TITRE IV : DE LA CYBERSÉCURITÉ, DE LA CRYPTOLOGIE, DE LA CYBERCRIMINALITÉ ET DE LA FRAUDE
———

CHAPITRE 1 : DE LA CYBERSECURITE
——-

Article 134

Le Gouvernement élabore et met en œuvre la politique nationale de cybersécurité dont l’objet est notamment de :

  1. reconnaitre l’importance de l’infrastructure essentielle de l’information (IEI) pour la République Démocratique du Congo ;
  2. identifier les risques auxquels l’infrastructure essentielle de l’information est confrontée en utilisant une approche tous risques ;
  3. définir dans les grandes lignes la façon dont les objectifs de cette politique seront mis en oeuvre.

Article 135

Les opérateurs des réseaux et les fournisseurs des services prennent les mesures administratives et techniques nécessaires pour garantir la sécurité des communications électroniques.

Ils se dotent de systèmes normalisés leur permettant d’identifier, d’évaluer, de traiter et de gérer de façon continue les risques liés à la sécurité des systèmes d’information dans le cadre des services offerts directement ou indirectement.

Ils informent les usagers des risques particuliers de violation de la sécurité notamment, les dénis de service distribués, le ré-routage anormal, les pointes de trafic, le trafic et les ports inhabituels, les écoutes passives et actives, les intrusions et tout autre risque.

Ils veillent à la légalité des communications véhiculées par leurs réseaux afin que celles-ci ne portent pas atteinte à la sécurité, à l’ordre public et à la pudeur.

Article 136

L’autorité de régulation procède régulièrement à l’audit de sécurité des réseaux et des systèmes des communications électroniques.

Les agents commis à l’audit technique sont soumis à l’obligation de confidentialité.

L’audit de sécurité et les mesures d’impact de gravité sont effectués chaque année ou lorsque les circonstances l’exigent.

Les rapports d’audit sont confidentiels et adressés au ministre.

Le ministre fixe, par arrêté, les conditions d’évaluation des niveaux d’impact de gravité.

Article 137

Les exploitants des systèmes d’information assurent la protection des plates-formes des systèmes d’information contre les éventuels rayonnements et les intrusions qui peuvent compromettre l’intégrité des données transmises et contre toute attaque externe notamment par la mise en place d’un système de détection d’intrusions.

Article 138

Les exploitants des systèmes d’information sont tenus de mettre à jour leur système de sécurité en fonction de l’évolution des technologies. A cet effet, ils évaluent, révisent leurs systèmes de sécurité et introduisent, en cas de nécessité, les modifications appropriées dans leurs pratiques, mesures et techniques de sécurité.

Les exploitants des systèmes d’information et leurs utilisateurs peuvent collaborer pour l’élaboration et la mise en oeuvre des pratiques, mesures et techniques de sécurité de leurs systèmes.

Article 139

Les fournisseurs de contenus des réseaux sont tenus :

  1. d’assurer la disponibilité des contenus, ainsi que celle des données stockées dans leurs installations ;
  2. de mettre en place des filtres pour faire face aux atteintes préjudiciables aux données personnelles et à la vie privée des utilisateurs.

Article 140

Tout opérateur dont l’activité est d’offrir un accès à des systèmes d’information est tenu d’informer les usagers :

  1. du danger encouru dans l’utilisation des systèmes d’information non sécurisés notamment pour les particuliers ;
  2. de la nécessité d’installer des dispositifs de contrôle parental ;
  3. des risques particuliers de violations de sécurité, notamment la famille générique des virus ;
  4. de l’existence de moyens techniques permettant de restreindre l’accès à certains services et de leur proposer au moins l’un de ces moyens, notamment l’utilisation des systèmes d’exploitation les plus récents, les outils antivirus et contre les logiciels espions et trompeurs, l’activation des pare-feu personnels, des systèmes de détection d’intrusions et l’activation des mises à jour automatiques.

Article 141

Les exploitants des systèmes d’information informent les utilisateurs de l’interdiction faite d’utiliser le réseau pour diffuser des contenus illicites ou tout autre acte qui peut entamer la sécurité des réseaux.

Ils les informent également de l’interdiction de conception et de mise en circulation de logiciels trompeurs, espions, potentiellement indésirables ou de tout autre outil conduisant à un comportement frauduleux.

Article 142

Les opérateurs de réseaux et les fournisseurs de services sont tenus de conserver les données de connexion et de trafic pendant une période de douze mois et d’installer des mécanismes de surveillance de trafic des données de leurs réseaux.

Les données de connexion et de trafic conservées peuvent être accessibles lors des investigations judiciaires, dans les conditions fixées par les lois et règlements en vigueur.

Lorsque l’utilisation des données de connexion et de trafic porte atteinte aux libertés individuelles des usagers, la responsabilité des opérateurs de réseaux et celle des fournisseurs de services est engagée.

Article 143

Les exploitants des systèmes d’information mettent en place des mécanismes techniques pour faire face aux atteintes préjudiciables à la disponibilité permanente des systèmes, à leur intégrité, à leur authentification, à leur non répudiation par des utilisateurs tiers, à la confidentialité des données et à la sécurité physique.

Les mécanismes prévus à l’alinéa précédent font l’objet d’approbation dans les conditions fixées par arrêté du ministre.

CHAPITRE 2 : DE LA CRYPTOLOGIE
——–

Article 144

La cryptologie, composée de la cryptographie et de la cryptanalyse, vise à assurer la protection et la sécurité des informations notamment pour la confidentialité, l’authentification, l’intégrité et la non-répudiation des données transmises par la codification ou la décodification.

Article 145

Sont exclus du champ d’application du présent chapitre, les moyens de cryptologie utilisés par les missions diplomatiques et consulaires visées par la Convention de Vienne sur les relations diplomatiques ainsi que ceux relatifs à la Sécurité de l’Etat.

Article 146

L’utilisation des moyens et prestations de cryptologie est soumise au régime de déclaration prévu aux articles 58 et 59.

Toutefois, lorsque les moyens ou des prestations de cryptologie permettent d’assurer des fonctions de confidentialité, le principe de libre utilisation ne s’applique que s’ils s’appuient sur des conventions secrètes gérées par un organisme agréé.
La fourniture, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont libres, sous réserve de la déclaration préalable.

L’acte de déclaration contient une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.

L’autorité de régulation délivre, un certificat d’agrément à tout prestataire des services de cryptologie.

Article 147

Nonobstant les dispositions de l’article précédent, les modalités d’utilisation de différentes tailles de clés sont fixées par arrêté du ministre.

Article 148

Les conditions de délivrance de l’agrément aux prestataires des services de cryptologie ainsi que leurs obligations sont définies par arrêté du ministre sur proposition de l’Autorité de régulation.

Article 149

Les prestataires des services de cryptologie à des fins de confidentialité sont responsables du préjudice causé, dans le cadre de leurs prestations, aux personnes qui leur ont confié la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.
Toute clause contraire est réputée non écrite.

Article 150

Les prestataires des services de cryptologie sont responsables vis-à-vis des personnes qui se sont raisonnablement fiées à leur produit, du préjudice résultant de leur faute intentionnelle ou de leur négligence.

Article 151

Les prestataires des services de cryptologie sont exonérés de toute responsabilité à l’égard des personnes qui font un usage non autorisé de leur produit.

Article 152

Les prestataires des services de cryptologie sont soumis au secret professionnel conformément aux lois et règlements en vigueur.

CHAPITRE 3 : DE LA CYBERCRIMINALITE
———

Article 153

Aux termes de la présente loi, la cybercriminalité est constituée par l’un des faits énumérés ci-après :

  1. la pornographie infantile ;
  2. le racisme ;
  3. la xénophobie ;
  4. les atteintes portées notamment :
    a. aux activités des prestataires de services de communication ouverts aux publics par voie électronique ;
    b. à la publicité par voie électronique ;
    c. à la prospection directe.
  1. les atteintes aux biens liés aux technologies de l’information et de la communication ;
  2. les atteintes par tout moyen de diffusion publique ;
  3. les atteintes à la défense nationale ;
  4. les atteintes à la confidentialité des systèmes informatiques ;
  5. les atteintes à l’intégrité des systèmes informatiques ;
  6. les atteintes à la disponibilité des systèmes informatiques ;
  7. les atteintes aux données informatiques en général ;
  8. les atteintes spécifiques des données à caractère personnel.

Article 154

Sans préjudice des dispositions pertinentes du code pénal, les infractions relatives à la Cybercriminalité, énumérées à l’article153, sont réprimées par les dispositions du titre VII de la présente loi.

CHAPITRE 4 : DE LA FRAUDE
—–

Article 155

Est considérée comme fraude en matière des télécommunications :

  1. toute exploitation sans autorisation ou sans déclaration préalable d’un moyen de télécommunications et de technologies de l’information et de la communication ouvert au public ;
  2. toute fausse déclaration du volume de trafic ;
  3. toute fausse déclaration du nombre d’abonnés.

Article 156

Sont assimilés à la fraude en matière des télécommunications :

  1. la conversion d’un appel international entrant en appel local en violation des tarifs réglementaires et au préjudice du Trésor public ;
  2. l’installation et l’utilisation, sur l’ensemble du territoire national, d’une plate-forme ou d’équipements de type « Sim Box » ainsi que de toute forme de passerelle clandestine pour la terminaison du trafic international entrant en violation des tarifs réglementaires et au préjudice du Trésor public ;
  3. l’intervention ainsi que la participation des personnes physiques ou morales en qualité de transporteur du trafic téléphonique collecté ou charrié par l’utilisation d’une plate-forme ou d’équipements de type « Sim Box » ainsi que de toute forme de passerelle clandestine pour la terminaison du trafic international entrant en violation des tarifs réglementaires et au préjudice du Trésor public.

Article 157

Sont considérés comme complices, les exploitants ou les fournisseurs de services de télécommunications qui vendent des Sim non identifiés activées aux utilisateurs de Sim Box, qui n’agissent pas délibérément dans le sens d’interrompre la communication pour les fraudes signalées, qui donnent accès par interconnexion à leur réseau aux opérateurs des moyens de fraude qualifiée à l’article précédent.

RETOUR AU SOMMAIRE