Décret En vigueur

Décret n°079/PR/2019 du 21 janvier 2019 fixant les conditions et les modalités d'octroi de l'autorisation d'exercice de l'activité de certification électronique

Décret 19-079

Décrète :

Chapitre 1 : Dispositions générales

Article 1 : Le présent décret fixe les conditions et les modalités d’octroi de l’autorisation d’exercice de l’activité d’autorité de certification électronique.

Article 2 : Pour l’application du présent décret, les définitions ci-après sont admises :

1) Autorisation : droit conféré par l’Etat à une personne morale pour exercer une activité donnée dans le secteur des Télécommunications et des Technologies de l’Information et de la Communication, emportant un certain nombre d’obligations;

2) Certificat électronique : document électronique sécurisé par la signature électronique de la personne qui l’a émis et qui atteste après constat et véracité de son contenu ;

3) Certificat électronique qualifié : certificat électronique émis par une personne autorité de certification agréée ;

4) Certification électronique : émission de certificats électroniques ;

5) Confidentialité : maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d’informations aux non destinataires permettant la lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert ;

6) Dispositif de création de signature électronique : ensemble d’équipements et/ou logiciels privés de cryptage, homologués par une autorité compétente, permettant la vérification par une autorité de certification d’une signature électronique ;

7) Dispositif de vérification de signature électronique : ensemble d’équipements et/ou logiciels publics de cryptage, homologués par une autorité compétente, permettant la vérification par une autorité de certification d’une signature électronique ;

8) Fiabilité : aptitude d’un système d’information ou d’un réseau de communications électroniques à fonctionner sans incident pendant un temps suffisamment long ;

9) Intégrité des données : critère de sécurité définissant l’état d’un réseau de communications électroniques, d’un système d’information ou d’un équipement terminal qui est demeuré intact et permet de s’assurer que les ressources n’ont pas été altérées (modifiées ou détruites) d’une façon tant intentionnelle qu’accidentelle, de manière à assurer leur exactitude, leur fiabilité et leur pérennité ;

10) Interopérabilité des équipements de certification : aptitude des équipements terminaux de certification à fonctionner avec le réseau et, avec d’autres équipements terminaux permettant d’accéder à un même service ;

11) Sécurité : situation dans laquelle quelqu’un ou quelque chose n’est exposé à un danger.

Mécanisme destiné à prévenir un événement dommageable, ou à limiter les effets ;

12) Signature électronique : signature obtenue par un algorithme de chiffrement asymétrique d’authentifier message et l’intégrité;

13) Titulaire du permettant l’émetteur d’un d’en vérifier certificat : une personne, physique ou morale, à laquelle un organisme de certification a délivré une attestation électronique.

Chapitre 2 : De la procédure de délivrance et du régime de validité de l’autorisation

Article 3 : Conformément à la loi sur les transactions électroniques, l’Agence Nationale de Sécurité Informatique et de Certification Electronique (ANSICE) est chargée notamment :

(1) d’octroyer des agréments aux organismes assurant une activité de certification électronique ;

(2) de contrôler le respect par les organismes de certification des dispositions en vigueur en matière de certification ;

(3) de contrôler les certificats émis par les organismes de certification de signatures électroniques ;

(4) de fixer les caractéristiques du dispositif de création et de vérification de la signature électronique ;

(5) de conclure les conventions de reconnaissance mutuelle entre le Tchad et des pays tiers voire des organisations internationales ;

(6) d’émettre, de délivrer et de conserver des certificats électroniques relatifs aux agents de l’Etat;

(7) d’élaborer un cahier des charges, qui fixe les conditions et les procédures d’exercice de la politique nationale de certification ;

(8) de tenir un registre des organismes de certification agréés.

Article 4 : Toute personne physique ou morale désirant exercer les activités de fournisseur de services de certification électronique doit obtenir l’autorisation préalable de l’Agence Nationale de Sécurité Informatique et de Certification Electronique (ANSICE). Les demandes d’agrément sont adressées, soit par lettre recommandée, soit par voie électronique sur le site de l’ANSICE. Il en est accusé de réception dans les mêmes formes. A défaut, elles peuvent être déposées directement auprès de l’Agence Nationale de Sécurité Informatique et de Certification Electronique contre décharge.

Article 5 :

(1) Le dossier des demandes d’agrément, leur renouvellement ou leur extension de personne morale désirant exercer l’activité d’autorité de certification électronique, contient obligatoirement les documents suivant :

  • Une fiche de renseignement fournie par l’Agence Nationale de Sécurité Informatique et de Certification Electronique dûment remplie et signée par le demandeur de l’agrément et timbrée au tarif de 10 000 FCFA;
  • Un acte attestant les justifications des moyens matériels, financiers et humains de l’organisme de certification;
  • Un acte attestant les caractéristiques techniques des équipements informatiques à utiliser pour la fourniture des services proposés, accompagnées d’un schéma du dispositif de certification ;
  • Une description détaillée des procédures de sécurité adoptées pour la sécurisation des locaux et des équipements informatiques ;
  • Un contrat attestant l’exercice à plein temps au moins trois (3) experts en certification électronique ;
  • Un justificatif indiquant l’origine et le montant des financements prévus, en précisant l’identité des principaux bailleurs de fonds;
  • Un acte précisant la nature et le niveau des investissements prévus;
  • Un justificatif attestant l’incompatibilité avec les conditions d’exercice de toute profession commerciale conformément à la législation en vigueur ;
  • Une quittance de paiement des frais de dossier prévu par le cahier des charges mentionné au point 7 de l’article 3 du présent décret dont le montant sera fixé par une décision du Directeur Général.

(2) Les experts visés à l’alinéa 1 ci-dessus doivent remplir les conditions suivantes :

  • Être de nationalité tchadienne et domiciliée sur le territoire tchadien;
  • Jouir de ses droits civiques ;
  • Être titulaire d’un diplôme d’ingénieur en informatique ou en télécommunications ou d’un diplôme équivalent.

Article 6 :

(1) La demande d’obtention de l’autorisation l’activité d’exercice d’autorité de de certification électronique, timbrée, est adressée à l’Agence Nationale de Sécurité Informatique et de Certification Electronique, par lettre recommandée ou par tout autre moyen laissant trace écrite.

(2) Si la demande est faite par voie électronique, elle est suivie du dépôt d’un dossier physique dûment authentifié par un notaire à l’ANSICE.

(3) Une quittance de versement de frais d’étude du dossier délivrée par l’ANSICE :

  • Une attestation d’assurance garantissant les conséquences pécuniaires de sa responsabilité civile professionnelle ;
  • Une quittance de paiement de frais de dossier dont le montant est fixée par une décision du Directeur Général de l’ANSICE.

a) Un dossier technique qui comprend :

  • Les caractéristiques des dispositifs de sécurisation des réseaux utilisées pour la fourniture des services de certification ;
  • Le document de pratique de certification ;
  • L’état des moyens matériels et financiers ;
  • Les ressources humaines en quantité et en qualité à mobiliser;
  • Les conditions d’interopérabilité des systèmes de certification et d’interconnexion des registres de certificats ;
  • Une copie des contrats de travail conclus avec son personnel;
  • Le relevé des règles relatives à l’information afférente à ses services et aux certificats délivrés et devant être conservés par le fournisseur de certification électronique ;
  • Les devis estimatifs et quantitatifs des investissements des ouvrages;
  • Les caractéristiques des équipements et des dispositifs à utiliser pour la fourniture des services de certification électronique, accompagnées d’un schéma du dispositif de certification ;
  • Le plan du local du fournisseur et une description détaillée des procédures de sécurité adoptées pour la sécurisation du local.

Article 7 :

(1) L’ANSICE donne suite à la demande du postulant dans un délai maximum de quarante cinq (45) jours, à compter de la date de réception des documents.

(2) L’ANSICE peut demander des informations complémentaires.

(3) Dans ce cas, le délai visé à l’alinéa 1 ci-dessus court de la date de réception des informations complémentaires.

Article 8 : Les agréments sont octroyés sur la base d’un rapport de constat établi par les services de l’Agence National de sécurité Informatique et de Certification Electronique. Ce rapport comprend une évaluation des moyens techniques, financiers et humains conformément aux dispositions du cahier des charges prévues par le point 7 de l’article 3 du présent décret. Il ne peut être ni cédé ni transféré à un tiers sans autorisation expresse de l’‘ANSICE.

Article 9 :

(1) L’agrément est octroyé à titre personnel pour une durée de (10) ans renouvelable.

(2) L’autorité de Certification électronique ne peut modifier les conditions techniques d’exploitation, notamment l’ouverture ou la fermeture d’une autorité d’enregistrement, ainsi que le changement de l’emplacement des serveurs sans l’accord de L’ANSI.

Article 10 :

(1) Les agents assermentés de l’ANSICE ont le droit d’obtenir la communication de toutes les informations ou de tous les documents nécessaires à l’accomplissement de leur mission de contrôle.

(2) En cas de manquement constaté sur procès verbal par les agents visés à l’alinéa 1 ci-dessus, l’ANSICE met en demeure l’autorité concernée à se conformer, dans un délai de quinze (15) jours, aux dispositions législatives et réglementaires ou aux prescriptions du titre en vertu desquelles il exerce son activité.

(3) Lorsque le titulaire ne se conforme pas à la mise en demeure prévue à l’alinéa 2 ci-dessus, l’ANSICE prend toutes les mesures conservatoires nécessaires et notamment la suspension de l’autorisation pour une durée de six mois, renouvelable une fois.

(4) Pendant la période de suspension, les activités de l’autorité de certification sont gérées, pour les volets non contraires aux lois et règlements en vigueur, par l’ANSICE.

(5) L’autorité de certification concernée par le retrait ou la suspension et l’ANSICE sont tenues d’en informer les titulaires des certificats.

(6) Lorsque le titulaire de l’autorisation ne se conforme pas à la mise en demeure prévue à l’article 9 alinéa 2 ci-dessus, le Directeur Général procède au retrait de l’autorisation.

Article 11 : L’ANSICE peut recourir à des auditeurs externes agréés pour procéder aux vérifications prévues à l’article 10 du présent décret. Les auditeurs externes doivent justifier d’une qualification professionnelle adéquate, d’une expérience dans le domaine des technologies des signatures électroniques, de la sécurité des systèmes et des réseaux informatiques. Ils doivent également présenter des garanties d’honorabilité professionnelle et d’indépendance par rapport aux organismes de certification dont elles sont appelées à vérifier les activités.

Article 12 : Dans l’accomplissement de leur mission de vérification, les agents de l’ANSICE, ainsi que les auditeurs externes agréés ont, sur justification de leurs qualités, le droit d’obtenir la communication de toutes les informations ou de tous les documents qu’ils estimeront utiles ou nécessaires à l’accomplissement de leur mission.

Article 13 :

(1) En cas de constatation d’une violation grave des dispositions légales et réglementaires en vigueur en matière de certification électronique, le Directeur Général procède au retrait immédiat de l’autorisation, sans préjudice des poursuites pénales notamment dans les cas ci-après :

  • Obtention d’une autorisation sur la base de fausses déclarations ou tout autre moyen illicite ;
  • Manquement à ses obligations prévues par les lois et règlements en vigueur;
  • Non respect des dispositions prévues dans le cahier des charges ;
  • Violation des conditions sur la base desquelles l’autorisation a été octroyée ;

(2) L’autorisation est retirée après audition de l’autorité de certification concernée ; la décision de retrait fixe la date d’entrée en vigueur du retrait ;

(3) En cas de retrait de l’autorisation, l’ANSICE est chargée de transférer tout ou partie de l’activité de l’autorité concernée à une autre autorité dans les conditions définies à 1’article 16 du présent décret.

Article 14 : La décision portant suspension ou retrait d’une autorisation est susceptible de recours dans les conditions et les modalités fixées par les textes en vigueur.

Article 15 :

(1) Le transfert des certificats à une autre autorité de certification électronique peut intervenir dans les cas suivants :

a) Cessation des activités :

Dans ce cas, l’autorité de certification en cessation d’activités et l’ANSICE informent :

  • Par tout moyen laissant trace écrite, les titulaires des certificats en vigueur de sa volonté de transférer les certificats qu’elle a délivrés à une autre autorité, dans un délai de trois (3) mois, avant le transfert envisagé ;
  • De l’identité de l’autorité de certification électronique à qui les certificats seront transférés de la possibilité de refuser le transfert envisagé, ainsi que les délais et les modalités de refus.

b) Retrait ou suspension :

Dans ce cas, l’autorité de certification faisant l’objet d’une mesure de retrait ou de suspension et l’ANSICE informent :

  • Par tout moyen laissant trace écrite les titulaires des certificats, de la décision de transfert;
  • De la possibilité de refuser le transfert envisagé, ainsi que les délais et les modalités de refus ;

(2) Les certificats sont annulés si leurs titulaires expriment par écrit ou par voie électronique leur refus ;

(3) L’ANSICE assure, jusqu’à conclusion d’un accord de transfert avec une autre autorité de certification, les missions de l’Autorité de Certification défaillante ou en cessation d’activité ;

(4) Dans tous les cas de cessation ou de retrait, les données personnelles détenues par l’autorité de certification défaillante sont détruites en présence d’un agent assermenté de l’ANSICE.

Article 16 :

(1) L’autorité de certification électronique est chargée de l’émission, de la délivrance, de la conservation, de la suspension et de la révocation des certificats électroniques conformément à un cahier des charges.

(2) Le cahier des charges visé à l’alinéa 1 ci-dessus contient notamment :

  • Les coûts des études et de suivi des dossiers de demande des certificats ;
  • Les délais d’étude des dossiers ;
  • Les moyens matériels, financiers et humains qui doivent être fournis pour l’exercice de l’activité ;
  • Les conditions à remplir pour les personnels chargés d’exercer les fonctions techniques d’autorité de certification électronique ;
  • Les conditions d’émission, de délivrance et de conservation des certificats ;
  • Les moyens nécessaires pour protéger les certificats de la contrefaçon et de falsification ;
  • Les conditions de vérification et de contrôle par l’ANSICE, des locaux et des serveurs utilisés pour la fourniture du service ;
  • Les conditions de conservation des données à caractère personnel et des renseignements;
  • Les conditions assurant l’interopérabilité des systèmes de certification et de l’interconnexion des registres de certificats ;
  • Les règles relatives à l’information afférente à ses services et aux certificats délivrés et devant être conservés par l’autorité de certification électronique ;
  • La périodicité de mise à jour du registre des certificats ;
  • L’arrivée à échéance d’un certificat ;
  • Les conditions de révocation d’un certificat ;
  • Les prescriptions exigées pour la défense nationale et la sécurité publique;
  • Les conditions de tenue des registres des certificats ;
  • Les conditions de conservation des enregistrements sur l’émission, le renouvellement, la suspension et la révocation des certificats ;
  • Les procédures de gestion des équipements et des programmes informatiques ;
  • Les modalités de transfert de leurs registres de certificats à 1’ANSICE ;
  • Les conditions de conservation de tout document dont la consultation régulière est jugée utile par 1’ANSICE.

Chapitre 3 : Des organismes de certification

Article 17 : L’organisme de certification, agréé conformément, délivre un certificat, après avoir vérifié les conditions définies à 1’article 33 du présent décret.

L’organisme de certification peut délivrer un ou plusieurs certificats à toute personne qui en fait la demande conformément aux textes en vigueur.

Article 18 : Tout organisme de certification doit :

(1) informer les utilisateurs des certificats de leurs droits et leurs obligations ;

(2) veiller à ce que la date, l’heure d’émission et de révocation du certificat soient mentionnées clairement ;

(3) assurer la gestion d’un registre des certificats électroniques rapide et sécurisé ainsi qu’un service de révocation immédiat ;

(4) mettre en place une politique de sécurité adéquate pour ses équipements terminaux ainsi que pour ses serveurs dont l’accès est contrôlé;

(5) vérifier, sur présentation d’un document officiel d’identification, l’identité et, le cas échéant, les qualités spécifiques de la personne physique ou morale à laquelle un certificat est délivré. Cette vérification peut s’effectuer par voie électronique ;

(6) avoir du personnel ayant des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées;

(7) faire la preuve de la fiabilité suffisante de fournir des services de certification ;

(8) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications éventuelles et qui assurent la sécurité technique des fonctions qu’ils assument;

(9) prendre des mesures contre la contrefaçon des certificats ;

(10) garantir, lorsqu’il génère des données afférentes à la création de signature, la confidentialité au cours du processus de génération de ces données ;

(11) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle l’organisme de certification a fourni des services de gestion de clés ;

(12) Elaborer, mettre en œuvre et publier les modalités de l’utilisation en bonne et due forme des certificats ;

(13) Utiliser des systèmes fiables pour stocker les certificats de telle sorte :

a) que l’information puisse être contrôlée quant à son authenticité ;

b) que seules les personnes autorisées puissent introduire et modifier des données ;

c) qu’ils ne soient disponibles au public uniquement que pour des recherches avec le consentement du titulaire dudit certificat.

Article 19 : Tout organisme de certification doit procurer, sur un support durable et de manière intelligible, les informations nécessaires à l’utilisation correcte et sûre de ses services, notamment :

(1) la procédure à suivre afin de créer et de vérifier une signature électronique ;

(2) les conditions contractuelles de délivrance d’un certificat;

(3) les tarifs appliqués aux services fournis;

(4) les obligations qui pèsent sur le titulaire du certificat et l’organisme de certification ;

(5) les modalités et les conditions précises d’utilisation des certificats, y compris les limites imposées à leur utilisation ;

(6) les procédures de réclamation et de règlement des lignes. Ces informations doivent être approuvées, au préalable, par l’ANSICE.

Article 20 : Un certificat non révoqué est renouvelé sur demande à l’approche de la fin de la validité dudit certificat.

Article 21 : L’organisme de certification révoque un certificat immédiatement lorsque :

(1) la date de validité expire ;

(2) la demande émane de son titulaire;

(3) le certificat a été délivré sur la base d’informations erronées ou falsifiées;

(4) les informations contenues dans le certificat ne sont plus conformes à la réalité ;

(5) la confidentialité des données à caractère personnel du certificat a été violée ;

(6) le certificat a été utilisé frauduleusement ;

(7) le titulaire décède ou en cas de dissolution de la personne morale.

Article 22 : En cas de révocation, l’organisme de certification informe le titulaire du certificat dans les meilleurs délais en motivant sa décision. Lorsque la révocation intervient suite à l’expiration de la date de validité, l’organisme de certification doit prévenir le titulaire de l’échéance du certificat. Le délai d’avertissement est fixé par le cahier des charges prévu au point 7 de l’article 3 du présent décret. La révocation d’un certificat est définitive.

Article 23 : L’organisme de certification doit inscrire impérativement, sans délai, la décision de révocation dans le registre des certificats électroniques prévu au point 3 de l’article 18 du présent décret. La révocation devient opposable aux tiers dès son inscription dans ledit registre.

Article 24 : L’organisme de certification qui délivre à l’intention du public un certificat ou qui le garantit est responsable du préjudice causé à toute personne qui se fie raisonnablement :

(1) à l’exactitude des informations contenues dans le certificat délivré;

(2) à l’assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat détenait les données afférentes à la création de ladite signature;

(3) à l’assurance que le dispositif de création de signature et le dispositif de vérification de signature fonctionnent ensemble de façon complémentaire, au cas où le prestataire a généré les deux dispositifs.

Article 25 : Le registre des certificats électroniques, mentionné au point 3 de l’article 18 du présent décret, contient le nom et la qualité des demandeurs. Si le demandeur est une personne morale, il est fait mention du nom et de la qualité de la personne physique qui représente ladite personne et qui fait usage de la signature liée au certificat. La non inscription d’une révocation d’un certificat dans le registre des certificats électroniques engage la responsabilité de l’organisme de certification.

Article 26 : Lorsqu’un certificat arrive à échéance ou a été révoqué, son titulaire ne peut plus utiliser les données correspondantes. L’organisme de certification n’est pas tenu responsable des préjudices dont pourraient être victimes les utilisateurs du certificat révoqué ou qui est à son terme. De même, il n’est pas responsable du préjudice résultant de l’usage abusif d’un certificat.

Article 27 : En cas de cessation d’activités, l’organisme de certification accrédité informe dans un délai d’un mois l’ANSICE de son intention de mettre fin à ses activités ou, le cas échéant, de son incapacité de les poursuivre. Dans cette hypothèse, l’organisme de certification indique, à chaque titulaire de certificat, le droit qu’il a d’accepter ou de refuser le transfert envisagé ainsi que les délais et modalités dans lesquelles il peut donner ou refuser son accord. Au terme du délai imparti, le certificat est réputé nul et de nul effet à défaut d’acceptation écrite de son titulaire.

Le transfert des certificats est opéré aux conditions suivantes :

  1. l’organisme de certification avertit chaque titulaire de certificat encore en vigueur qu’il envisage de transférer les certificats à un autre organisme de certification au moins un mois avant le transfert envisagé;

  2. l’organisme de certification indique à chaque titulaire de certificat leur faculté de refuser le transfert envisagé ainsi que les délais et modalités dans lesquelles il peut le refuser. A défaut d’acceptation expresse du titulaire au terme de ce délai, le certificat est révoqué d’office.

Article 28 : Le décès, l’incapacité, la faillite, la dissolution volontaire et la liquidation, ou tout autre motif involontaire d’arrêt des activités sont assimilés à une cessation d’activité de l’organisme de certification.

Article 29 : L’organisme de certification ne peut transférer ou déplacer, à l’étranger, ses serveurs contenant des données afférentes aux certificats délivrés, sans l’accord de l’Agence Nationale de Sécurité Informatique de Certification Electronique.

Article 30 : L’organisation de certification doit conserver à compter de la date de son traitement, les enregistrements relatifs, notamment à :

(1) l’émission, le renouvellement, la suspension et la révocation des certificats ;

(2) les procédures de gestion des équipements et programmes informatiques ;

(3) tout document dont la conservation est jugée utile par l’Agence Nationale de Sécurité Informatique de Certification Electronique.

Chapitre 3 : Des certificats

Article 31 : Les certificats que l’organisme de certification peut émettre sont classés en plusieurs catégories, notamment :

(1) les certificats de classe 1 : aucun contrôle de l’identité du détenteur du certificat n’est requis;

(2) les certificats de classe 2 : l’organisme de certification effectue un contrôle sur le dossier de demande de certificat ;

(3) les certificats de classe 3 : l’organisme de certification demande une vérification physique avec la présence de l’utilisateur ;

(4) les certificats de classe 4 : l’organisme de certification exige la présence de l’utilisateur qui recevra son certificat sur un support physique (carte à puce ou clé USB).

L’ANSICE peut décider, en cas de besoin, de créer d’autres catégories de certificats électroniques.

Article 32 : Tout certificat doit contenir les informations suivantes :

(1) l’identification de l’organisme de certification ;

(2) le nom du demandeur ou de son pseudonyme ;

(3) les données afférentes à la vérification de la signature ;

(4) la période de validité du certificat ;

(5) le code d’identification du certificat ;

(6) la qualité du demandeur du certificat ;

(7) l’accréditation de l’organisme de certification ;

(8) les limites à l’utilisation du certificat. En cas de doute quant au maintien de la confidentialité des données afférentes à la création de signature ou de perte de la conformité à la réalité des informations contenues dans le certificat, le titulaire est tenu de faire révoquer immédiatement le certificat.

Article 33 : Toute publication d’un certificat électronique est soumise au consentement de son titulaire.

Article 34 : Les certificats électroniques, délivrés par un organisme de certification établi dans un pays tiers, ont la même valeur juridique au Tchad que ceux délivrés par ANSICE, à condition que :

(l) l’organisme de certification respecte la législation Tchadienne en vigueur en la matière;

(2) le certificat ou l’organisme de certification soit reconnu dans le cadre d’un accord bilatéral ou multilatéral entre le Tchad et des pays tiers ou des organisations internationales. L’ANSICE publie la liste des accords conclus.

Chapitre 4 : De la signature électronique

Article 35 : Les dispositifs sécurisés de création de signature électronique doivent garantir, par des moyens techniques et des procédures appropriées, que :

(1) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu’une seule fois et que leur confidentialité soit assurée;

(2) l’on puisse avoir l’assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction;

(3) la signature créée soit protégée contre toute falsification par les moyens techniques appropriés et évolutifs;

(4) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par des tiers.

Article 36 : Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature.

Article 37 : En application de la loi sur les transactions électroniques, la signature nécessaire à la perfection d’un acte sous seing privé peut être manuscrite ou électronique.

Article 38 : La signature électronique consiste en un ensemble de données qui doivent :

(1) permettre d’identifier le signataire ;

(2) être liées uniquement au signalai ;

(3) être créées par des moyens que le signataire puisse garder sous son contrôle exclusif ;

(4) reposer sur un certificat électronique.

Chapitre 5 : Dispositions communes

Article 39 : L’ANSICE et les organismes de certification sont tenus au respect des dispositions légales régissant le traitement de données à caractère personnel. Toutefois, lorsque le titulaire du certificat utilise un pseudonyme, l’organisme de certification ayant délivré certificat est tenu de communiquer toute donnée relative à l’identité du titulaire aux autorités judiciaires compétentes.

Article 40 : Les personnes exerçant ou ayant exercé une activité, soit pour l’ANSICE agissant en tant qu’autorité d’accréditation, soit pour l’organisme de certification, sont tenues au secret professionnel et sont passibles des peines prévues par le Code pénal.

Chapitre 6 : Dispositions diverses et finales

Article 41 : Les autorités de certification électronique sont assujetties, pendant toute la période de validité de leurs autorisations, au paiement des frais d’agrément.

Article 42 : Le Directeur Général de l’ANSICE est chargé de l’exécution du présent décret qui prend effet pour compter de la date de sa signature, sera enregistré, publié au Journal Officiel de la République.

N’Djaména, le 21 janvier 2019