>> ACCUEIL | J.O. N° 6564 du Samedi 8 JANVIER 2011


  

DECRET n° 2010-1209 du 13 septembre 2010

DECRET n° 2010-1209 du 13 septembre 2010
relatif à la loi n° 2008-41 du 20 août 2008 sur la Cryptologie au Sénégal

RAPPORT DE PRESENTATION

Le présent décret d’application vise à compléter les dispositions de la loi n° 2008-41 du 20 août 2008 sur la cryptologie au Sénégal.

Les précisions apportées ont trait notamment :

1) aux dispositions générales portant sur l’objet et les définitions des principaux termes techniques utilisés ;

2) à la composition, aux modalités d’organisation et de fonctionnement de la Commission nationale de cryptologie ;

3) aux régimes juridiques des moyens et prestations de cryptologie ;

4) aux conditions de délivrance des agréments aux organismes exerçant des prestations de cryptologie ;

5) aux sanctions envisagées en cas de non respect de la législation en vigueur en matière de cryptologie.

Tel est l’objet du présent décret d’application.

 

Le Président de la République,

Vu la Constitution, notamment en ses articles 43 et 76 ;

Vu la loi n° 2001-15 du 27 décembre 2001 portant Code des Télécommunications ;

Vu la loi n° 2008-41 du 20 août 2008 sur la Cryptologie au Sénégal ;
Vu le décret d’application n° 2003-63 du 17 février 2003 fixant les règles d’organisation et de fonctionnement de l’Agence de Régularisation des Télécommunications ;

Vu le décret d’application n° 2004-1038 du 23 juillet 2004 portant création de l’Agence de l’Informatique de l’Etat ;

Vu le décret n° 2009-451 du 30 avril 2009 portant nomination du Premier Ministre ;

Vu le décret n° 2010-876 du 28 juin 2010, mettant fin aux fonctions d’un Ministre, nommant un nouveau Ministre et fixant la composition du Gouvernement ;
Vu le décret n° 2010-925 du 08 juillet 2010 portant répartition des services de l’Etat et du contrôle des établissements publics, des sociétés nationales et des sociétés à participation publique entre la Présidence de la République, la Primature et les Ministères modifié par le décret 2010-1036 du 05 août 2010.
Sur le rapport du Ministre d’Etat, Garde des Sceaux, Ministre de la Justice ;

Décrète :

Chapitre premier. - Dispositions générales.

Article premier. - Le présent décret d’application a pour objet de fixer les conditions d’application de la loi n° 2008-41 du 20 août 2008 sur la cryptologie au Sénégal.

Art. 2. - Au sens du présent décret d’application, les expressions ci-dessous sont définies comme suit :

1) Certification de conventions secrètes : l’opération qui consiste à calculer une signature numérique ou un code d’authentification assurant la faculté d’emploi des conventions secrètes définies conformément au point 15 de l’article 3 de la loi sur la cryptologie au Sénégal.

2) Gestion de conventions secrètes : la détention, la certification, la distribution ainsi que, éventuellement, la génération des clés dans des conditions définies au cahier des charges prévu par l’article 51 du présent décret d’application ;

3) Valeur de contrôle cryptographique : information obtenue en réalisant une transformation, par une fonction mathématique, d’une unité de données. Elle vise à vérifier l’intégrité d’une unité de données.

Chapitre II. - Fonctionnement de la Commission nationale de cryptologie.

Art. 3. - Le Président de la Commission nationale de cryptologie, avec l’appui du secrétariat permanent assuré par le Service Technique Central des Chiffres et de la Sécurité des télécommunications, assume la gestion quotidienne de la dite Commission, préside les réunions en ses différentes formations ou délègue un autre membre à cette fin.

Le secrétariat est chargé de :

1) suivre, d’organiser et de contrôler l’ensemble des activités de la Commission nationale de cryptologie ;

2) recevoir les déclarations des utilisateurs de moyen de cryptologie ;

3) préparer les dossiers relatifs aux demandes d’autorisation ou d’agrément ;

4) faire publier au Journal officiel les décisions de ladite Commission relatives à l’utilisation des moyens et prestations de cryptologie.

Art. 4. - Le Service Technique Central des Chiffres et de la Sécurité des télécommunications est également compétent pour, notamment :

1) réceptionner les fichiers électroniques signés par des clés publiques ;

2) analyser et tester les logiciels, les équipements et les algorithmes ;

3) auditer les produits.

Après chaque requête de la Commission nationale de cryptologie, le Service Technique Central des Chiffres et de la Sécurité des télécommunications donne un avis technique et des recommandations.

Art. 5. - Les membres de la Commission nationale de cryptologie se réunissent en séance plénière sur convocation du Président par l’intermédiaire du secrétariat de ladite Commission.

La convocation, précisant l’ordre du jour et le lieu, peut être faite par voie électronique.

Les séances de la Commission nationale de cryptologie ne sont pas publiques.

Art. 6. - La Commission nationale de cryptologie ne peut valablement délibérer que si le quorum de ses membres au moins est présent.

Les votes ont lieu à main levée et toutes les décisions sont adoptées à la majorité absolue des membres présents. En cas de parité des voix, la voix du Président ou, s’il est empêché, de son suppléant, est prépondérante.

Chaque séance de la Commission nationale de cryptologie donne lieu à un procès-verbal signé par les membres ayant siégé.

Art. 7. - En cas de démission, d’empêchement ou de décès d’un membre de la Commission nationale de cryptologie, il est pourvu à son remplacement dans les trente jours, dans les conditions prévues à l’article 6 de la loi sur la cryptologie au Sénégal.

Art. 8. - Conformément à l’article 6 de la loi sur la cryptologie, les sièges faisant l’objet du premier et du deuxième renouvellement seront tirés au sort par le Président de la Commission nationale de cryptologie. Les modalités du tirage au sort sont déterminées par décision de ladite Commission.

Art. 9. - En application de l’article 8 de la loi sur la cryptologie, les membres de la Commission nationale de cryptologie, reçoivent une indemnité forfaitaire
annuelle fixée par décret du Président de la République sur proposition conjointe du Président de la dite commission et du Directeur Général de l’Agence de régulation des Télécommunications et des Postes.

Cette indemnité est calculée en fonction des présences effectives aux séances de ladite Commission.

Art. 10. - La liste des membres de chaque commission technique prévue à l’article 9 de la loi sur la cryptologie est arrêtée par le Président de la Commission nationale de cryptologie.

Les fonctions des membres de chaque commission sont définies dans l’acte de création de ladite commission technique.

Art. 11. - Les membres de la Commission nationale de cryptologie veillent à la protection des données à caractère personnel dont ils sont dépositaires dans le cadre de leur mission conformément aux dispositions de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel et son décret d’application n° 2008-721 du 30 juin 2008.

Chapitre III. - Régimes juridiques des moyens et prestations de cryptologie
Section première. - Principe de libre utilisation des moyens et prestations de cryptologie.

Art. 12. - En application de l’article 12 de la loi sur la cryptologie au Sénégal, le principe de libre utilisation des moyens ou des prestations de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité porte notamment sur :

1) les moyens ou prestations de cryptologie conçus, selon le cas, uniquement pour protéger des mots de passe, des informations d’identification ou d’authentification, utilisés uniquement pour contrôler l’accès à des informations à des services ou à des locaux ;

2) Les moyens ou prestations de cryptologie conçus, selon le cas, uniquement pour élaborer, protéger, vérifier, prouver ou détecter une procédure de signature numérique, une valeur de contrôle cryptographique, une information d’identification ou d’authentification.

Art. 13. - Toutes les opérations utilisant des moyens ou des prestations de cryptologie dispensées de toute formalité préalable par la Commission nationale de cryptologie sont libres. La liste desdites opérations sera publiée dans un délai de six mois après l’installation de la Commission.

Est également libre l’utilisation privée par une personne physique de logiciel de cryptographie possédant une longueur de clé inférieure ou égale à 128 bits.

Art. 14. - Toute utilisation par un fournisseur, à des fins exclusives de développement, de validation ou de démonstration, d’un moyen ou d’une prestation de cryptologie, est dispensée des formalités d’autorisation ou de déclaration.

Section II. - Régime de déclaration.

Art. 15. - Sont soumises à déclaration en application de l’article 14 de la loi sur la cryptologie les opérations de fourniture ou d’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité.

Art. 16. - Lorsqu’un fournisseur ou un importateur satisfait à l’obligation de déclaration, les intermédiaires qu’il peut charger, le cas échéant, de la diffusion de ce moyen sont dispensés des obligations prévues à l’article 15 du présent décret d’application.

Art. 17. - Toute réforme, destruction ou disparition de moyens de cryptologie, soumises aux obligations prévues à l’article 15 du présent décret d’application, doit faire l’objet d’une déclaration auprès de la Commission nationale de cryptologie, dans un délai de 15 jours, qui peut s’assurer, à tout moment, de l’exactitude de l’information fournie.

Cette disposition ne s’applique pas aux utilisations prévues à l’article 14 du présent décret d’application.

Art. 18. - La déclaration d’importation est limitée dans le temps. Lorsqu’il s’agit d’une importation pour la fourniture d’un moyen ou d’une prestation de cryptologie, la validité de la déclaration d’importation ne peut être donnée pour une durée excédant cinq ans à compter de la délivrance.
Lorsqu’il s’agit d’une importation pour une utilisation ou une exportation ultérieure, la validité de la déclaration d’importation ne peut excéder trois mois.

Art. 19. - Le dossier de demande de déclaration est fixé par décision de la Commission nationale de cryptologie.

Tout autre document jugé nécessaire peut être demandé par la Commission nationale de cryptologie à tout moment.

Art. 20. - Si le dossier de demande de déclaration est complet, le Président à la Commission nationale de cryptologie notifie la décision prise dans un délai de deux mois à compter de la délivrance de l’avis de réception ou de l’accusé de dépôt de la demande.

En cas de défaut de notification dans ce délai, le déclarant est réputé avoir satisfait à l’obligation de déclaration si, toutefois, celle-ci est conforme aux dispositions relatives à la législation sur la cryptologie au Sénégal.

Section III. - Régime d’autorisation.

Art. 21. - En application de l’article 15 de la loi sur la cryptologie au Sénégal, le régime d’autorisation porte sur l’exportation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité.
Le régime d’autorisation porte également sur toute opération de chiffrement utilisant une longueur de clef supérieur à 128 bits.

 

Art. 22. - Chaque autorisation d’un moyen ou d’une prestation de cryptologie mentionne le type de procédure de gestion des conventions secrètes envisagé.

Art. 23. - L’autorisation délivrée vaut, dans les mêmes conditions, autorisation pour les intermédiaires chargés de la diffusion du moyen ou de la prestation.
A cet effet, l’autorisation précise que l’exportateur est tenu de notifier à la Commission nationale de cryptologie l’identité de la personne physique procédant, soit en son nom propre soit pour le compte d’une autre personne, à l’acquisition du moyen ou de la prestation de cryptologie.

La notification de l’identité des intermédiaires s’effectue dans les mêmes conditions que la demande d’autorisation.

La Commission nationale de cryptologie peut récuser certains intermédiaires auxquels elle notifie sa décision en même temps que l’exportateur principal. Cette décision doit être motivée.

Art. 24. - Chaque exportateur ou intermédiaire d’un moyen ou d’une prestation de cryptologie doit présenter, aux enquêteurs mentionnés au point 5 de l’article 5 de la loi sur la cryptologie, la copie de l’autorisation correspondante et, le cas échéant, la copie de la notification visée à l’article 23 du présent décret d’application.

Art. 25. - L’autorisation d’exportation d’un moyen ou d’une prestation de cryptologie en vue d’une utilisation collective destinée à une catégorie d’utilisateurs, dispense l’utilisateur appartenant à cette catégorie d’une autorisation personnelle.

Art. 26. - L’autorisation, délivrée par la Commission nationale de cryptologie, en vue d’une utilisation collective peut être assortie de conditions visant à réserver l’emploi de ce moyen ou de cette prestation aux personnes appartenant à la catégorie d’utilisateurs autorisée.

La liste des personnes concernées est établie par le titulaire de l’autorisation collective et transmise à la Commission nationale de cryptologie dans les sept jours après réception de ladite autorisation.

Art. 27. - Toute demande d’autorisation, à titre individuel ou à titre collectif, est limitée dans le temps pour l’emploi du moyen ou de la prestation de cryptologie.
A compter de la date de la délivrance de l’autorisation, celle-ci ne peut être accordée pour une durée supérieure à cinq ans si elle est individuelle et supérieure à dix ans si elle est collective.

Art. 28. - Toute demande d’autorisation est déposée par la personne qui utilisera le moyen ou la prestation de cryptologie.

Pour une utilisation collective, la demande est formulée par une personne dûment habilitée.

Art. 29. - Tout moyen de cryptologie exportée doit faire l’objet d’une déclaration à la Douane sénégalaise. La déclaration est faite selon les dispositions de la législation en vigueur.

Art. 30. - Si un moyen ou une prestation de cryptologie faisant l’objet d’une demande d’autorisation utilise un logiciel pour assurer tout ou partie de sa fonction cryptologique, le demandeur doit fournir ce logiciel, sur demande, à la Commission nationale de cryptologie.

Art. 31. - Aucune autorisation d’un moyen ou d’une prestation de cryptologie ne peut être accordée pour un usage destiné à dissimuler la teneur des communications établies à partir des installations radioélectriques d’amateurs, des installations destinées aux radiocommunications de loisirs et des postes émetteurs-récepteurs fonctionnant sur les canaux banalisés.

Art. 32. - Le dossier de demande d’autorisation sera fixé par décision de la Commission nationale de cryptologie.

Tout autre document jugé nécessaire peut être demandé par la Commission nationale de cryptologie à tout moment de la procédure.

Art. 33. - Si le dossier de demande d’autorisation est complet, le Président à la Commission nationale de cryptologie notifie sa décision dans un délai de quatre mois à compter de la délivrance de l’avis de réception ou de l’accusé de dépôt de la demande.

Un défaut de notification dans ce délai vaut autorisation si, toutefois, la demande d’autorisation est conforme aux dispositions relatives à la cryptologie en vigueur au Sénégal.

Art. 34. - A l’issue de la durée de validité de l’autorisation accordée, une demande de renouvellement doit être adressée à la Commission nationale de cryptologie dans les conditions prévues par le présent décret d’application.
Tout renouvellement tacite est considéré comme inexistant et inopposable.

Art. 35. - Est porté à la connaissance de la Commission nationale de cryptologie, au moins un mois à l’avance, tout changement de nature à modifier le contenu du dossier de demande d’autorisation prévu par l’article 32 du présent décret d’application.

La Commission nationale de cryptologie peut procéder, à chaque fois que de besoin, au contrôle de l’application, par l’organisme agréé, des dispositions figurant dans le cahier des charges prévu à l’article 51 du présent décret d’application.

Section III. - Dispositions communes aux régimes d’autorisation et de déclaration.

Art. 37. - Les dossiers de demande d’autorisation ou de déclaration sont adressés à la Commission nationale de cryptologie, soit par lettre recommandée, soit par voie électronique mais avec accusé de réception qui peut être adressé par la même voie.

A défaut, ils peuvent être déposés directement auprès de la Commission nationale de cryptologie contre décharge.

Lorsque l’avis de réception est délivré par voie électronique, le demandeur peut en demander une copie sur support papier.

Art. 38. - Le dossier de demande d’autorisation ou de déclaration est réputé complet si, dans le délai d’un mois suivant la réception de la demande, le Président de la Commission nationale, de cryptologie n’a pas invité, par tous moyens, le demandeur à fournir des pièces complémentaires.

Lorsque le dossier est jugé incomplet par la Commission nationale de cryptologie, le délai fixé à l’alinéa précédent du présent article commence dès la réception des pièces complétant le dossier.

Art. 39. - Le Président de la Commission nationale de cryptologie peut demander aux titulaires d’une autorisation ou aux déclarants, par tous moyens et à tout moment, la communication, dans un délai ne pouvant excéder un mois à compter de la réception de la demande, des caractéristiques techniques et du code source du moyen de cryptologie qui a fait l’objet de l’autorisation ou de la déclaration.

Art. 40. - La Commission nationale de cryptologie précise la nature de ces caractéristiques techniques qui portent sur la description complète de la mise en œuvre du moyen de cryptologie, ainsi que, sur ses fonctions ou procédés de cryptologie.

Le Président de la Commission peut également demander aux titulaires d’une autorisation ou aux déclarants, dans le délai prévu par le 1er alinéa du présent article, la mise à sa disposition de deux modèles du moyen de cryptologie concerné.

Art. 41. - Toute cession, sous quelque forme que ce soit, toute vente d’un moyen ou d’une prestation de cryptologie ne peut se faire sans l’autorisation de la Commission nationale de cryptologie après notification de l’intention par la personne titulaire de l’autorisation.

Le fournisseur ou l’importateur d’un moyen ou d’une prestation de cryptologie délivre à l’acquéreur les références de l’autorisation reçue de la Commission nationale de cryptologie.

L’acquéreur doit en informer la Commission nationale de cryptologie, dans un délai de deux mois, dès la réception des références de l’autorisation.

Art. 42. - L’importateur d’un moyen ou d’une prestation de cryptologie, ou son intermédiaire, doit présenter, aux enquêteurs prévus par le point 5 de l’article 5 de la loi sur la cryptologie, l’autorisation ou la déclaration accordée par la Commission nationale de cryptologie, à leur demande.

Art. 43. - Une nouvelle demande d’autorisation ou de déclaration doit être présentée dans les cas suivants :

1) modification des caractéristiques techniques visées à l’article 39 du présent décret d’application ;

2) changement de nom commercial ou technique du moyen de cryptologie ;

3) fin de la période de validité de l’autorisation.

Art. 44. - Les demandeurs d’autorisation ou les déclarants d’un moyen ou d’une prestation de cryptologie prennent toutes les dispositions nécessaires pour que la Commission nationale de cryptologie puisse vérifier la concordance entre le dossier technique déposé et le moyen ou la prestation objet de la demande d’autorisation ou de la déclaration.

Art. 45. - Les agents assermentés mentionnés à l’article 8 de la loi sur la cryptologie doivent présenter leur ordre de mission délivré par la Commission nationale de cryptologie et, le cas échéant, leur habilitation à procéder à des contrôles.

Chapitre IV. - Agrément des organismes exerçant des prestations de cryptologie.
Section première. - Conditions de délivrance de l’agrément

Art. 46. - Tout organisme sollicitant la délivrance de l’agrément prévu à l’article 16 de la loi sur la cryptologie au Sénégal adresse un dossier en ce sens à la Commission nationale de cryptologie.

Art. 47. - Les éléments du dossier de demande d’agrément seront fixés par décision de la Commission nationale de cryptologie.

Si le dossier est complet, le Président de la Commission nationale de cryptologie notifie la décision prise dans un délai de quatre mois à compter de la date de réception du dossier.

Un défaut de notification dans ce délai vaut agrément si la demande d’agrément est conforme aux dispositions relatives à la cryptologie au Sénégal.

Le dossier de demande d’agrément est réputé complet si, dans le délai d’un mois suivant la réception, la Commission nationale de cryptologie n’a pas invité le demandeur à fournir des pièces complémentaires nécessaires. Dans ce dernier cas, le délai de quatre mois part dès la réception des pièces complétant le dossier.

Art. 48. - Pour être agréé, l’organisme doit compter, parmi son personnel, un nombre suffisant de personnes habilitées par la Commission nationale de cryptologie pour être en mesure de satisfaire à ses obligations de gestion des conventions secrètes de cryptologie.

La Commission nationale de cryptologie est compétente pour déterminer le nombre de personnes à habiliter ainsi que les compétences requises. Les modalités d’habilitation seront fixées par décision de ladite Commission.

Art. 49. - L’agrément est accordé pour une durée de quatre années renouvelable.
Six mois avant l’expiration du délai mentionné à l’alinéa précédent, l’organisme agréé qui sollicite le renouvellement de son agrément doit formuler une autre demande auprès de la Commission nationale de cryptologie.

L’agrément est délivré sous condition du respect d’un cahier des charges prévu par l’article 51 du présent décret d’application.

L’agrément peut être refusé pour non respect des dispositions relatives à la cryptologie ou pour des motifs liés aux intérêts de la défense nationale, de la sécurité intérieure ou extérieure de l’Etat.

Art. 50. - Une fois l’agrément accordé, doivent être notifiés sans délai à la Commission nationale de cryptologie :

1) tout changement :

a) dans la nature juridique de l’organisme agréé ;

b) dans la nature ou l’objet des activités de l’organisme agréé ;

c) de l’adresse de son établissement ;

d) de l’identité ou les qualités juridiques de ses dirigeants.

2) toutes fusions ou toutes cessions d’actions ou de parts sociales susceptibles d’entraîner un changement du contrôle de l’organisme agréé ;

3) toute cessation totale ou partielle de l’activité agréée.

 

Art. 51. - Tout agrément suppose le respect d’un cahier des charges comprenant notamment :

1) l’énumération des moyens ou des prestations de cryptologie dont l’organisme agréé est autorisé à gérer les conventions secrètes ;

2) l’énumération des moyens ou des prestations de cryptologie que l’organisme agréé peut utiliser ou fournir ;

3) les conditions techniques ou administratives garantissant le respect des obligations imposées à l’organisme agréé ;

4) le nombre de personnes, mentionnées à l’article 48 du présent décret d’application ;

5) les conditions de transfert à un autre organisme agréé des conventions secrètes en cas de cessation d’activité ou à la demande de l’utilisateur ;

6) le format électronique standardisé dans lequel doivent être transcrites les conventions secrètes en cas de cessation d’activité ou de retrait d’agrément ;

7) les dispositions techniques prises lors de la mise en service des conventions secrètes afin d’identifier l’organisme agréé gérant lesdites conventions ainsi que les utilisateurs concernés ;

8) les conditions techniques d’utilisation des conventions secrètes, des moyens ou des prestations et les mesures nécessaires pour assurer leur intégrité et leur sécurité ;

Le cahier des charges comporte également une annexe précisant les modalités pratiques de remise des conventions secrètes aux autorités administratives et judiciaires compétentes ou de leur mise en œuvre à la demande desdites autorités.
A l’exception de son annexe, le contenu de ce cahier des charges peut être communiqué, sur leur demande, aux utilisateurs dont l’organisme agréé gère les conventions secrètes.

Art. 52. - Les autorités administratives et judiciaires compétentes ont le pouvoir :

1) d’accéder aux conventions secrètes des données chiffrées par l’entremise de la Commission nationale de cryptologie.

2) d’ordonner le déchiffrement des données. A cet effet, elles peuvent, le cas échéant, recourir aux services d’experts en cryptologie.

 

Art. 53. - Toute proposition de modification du contenu du cahier des charges donne lieu à une demande d’agrément complémentaire.

Section II. - Obligations à la charge de l’organisme agréé.

Art. 54. - La signature d’un contrat est obligatoire entre l’organisme agréé et l’utilisateur pour la gestion de ses conventions secrètes. Ce contrat comprend obligatoirement :

1) la référence de l’agrément, la durée et la date d’expiration ainsi que tout élément d’information jugée utile par le cahier des charges ;

2) un engagement de l’organisme agréé relatif à la confidentialité ou à la sécurité des conventions secrètes qu’il gère pour le compte de l’utilisateur ;

3) les modalités selon lesquelles l’utilisateur, ou toute autre personne éventuellement mandatée par celui-ci, pourra, à sa demande, se faire délivrer une copie de ses conventions secrètes.

Art. 55. - L’organisme agréé constitue et tient à jour :

1) une liste de ses clients ;

2) un registre mentionnant toutes les demandes présentées par les autorités administratives et judiciaires compétentes concernant la mise en œuvre ou la remise des conventions secrètes conformément à l’article 52 du présent décret d’application.

Le registre est signé par l’agent qui procède à la demande et par l’employé de l’organisme agréé qui effectue la mise en œuvre ou la remise des conventions secrètes.

Art. 56. - L’accès au registre est limité aux enquêteurs prévus par le point 5 de l’article 4 de la loi sur la cryptologie au Sénégal ainsi qu’autorités administratives et judiciaires dans les conditions prévues par le code de procédure pénale.

Art. 57. - L’organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu’il gère au profit de ses clients, afin d’empêcher qu’elles ne puissent être altérées, endommagées, détruites, consultées ou communiquées à des tiers non autorisés.

L’organisme agréé prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée la confidentialité des informations dont il a connaissance relativement à l’utilisation de ces conventions secrètes.

Les dispositions de la loi 2008-12 du 25 janvier 2008 ainsi que celles du décret d’application 2008-721 du 30 juin 2008 sur les données à caractère personnel s’appliquent à l’organisme agréé, à son personnel, à ses partenaires, à ses clients et fournisseurs.

Art. 58. - Tout organisme agréé a l’obligation de conserver les conventions secrètes qui lui sont confiées.

A l’issue d’un délai de quatre ans à compter de la date de signature du contrat mentionné à l’article 54 du présent décret d’application, l’organisme agréé peut, après accord de l’utilisateur, déposer lesdites conventions secrètes auprès d’un autre organisme agréé choisi sur une liste d’organismes agréés fixée par la Commission nationale de cryptologie.

Art. 59. - L’organisme agréé a l’obligation de mettre en œuvre des conventions secrètes au profit des autorités administratives et judiciaires compétentes ou de les remettre directement auxdites autorités.

Une participation financière peut être demandée par l’organisme agréé aux autorités administratives et judiciaires mentionnées à l’alinéa précédent lorsque la mise en œuvre ou la remise des conventions secrètes occasionne un volume de travail considérable pour l’organisme précité. Le cas échéant, la Commission nationale de cryptologie est compétente pour déterminer le montant de la participation financière. Les frais liés à cette participation sont prises en charge par l’Agence de régulation des télécommunications et des postes.

Toutefois, l’exigence de cette participation ne constitue pas un obstacle à la mise en œuvre ou à la remise des conventions secrètes.

Chapitre V. - Responsabilité des prestations de services de cryptologie

Art. 60. - Chaque prestataire de service de cryptologie a l’obligation de fournir une information correcte sur l’ensemble des services qu’il propose et dans une langue compréhensible.

Cette information doit être faite par écrit ou par voie électronique et doit également porter sur les termes et conditions contractuels, spécialement les procédures de réclamations et de règlement des litiges.

Art. 61. - En cas de préjudice, le prestataire de service de cryptologie est responsable de l’exactitude des informations fournies.

Art. 62. - La Commission nationale de cryptologie peut demander, à tout prestataire de service de cryptologie, la justification d’une assurance garantissant les conséquences pécuniaires de leur responsabilité professionnelle.

Chapitre VI. - Sanctions.

Art. 63. - En complément de l’article 19 de la loi sur la cryptologie au Sénégal, toute personne physique ou morale coupable des infractions prévues par la loi susvisée ainsi que le présent décret d’application encourent, en cas de condamnation, les peines complémentaires suivantes :

1) la confiscation, selon le code de procédure pénale, des matériels, équipements, instruments, programmes informatiques ou tous dispositifs ayant servi à commettre les infractions à l’exception des objets susceptibles de restitution ;

2) la fermeture pour une durée de cinq ans au plus des établissements ayant servi à commettre les faits incriminés.

Art. 64. - Toute décision d’autorisation, d’agrément ou relative à une déclaration portant sur un moyen ou une prestation de cryptologie, peut être retirée par la Commission nationale de cryptologie :

1) en cas de non-respect de l’objet de l’autorisation ;

2) en cas de fausse déclaration ;

3) lorsque son maintien risque de porter atteinte à l’ordre public, à la sécurité intérieure ou extérieure de l’Etat.

4) en cas de non-respect des prescriptions dont est, le cas échéant, assortie l’autorisation ;

5) lorsque le titulaire de la déclaration de fourniture, d’importation ou de l’autorisation d’exportation cesse l’exercice de l’activité pour laquelle a été effectuée une déclaration ou délivrée l’autorisation sans avertir la Commission ;

6) lorsque les conditions auxquelles est subordonnée la délivrance de l’autorisation ne sont plus réunies ;

7) en cas de non-respect des conditions précisées dans le cahier des charges prévu à l’article 51 du présent décret d’application ;

Art. 65. - Sauf en cas d’urgence, le retrait de l’autorisation ou de l’agrément ne peut intervenir qu’après mise en demeure du titulaire restée sans effet dans un délai de huit jours à compter de sa notification.

Art. 66. - Le retrait de l’agrément doit être prononcé immédiatement sans aucune formalité lorsque le maintien de celui-ci risque de mettre en péril les intérêts de la défense nationale ou de la sécurité de l’Etat.

Art. 67. - Le retrait de l’agrément est notifié par le Président de la Commission nationale de cryptologie à l’organisme agréé.

Dès la notification du retrait d’agrément, l’organisme concerné informe sans délai les utilisateurs qu’il cesse son activité de gestion des conventions secrètes et les communique la liste des organismes agréés offrant les mêmes services.
Chaque utilisateur devra choisir un autre organisme agréé pour lui confier la gestion des conventions secrètes. Ce choix s’impose à l’organisme dont
l’agrément est retiré.

Si l’utilisateur ne choisit pas dans un délai d’un mois à partir de la cessation d’activité, l’organisme concerné transcrit, sur un support électronique standardisé dont le format est défini dans le cahier des charges prévu à l’article 51 du présent décret d’application les conventions secrètes qu’il détient.

Ce support est déposé d’office auprès d’un autre organisme désigné par la Commission nationale de cryptologie.

Chapitre VII. - Dispositions finales.

Art. 68. - Le Premier Ministre et le gouvernement sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret d’application qui sera publié au Journal officiel.

Fait à Dakar, le 13 septembre 2010.

Abdoulaye WADE.

Par le Président de la République :

Le Premier Ministre,
Souleymane Ndéné NDIAYE