Art. 11.
- Toute personne physique ou morale désirant exercer les activités
de fournisseur de services de certification électronique doit
obtenir l'autorisation préalable de l'agence tunisienne de certification
électronique.
La personne physique ou le représentant légal de la personne
morale désirant obtenir l'autorisation d'exercice de l'activité
de fournisseur de services de certification électronique doivent
remplir les conditions suivantes :
- être de nationalité tunisienne depuis au moins cinq
ans,
- être domicilié sur le territoire tunisien,
- Jouir de ses droits civiques et politiques et n'ayant pas d'antécédent
judiciaire,
- Etre titulaire au moins de la maîtrise ou d'un diplôme
équivalent,
- Ne pas exercer une autre activité professionnelle.
Art. 12.
- Le fournisseur de services de certification électronique est
chargé de l'émission, de la délivrance et de la
conservation des certificats conformément à un cahier
des charges qui sera approuvé par décret, et le cas échéant
de sa suspension ou de son annulation conformément aux dispositions
de la présente loi.
Ce cahier des charges comprend notamment :
- Les coûts d'étude et de suivi des dossiers de demande
des certificats,
- Les délais d'étude des dossiers,
- Les moyens matériels, financiers et humains qui doivent
être fournis pour l'exercice de l'activité,
- Les conditions assurant l'interopérabilité des systèmes
de certification et l'interconnexion des registres de certificats,
- Les règles relatives à l'information afférente
à ses services et aux certificats délivrés et
devant être conservés par le fournisseur de service de
certification électronique.
Art. 13. - Le
fournisseur de services de certification électronique est tenu
d'utiliser des moyens fiables pour l'émission, la délivrance
et la conservation des certificats ainsi que les moyens nécessaires
pour les protéger de la contrefaçon et la falsification
conformément au cahier des charges prévu par l'article
12 de la présente loi.
Art. 14.
- Le fournisseur de services de certification électronique doit
tenir un registre électronique des certificats à la disposition
des utilisateurs, accessible en permanence pour consultation électronique
des informations y contenues.
Le registre des certificats contient, le cas échéant,
la date de suspension ou d'annulation du certificat.
Le registre des certificats doit être protégé contre
toute modification non autorisée.
Art. 15. - Les
fournisseurs de services de certification électronique ainsi
que leurs agents doivent garder secrètes les informations confiées
à eux dans le cadre de l'exercice de leurs activités à
l'exception de celles dont la publication ou la communication ont été
autorisées par écrit ou par voie électronique par
le titulaire du certificat ou dans les cas prévus par la législation
en vigueur.
Art. 16. - En
cas de demande de certificat, le fournisseur de services de certification
électronique collecte les informations à caractère
personnel directement auprès de la personne concernée
ou, moyennant son accord écrit ou électronique, auprès
des tiers.
Il est interdit au fournisseur de services de certification électronique
de collecter les informations non nécessaires à la délivrance
du certificat.
Il est interdit au fournisseur de services de certification électronique
d'utiliser, en dehors du cadre des activités de certification,
les informations qu'il a collectées pour délivrer le certificat
sans avoir obtenu l'accord écrit ou électronique de la
personne concernée.
Art. 17. - Le
fournisseur de services de certification électronique émet
des certificats conformes aux exigences de sécurité et
de fiabilité. Les données techniques relatives au certificat
et sa fiabilité seront fixées par arrêté
du Ministère chargé des télécommunications.
Ce certificat comprend notamment :
- L'identité du titulaire du certificat,
- L'identité de la personne qui l'a émis et sa signature
électronique,
- Les éléments de vérification de la signature
du titulaire du certificat,
- La durée de validité du certificat,
- Les domaines d'utilisation du certificat.
Art. 18.
- Le fournisseur de services de certification électronique garantit
:
- L'exactitude des informations certifiées contenues dans
le certificat à la date de sa délivrance,
- Le lien entre le titulaire du certificat et le dispositif de vérification
de signature qui lui est propre,
- La détention exclusive par le titulaire du certificat d'un
dispositif de création de signature conforme aux dispositions
de l'arrêté prévu à l'article
5 de la présente loi et complémentaire avec le dispositif
de vérification de la signature identifié dans le certificat
à la date de sa délivrance.
Lorsque le certificat est délivré à une personne
morale le fournisseur de services de certification électronique
est tenu de vérifier préalablement l'identité et
le pouvoir de représentation de la personne physique qui se présente.
Art. 19.
- Le fournisseur de services de certification électronique suspend
le certificat immédiatement à la demande de son titulaire
ou lorsqu'il apparaît que :
- Le certificat a été délivré sur la
base d'informations erronées ou falsifiées,
- Le dispositif de création de signature a été
violé,
- Le certificat a fait l'objet d'une utilisation frauduleuse,
- Les informations contenues dans le certificat ont changé.
Le fournisseur de services de certification électronique informe
immédiatement le titulaire du certificat de la suspension et
son motif.
La suspension est levée immédiatement lorsqu'il est démontré
l'exactitude de l'information contenue dans le certificat et son utilisation
légitime.
La décision de suspension du certificat du fournisseur de services
est opposable au titulaire du certificat et aux tiers dès la
date de sa publication au registre électronique prévu
par l'article 14 de la présente loi.
Art. 20. - Le
fournisseur de services de certification électronique annule
immédiatement le certificat dans les cas ci après :
- A la demande du titulaire du certificat,
- Lorsqu'il est informé du décès de la personne
physique ou de la dissolution de la personne morale titulaire du certificat,
Suite à la suspension, si des examens approfondis démontrent
que les informations sont erronées ou falsifiées ou non
conformes à la réalité ou que le dispositif de
création de signature a été violé ou le
certificat a été utilisé frauduleusement.
La décision d'annulation du certificat par le fournisseur de
services est opposable au titulaire du certificat et aux tiers dès
la date de sa publication au registre électronique prévu
par l'article 14 de la présente loi.
Art. 21. - Le
titulaire du certificat est seul responsable de la confidentialité
et de l'intégrité du dispositif de création de
signature qu'il utilise et toute utilisation de ce dispositif est réputée
être son fait.
Le titulaire du certificat est tenu de notifier au fournisseur de services
de certification électronique toute modification des informations
contenues dans le certificat.
Le titulaire du certificat suspendu ou annulé ne peut plus utiliser
les éléments de cryptage personnel de la signature objet
de ce certificat et il ne peut faire certifier ces éléments
de nouveau par un autre fournisseur de services de certification électronique.
Art. 22. - Le
fournisseur de services de certification électronique est responsable
de tout préjudice subi par toute personne qui, de bonne foi,
se fie aux garanties prévues par l'article 18
de la présente loi.
Le fournisseur de services de certification électronique est
responsable du préjudice subi par toute personne du fait de la
non suspension ou de la non annulation d'un certificat conformément
aux articles 19 et 20 de la présente loi.
Le fournisseur de services de certification électronique n'est
pas responsable des préjudices résultant du non-respect
des conditions d'utilisation du certificat ou des conditions de création
de la signature électronique par le titulaire du certificat.
Art. 23. - Les
certificats délivrés par un fournisseur de services de
certification électronique établi dans un pays étranger
ont la même valeur que ceux délivrés par un fournisseur
de services de certification électronique établie en Tunisie,
si cet organisme est reconnu dans le cadre d'un accord de reconnaissance
mutuelle conclu par l'agence nationale de certification électronique.
Art. 24. - Le
fournisseur de services de certification électronique désirant
mettre fin à son activité est tenu d'informer l'agence
nationale de certification électronique, au moins 3 mois avant
la date d'arrêt.
Le fournisseur de services de certification électronique peut
transférer à un autre fournisseur tout ou partie de ses
activités selon les conditions suivantes :
- Informer les titulaires des certificats en vigueur de sa volonté
de transférer les certificats à un autre fournisseur,
au moins un mois avant le transfert envisagé,
- Préciser l'identité du fournisseur de services de
certification électronique à qui les certificats seront
transférés,
- Informer les titulaires des certificats de la possibilité
de refuser le transfert envisagé ainsi que les délais
et modalités de refus. Les certificats sont annulés
si, au terme de ce délai, leurs titulaires expriment par écrit
ou par voie électronique leur refus.
En cas de décès, faillite, dissolution ou liquidation
du fournisseur de services de certification électronique les
héritiers, tuteur ou liquidateur sont soumis aux dispositions
du deuxième paragraphe du présent article dans un délai
ne dépassant pas trois mois.
Dans tous les cas de cessation d'activité, les données
personnelles restant chez le fournisseur, doivent être détruites,
en présence d'un représentant de l'agence nationale de
certification électronique.
|