Loi En vigueur

Loi portant création de l’Agence Nationale de Sécurité Informatique et de Certification Electronique

Loi 15-006

L’Assemblée nationale a délibéré et adopté en sa séance du 15 décembre 2015 ; Le Président de la République promulgue la Loi dont la teneur suit :

Chapitre 1: De la Création

Article 1er**:** Il est créé une Agence Nationale de Sécurité Informatique et de Certification Electronique, en abrégé ANSICE.

Article 2 : Le siège de L’ANSICE est situé à N’Djamena.

Article 3 : L’ANSICE est un établissement public à caractère administratif, dotée de la personnalité morale  et de l’autonomie financière, Elle est placée sous la tutelle de la Primature.

Chapitre 2 : Des missions

Section 1 : De la Cybersécurité et de la lutte contre la Cybercriminalité

Article 4: Au titre de la lutte contre la cybercriminalité,  et conformément à la loi s’y rapportant, l’ANSICE a pour missions:

  • de concevoir et de mettre en œuvre les politiques de lutte contre la cybercriminalité telles que définies par la loi ;
  • d’assurer pour le compte de l’Etat, la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes d’information et des réseaux de communications électroniques ;
  • de coordonner les actions en matière de cybersécurité au niveau national ;
  • d’identifier des structures et institutions concernées au premier degré par le problème de la cybercriminalité ;
  • l’échelle nationale et d’établir des partenariats nécessaires en vue du traitement des questions s’y rapportant ;
  • de collaborer étroitement avec les services étatiques concernés par le problème de cybercriminalité (services de renseignements, services de sécurité, etc) aux fins d’élaborer des normes et d’établir des procédures d’investigation uniformes et de développer un consensus institutionnel ;
  • de collaborer avec les organismes chargés de l’application de la loi au niveau régional ou international ;
  • de veiller à la sécurité des systèmes gouvernementaux de l’information et des infrastructures essentielles de l’Etat ;
  • de coordonner les actions et le processus de développement des systèmes d’identité numérique, ainsi que la gestion et les bonnes pratiques en relation notamment avec les autres services étatiques concernés ;
  • de développer les formations types en matière de cybersécurité ainsi que les programmes de renforcement des capacités des structures nationales chargées de la lutte contre la cybercriminalité ;
  • de créer une plateforme nationale aux fins de  coordonner l’assistance technique et les initiatives de formation au niveau international ;
  • d’émettre un avis consultatif sur les textes touchant le domaine de la cybersécurité et de la cybercriminalité ;
  • d’adopter un programme efficace de sensibilisation à la cybersécurité aux fins de promouvoir le partage d’informations avec toutes les parties Prenantes sur des questions s’y rapportant ;
  • d’adopter des mesures de développement des capacités afin de proposer une formation couvrant tous les domaines de la cybersécurité aux services spécialisés du gouvernement et aux citoyens, tout en fixant des normes pour le secteur privé ;
  • de contrôler les activités de sécurité des réseaux de communications électroniques, des systèmes d’information ;
  • d’émettre des alertes et recommandations en matière de sécurité des réseaux de communications électroniques et de certification ;
  • de participer aux activités de recherche, de  formation et d’études afférentes à la sécurité  des réseaux de communications électroniques,  des systèmes d’informations et de certification ;
  • de s’assurer de la régularité, de l’effectivité des  audits de sécurité des systèmes d’information  suivant les normes en la matière, des  organismes publics et des autorités de  certification  d’assurer la surveillance, la détection et la fourniture de l’information sur les risques  informatiques et les actes malveillants des  cybercriminels ;
  1. d’exercer toute autre mission d’intérêt général que pourrait lui confier l’autorité de tutelle.

Article 5 : L’ANSICE doit créer en son sein une Cellule de lutte contre la cybercriminalité composée notamment de magistrats, d’officiers de police judiciaire, d’informaticiens et de spécialistes en matière de télécommunications.

La Cellule de lutte contre la cybercriminalité est chargée principalement d’établir un partenariat avec les prestataires techniques, notamment les fournisseurs d’accès et d’hébergement en vue de rendre efficace la lutte contre, la cybercriminalité et de s’assurer de la participation de ces intermédiaires techniques à la lutte contre les contenus illicites.

Dans l’accomplissement de sa mission, la Cellule de lutte contre la cybercriminalité a pour mission de rassembler les preuves des infractions prévues par la présente loi, de rechercher et d’identifier leurs auteurs et de les déférer devant les autorités judiciaires compétentes.

La Cellule de lutte contre la cybercriminalité est, au niveau national, le point focal dans le cadre de la lutte contre la cybercriminalité. A ce titre, elle initie et/ou coordonne les activités liées à la lutte contre la cybercriminalité.

La composition et l’organisation de la Cellule de lutte contre la cybercriminalité seront fixées par le décret portant organisation et composition de l’ANSICE voie réglementaire.

Section 2 : De la Protection des données à caractère personnel

Article 6 : Au titre de la protection des données à caractère personnel, et conformément à la loi s’y rapportant, l’ANSICE est chargée de veiller à ce que les Technologies de l’information et de la Communication (TIC) ne comportent aucune menace aux libertés publiques et à la vie privée et plus précisément d’assurer la protection des données à caractère personnel. A ce titre, elle a pour missions:

  • d’informer les personnes concernées et les responsables de traitement de leurs droits et obligations ;
  • de répondre à toute demande d’avis portant sur un traitement de données à caractère personnel;
  • d’autoriser les traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles,
  • de recevoir les formalités préalables aux traitements des données à caractère personnel ;
  • de recevoir les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données à caractère personnel et informer leurs auteurs des suites données à celles-ci ;
  • d’informer sans délai l’autorité judiciaire pour certains types d’infractions dont elle a connaissance ;
  • de procéder, par le biais d’agents  assermentés, à des vérifications portant sur tout traitement des données à caractère  personnel ;
  • de prononcer des sanctions, administratives et pécuniaires, à l’égard d’un responsable de traitement indélicat ;
  • de mettre à jour un répertoire des traitements des données à caractère personnel et le tenir à la disposition du public ;e retrait définitif de l’autorisation h) une amende pécuniaire.

Article 7: L’ANSICE doit être consultée pour avis lors de l’élaboration de tout acte législatif ou réglementaire touchant  à la protection des données à caractère personnel.

Article 8 : Lorsque la mise en œuvre d’un traitement ou l’exploitation de données à caractère personnel entraine une violation de droits et libertés, l’ANSICE peut, après procédure contradictoire, décider :

a) des avertissements à l’égard des responsables du traitement ne respectant pas leurs obligations ;

b) des mises en demeure pour la correction des manquements concernés dans des délais fixés par décret ;

c) de l’interruption de la mise en œuvre du traitement ;

d) du verrouillage de certaines données à caractère personnel traitées ;

e) de l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la présente loi ;

f) un retrait provisoire de l’autorisation ;

g) le retrait définitif de l’autorisation ;

h) une amende pécuniaire

Section 3 : Des transactions électroniques

Article 9 : Au titre des transactions électroniques, et conformément à la loi s’y rapportant, l’ANSICE a pour missions :

  • de délivrer les autorisations relatives à la mise en place et à l’exploitation d’une infrastructure en vue d’émettre, de conserver et de délivrer les certificats électroniques qualifiés ;
  • de délivrer les autorisations relatives à la mise à la disposition du public des clés publiques de tous les utilisateurs ;
  • de délivrer les autorisations relatives à la mise à la disposition du public de la prestation d’audit de sécurité, d’édition de logiciels de Sécurité et de toutes les autres prestations de services de sécurité électronique ;
  • d’instruire les demandes d’accréditation et de préparer les cahiers de charges des autorités de certification;
  • d’accréditer les prestataires de services d’archivage et d’horodatage électroniques ;
  • de contrôler la conformité des signatures électroniques ;
  • de contrôler les activités de sécurité des réseaux de communications électroniques, des systèmes d’information et de certification électronique ;
  • de procéder à l’audit et à la certification des systèmes d’information des personnes morales établies en République du Tchad ;
  • de participer à l’élaboration de la politique nationale de sécurité des réseaux de communications électroniques et de certification électronique ;
  • d’instruire les demandes d’homologation des moyens de cryptographie et de délivrer les certificats d’homologation des Équipements de sécurité électronique.

Chapitre 3 : De l’organisation et du fonctionnement

Article 10 : L’ANSICE est placée sous la responsabilité d’un Directeur Général, assisté d’un Directeur Général Adjoint, tous deux nommés par décret pris en Conseil des Ministres. Ils sont choisis parmi les cadres de catégorie A, à compétences technologique et juridique avérées dans le domaine concerné.

Elle dispose d’un personnel qualifié et en nombre suffisant pour exercer se s missions et ses pouvoirs dans des conditions optimales.

Article 11 : L’ANSICE est administrée par un Conseil d’Administration composé de Onze (11) membres choisis dans le secteur public et privé, ainsi qu’il suit :

  • deux (2) personnalités désignées par le Président de la République ;
  • un (1) député désigné par le Président de l’Assemblée Nationale ;
  • un (1) Représentant des organisations patronales ;
  • un (1) Magistrat désigné par le Président de la Cour Suprême ;
  • un (1) Expert en Télécommunications et Technologies de l’Information et de la Communication (TIC) désigné par le Ministre en charge des télécommunications et TIC,
  • un (1) Représentant des professionnels des Télécommunications et Technologies de l’Information et de la Communication (TIC) désigné par ses pairs ;
  • un (1) Avocat désigné par le Bâtonnier de l’Ordre des avocats du Tchad ;
  • un (1) Représentant des organisations de défense des droits de l’homme ;
  • le Directeur Général de l’Autorité de Régulation des Communications Electroniques et des Postes ;
  • le Directeur de l’Agence pour le Développement des Technologies de l’Information et de la Communication (ARCEP).

Article 12 : Les membres du Conseil d’administration sont nommés par décret pour un mandat de quatre (4) ans (ADETIC) irrévocable, renouvelable une seule fois. Leur fonction est incompatible avec la qualité de membre du Gouvernement de l’exercice des fonctions de dirigeants d’entreprise, de la détention d’intérêt dans les entreprises du secteur de l’informatique au des télécommunications.

Article 13 : Les membres du Conseil d’administration doivent posséder des compétences techniques, juridiques, économiques, financières, ainsi qu’une expertise dans le domaine de la protection des droits et des technologies de l’information et de la communication.

Ils doivent pendant toute la durée de leur mandat justifier de leurs droits civiques.

Article 14 : Avant leur entrée en fonction, les responsables de l’ANSICE, ainsi que les membres de son Conseil d’administration, non magistrats, prêtent devant la Cour Suprême le serment dont la teneur suit : « Je jure solennellement de bien et fidèlement remplir ma fonction de membre de l’Agence Nationale de Sécurité Informatique et de Certification Electronique, en toute indépendance et impartialité de façon digne et loyale et de garder le secret des délibérations».

Article 15: L’ANSICE peut faire appel à des agents assermentés, conformément aux dispositions en vigueur, dans le but de participer à la mise en œuvre des missions de vérification, d’audit ou de constatation des infractions mentionnées. Cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par lui.

Article 16 : L’ANSICE est indépendante du pouvoir politique, des entreprises assurant la fourniture des services de sécurité électronique des systèmes d’information et des réseaux de communications électroniques, et des structures chargées de la surveillance des réseaux et systèmes ainsi que de la détection d’intrusion.

Article 17 : Les fonctions de prestataire de service de sécurité électronique, même pour le compte de l’Etat, sont incompatibles avec celles de l’ANSICE prévues par la présente loi.

Article 18 : Tout membre de l’ANSICE doit informer celle ci des intérêts directs ou indirects qu’il détient ou vient à détenir, des fonctions qu’il Exerce ou vient à exercer et de tout mandat qu’il détient nu vient à détenir au sein d’une personne morale.

Le cas échéant, l’ANSICE prend toutes les dispositions utiles pour assurer l’indépendance et l’impartialité de ses membres. Un code de conduite est mis en place à cet effet.

Article 19 : Les membres de l’ANSICE jouissent de l’immunité pour les opinions émises dans l’exercice nu à l’occasion de l’exercice de leur fonction. A ce titre, ils ne peuvent être relevés de leur charge en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent pour remplir leurs fonctions. De même, ils ne doivent recevoir d’instruction d’aucune autorité, lors de l’exercice de leur attribution.

Article 20 : Il ne peut être mis fin aux fonctions de membre du Conseil d’administration, qu’en cas de démission ou d’empêchement dument constaté.

Article 21 : Les responsables de famille ainsi que les membres de son Conseil d’administration sont soumis au secret professionnel. Cette obligation s’étend aussi aux autres membres de son personnel ainsi qu’aux experts commis par elle dans le cadre des missions de contrôle et de vérifications.

L’ANSICE établit un règlement intérieur qui précise, et notamment, les règles relatives aux délibérations, à l’instruction et à la présentation des dossiers.

Article 22 : Les autres règles relatives à l’organisation et au fonctionnement de l’ANSICE sont fixées par décret.

Chapitre 4 : Du fonds spécial des activités de cybersécurité

Article 23 : Les Autorités de certification accréditées, les auditeurs de sécurité, les éditeurs de logiciels de sécurité, les prestataires techniques et les autres prestataires de services de sécurité agréés, sont assujettis au paiement d’une contribution de 1,5 % de leur chiffre d’affaires hors taxes, destinée au financement d’un fonds dénomme «Fonds spécial des activités de cybersécurité», au titre du financement de la recherche, du développement, de la formation et des études en matière de cybersécurité.

Les ressources visées à l’alinéa 1 ci-dessus sont recouvrées par l’ANSICE et déposées dans un compte bancaire spécial ouvert à cet effet.

Les modalités de fonctionnement du Fonds spécial des activités de cybersécurité sont fixées par décret.

Chapitre 5 : Des autres ressources

Article 24 : Les autres ressources de l’ANSICE sont constituées notamment :

  • des dotations budgétaires de l’Etat ;
  • des amendes pécuniaires infligées en vertu de l’application des dispositions des lois se rapportant à la lutte contre la cybercriminalité, à la protection des données à caractère personnel, ainsi qu’aux transactions électroniques des dons et legs.

Chapitre 6 : Des dispositions finales

Article 25 : La présente loi sera enregistrée, publiée au Journal officiel de la République et exécutée comme Loi de l’Etat.