CHAPITRE 2 : REGIME JURIDIQUE DES MOYENS ET PRESTATIONS DE CRYPTOLOGIE

SECTION 1 :

REGIME DE LA LIBERTE

ARTICLE 5

La fourniture, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont libres.

 

ARTICLE 6

L’utilisation des moyens et prestations de cryptologie permettant d’assurer des fonctions de confidentialité n’est libre que s’ils s’appuient sur des conventions secrètes gérées par un organisme agréé par l’ARTCI.

L’ARTCI s’assure, par tout moyen, que les conventions secrètes gérées par un organisme agréé ne sont pas contraires à l’ordre public ou ne portent pas atteinte aux intérêts de la défense nationale, à la sécurité intérieure ou extérieure de l’Etat.

 

ARTICLE 7

Nonobstant les dispositions de l’article 6 du présent décret, l’utilisation au-delà de 32 bits des moyens et prestations de cryptologie permettant d’assurer des fonctions de confidentialité, fait nécessairement l’objet d’une autorisation de l’ARTCI.

 

ARTICLE 8

La fourniture ou l’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, est soumise à une déclaration préalable auprès de l’ARTCI. Les modalités de cette déclaration préalable sont établies par décision de l’ARTCI.

Le prestataire ou la personne procédant à la fourniture ou à l’importation d’un moyen de cryptologie tient à la disposition de l’ARTCI une description des caractéristiques techniques de ce moyen de cryptologie.

Les prestataires de services de cryptologie sont assujettis au secret professionnel.

 

SECTION 2 :

REGIME DE L’AGREMENT

ARTICLE 9

L’exercice de la profession de prestataire de cryptologie par un organisme est soumis à l’agrément de l’ARTCl.

 

ARTICLE 10

L’agrément est délivré moyennant le paiement de frais de dossier et d’études fixés par l’ARTCl.

 

ARTICLE 11

Toute personne physique ou morale qui sollicite un agrément, adresse une demande à l’ARTCl.

 

ARTICLE 12

Les éléments composant le dossier de demande d’agrément sont fixés par décision de l’ARTCl.

 

ARTICLE 13

L’agrément est accordé pour une durée de trois années renouvelables.

Six (6) mois avant l’expiration du délai mentionné à l’alinéa précédent, l’organisme agréé qui sollicite le renouvellement de son agrément, formule à cet effet, une demande auprès de l’ARTCl.

L’agrément peut être refusé pour non-respect des dispositions relatives à la cryptologie ou pour des motifs liés aux intérêts de la défense nationale et à la sécurité intérieure ou extérieure de l’Etat.

 

ARTICLE 14

Le titulaire de l’agrément est tenu de notifier sans délai à l’ARTCI, tout changement intervenu dans :

  • la nature juridique de l’organisme agréé ;
  • la nature ou l’objet des activités de l’organisme agréé ;
  • l’adresse postale et géographique de l’organisme agréé ;
  • l’identité ou les qualités juridiques de ses dirigeants, ou tout changement résultant :
  • d’une fusion ou de cessions d’actions ou de parts sociales susceptibles d’entraîner un changement du contrôle de l’organisme agréé ;
  • d’une cessation totale ou partielle de l’activité agréée, si le titulaire de l’agrément fait l’objet d’une procédure collective d’apurement du passif.

 

ARTICLE 15

L’agrément des organismes exerçant la profession de prestataire de cryptologie est assorti d’un cahier des charges, qui définit les obligations auxquelles ils sont soumis.

Le cahier des charges contient notamment :

  • l’énumération des moyens ou des prestations de cryptologie que l’organisme agréé est autorisé à gérer en conventions secrètes ;
  • l’énumération des moyens ou des prestations de cryptologie que l’organisme agréé peut utiliser ou fournir ;
  • les conditions techniques ou administratives garantissant le respect des obligations imposées à l’organisme agréé ;
  • le nombre de personnes employées ou travaillant au sein de l’organisme agréé et leur qualification ;
  • les conditions de transfert à un autre organisme agréé, des conventions secrètes, en cas de cessation d’activité ou à la demande de l’utilisateur ;
  • le format électronique standardisé dans lequel doivent être transcrites les conventions secrètes, en cas de cessation d’activité ou de retrait d’agrément ;
  • les dispositions techniques prises lors de la mise en service des conventions secrètes, afin d’identifier l’organisme agréé gérant lesdites conventions ainsi que les utilisateurs concernés ;
  • les conditions techniques d’utilisation des conventions secrètes, des moyens ou des prestations et les mesures nécessaires pour assurer leur intégrité et leur sécurité.

Le cahier des charges comporte également une annexe précisant les modalités pratiques de remise des conventions secrètes aux autorités administratives et judiciaires compétentes ou de leur mise en œuvre à la demande desdites autorités.

A l’exception de son annexe, le contenu de ce cahier des charges peut être communiqué, sur leur demande, aux utilisateurs dont l’organisme agréé gère les conventions secrètes.

 

ARTICLE 16

Les autorités administratives et judiciaires compétentes peuvent :

  • accéder aux conventions secrètes des données chiffrées sur demande faite auprès de l’ARTCI ;
  • ordonner le déchiffrement des données, en recourant, le cas échéant, aux services compétents de l’ARTCJ.

 

ARTICLE 17

Toute demande de modification du contenu du cahier des charges, par le titulaire de l’agrément, donne lieu à une demande d’agrément complémentaire.

 

ARTICLE 18

La signature d’un contrat est exigée entre l’organisme agréé et l’utilisateur pour la gestion de ses conventions secrètes. Ce contrat comprend obligatoirement :

  • la référence de l’agrément délivré, la durée et la date d’orientation ainsi que tout élément d’information jugé utile, conformément aux dispositions du cahier des charges ;
  • un engagement de l’organisme agréé relatif à la confidentialité ou à la sécurité des conventions secrètes qu’il gère pour le compte de l’utilisateur ;
  • les modalités selon lesquelles l’utilisateur ou toute autre personne dûment mandatée par celui-ci peut, à sa demande, se faire délivrer une copie de ses conventions secrètes.

 

ARTICLE 19

L’organisme agréé constitue et tient à jour, sous le contrôle de l’ARTCI :

  • une liste de ses clients ;
  • un registre mentionnant toutes les demandes présentées par les autorités administratives et judiciaires compétentes concertant la mise en œuvre ou la remise des conventions secrètes, enfermement aux dispositions légales en vigueur.

 

ARTICLE 20

L’accès au registre est réservé aux agents assermentés de l’ARTCI et aux autorités judiciaires dans les conditions prévues par la législation en vigueur.

ARTICLE 21

L’organisme agréé prend les mesures nécessaires se préserver la sécurité des conventions secrètes qu’il gère au profit de ses clients, afin d’empêcher qu’elles ne puissent être crées, endommagées, détruites, consultées ou communiquées les tiers non autorisés.

L’organisme agréé prend toutes les dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, de clients et fournisseurs, afin que soit respectée la confidentialité des informations dont il a connaissance relativement à l’utilisation des conventions secrètes.

 

ARTICLE 22

Tout organisme agréé a l’obligation de conserver inventions secrètes qui lui sont confiées.

A l’issue d’un délai de trois ans à compter de la date de signature du contrat, l’organisme agréé peut, après accord de l’utilisa-déposer lesdites conventions secrètes auprès d’un autre organisme agréé par l’ARTCI.

L’ARTCI est informée, sans délai, du dépôt des conventions secrètes auprès d’un autre organisme agréé par elle, par lettre portée contre décharge ou par tout autre moyen accepté par elle.