Soso

LE PREMIER MINISTRE, CHEF DU GOUVERNEMENT,

Mindful la Constitution ;

Mindful la loi n° 98/013 du 14 juillet 1998 relative à la concurrence ;

Mindful la loi n° 2001/010 du 23 juillet 2001 instituant le service minimum dans le secteur des télécommunications ;

Mindful la loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun ;

Mindful la loi n° 2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun ;

Mindful la loi-cadre n° 2011/012 du 06 mai 2011 portant protection du consommateur au Cameroun ;

Mindful le décret n° 92/089 du 04 mai 1992 précisant les attributions du Premier Ministre, modifié et complété par le décret n° 95/145-bis du 04 août 1995 ;

Mindful le décret n° 2005/124 du 15 avril 2005 portant organisation du Ministère des Postes et Télécommunications ;

Mindful le décret n° 2011/408 du 09 décembre 2010 portant organisation du Gouvernement ;

Mindful le décret n° 2011/409 du 09 décembre 2010 portant nomination d'un Premier Ministre, Chef du Gouvernement;

Mindful le décret n° 2012/180 du 10 avril 2012 portant organisation et fonctionnement de l'Agence Nationale des Technologies de l'Information et de la Communication ;

Mindful le décret n° 2012/203 du 20 avril 2012 portant organisation et fonctionnement de l'Agence de Régulation des Télécommunications,

DÉCRÈTE:

Chapter I

DISPOSITIONS GÉNÉRALES

Article 1

(1) Le présent décret ﬁxe les conditions et les modalités d'octroi de l'autorisation d'exercice de l'activité d'autorité de certiﬁcation électronique.
(2) Il est pris en application des dispositions des articles 10 et 12 de la loi n° 2010/012 susvisée.

Article 2

Pour l'application du présent décret, les définitions ci-après sont admises :
1) Autorisation : droit conféré par l'État à une personne morale pour exercer une activité donnée dans le secteur des télécommunications et des Technologies de l'Information et de la Communication, emportant un certain nombre d 'obligations.
2) Certificat électronique : document électronique sécurisé par la signature électronique de la personne qui l'a émis et qui atteste après constat, la véracité de son contenu;
3) Certificat électronique qualifié : certiﬁcat électronique émis par une autorité de certiﬁcation agréée ;
4) Certification électronique : émission de certiﬁcats électroniques ;
5) Confidentialité : maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d'informations aux non destinataires permettant la lecture, l'écoute, la copie illicite d'origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert ;
6) Dispositif de création de signature électronique : ensemble d'équipements et/ou logiciels privés de cryptage, homologués par une autorité compétente, configurés pour la création d'une signature électronique ;
7) Dispositif de vérification de signature électronique: ensemble d'équipements et/ou logiciels publics de cryptage, homologués par une autorité compétente, permettant la vérification par une autorité de certification d'une signature électronique ;
8) Fiabilité : aptitude d'un système d'information ou d'un réseau de communications électroniques à fonctionner sans incident pendant un temps suffisamment long ;
9) Intégrité des données : critère de sécurité déﬁnissant l'état d'un réseau de communications électroniques, d'un système d'information ou d'un équipement terminal qui est demeuré intact et permet de s'assurer que les ressources n'ont pas été altérées (modiﬁées ou détruites) d'une façon tant intentionnelle qu'accidentelle, de manière à assurer leur exactitude, leur fiabilité et leur pérennité ;
10) Interopérabilité des équipements de certification : aptitude des équipements terminaux de certiﬁcation à fonctionner avec le réseau et, avec d'autres équipements terminaux permettant d'accéder à un même service ;
11) Sécurité : situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun danger. Mécanisme destiné à prévenir un événement dommageable, ou à limiter les effets ;
12) Signature électronique : signature obtenue par un algorithme de chiffrement asymétrique permettant d'authentifier l'émetteur d'un message et d'en vériﬁer l'intégrité.

Chapter II

DE LA PROCÉDURE DE DÉLIVRANCE
ET DU RÉGIME DE VALIDITÉ DE L'AUTORISATION

Article 3

(1) Toute personne morale désirant exercer l'activité d’autorité de certiﬁcation électronique doit remplir les conditions suivantes:
- être une entité de droit camerounais ;
- employer à plein temps au moins trois (3) experts en certiﬁcation électronique ;
- indiquer l'origine et le montant des ﬁnancements prévus, en précisant l'identité des principaux bailleurs de fonds ;
- fournir la preuve de la capacité financière de l'entreprise et la garantie de ﬁnancement du projet ;
- préciser la nature et le niveau des investissements prévus ;
- fournir le plan d'affaires de l'entreprise ;
- ne pas se trouver dans une situation d'incompatibilité avec les conditions d'exercice de toute profession commerciale conformément à la législation en vigueur.
(2) Les experts visés à l'alinéa 1 ci-dessus doivent remplir les conditions suivantes :
- être de nationalité camerounaise et domiciliée sur le territoire camerounais ;
- jouir de ses droits civiques ;
- être titulaire d'un diplôme d'ingénieur en informatique ou en télécommunications ou d'un diplôme équivalent et être inscrit à l'Ordre National des Ingénieurs de Génie Électrique.

Article 4

(1) La demande d'obtention de l'autorisation d'exercice de l'activité d'autorité de certiﬁcation électronique, timbrée au tarif en vigueur, est adressée à l'Agence Nationale des Technologies de l'Information et de Communication, ci-après désignée « ANTIC », par lettre recommandée ou par tout autre moyen laissant trace écrite.
(2) Si la demande est faite par voie électronique, elle est suivie du dépôt d'un dossier physique à l'ANTIC.
(3) Les demandes visées à l'alinéa 1 ci-dessus contiennent obligatoirement les pièces suivantes :
a) Un dossier administratif comprenant:
-- une ﬁche de renseignement fournie par l'ANTIC dûment remplie et signée par le demandeur de l'autorisation ;
-- une expédition de l'immatriculation au registre du commerce et de crédit mobilier ;
-- un dossier ﬁscal ;
-- une quittance de versement des frais d'étude du dossier délivrée par l'ANTIC ;
-- une déclaration sur l'honneur du représentant légal à ne pas exercer une autre activité professionnelle pouvant donner lieu à un conﬂit d’intérêt avec l’activité de certiﬁcation ;
-- les garanties financières exigibles, notamment l'engagement des institutions financières agréées par l'autorité monétaire ;
-- une attestation d'assurance garantissant les conséquences pécuniaires de sa responsabilité civile professionnelle.
b) Un dossier technique comprenant :
-- les caractéristiques des dispositifs de sécurisation des réseaux utilisées pour la fourniture des services de certification ;
-- le document de pratique de certification (CPS) ;
-- l'état des moyens matériels et financiers à mobiliser ;
-- les ressources humaines en quantité et en qualité à mobiliser ;
-- les conditions d'interopérabilité des systèmes de certification et d'interconnexion des registres de certificats ;
-- une copie des contrats de travail conclus avec son personnel qualiﬁé ;
-- le relevé des règles relatives à l'information afférente à ses services et aux certificats délivrés et devant être conservés par le fournisseur de certification électronique ;
-- les devis estimatifs et quantitatifs des investissements des ouvrages ;
-- les caractéristiques des équipements et des dispositifs à utiliser pour la fourniture des services de certiﬁcation électronique, accompagnées d'un schéma du dispositif de certiﬁcation ;
-- le plan du local du fournisseur et une description détaillée des procédures de sécurité adoptées pour la sécurisation du local.

Article 5

(1) L'ANTIC donne suite à la demande du postulant dans un délai maximum de quarante cinq (45) jours, à compter de la date de réception des documents.
(2) L'ANTIC peut demander des informations complémentaires. Dans ce cas, le délai visé à l'alinéa 1 ci-dessus court à compter de la date de réception des informations complémentaires.

Article 6

(1) Les autorisations sont délivrées sur la base d'un rapport de constat établi par les services de l'ANTIC. Ce rapport comprend une évaluation des moyens techniques, financiers et humains.
(2) Le projet d'autorisation, assorti du rapport d'étude du dossier, est transmis au Ministre chargé des télécommunications pour signature.

Article 7

(1) L'autorisation est octroyée à titre personnel pour une durée de dix (10) ans renouvelable.
(2) L'autorité de certification électronique ne peut modiﬁer les conditions techniques d'exploitation, notamment l'ouverture ou la fermeture d'une autorité d'enregistrement, ainsi que le changement de l'emplacement des serveurs sans l'accord de l'ANTIC.

Article 8

(1) Les demandes d'autorisation sont refusées dans les cas suivants :
-- si le demandeur de l'autorisation ne fournit pas à l'ANTIC les informations nécessaires qu'elle exige pour compléter le dossier dans un délai d'un (01) mois à compter de la date de notiﬁcation par lettre recommandée ou tout autre moyen laissant trace écrite ;
-- si les conditions prévues au cahier des charges relatives à l'exercice de l'autorité de certiﬁcation électronique ne sont pas remplies.
(2) En cas de refus de l'autorisation, le demandeur ne peut récupérer les frais d'étude du dossier.

Article 9

(1) L'autorité de certification ne peut ouvrir ou fermer une succursale ou agence, ni changer l'emplacement des serveurs ou en ajouter sans l'accord de l'ANTIC.
(2) L'autorité de certification doit aviser l'ANTIC, par tout moyen laissant trace écrite, de tout changement dans sa nature juridique, de son domicile, de ses gérants et de toute opération de cession ou de transfert de ses actions.

Article 10

(1) Les agents assermentés de l'ANTIC ont le droit d'obtenir la communication de toutes les informations ou de tous les documents nécessaires à l'accomplissement de leur mission de contrôle.
(2) En cas de manquement constaté sur procès-verbal par les agents visés à l'alinéa 1 ci-dessus, l'ANTIC met en demeure l'autorité concernée à se conformer, dans un délai maximum de quinze (15) jours, aux dispositions législatives et réglementaires ou aux prescriptions du titre en vertu desquelles il exerce son activité.
(3) Lorsque le titulaire ne se conforme pas à la mise en demeure prévue à l'alinéa 2 ci-dessus, l'ANTIC prend toutes les mesures conservatoires nécessaires et notamment la suspension de l'autorisation pour une durée de six mois, renouvelable une fois.
(4) Pendant la période de suspension, les activités de l'autorité de certiﬁcation sont gérées, pour les volets non contraires aux lois et règlements en vigueur, par l'ANTIC.
(5) L'autorité de certiﬁcation concernée par le retrait ou la suspension et l'ANTIC sont tenus d'en informer les titulaires des certiﬁcats.
(6) Lorsque le titulaire de l'autorisation ne se conforme pas à la mise en demeure prévue à l'article 10 alinéa 2 ci-dessus, le Ministre chargé des télécommunications procède au retrait de l’autorisation, sur proposition de l'ANTIC.

Article 11

(1) En cas de constatation d'une violation grave des dispositions légales et réglementaires en vigueur en matière de certification électronique, l'ANTIC propose au Ministre charge des télécommunications, le retrait immédiat de l'autorisation, sans préjudice des poursuites pénales notamment dans les cas ci- après :
-- obtention d'une autorisation sur la base de fausses déclarations ou tout autre moyen illicite,
-- manquement à ses obligations prévues par les lois et règlements en vigueur ;
-- non respect des dispositions prévues dans le cahier des charges ;
-- violation des conditions sur la base desquelles l'autorisation a été octroyée.
(2) L'autorisation est retirée après audition de l’autorité de certiﬁcation concernée, la décision de retrait fixe la date d'entrée en vigueur du retrait.
(3) En cas de retrait de l'autorisation, l'ANTIC est chargée de transférer tout ou partie de l'activité de l'autorité concernée à une autre autorité dans les conditions définies à l'article 14 du présent décret.

Article 12

La décision portant suspension ou retrait d'une autorisation est susceptible de recours dans les conditions et les modalités fixées par les textes en vigueur.

Article 13

(1) Le transfert des certificats à une autre autorité de certiﬁcation électronique peut intervenir dans les cas suivants :
a) Cessation des activités : Dans ce cas, l'autorité de certification en cessation d'activités et l'ANTIC informent :
-- par tout moyen laissant trace écrite, les titulaires des certificats en vigueur de sa volonté de transférer les certificats qu'elle à délivrés à une autre autorité, dans un délai de trois (3) mois, avant le transfert envisagé,
-- de l'identité de l'autorité de certification électronique à qui les certificats seront transférés ;
-- de la possibilité de refuser le transfert envisagé, ainsi que les délais et les modalités de refus.
b) Retrait ou suspension : Dans ce cas, l'autorité de certification faisant l'objet d'une mesure de retrait ou de suspension et l'ANTIC informent :
-- par tout moyen laissant trace écrite les titulaires des certificats, de la décision de transfert ;
-- de la possibilité de refuser le transfert envisagé, ainsi que les délais et les modalités de refus.
(2) Les certiﬁcats sont annulés si leurs titulaires expriment par écrit ou par voie électronique leur refus.
(3) L'ANTIC assure, jusqu'à conclusion d'un accord de transfert avec une autre autorité de certification, les missions de l'Autorité de Certiﬁcation défaillante ou en cessation d'activité.
(4) Dans tous les cas de cessation ou de retrait, les données personnelles détenues par l'autorité de certiﬁcation défaillante sont détruites en présence d'un agent assermenté de l'ANTIC.

Article 14

(1) L'autorité de certification électronique est chargée de l'émission, de la délivrance, de la conservation, de la suspension et de la révocation des certiﬁcats électroniques conformément à un cahier des charges.
(2) Le cahier des charges visé à l'alinéa 1 ci-dessus contient notamment :
-- les coûts des études et de suivi des dossiers de demande des certiﬁcats ;
-- les délais d'étude des dossiers ;
-- les moyens matériels, financiers et humains qui doivent être fournis pour l'exercice de l'activité ;
-- les conditions à remplir pour les personnels chargés d'exercer les fonctions techniques d'autorité de certiﬁcation électronique ;
-- les conditions d'émission, de délivrance et de conservation des certificats ;
-- les moyens nécessaires pour protéger les certificats de la contrefaçon et de la falsification ;
-- les conditions de vérification et de contrôle par l'ANTIC, des locaux et des serveurs utilisés pour la fourniture du service ;
-- les conditions de conservation des données à caractère personnel et des renseignements ;
-- les conditions assurant l'interopérabilité des systèmes de certification et de l'interconnexion des registres de certificats ;
-- les règles relatives à l'information afférente à ses services et aux certificats délivrés et devant être conservés par l'autorité de certification électronique ;
-- la périodicité de mise à jour du registre des certificats
-- l'arrivée à échéance d'un certificat ;
–- les conditions de révocation d'un certificat ;
–- les prescriptions exigées pour la défense nationale et la sécurité publique ;
–- les conditions de tenue des registres des certificats ;
–- les conditions de conservation des enregistrements sur l'émission, le renouvellement, la suspension et la révocation des certiﬁcats ;
-- les procédures de gestion des équipements et des programmes informatiques ;
–- les modalités de transfert de leurs registres de certificats à l'ANTIC ;
–- les conditions de conservations de tout document dont la consultation régulière est jugée utile par l'ANTIC.

Chapter III

DISPOSITIONS DIVERSES ET FINALES

Article 15

Les autorités de certiﬁcation électronique sont assujetties, pendant toute la période de validité de leurs autorisations, au paiement des frais ﬁxés par un arrêté conjoint du Ministre chargé des télécommunications et du Ministre chargé des ﬁnances.

Article 16

Le Ministre des Postes et Télécommunications et le Ministre des Finances sont, chacun en ce qui le concerne, chargés de l'exécution du présent décret qui sera enregistré, publié suivant la procédure d'urgence, puis inséré au Journal Ofﬁciel en francisa et en anglais./-

Chapter I DISPOSITIONS GÉNÉRALES