DEUXIEME PARTIE : DES MECANISMES DE SECURISATION DES SYSTEMES DE PAIEMENT / TITRE I : DE LA PREUVE ELECTRONIQUE

ARTICLE 17

Les dispositions du présent titre s’appliquent à toute information, de quelque nature qu’elle soit, prenant la forme d’un message de données utilisé dans les transactions bancaires et financières et dans tous les systèmes de paiement.

 

ARTICLE 18

La preuve littérale ou preuve par écrit résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient le support et les modalités de transmission.

 

ARTICLE 19

L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier et a la même force probante que celui-ci, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité.

 

ARTICLE 20

La conservation des documents sous forme électronique doit se faire pendant une période de cinq (5) ans et dans les conditions suivantes :

  • l’information que contient le message de données doit être accessible pour être consultée ultérieurement ;
  • le message de données doit être conservé sous la forme sous laquelle il a été créé, envoyé ou reçu, ou sous une forme dont on peut démontrer qu’elle n’est susceptible ni de modification ni d’altération dans son contenu et que le document transmis et celui conservé sont strictement identiques ;
  • les informations qui permettent de déterminer l’origine et la destination du message de données, ainsi que les indications de date et d’heure de l’envoi ou de la réception, doivent être conservées si elles existent.

 

ARTICLE 21

La signature électronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.

La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire, lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat qualifié.

 

ARTICLE 22

Une signature électronique ne peut être déclarée irrecevable au seul motif qu’elle se présente sous forme électronique ou qu’elle ne repose pas sur un certificat qualifié ou qu’elle n’est pas créée par un dispositif sécurisé de création de signature.

La signature électronique sécurisée liée à un certificat électronique qualifié a la même force probante que la signature manuscrite.

 

ARTICLE 23

Un dispositif de création de signature électronique ne peut être considéré comme sécurisé que s’il satisfait aux exigences définies à l’alinéa 2 ci-après et s’il est certifié conforme à ces exigences dans les conditions prévues par l’alinéa 3 ci-dessous. Un dispositif sécurisé de création de signature électronique :

  • doit garantir, par des moyens techniques et des procédures appropriés, que les données de création de signature électronique ne peuvent être :
    * établies plus d’une fois et que leur confidentialité est assurée ;
    * trouvées par déduction et que la signature électronique est protégée contre toute falsification ;
    * protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers ;
  • ne doit entraîner aucune modification du contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies à l’alinéa 1 par des organismes agréés par la Banque Centrale et selon des règles définies par instruction prise à cet effet par elle.

La délivrance d’un certificat de conformité est publiée dans un journal habilité à recevoir des annonces légales ou selon les modalités fixées par instruction de la Banque Centrale.

 

ARTICLE 24

Le contrôle de la mise en œuvre des règles prévues à l’article précédent est assuré par les services de la Banque Centrale chargés de la sécurité des systèmes d’information.

 

ARTICLE 25

Un dispositif de vérification de signature électronique doit être évalué et peut être certifié conforme, selon les procédures définies par le Règlement et mentionnées au paragraphe 2 alinéa 2 de l’article 23 ci-dessus, s’il permet :

  • de garantir l’identité entre les données de vérification de signature électronique utilisées et celles qui ont été portées à la connaissance du vérificateur ;
  • d’assurer l’exactitude de la signature électronique ;
  • de déterminer avec certitude les conditions et la durée de validité du certificat électronique utilisé ainsi que l’identité du signataire ;
  • de détecter toute modification ayant une incidence sur les conditions de vérification de la signature électronique.

 

ARTICLE 26

Un certificat électronique ne peut être regardé comme qualifié que s’il est délivré par un prestataire de services de certification qualifié et s’il comporte :

  • une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;
  • l’identité du prestataire de services de certification électronique ainsi que l’Etat dans lequel il est établi ;
  • le nom du signataire et, le cas échéant, sa qualité ;
  • les données de vérification de la signature électronique correspondant aux données de création de celles-ci ;
  • l’indication du début et de la fin de la période de validité du certificat électronique ainsi que le code d’identité de celui-ci ;
  • la signature électronique sécurisée du prestataire de services de certification qui délivre le certificat électronique ;
  • les conditions d’utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.

 

ARTICLE 27

Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes :

  • faire la preuve de la fiabilité des services de certification électronique qu’il fournit ;
  • assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande ;
  • assurer le fonctionnement d’un service permettant à la personne à qui le certificat électronique a été délivré, de révoquer sans délai et avec certitude ce certificat ;
  • veiller à ce que la date et l’heure de délivrance et de révocation d’un certificat électronique puissent être déterminées avec précision ;
  • employer du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;
  • appliquer des procédures de sécurité appropriées et utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu’ils assurent ;
  • prendre toute disposition propre à éviter la falsification des certificats électroniques ;
  • garantir la confidentialité des données de création de signature électronique lors de leur création et s’il les fournit au signataire, et s’abstenir de conserver ou de reproduire ces données ;
  • veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ;
  • conserver sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique ;
  • utiliser des systèmes de conservation des certificats électroniques garantissant que :
    • l’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
    • l’accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
    • toute modification de nature à compromettre la sécurité du système peut être détectée ;
  • vérifier d’une part, l’identité de la personne à laquelle un certificat électronique est délivré, en exigeant d’elle la présentation d’un document officiel d’identité, d’autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;
  • s’assurer au moment de la délivrance du certificat électronique que les informations qu’il contient sont exactes et que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;
  • fournir par écrit à la personne qui demande la délivrance d’un certificat électronique, avant la conclusion d’un contrat de prestation de services de certification électronique et dans une langue aisément compréhensible, les informations suivantes :
    • modalités et conditions d’utilisation du certificat ;
    • soumission ou non à la qualification des prestataires de services de certification ;
    • modalités de contestation et de règlements de litiges ;
  • fournir aux personnes qui se fondent sur un certificat électronique les informations prévues au numéro précédent ;
  • posséder des garanties financières suffisantes pour exercer ses activités et, le cas échéant, indemniser les utilisateurs de ses services ayant subi des dommages du fait de l’inexécution ou de la mauvaise exécution de ses obligations.

 

ARTICLE 28

Les prestataires de services de certification électronique qui satisfont aux exigences de l’article 27 peuvent demander à être reconnus comme prestataires qualifiés.

Cette qualification vaut présomption de conformité et est délivrée par des organismes accrédités par les services de la BCEAO chargés de la sécurité des systèmes d’information. Elle est précédée d’une évaluation réalisée par ces mêmes organismes.

Une Instruction prise par la BCEAO détermine la procédure d’accréditation des organismes de qualification et la procédure d’évaluation et de qualification des prestataires de services de certification électronique.

 

ARTICLE 29

Un certificat électronique délivré par un prestataire de services de certification électronique établi hors du territoire de l’UEMOA a la même valeur juridique que celui délivré par un prestataire de services de certification établi sur ce territoire :

Si le prestataire satisfait aux exigences fixées à l’article 27 du présent Règlement ;

Ou si un accord auquel la BCEAO est partie le prévoit expressément.

 

ARTICLE 30

Le contrôle du respect par les prestataires de services de certification des exigences prévues à l’article 26 peut être effectué d’office ou à l’occasion de toute réclamation mettant en cause un prestataire de services de certification, par les services de la BCEAO chargés de la sécurité des systèmes d’information ou par des organismes désignés par eux.

Lorsque ce contrôle révèle qu’un prestataire n’a pas satisfait à ces exigences, les services de la BCEAO chargés de la sécurité des systèmes d’information assurent la publicité des résultats de ce contrôle. Dans le cas où le prestataire a été reconnu comme qualifié, ils en informent l’organisme de qualification.

La Banque Centrale fixe par Instruction les sanctions pouvant être prononcées à l’encontre des prestataires défaillants. Ces sanctions, pouvant aller jusqu’à l’interdiction d’exercer l’activité de prestataire de services de certification, seront prononcées par les services compétents de la BCEAO. Toute sanction prononcée devra faire l’objet de publication dans un journal habilité à recevoir des annonces légales ou selon les modalités fixées par instruction de la Banque Centrale.

Les mesures prévues à l’alinéa 2 ci-dessus doivent faire l’objet, préalablement à leur adoption, d’une procédure contradictoire permettant au prestataire de présenter ses observations.