des enquêtes et de procéder au contrôle des activités des prestataires de services de cryptologie ainsi que des produits fournis par ces derniers ;
  • Prononcer des sanctions administratifs et/ou pécuniaires à l’encontre des contrevenants, conformément aux dispositions légales et réglementaires en vigueur;
  • Défendre les intérêts du pays dans les instances et organismes régionaux et internationaux traitant de la cryptologie.

Chapitre 2 : Régime juridique des moyens et prestations de cryptologie

Section 1 : Régime de liberté

Article 4 : La fourniture, l’importation et 1’exportation des moyens de cryptologie assurant exclusivement les fonctions d’authentification t de contrôle d’intégrité sont libres.

Article 5 : Toute utilisation à des fins exclusives de formation, de développement, de validation ou de démonstration d’un moyen ou d’une prestation de cryptologie est dispensée des formalités de déclaration ou d’autorisation.

Article 6 : Une liste de toutes les opérations utilisant des moyens ou des prestations de cryptologie dispensées de toute formalité préalable sera publiée et régulièrement mise à jour par l’ANSICE.

Section 2 : Régime de déclaration

Article 7: La fourniture ou l’importation des moyens de cryptologie n’assurant pas exclusivement les fonctions d’authentification ou de contrôle d’intégrité sont soumises à la déclaration préalable de l’ANSICE.

Article 8 : Les activités liées à la sécurité des communications électroniques visées à l’article 7 ci-dessus sont exercées librement, après la déclaration préalable auprès de l’ANSICE.

Les éléments composant le dossier de demande de déclaration préalable ainsi que les frais d’études du dossier sont fixés par décision du Directeur Général de l’ANSICE.

Article 9 : Dans un délai de trente (30) jours à compter de la date de dépôt du dossier de déclaration préalable, le Directeur Général de l’ANSICE délivre un récépissé de déclaration préalable.

Passé ce délai, le récépissé est réputé délivré.

Section 3 : Régime d’autorisation

Article 10 : L’exportation d’un moyen de cryptologie n’assurant pas exclusivement les fonctions d’authentification ou de contrôle d’intégrité est soumise à l’autorisation préalable de l’ANSICE. Il en est de même pour toute opération de chiffrement utilisant une longueur de clé supérieure à 32 bits.

Article 11 : Les activités visées à 1’article 10 ci-dessus sont exercées librement sous réserve de l’autorisation préalable du Directeur Général de l’ANSICE.

Article 12 : La personne physique ou morale sollicitant l’autorisation visée à l’article 10 ci-dessus dépose auprès de l’ANSICE une demande contre récépissé.

Les éléments composant le dossier de demande d’autorisation préalable ainsi que les frais d’études du dossier sont fixés par décision du Directeur Général de l’ANSICE.

Article 13 : L’ANSICE peut demander au requérant de procéder à l’installation de l’équipement de cryptographie pour les besoins de tests. Ces tests peuvent être confiés à un laboratoire d’essais et de mesures d’équipements de cryptographie agréé par l’ANSICE.

Article 14 : Le dossier complet est déposé au service technique spécialisé de l’ANSICE pour examen et avis.

Lorsque l’avis est favorable, le Directeur Général de l’ANSICE signe le document.

Dans le cas contraire, il notifie le refus motivé au demandeur.

Article 15 : L’autorisation accordée en vue de l’importation, de l’exportation, de la commercialisation ou de l’utilisation des équipements de cryptographie est délivrée pour une durée de trois (03) ans renouvelable.

Six (06) mois au moins avant l’expiration de ce délai, le titulaire de l’autorisation adresse à l’ANSICE une demande de renouvellement de son autorisation.

Article 16 : La modification et le renouvellement de l’autorisation s’effectuent dans les mêmes conditions que celles qui ont prévalu à son obtention.

Section 4 : Régime d’agrément

Article 17 : L’exercice de la profession de prestataire de cryptologie par un organisme est soumis à l’agrément de l’ANSICE.

A cet effet, toute personne physique ou morale désirant faire homologuer un moyen de cryptographie destiné à la délivrance des certificats électroniques qualifiés, à la mise à la disposition du public des clés publiques, à la réalisation des audits de sécurité, à l’édition des logiciels de sécurité ou de toute autre prestation de services de sécurité informatique dépose auprès de l’ANSICE une demande contre récépissé.

Les éléments composant le dossier de demande d’agrément ainsi que les frais d’études du dossier sont fixés par décision du Directeur Général de l’ANSICE.

Article 18 : Le dossier complet, déposé à l’ANSICE est transmis au service technique spécialisé de l’ANSICE pour examen et avis. Lorsque l’avis du service technique est favorable, le Directeur Général de l’ANSICE signe et délivre l’agrément. Dans le cas contraire, il notifie le refus motivé au demandeur.

L’agrément peut être refusé pour non-respect des dispositions relatives à la cryptologie ou pour des motifs lies aux intérêts de la défense nationale et à la sécurité intérieure de l’Etat.

Article 19 : L’agrément accordé en vue de l’importation, de l’exportation, de la commercialisation ou de l’utilisation des équipements de cryptographie est délivré pour un durée de trois (03) ans renouvelable. Cette durée peut être renouvelée six (06) mois au moins avant l’expiration du délai sur demande.

Article 20 : La modification et le renouvellement de l’agrément s’effectuent dans les mêmes conditions que celles qui ont prévalu à son obtention.

Article 21 : Le titulaire de l’agrément est tenu de notifier sans délai à l’ANSICE:

  1. Tout changement intervenu dans :
  • La nature juridique de l’organisme agréé:
  • La nature ou l’objet des activités de l’organisme agréé;
  • L’adresse postale et géographique de l’organisme agréé;
  • L’identité ou les qualités juridiques de ses dirigeants.

  1. Toutes fusions ou cessions d’actions ou de part sociales susceptibles d’entraîner un changement du contrôle de l’organisme agréé;

  2. Toute cessation totale ou partielle de l’activité agréée.

Article 22 : L’agrément de l’organisme exerçant la profession de prestataire de cryptologie est assortie d’un cahier des charges, qui définit les obligations auxquelles ils sont soumis.

Le cahier des charges contient notamment :

  • L’énumération des moyens ou des prestations de cryptologie que l’organisme agréé est autorisé à gérer les conventions secrètes ;
  • L’énumération des moyens ou des prestations de cryptologie que l’organisme agréé peut utiliser ou fournir;
  • Les conditions techniques ou administratives garantissant le respect des obligations imposées à l’organisme agréé;
  • Le nombre de personnes employées ou travaillant au sein de l’organisme agréé et leur qualification ;
  • Les conditions de transfert à un autre organisme agréé des conventions secrètes en cas de cessation d’activité ou à la demande de l’utilisateur;
  • Le format électronique standardisé dans lequel doivent être transcrites les conventions secrètes, en cas de cessation d’activité ou de retrait d’agrément;
  • Les dispositions techniques prises lors de la mise en service des conventions secrètes, afin d’identifier l’organisme agréé gérant lesdites conventions ainsi que les utilisateurs concernés;
  • Les conditions techniques d’utilisation des conventions secrètes, de moyens ou des prestations et les mesures nécessaires pour assurer leur intégrité et leur sécurité.

Le cahier des charges comporte également une annexe précisant les modalités pratiques de remise des conventions secrètes aux autorités administratives et judiciaires compétentes ou de leur mise en œuvre à la demande desdites autorités.

A l’exception de son annexe, le contenu de ce cahier des charges peut être communiqué, sur leur demande, aux utilisateurs dont l’organisme agréé gère les conventions secrètes.

Article 23 : Les autorités administratives et judiciaires compétentes peuvent :

  • Accéder aux conventions secrètes des données chiffrées sur demande faite auprès de l’ANSICE;
  • Ordonner le chiffrement des données, en recourant le cas échéant, aux services compétents de l’ANSICE.

Article 24 : Toute demande de modification du contenu du cahier des charges par le titulaire de l’agrément, donne lieu à une demande de l’agrément complémentaire.

Article 25 : La signature d’un contrat est exigée entre l’organisme agréé et l’utilisateur pour la gestion de ses conventions secrètes. Ce contrat comprend obligatoirement :

  • La référence de l’agrément délivrée la durée et la date d’expiration ainsi que tout élément d’information jugé utile, conformément aux dispositions du cahier des charges ;
  • Un engagement de l’organisme agréé relatif à la confidentialité ou à la sécurité des conventions secrètes qu’il gère pour le compte de 1’ utilisateur ;
  • Les modalités selon lesquelles l’utilisateur ou toute autre personne dument mandatée par celui-ci peut, à sa demande, se faire délivrer une copie de ses conventions secrètes.

Article 26 : L’organisme agréé constitue et tient à jour, sous le contrôle de l’ANSICE :

  • Une liste de ses clients;
  • Un registre mentionnant les demandes présentées par les autorités administratives et Judiciaires compétentes concernant la mise en œuvre ou la remise des conventions, secrètes, conformément aux dispositions légales en vigueur.

Article 27 : L’accès au registre est réservé aux agents assermentés de l’ANSICE et aux autorités judiciaires dans les conditions prévues par la législation en vigueur.

Article 28 : L’organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu’il gère au profit de ses clients, afin d’empêcher qu’elles ne puisent être altérées, endommagées, détruites, consultées ou communiquées à des tiers non autorisés.

Article 29 : Tout organisme agrée à l’obligation de conserver les conventions secrètes qui lui sont confiées.

A l’issue d’un délai de trois ans à compter de la date de signature du contrat, l’organisme agréé peut, après accord de l’utilisateur, déposer lesdites conventions secrètes auprès d’un autre organisme agréé par l’ANSICE.

L’ANSICE est informée, sans délai, du dépôt des conventions secrètes auprès d’un autre organisme agréé par elle, par lettre recommandée moyennant décharge ou par tout autre moyen laissant trace écrite accepté par elle.

Chapitre 3 : De la responsabilité des prestataires de services de cryptologie

Article 30 : Chaque prestataire de service de cryptologie à 1’obligation de fournir à l’ANSICE une information exhaustive sur l’ensemble des services qu’il propose, s’il exerce son activité à partir du territoire national ou à destination des utilisateurs nationaux.

Cette information doit être fournie par voie électronique et doit également porter sur les termes et conditions contractuels, spécialement les procédures de réclamations et de règlement des litiges.

Article 31 : Les prestataires de cryptologie à des fins de confidentialité sont responsables du préjudice causé, dans le cadre desdites prestations, aux personnes leur confiant la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions. Toute clause contraire est réputée nulle et non écrite.

Le prestataire de cryptologie est tenu d’indemniser les utilisateurs qui ont subi un préjudice de son fait. Il peut néanmoins s’exonérer de sa responsabilité et échapper à l’obligation d’indemnisation, s’il n’a commis aucune faute intentionnelle ou de négligence.

Article 32 : Les prestataires de services de cryptologie sont exonérés de toute responsabilité à l’égard des personnes qui font un usage non autorisé de leurs produits ou services.

Article 33 : L’ANSICE peut demander à tout prestataire agréé, la justification d’une assurance garantissant les conséquences pécuniaires de sa responsabilité professionnelle.

Chapitre 4 : Des sanctions liées aux manquements en matière de cryptologie

Article 34 : Lorsqu’un prestataire de service de cryptologie ne respecte pas les obligations auxquelles il est assujetti, l’ANSICE peut, après audition de l’intéressé, prononcer :

  • L’interdiction d’utiliser ou de mettre en circulation le moyen de cryptologie concerné;
  • Le retrait provisoire de l’autorisation accordée, pour une durée de trois mois;
  • Le retrait définitif de l’autorisation.
  • Des sanctions pécuniaires dont le montant est fixé en fonction de la gravité des manquements commis et en relation avec les avantages ou les profits tirés de ces manquements, conformément aux dispositions légales et règlementaires.

Article 35 : Sauf cas d’urgence, le retrait de l’autorisation ou de l’agrément ne peut intervenir qu’après une mise en demeure adressée au titulaire, restée sans effet huit jours, à compter de sa notification.

Article 36 : Par dérogation aux dispositions de 1’article 35 du présent décret, le retrait de l’agrément est prononcé immédiatement, sans aucune formalité, lorsque le maintien de celui-ci risque de mettre en péril les intérêts de la défense nationale ou la sécurité de l’Etat.

Article 37 : Le retrait de l’agrément est notifié par l’ANSICE à l’organisme agréé.

Dès la notification du retrait d’agrément, l’organisme concerné informe sans délai, les utilisateurs de ses services de la cessation de son activité de gestion des conventions secrètes, et leur communique la liste des autres organismes agréés offrant les mêmes services.

Les utilisateurs concernés pourront choisir un autre organisme agréé, à qui sera confiée la gestion de leurs conventions secrètes. Ce choix s’impose à l’organisme dont l’agrément est retiré.

Si l’utilisateur ne choisit pas un autre organisme dans un délai d’un mois à partir de la cessation d’activité du prestataire de cryptologie dont l’agrément est retiré, il transmet à l’ANSICE sur un support électronique standardisé dont le format est défini par cette dernière, les conventions secrètes qu’il détient sans pouvoir en conserver une copie. Ce support est déposé d’office auprès d’un autre organisme désigné à cet effet par l’ANSICE.

Article 38 : Les infractions commises en matière de cryptologie sont poursuivies conformément aux dispositions légales en vigueur. En cas de condamnation, les peines complémentaires suivantes peuvent être prononcées par la juridiction compétente :

  • La confiscation des objets qui ont servi à commettre l’infraction ou des produits de cette infraction ;
  • L’interdiction d’exercer une fonction publique ou une activité professionnelle liée à la cryptologie pour une durée de cinq ans au plus;
  • L’exclusion des marchés publics pour une durée de cinq ans au plus.

Ces peines complémentaires s’appliquent aux personnes physiques et morales.

Chapitre 5 : Dispositions finales

Article 39 : Le présent décret qui prend effet pour compter de la date de sa signature, sera enregistré et publié au Journal officiel de la République.

N’Djaména, le 21 janvier 2019

Idriss Déby Itno