CHAPITRE IV
DES ACTIVITÉS DE SÉCURITÉ
Article 13.- (1) Sont soumis à un audit de sécurité obligatoire, les réseaux de communications électroniques et les systèmes d’information des opérateurs, les autorités de certification et les fournisseurs de services de communications électroniques.
(2) Les conditions et les modalités de l’audit de sécurité prévu à l’alinéa 1 ci-dessus sont définies par voie réglementaire.
CHAPITRE VIII
DU DOCUMENT ÉLECTRONIQUE
Article 21.- Toute personne désirant apposer sa signature électronique sur un document peut créer cette signature par un dispositif fiable dont les caractéristiques techniques sont fixées par un texte du Ministre chargé des Télécommunications.
Article 22.- Toute personne utilisant un dispositif de signature électronique doit :
- Prendre les précautions minimales qui sont fixées, par le texte visé à l’article 21 ci-dessus, afin d’éviter toute utilisation illégale des éléments de cryptage ou des équipements personnels relatifs à sa signature ;
- Informer l’autorité de certification de toute utilisation illégitime de sa signature ;
- Veiller à la véracité de toutes les données qu’elle a déclarées au fournisseur de services de certification électronique et à toute personne à qui il a demandé de se fier à sa signature.
SECTION Il
DE LA PROTECTION DES SYSTÈMES D’INFORMATION
Article 26.- (1) Les exploitants des systèmes d’information prennent toutes les mesures techniques et administratives afin de garantir la sécurité des services offerts. A cet effet, ils se dotent de systèmes normalisés leur permettant d’identifier, d’évaluer, de traiter et de gérer continûment les risques liés à la sécurité des systèmes d’information dans te cadre des services offerts directement ou indirectement.
(2) Les exploitants des systèmes d’information mettent en place des mécanismes techniques pour faire face aux atteintes préjudiciables à la disponibilité permanente des systèmes, à leur intégrité, à leur authentification, à leur non répudiation par des utilisateurs tiers, à la confidentialité des données et à la sécurité physique.
(3) Les mécanismes prévus à l’alinéa 2 ci-dessus, font l’objet d’approbation et visa conforme de l‘Agence.
(4) Les plates-formes des systèmes d’information font l’objet de protection contre d’éventuels rayonnements et des intrusions qui pourraient compromettre l’intégrité des données transmises et contre toute attaque externe notamment par un système de détection d’intrusions.
Article 27.- Les personnes morales dont l’activité est d’offrir un accès à des systèmes d’information sont tenues d’informer les usagers:
- du danger encouru dans l’utilisation des systèmes d’information non sécurisés notamment pour les particuliers;
- de la nécessité d’installer des dispositifs de contrôle parental;
- des risques particuliers de violations de sécurité, notamment la famille générique des virus;
- de l’existence de moyens techniques permettant de restreindre l’accès à certains services et de leur proposer au moins l’un de ces moyens, notamment l’utilisation des systèmes d’exploitation les plus récents, les outils antivirus et contre les logiciels espions et trompeurs, l’activation des pare-feux personnels, de systèmes de détection d’intrusions et l’activation des mises à jour automatiques.
Article 28.- (1) Les exploitants des systèmes d’information informent les utilisateurs de l’interdiction faite d’utiliser le réseau de communications électroniques pour diffuser des contenus illicites ou tout autre acte qui peut entamer la sécurité des réseaux ou des systèmes d’information.
(2) L’interdiction porte également sur la conception de logiciel trompeur, de logiciel espion, de logiciel potentiellement indésirable ou de tout autre outil conduisant à un comportement frauduleux.
Article 29.- (1) Les exploitants des systèmes d’information ont l’obligation de conserver les données de connexion et de trafic de leurs systèmes d’information pendant une période de dix (10) ans.
(2) Les exploitants des systèmes d’information sont tenus d’installer des mécanismes de surveillance de contrôle d’accès aux données de leurs systèmes d’information. Les données conservées peuvent être accessibles lors des investigations judiciaires.
(3) Les installations des exploitants des systèmes d’information peuvent faire l’objet de perquisition ou de saisie sur ordre “d’une autorité judiciaire dans les conditions prévues par les lois et règlements en vigueur.
Article 30.- (1) Les exploitants des systèmes d’information évaluent, révisent leurs systèmes de sécurité et introduisent en cas de nécessité les modifications appropriées dans leurs pratiques, mesures et techniques de sécurité en fonction de l’évolution des technologies.
(2) Les exploitants des systèmes d’information et leurs utilisateurs 5euvent coopérer entre eux pour l’élaboration et la mise en oeuvre des pratiques, mesures et techniques de sécurité de leurs systèmes.
Article 31.- (1) Les fournisseur’ de contenus des réseaux de communication électroniques et systèmes d’information sont tenus d’assurer la disponibilité des contenus, ainsi que celle des données stockées dans leurs installations.
(2) Ils ont l’obligation de mettre en place des filtres pour faire face aux atteintes préjudiciables aux données personnelles et à la vie privée des utilisateurs.
Article 32.- (1) Les, réseaux de communications électroniques et les systèmes d’information sont soumis à un audit de sécurité obligatoire et périodique de leurs systèmes de sécurité par l’Agence.
(2) L’audit de sécurité et les mesures d’impact de gravité sont effectués chaque année ou lorsque les circonstances l’exigent.
(3) Les rapports d’audit sont confidentiels et adressés au Ministre chargé des Télécommunications.
(4) Un texte du Ministre chargé des Télécommunications fixe les conditions d’évaluation des niveaux d’impact de gravité.
DE LA PROTECTION DE LA VIE PRIVÉE DES PERSONNES
Article 42.- La confidentialité des communications acheminées à travers les réseaux de communications électroniques et les systèmes d’information, y compris les données relatives au trafic, est assurée par les opérateurs et exploitants des réseaux de communications électroniques et des systèmes d’information.
Article 44.- (1) Interdiction est faite à toute personne physique ou morale d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférent, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés, sauf lorsque cette personne y est légalement autorisée.
(2) Toutefois, le stockage technique préalable à l’acheminement de toute communication est autorisé aux opérateurs et exploitants des réseaux de communications électroniques, sans préjudice du principe de confidentialité.
Article 53.- (1) Les perquisitions en matière de cybercriminalité sont susceptibles de porter sur les données qui peuvent être des supports physiques ou des copies réalisées en présence des personnes qui assistent à la perquisition.
(2) Lorsqu’une copie des données saisies a été faite, celle-ci peut être détruite sur instruction du Procureur de la République pour des raisons de sécurité.
(3) Sur accord du Procureur de la République, seuls seront gardés sous scellé par l’Officier de Police Judiciaire, les objets, documents et données utilisées à la manifestation de la vérité.
(4) Les personnes présentes lors de la perquisition peuvent être réquisitionnées de fournir les renseignements sur les objets, documents et données saisis.