Cryptographie et transactions électroniques.

· Paragraphe II - Les obligations du prestataire vis-à-vis de l'État

Le prestataire de services de certification électronique, nommé encore tiers certificateur, est défini comme toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique. Ce prestataire privé doit satisfaire à des exigences précises énumérées par l'article 27 du Règlement n° 15/2002/CM/UEMOA (rapp. article 6, II, du décret français n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du Code civil).

Pour permettre aux autorités publiques de vérifier s'il répond aux exigence légales, le prestataire doit se soumettre à une formalité d'agrément ou de déclaration préalable (A). Il doit en outre leur réserver un accès aux conventions secrètes dont il assure la gestion (B).

· A - L'agrément ou la déclaration préalable

C'est l'article 16 de la loi sur la cryptologie du Sénégal qui prévoit que « Les organismes exerçant des prestations de cryptologie doivent être agréés». Les conditions de délivrance de l'agrément sont précisées par le décret d'application de la loi sur la cryptologie. L'article 46 dudit décret énonce que, le demandeur à l'agrément, adresse un dossier à la Commission Nationale sur la Cryptologie^57(*) qui sera chargé de préciser son contenu. Pour obtenir l'agrément, le prestataire doit justifier d'un nombre suffisant de personnes agréées par la Commission pour lui permettre de remplir ses obligations en matière de gestion des conventions secrètes.

L'agrément peut être refusé pour non-respect de la législation en matière de cryptologie ou pour des raisons liées à la défense nationale, à la sûreté intérieure ou extérieure de l'État.

Initialement, sur le territoire de l'UEMOA, la BCEAO devait jouer le rôle d'organisme d'accréditation (cf. art. 28, Règlement n° 15/2002/CM/UEMOA en cours de révision) mais cette orientation a évolué notamment pour les raisons que l'accréditation n'est pas un métier de la banque ; c'est une activité qui doit être prise en charge par une entité complètement indépendante, pour des raisons d'impartialité.

En outre, le schéma d'accréditation prévu dans le cadre du Règlement n° 15/2002/CM/UEMOA comporte, certains inconvénients à savoir :

· qu'il n'existe pas d'organismes d'accréditation dans la zone ;

· qu'il n'existe pas d'organismes de qualification des prestataires de services de certification électronique dans la zone) ;

· qu'il n'y a pas (encore) de prestataire de services certification électronique créé dans l'Union.

Par conséquent, un nouveau dispositif est en cours de mise en oeuvre (révision du Règlement n° 15/2002/CM/UEMOA et adoption d'une nouvelle instruction sur la preuve électronique). Ce dispositif est axé sur un schéma qui se décline comme suit :

· reconnaissance par la BCEAO d'organismes d'accréditation situés hors de l'Union ;

· agrément des organismes d'évaluation étrangers à l'Union (Convention d'agrément) qui auront été accrédités par les organismes reconnus par la BCEAO ;

· acceptation/qualification et surveillance de prestataires services de certification électronique étrangers à l'Union (Accord d'acceptation) pour intervenir dans l'espace UEMOA ;

· acceptation/qualification et surveillance de certificats émis par ces prestataires de services de certification électronique.

En France, aux termes de la loi du 21 juin 2004, la fourniture de prestations de cryptologie doit être déclarée auprès du premier ministre. Le tiers de confiance n'est donc plus soumis à la très lourde procédure de l'agrément que la loi lui imposait antérieurement. Il devra simplement effectuer une déclaration préalable dont les modalités sont fixées par décret. Il peut même être dispensé de cette formalité si les prestations fournies ne constituent pas un danger pour l'ordre public ou pour la sécurité intérieure ou extérieure de l'État.

En outre, cette obligation de déclaration préalable concerne uniquement la fourniture de prestations de cryptologie sur le territoire français. Cela signifie a contrario que l'importation ou l'exportation de ces prestations est libre.

En plus de la formalité de déclaration préalable ou d'agrément dont il a l'obligation de s'acquitter, le prestataire doit ouvrir la possibilité aux autorités publiques d'accéder aux conventions secrètes.

* 57 Organe créé et rattachée au Secrétariat général de la Présidence de la République par la loi sur la cryptologie au Sénégal et qui a pour mission de recevoir et d'examiner les demandes et déclarations en matière de cryptologie.