LE MINISTRE DES POSTES ET TELECOMMUNICATIONS,
Original version
Arrêté n° 00000014/MINPOSTEL du 27 juin 2012 fixant les critères de qualification des certificats et les caractéristiques techniques du dispositif de création des signatures électroniques
Mindful
la Constitution ;
Mindful
la loi n° 2001/010 du 23 juillet 2001 instituant le service minimum dans le secteur des télécommunications ;
Mindful
la loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun ;
Mindful
la loi n° 2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun ;
Mindful
le décret n° 2005/124 du 15 avril 2005 portant organisation du ministère des Postes et Télécommunications ;
Mindful
le décret n° 2011/410 du 09 décembre 2011 portant formation du Gouvernement ;
ARRETE :
Chapter 1
DISPOSITION GENERALES
Article 1
(1) le présent arrêté fixe les critères de qualification des certificats et les caractéristiques techniques du dispositif de création des signatures électroniques.
(2) Il est pris en application des dispositions des articles 18, 20 alinéa 2 et 21 de la loi n° 2010/012 du 21 décembre 2010 relative à la cybercriminalité au Cameroun.
Article 2
Les certificats électroniques sont émis notamment pour la réalisation des opérations suivantes :
- l’identification de son titulaire:
- l'attestation de la réalisation d'une transaction, ainsi que la fixation de sa date et de son horaire ;
- la réalisation des transactions électroniques.
Article 3
Pour l'application du présent arrêté, les définitions ci-après sont admises :
1. Algorithme : suite d'opérations mathématiques élémentaires à appliquer à des données pour aboutir à un résultat désiré ;
2. Clé privée : clé utilisée dans les mécanismes de chiffrement asymétrique (ou chiffrement à clé publique), qui appartient à une entité et qui doit être secrète ;
3. Clé publique : clé servant au chiffrement d'un message dans un système asymétrique et donc librement diffusé ;
4. Confidentialité : maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d'informations aux non destinataires permettant la lecture, l'écoute, la copie illicite d'origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert ;
5. Dispositif de création de signature électronique : ensemble d'équipements et/ou logiciels privés de cryptage, homologués par une autorité de certification accréditée, configurés pour la création d'une signature électroniques ;
5 Fiabilité : aptitude d'un système d'information ou d'un réseau de communications électroniques à fonctionner sans incident pendant un temps suffisamment long.
Chapter II
DES CRITERES DE QUALIFICATION DES CERTIFICATS ELECTRONIQUES
Article 4
(1) Le certificat électronique est délivré par une autorité de certification électronique agréée.
Article 5
L'autorité de certification électronique est tenue d'émettre les certificats électroniques conformément aux normes prescrites par l'Agence Nationale des Technologies de l'Information et de la Communication, ci-après désignée « l'Agence ».
Article 6
(1) Le certificat électronique contient les informations obligatoires suivantes :
- le niveau du certificat ;
- le code unique identifiant le certificat ;
- l'identité et l'adresse de l'autorité émettrice du certificat ;
- l'identifiant unique de l'autorité de certification ;
- l'identité de la personne physique ou la raison sociale de la personne morale titulaire du certificat ;
- le nom du domaine et l'identité du gestionnaire des serveurs, et le nom du domaine et l'identité du gestionnaire des réseaux ;
- la date du commencement et de péremption du certificat en jour, heure, minute, seconde et dixième selon l'horaire de Greenwich (GMT) ;
- l’identifiant unique du titulaire du certificat ;
- le dispositif de ventilation de la signature du titulaire du certificat et les algorithmes y rattachés ;
- la signature électroniques de l'autorité de certification et les algorithmes y rattachés ;
(2) Sans préjudice des dispositions de l'alinéa 1 ci-dessus, le certificat électronique peut également contenir les informations optionnelles prévues par les normes nationales et internationales en vigueur.
Chapter III
DES CARACTERISTIQUES TECHNIQUES DU DISPOSITIF DE CREATION DES SIGNATURES ELECTRONIQUES
Article 7
(1) Un dispositif sécurisé de création des signatures électroniques doit garantir par des moyens techniques et des procédures appropriées que les données de création de ladite signature sont :
- confidentielles et ne peuvent être établies plus d'une fois ;
- protégées contre toute falsification et ne peuvent être trouvées par déduction ;
- susceptibles d'être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers.
(2) Un dispositif sécurisé de création de signature électronique ne doit entrainer aucune altération du contenu de l'acte à signer, ni faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.
Article 8
Toute personne utilisant un dispositif de création de signature électronique doit :
- prendre les précautions minimales pour éviter l'utilisation illégale des éléments de cryptage ou des équipements personnels relatifs à sa signature ;
- informer l'autorité de certification de toute utilisation illégitime de sa signature ;
- veiller à la véracité de toutes les données qu'elle a déclarées à l'autorité de certification électronique et à toute personne à qui elle a demandé de se fier à sa signature.
Article 9
(1) Toute personne désirant créer une signature électronique doit utiliser un dispositif comprenant :
- une paire de clés composée d'une clé privée utilisée pour la création de la signature et d'une clé publique utilisée pour la vérification de la signature ;
- un mot de passe ou tout autre procédé de sécurisation.
(2) La paire de clés visée à l'alinéa 1 ci-dessus est créée par un dispositif et des procédés fiables, en tenant compte du progrès technique dans le domaine, de l'unicité, de la longueur des clés créées et du niveau d'assurance de la confidentialité de la clé privée.
Article 10
- la création des paires de clés sous une forme conforme aux normes en vigueur ;
- la conformité des paires de clés aux conditions des algorithmes de création et de vérification de la signature définie au cahier des charges des autorités de certification ;
- l'unicité des paires de clés.
Article 11
Les paires de clés sont uniques et personnelles. Elles ne sont ni cessibles, ni transférables à quelque titre que ce soit.
Article 12
Le titulaire de la clé privée en garantit les conditions de sécurité. et de protection.
Article 13
(1) L'autorité de certification électronique contrôle l'accès au dispositif de création des clés.
(2) Elle identifie chaque utilisateur de ce dispositif et enregistre toutes les opérations réalisées par l'utilisation de ce dispositif dans un registre particulier.
Article 14
(1) Les paires de clés sont conservées obligatoirement auprès de l'autorité de certification électronique au moyen de tout procédé de sécurisation fiable.
(2) Elles sont divisées en plusieurs parties dont chacune est conservées auprès d'une entité différente des services de l'autorité de certification électronique.
Article 15
(1) Le titulaire d'une clé et l'autorité de certification électronique utilisent un dispositif de signature qui permet de :
- conserver et d'utiliser la clé privée au moyen tout procédé de sécurisation fiable ;
- cacher la clé privée après chaque utilisation.
(2) En cas de perte de la clé privée, le titulaire en informe sans délai l'autorité de certification qui prend toutes les mesures appropriées.
Article 16
(1) Les certificats utilisés par l'autorité de certification électronique sont classés, selon leurs fonctions, en trois catégories :
- les paires utilisées pour la création et la vérification de la signature électronique ;
- les poires utilisées pour la création et la vérification de la signature inscrite sur le certificat électronique et les registres y afférents;
- les paires utilisées pour l'inscription de la date et de l'horaire.
(2) Les paires de clés visées à l'alinéa 1 ci-dessus ne peuvent être utilisées que pour les fonctions auxquelles elles sont dédiées.
Chapter 4
DISPOSITION FINALE
Article 17
Le présent arrêté sera enregistré, publié suivant la procédure d’urgence, puis inséré au journal en français et en anglais./-