Les dispositions légales relatives aux services de confiance s’appliquent aux prestataires de services de confiance établis ou à destination de la République Démocratique du Congo.
Elles fixent :

  1. les règles applicables aux services de confiance ;
  2. les moyens de sécurisation des documents électroniques ;
  3. les services de certificats pour la signature ou le cachet électronique, l’horodatage électronique, l’envoi recommandé électronique et l’authentification de sites Internet.

Sont considérés comme prestataires de services de confiance, les fournisseurs des services suivants :

  1. la signature électronique ;
  2. le cachet électronique ;
  3. l’horodatage électronique ;
  4. l’archivage électronique ;
  5. la certification électronique ;
  6. l’authentification de sites internet ;
  7. l’envoi recommandé électronique ;
  8. la cryptologie.

Un arrêté du Ministre ayant le Numérique dans ses attributions complète la liste des prestataires des services de confiance, l’Autorité Nationale de Certification Électronique entendue par avis écrit.

Sur proposition du Ministre ayant le Numérique dans ses attributions, le Gouvernement met en place une infrastructure à clés publiques nationale, socle des techniques des services de confiance, et détermine les modalités de sa mise en œuvre et de son exploitation.

Section 1 – Des principes

Les prestataires de services de confiance obéissent aux principes de :

  1. non-discrimination ;
  2. équivalence fonctionnelle ;
  3. neutralité technologique ;
  4. autonomie.

Le prestataire de services de confiance est tenu de garantir, indépendamment de toute considération, notamment de couleur, de sexe, de langue, de religion, d’origine nationale, ethnique ou sociale, l’intégrité et la fiabilité de ou des services de confiance qu’il fournit.

Le prestataire de services de confiance qui fournit un ou plusieurs services est libre d’utiliser toute technologie, certifiée par l’Autorité Nationale de Certification Electronique, qui garantit l’inviolabilité de plusieurs services de confiance fournis.

Les services de confiance fournis par un prestataire de services de confiance installé à l’étranger a la même valeur et est assimilé au service de confiance fourni par un prestataire de services de confiance établi en République Démocratique du Congo si les deux conditions suivantes sont remplies :

  1. le prestataire de services de confiance doit avoir une représentation sur le territoire de la République Démocratique du Congo ;
  2. le prestataire de services de confiance remplit les conditions prévues dans le présent Livre, après vérification par l’Autorité Nationale de Certification Electronique.

Section 2 – Des catégories de prestataires de services de confiance

Les prestataires de services de confiance sont de deux catégories :

  1. les prestataires de services de confiance qualifiés ;
  2. les prestataires de services de confiance non qualifiés.

Sont soumis au régime d’autorisation, les prestataires de services de confiance qualifiés, tandis que le régime de déclaration est exigé pour les prestataires de services de confiance non-qualifiés.

L’autorisation et la déclaration s’effectuent conformément aux dispositions du Livre premier de la présente ordonnance-loi.

Les modalités pratiques d’exercice des activités relatives à la cryptologie et à des algorithmes spécialisés de sécurisation des données se font conformément aux dispositions de la présente ordonnance-loi.

Un arrêté du Ministre ayant le numérique dans ses attributions détermine les modalités pratiques ainsi que les conditions d’exercice des activités visées à l’alinéa précédent.

Les prestataires de services de confiance non-qualifiés qui souhaitent exercer des services de confiance qualifiés soumettent à l’Autorité Nationale de Certification Electronique, une demande accompagnée d’un rapport d’évaluation de conformité.

L’Autorité Nationale de Certification Electronique vérifie notamment que les demandes des prestataires de services de confiance et les services de confiance fournis sont conformes aux dispositions de la présente ordonnance-loi.

L’Autorité Nationale de Certification Electronique statue dans un délai de trente (30) jours à dater de la demande.

En cas de satisfaction aux conditions requises, elle accorde le statut de “qualifié” au prestataire demandeur.

En cas de refus, elle statue par une décision motivée qu’elle signifie au requérant.

L’admission des prestataires de services de confiance à l’un des régimes juridiques prévus par la présente ordonnance-loi tient compte de ou des :

  1. l’infrastructures, des mesures techniques de sécurité et d’organisation mises en place par le prestataire ;
  2. la régularité et l’étendue des audits, certifiés, effectués pour vérifier la conformité de ses services à ses déclarations et politiques ;
  3. garanties pécuniaires de sa responsabilité civile ;
  4. garanties d’impartialité, d’indépendance et de probité du prestataire ;
  5. l’accréditation ou de l’évaluation de la qualité de ses procédés de sécurisation déjà attribuée au prestataire établi à l’étranger par un organisme indépendant.

Section 1 – Des obligations et responsabilité des prestataires de service de confiance

Paragraphe 1 – Des obligations

Le prestataire de services de confiance qualifié établi en République démocratique du Congo est tenu de soumettre à l’Autorité Nationale de Certification Électronique, notamment, les informations suivantes :

  1. Pour une personne physique :
  • ses prénoms, nom et post-nom ;
  • son domicile, son adresse de courrier électronique ainsi que son numéro de téléphone ;
  • sa signature électronique certifiée ;
  • son cachet électronique certifié ;
  • toutes les mentions obligatoires inhérentes à son statut juridique.
  1. Pour une personne morale :
  • la preuve de l’immatriculation au Registre de Commerce et du Crédit Mobilier ;
  • sa dénomination sociale ;
  • son siège social, son adresse de courrier électronique ainsi que son numéro de téléphone ;
  • sa signature électronique certifiée ;
  • son cachet électronique certifié ;
  • toutes les mentions obligatoires inhérentes à son statut juridique.

Le prestataire de services de confiance qualifié doit :

  1. informer l’Autorité Nationale de Certification Électronique de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ses activités ;
  2. démontrer qu’il dispose des moyens techniques fiables en vue de fournir les services de confiance qualifiée en toute sécurité ;
  3. assurer le fonctionnement d’un service d’annuaire rapide et sûr et d’un service de révocation sûr et immédiat ;
  4. veiller à ce que la date et l’heure d’émission et de révocation d’un certificat puissent être déterminée avec précision ;
  5. prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de services de confiance génère des données afférentes à la création de signature ou de cachet électroniques, garantir la confidentialité au cours du processus de génération de ces données ;
  6. souscrire à une police d’assurance garantissant les dommages susceptibles d’être causés dans l’exercice de cette activité ;
  7. employer un personnel disposant de l’expertise, de l’expérience et des qualifications nécessaires en matière de sécurité des réseaux et systèmes informatiques ;
  8. informer les utilisateurs de services de confiance qualifiés, de manière claire, exhaustive et avant toute relation contractuelle, sur les conditions précises d’utilisation du service, y compris les limites à son utilisation, les procédures de réclamation et de règlement des litiges. Cette information peut être transmise par voie électronique et doit être aisément compréhensible. Des éléments pertinents de cette information doivent également, sur demande, être mis à la disposition de tiers qui se prévalent du certificat ;
  9. utiliser des systèmes et équipements fiables, protégés contre les risques de modifications et assurant la sécurité technique des processus pris en charge ;
  10. utiliser des systèmes fiables de stockage des données qui lui sont communiquées, sous une forme vérifiable de sorte que :
  • les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée ;
  • seuls les responsables de traitement puissent introduire des données et modifier les données conservées ;
  • l’authenticité des données puisse être vérifiée.
  1. prendre les mesures appropriées contre la falsification, le piratage et le vol de données ;
  2. enregistrer, conserver et maintenir accessibles pour une durée d’utilité administrative fixée dans un calendrier de conservation des archives, y compris après la cessation des activités du prestataire de services de confiance qualifié, toutes les informations pertinentes concernant les données envoyées et reçues par le prestataire de services de confiance qualifié, notamment à des fins probatoires et de continuité du service ;
  3. disposer d’un plan actualisé d’arrêt d’activités afin d’assurer la continuité du service ;
  4. assurer le traitement licite des données à caractère personnel conformément aux dispositions de la présente ordonnance-loi ;
  5. établir, rendre public et tenir à jour une base de données des certificats octroyés ;
  6. s’assurer que les certificats ne sont disponibles au public que dans les cas où le titulaire du certificat a donné son consentement ;
  7. souscrire à une police d’assurance responsabilité civile.

Le prestataire de service de confiance est tenu d’adresser une notification motivée au bénéficiaire de service de confiance avant toute révocation du certificat.

Lorsque la révocation est effective, il est tenu de publier cette révocation dans le journal technique de ses serveurs.

Les prestataires de services de confiance qualifiés fournissent aux utilisateurs les informations pertinentes sur la validité ou le statut de révocation des certificats qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée, fiable, gratuite et efficace.

Sans préjudice des dispositions du Livre III de la présente ordonnance-loi, le prestataire de services de confiance qui délivre des certificats au public ne peut recueillir des données personnelles que directement auprès de la personne concernée, avec le consentement explicite de celle-ci, et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat.

Les données qui leur sont transmises, en particulier les données à caractère personnel, ne peuvent être recueillies ni traitées à d’autres fins sans le consentement explicite préalable de la personne intéressée.

Les prestataires ne peuvent détenir, consulter, exploiter et divulguer ces données que dans la mesure strictement nécessaire à l’accomplissement de leurs services.

Lorsque le titulaire du certificat utilise un pseudonyme et que les nécessités d’enquêtes de police ou d’enquêtes judiciaires l’exigent, le prestataire de services de confiance ayant délivré le certificat est tenu de communiquer à l’autorité compétente toute donnée et/ou information relative à l’identité du titulaire à sa disposition.

Les prestataires de services de confiance qualifiés et non-qualifiés sont tenus de prendre les mesures techniques et organisationnelles nécessaires afin de prévenir et de gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques, ces mesures garantissent que le niveau de sécurité soit proportionnel au degré de risques.

Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité, d’informer les parties concernées des effets préjudiciables de tels incidents et d’assurer la continuité des services en cas de défaillances techniques dans leur chef ou de cessation d’activité.

Les prestataires de services de confiance qualifiés et non-qualifiés notifient à l’Autorité Nationale de Certification Électronique par tout moyen, et le cas échéant, aux autres organismes concernés, dans un délai de vingt-quatre (24) heures après en avoir eu connaissance, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence significative sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité visée est susceptible de porter préjudice à un utilisateur du service de confiance, le prestataire de services de confiance lui notifie également l’atteinte à la sécurité ou la perte d’intégrité dans un délai de vingt-quatre (24) heures.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité concerne un État étranger, l’Autorité Nationale de Certification Électronique qui en a reçu la notification en informe préalablement les autorités compétentes.

L’Autorité Nationale de Certification Électronique informe par ailleurs le public ou exigé du prestataire de services de confiance qu’il informe le public, dès lors que l’Autorité Nationale de Certification Électronique constate qu’il est dans l’intérêt du public d’être alerté de l’atteinte à la sécurité ou de la perte d’intégrité.

Lorsqu’un prestataire de services de confiance qualifié délivre un certificat qualifié pour un service de confiance, il vérifie par des moyens appropriés l’identité et, le cas échéant, tous les éléments d’identification de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Ces informations sont vérifiées par le prestataire de services de confiance qualifié.

Les moyens de vérification incluent notamment :

  1. la présence physique de la personne concernée ou du représentant autorisé de la personne morale ;
  2. le certificat de signature électronique qualifié ou de cachet électronique qualifié ;
  3. d’autres méthodes d’identification reconnues en République Démocratique du Congo qui fournissent une garantie équivalente en termes de fiabilité, à la présence physique de la personne concernée ou du représentant autorisé de la personne morale. La garantie équivalente est confirmée par l’Autorité Nationale de Certification Électronique.

À la demande du titulaire du certificat préalablement identifié, de ses ayants droits ou de ses mandataires, le prestataire de services de confiance révoque immédiatement le certificat.

Le prestataire de services de confiance révoque également un certificat lorsque :

  1. il existe des raisons sérieuses indiquant que le certificat a été délivré sur la base d’informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus valides ou que la confidentialité des données afférentes à la signature ont été violées ou risque de l’être ;
  2. le prestataire de services de confiance prend les mesures nécessaires pour répondre à tout moment et sans délai à une demande de révocation.

Lorsque la décision de révocation est prise, le prestataire de services de confiance notifie la révocation du certificat au titulaire dans un délai de trente (30) jours avant l’expiration du certificat. La décision de révocation doit être motivée.

Le titulaire du certificat dispose d’un délai de trente jours pour introduire un recours devant l’autorité compétente. Ce délai prend cours le jour de sa notification de cette décision par le prestataire de services de confiance.

Paragraphe 2 – De la responsabilité

Le prestataire de service de confiance est responsable des actes dommageables causés par négligence ou par maladresse à toute personne physique ou morale.

Dans ce cas, il incombe à la personne physique ou morale qui invoque les dommages d’en apporter la preuve.

Toutefois, dans le cas où le prestataire de service de confiance a informé préalablement la personne physique ou morale des limites technologiques de ses services et que ces limites ont été signalées à l’Autorité Nationale de Certification Électronique, il ne peut être tenu responsable des dommages survenus par l’utilisation des services au-delà de ses limites.

Section 2 – Obligation et responsabilité du titulaire du certificat

Paragraphe 1 – De l’obligation

Le titulaire d’un certificat électronique est tenu de prendre toutes les mesures nécessaires pour le garder sous son contrôle exclusif afin de prévenir le vol, la perte ou la divulgation.

En cas de vol, de perte ou de divulgation, le titulaire doit immédiatement informer le prestataire de service de confiance pour que ce dernier le révoque.

En cas de doute ou de risque de violation de la confidentialité des données relatives à la signature ou au cachet électronique, ou en cas de défaut de conformité aux informations contenues dans le certificat, le titulaire a le droit de le faire révoquer.

Lorsqu’un certificat est arrivé à échéance ou a été révoqué, le titulaire ne peut, après expiration du certificat ou après révocation, utiliser les données relatives à la signature pour signer ou faire certifier ces données par un autre prestataire de services de confiance.

Paragraphe 2 – De la responsabilité

Tout acte pris avec un certificat volé, perdu ou divulgué sans que le titulaire n’ait pris des mesures pour sa révocation est réputé valable et engage le titulaire.

Le titulaire du certificat est responsable de tous les dommages causés au tiers par des actes pris dans le contexte de l’alinéa précédent.