TITRE III : DE LA SÉCURITÉ DES SYSTÈMES INFORMATIQUES
————
CHAPITRE 1 – Des obligations générales et spécifiques
———
Section 1 – Des obligations générales
Article 281.
La personne physique ou morale opérant et/ou ayant des connaissances dans le secteur du numérique est tenue de coopérer dans la détection des cyberattaques conformément aux dispositions légales et réglementaires applicables en République Démocratique du Congo.
Article 282.
Le fournisseur de services en ligne est tenu de détenir et de conserver les données de nature à permettre l’identification de quiconque aura contribué à la création du contenu ou de l’un des contenus des services dont ils sont prestataires.
Il est également tenu de fournir aux personnes qui éditent un service de communication au public en ligne des garanties permettant à celles-ci de satisfaire aux conditions d’identification prévues par la présente ordonnance-loi.
L’Officier du Ministère Public ou l’Autorité de protection des données peut requérir auprès des fournisseurs de services en ligne, conformément à la loi en la matière, la conservation et la protection de l’intégrité ainsi que la communication des données mentionnées à alinéa 1 du présent article.
Article 283.
Le fournisseur de services en ligne n’est pas responsable du contenu des informations qu’ils transmettent et auxquelles ils donnent accès s’il satisfait aux conditions suivantes :
- ne pas être à l’origine de la transmission ;
- ne pas sélectionner le destinataire de la transmission ;
- ne pas modifier les informations faisant l’objet de la transmission ;
- informer leurs abonnés de l’existence des moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et proposer au moins un de ces moyens.
Le fournisseur d’accès à internet et le fournisseur de services en ligne visés à alinéa 1er comprennent notamment le stockage automatique, intermédiaire et transitoire des informations transmises, pour autant que ce stockage serve exclusivement à l’exécution de la transmission sur le réseau de communication et que sa durée n’excède pas le temps nécessaire à la transmission.
Article 284.
Le fournisseur d’accès à internet et le fournisseur de services en ligne n’engagent pas leur responsabilité civile et/ou pénale du fait des activités ou des informations stockées à la demande d’un destinataire de leurs services, s’ils n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où ils en ont eu connaissance, ils ont agi promptement pour retirer ces données ou en rendre l’accès impossible.
L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle du fournisseur de services en ligne.
Article 285.
La connaissance des faits litigieux est présumée acquise par le fournisseur de services en ligne, lorsqu’il lui est notifié l’un des éléments suivants :
- la date de la notification ;
- si le notifiant est une personne physique : ses prénom, nom, post-nom, profession, domicile, nationalité, date et lieu de naissance ;
- si le notifiant est une personne morale : sa forme juridique, sa dénomination sociale et son siège ainsi que l’organe qui la représente légalement ;
- le nom et le domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination sociale et son siège ;
- la description des faits litigieux et, si possible, leur localisation précise ;
- les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
- la copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté.
Article 286.
Le fournisseur d’accès à internet et le fournisseur de services en ligne ne sont pas soumis à l’obligation de surveiller les informations qu’ils transmettent ou stockent, ni à l’obligation de rechercher des faits ou des circonstances révélant des activités illicites sauf si, de manière temporaire, cette obligation est faite à la demande de l’Officier du Ministère Public, de l’Agence Nationale de Cybersecurité, les services de sécurité et de maintien de l’ordre public.
Article 287.
Le fournisseur d’accès à internet et le fournisseur de services en ligne concourent à la lutte contre les infractions prévues dans la présente ordonnance-loi.
Ils mettent en place, à ce titre, un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance les faits constitutifs de ces infractions.
Ils sont également tenus, d’une part, d’informer promptement les autorités compétentes de toutes activités illicites mentionnées qui leur seraient signalées et qu’exerceraient les destinataires de leurs services, et, d’autre part suspendre tout contenu susceptible de porter atteinte à la moralité.
L’autorité judiciaire peut enjoindre, conformément à la loi, à tout fournisseur de services en ligne, et à défaut, à tout fournisseur d’accès à Internet, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service en ligne.
Article 288.
La personne dont l’activité est d’éditer un service de communication au public en ligne, est tenue de mettre à la disposition de ses abonnés, dans un standard ouvert, les noms du directeur de publication et du responsable de la rédaction, la dénomination sociale, l’adresse électronique ainsi que le numéro de téléphone du fournisseur de services en ligne.
Article 289.
Le fournisseur d’accès a internet et le fournisseur de services en ligne sont tenus a une obligation de confidentialité pour tout ce qui concerne la divulgation de ces éléments d’identification ou de toute information permettant d’identifier la personne concernée,
Cette obligation de confidentialité n’est pas opposable a l’autorité judiciaire, ni aux services d’enquête de la police judiciaire, ni à l’Agence Nationale de Cybersécurité, l’Autorité de protection des données, ainsi que les services de sécurité lorsqu’ils requièrent pour les besoins d’ordre public.
Section 2 – Des obligations spécifiques
Article 290.
Le fournisseur de cache n’est pas responsable des données et informations qu’il traite dans le cadre de ses activités.
Toutefois, il devient responsable dans les conditions suivantes s’il :
- modifie l’information ;
- ne se conforme pas aux conditions d’accès à l’information ;
- ne se conforme pas aux règles concernant la mise à jour de l’information, indiquées d’une manière largement reconnue et utilisée dans le secteur ;
- entrave l’utilisation légale de la technologie, largement reconnue et utilisée par le secteur, dans le but d’obtenir des données sur l’utilisation de l’information ;
- n’agit pas promptement pour retirer l’information stockée ou pour rendre l’accès à celle-ci impossible dès qu’il a effectivement connaissance du fait que l’information à l’origine de la transmission a été retirée du réseau ou du fait que l’accès à l’information a été rendu impossible, ou du fait qu’une autorité administrative ou judiciaire a ordonné de retirer l’information ou de rendre l’accès à cette dernière impossible.
Article 291.
Le fournisseur de liens hypertextes est responsable des informations auxquelles il donne accès, dès lors que :
- il ne supprime ou n’empêche pas rapidement l’accès aux informations après avoir reçu une injonction de l’autorité judiciaire de retirer le lien hypertexte ;
- il n’a pas pris connaissance ou conscience d’informations illégales spécifiques stockées ou des activités illégales qu’exerceraient les destinataires de leurs services, autrement que par une injonction de l’autorité judiciaire ;
- il n’a pas informé rapidement les autorités judiciaires pour leur permettre d’évaluer la nature des informations ou des activités et, si nécessaire, d’ordonner le retrait du contenu.
Article 292.
Le fournisseur de moteurs de recherche qui, de manière automatique ou sur la base des entrées effectuées par autrui, présente un index des contenus en ligne ou met à disposition des moyens électroniques pour rechercher les informations fournies par des tiers, est responsable des résultats de recherche, à condition qu’il :
- soit à l’origine de la transmission ;
- sélectionne le destinataire de la transmission ;
- sélectionne ou modifie les informations contenues dans la transmission.
Article 293.
L’hébergeur est responsable des informations stockées à la demande d’un utilisateur du service qu’il fournit, à condition que :
- lorsqu’il n’a pas pris connaissance d’informations illégales spécifiques, stockées ou des activités illégales qu’exerceraient les destinataires du service, il en informe immédiatement l’autorité judiciaire.
- Il ne retire pas, ne rend pas l’accès impossible ou ne désactive pas promptement l’accès aux données après avoir reçu de l’autorité judiciaire une injonction de retirer les données.
L’alinéa 1 du présent article ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de l’hébergeur.
Article 294.
Le vendeur de produits et/ou fournisseur de services des technologies de l’information et de la communication est tenu de solliciter, auprès du Ministre ayant le numérique dans ses attributions, un certificat de conformité après analyse de la vulnérabilité et évaluation de la garantie de sécurité par des experts en sécurité informatique agréés par ledit Ministre.
Il est, en outre, tenu d’informer les consommateurs de toutes les vulnérabilités décelées dans les produits et services des technologies de l’information et de la communication ainsi que des solutions déployées pour y remédier.
Article 295.
Le fournisseur des services numériques est tenu de mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes informatiques.
Les qualifications des systèmes de détection et des prestataires de services exploitant ces systèmes sont délivrées par le Ministère ayant le numérique dans ses attributions, l’Agence Nationale de Cybersecurité entendue.
Article 296.
Le fournisseur des services numériques soumet son système informatique à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.
Ces contrôles sont effectués par l’Agence Nationale de Cybersecurité. Le coût des contrôles est à la charge du fournisseur des services numériques.
Article 297.
Pour les besoins de la sécurité des systèmes informatiques et des fournisseurs de services numériques, l’Agence Nationale de Cybersecurité peut obtenir des fournisseurs, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes informatiques vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.
CHAPITRE II – De la cryptologie
———–
Section 1 – Des dispositions générales
Article 298.
L’utilisation, la fourniture, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont libres, sous réserve des obligations prévues dans le présent Livre.
Toutefois, lorsque les moyens de cryptologie permettent d’assurer des fonctions de confidentialité, le principe de libre utilisation visé à l’alinéa 1 s’applique uniquement si les moyens s’appuient sur des conventions gérées par un prestataire agréé.
Les prestations de services de cryptologie sont réservées aux prestataires de services de cryptologie, selon les modalités déterminées en vertu du présent chapitre, sauf dans le cas où le cryptage est fait pour ses propres données.
Section 2 – Du régime juridique
Article 299.
Nul ne peut opérer une activité de cryptologie sans se soumettre à l’un des régimes juridiques prévus dans le présent Livre.
L’exercice des activités et services de cryptologie est soumis au régime d’autorisation ou de déclaration, conformément aux modalités et conditions d’octroi fixées dans le Livre 1 de la présente ordonnance-loi et par arrêté du Ministre ayant le numérique dans ses attributions.
L’instruction des demandes d’autorisation ou de déclaration, ainsi que l’élaboration du cahier des charges relève de l’Agence Nationale de Cybersecurité.
L’Agence Nationale de Cybersecurité crée en son sein une Commission de cryptologie.
Article 300.
La fourniture ou l’importation de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité est soumise à une déclaration préalable auprès de la Commission de cryptologie de l’Agence Nationale de Cybersecurité, sous réserve des éventuelles dispenses de déclaration en vertu d’une disposition légale ou réglementaire.
Article 301.
Le prestataire ou la personne procédant à la fourniture, à l’importation ou à l’exportation d’un moyen de cryptologie tient à la disposition de la Commission de cryptologie une description des caractéristiques techniques des moyens de cryptologie utilisés.
Article 302.
L’exportation de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité est soumise à l’autorisation du Ministre ayant le numérique dans ses attributions, la Commission de cryptologie de l’Agence Nationale de Cybersecurité entendue.
Section 3 – Des prestataires de services de cryptologie
Article 303.
Le prestataire de services de cryptologie est tenu d’obtenir une autorisation préalable auprès de la Commission de cryptologie de l’Agence Nationale de Cybersecurité.
Les conditions de délivrance de l’agrément aux prestataires de services de cryptologie ainsi que leurs obligations sont définies par arrêté du Ministre ayant le numérique dans ses attributions.
Article 304.
La Commission de cryptologie de l’Agence Nationale de Cybersecurité, sur instruction du Ministre ayant le numérique dans ses attributions, prévoit des exceptions à cette obligation d’autorisation préalable pour les prestations des services de cryptologie dont les caractéristiques techniques ou les conditions de fourniture sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, cette fourniture peut être dispensée de toute formalité préalable.
Article 305.
Le prestataire de services de cryptologie est responsable du préjudice causé aux personnes :
- leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions ;
- qui se sont fiées au service de cryptologie fourni. Toute clause contractuelle contraire est réputée non écrite.
Le prestataire de services de cryptologie dégage ou limite sa responsabilité s’il parvient à démontrer l’absence de négligence ou de faute intentionnelle.
Le prestataire de services de cryptologie est exonéré de toute responsabilité à l’égard des personnes qui font un usage non autorisé de leurs services, pour autant que les conditions d’utilisation contenues dans une déclaration écrite soient accessibles aux utilisateurs et présentent clairement les usages autorisés et non autorisés.
Le prestataire de services de cryptologie doit obligatoirement contracter une police d’assurance couvrant les risques liés à l’exercice de leurs activités.
Section 4 – Des sanctions administratives
Article 306.
Lorsqu’un prestataire de services de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application du présent Livre, l’Agence Nationale de Cybersecurité peut, après audition de l’intéressé, prononcer :
- l’interdiction d’utiliser ou de mettre en circulation le moyen de cryptologie concerné. Ce moyen pourra être remis en circulation dès que les obligations antérieurement non respectées auront été satisfaites, dans les conditions prévues dans les dispositions du présent Chapitre ;
- le retrait provisoire de l’autorisation accordée pour une durée comprise entre un et douze mois ;
- le retrait définitif de l’autorisation accordée ;
- le paiement des amendes dont le montant est fixé en fonction de la gravité des manquements commis et en relation avec les avantages ou les profits tirés de ces manquements.
Article 307.
L’interdiction de mise en circulation prévue à l’article précédent est applicable sur l’ensemble du territoire national. Elle emporte, en outre, pour le fournisseur l’obligation de procéder au retrait :
- auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise en circulation a été interdite ;
- des matériels constituant des moyens de cryptologie dont la mise en circulation a été interdite et qui ont été acquis à titre onéreux, directement ou par l’intermédiaire des diffuseurs commerciaux.
Le moyen de cryptologie concerné est remis en circulation dès que les obligations antérieurement non respectées auront été satisfaites.