Le modèle du cahier des charges devant accompagner la demande de l'agrément de prestations de cryptographie soumises à autorisation, prévue à l'article 16 du décret susvisé n° 2-08-518 du 25 joumada 11430 (21 mai 2009), vient d'être publié au Bulletin officiel en annexe de l'arrêté du Chef du gouvernement n° 3-89-13 du 28 rabii 11436 (20 janvier 2015) qui le prévoit. Cet arrêté abroge l'arrêté du ministre de l'industrie, du commerce et des nouvelles technologies n° 153-10 du 5 rabii II 1431 (22 mars 2010) relatif à l'agrément des personnes ne disposant pas de l'agrément de prestataires de services de certification électronique et qui entendent fournir des prestations de cryptographie soumises à autorisation, est abrogé et prend effet à compter du 3 janvier 2014 Rappelons que la loi n° 53-05 du 30 novembre 2007 relative à l'échange électronique de données juridiques précise que « les moyens de cryptographie ont notamment pour objet de garantir la sécurité de l'échange et/ou du stockage de données juridiques par voie électronique, de manière qui permet d'assurer leur confidentialité, leur authentification et le contrôle de leur intégrité ». « On entend par moyen de cryptographie tout matériel et/ou logiciel conçu(s) ou modifié(s) pour transformer des données, qu'il s'agisse d'informations, de signaux ou de symboles, à l'aide de conventions secrètes ou pour réaliser l'opération inverse, avec ou sans convention secrète ». « On entend par prestation de cryptographie toute opération visant l'utilisation, pour le compte d'autrui, de moyens de cryptographie. Afin de prévenir l'usage à des fins illégales et pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de I'Etat, l'importation, l'exportation, la fourniture, l'exploitation ou l'utilisation de moyens ou de prestations de cryptographie sont soumises : a- à déclaration préalable, lorsque ce moyen ou cette prestation a pour unique objet d'authentifier une transmission ou d'assurer l'intégralité des données transmises par voie électronique ; b- à autorisation préalable de l'administration, lorsqu'il s'agit d'un autre objet que celui visé au paragraphe a) précédent ». Selon la loi 53-05 du 30 novembre 2007, la fourniture de moyens ou de prestations de cryptographie soumises à autorisation est réservée aux prestataires de services de certification électronique, agréés à cette fin conformément aux dispositions de cette loi (article 21). A défaut, les personnes qui entendent fournir des prestations de cryptographie soumises à autorisation, doivent être agréées à cette fin par l'administration. L'arrêté du chef du gouvernement n° 3-89-13 du 28 rabii 1 1436 (20 janvier 2015) fixant le modèle du cahier des charges précise que celui-ci a pour objet de fixer les prescriptions que doit observer le demandeur, désigné «prestataire », pour fournir des prestations de cryptographie soumises à autorisation. Il entre en vigueur à compter de la date indiquée par l'agrément délivré au prestataire. Il est valable pour la durée de validité dudit agrément. Le cahier des charges est modifié lorsque l'un des éléments sur la base desquels l'agrément a été délivré au prestataire a subi une modification. Le cahier des charges stipule que le prestataire doit: - se conformer aux conditions prévues par l'agrément qui lui a été délivré et ce durant toute la période de validité dudit agrément; - informer la Direction générale de la sécurité des systèmes d'information, dans un délai maximum de deux (02) mois, de son intention de cesser ses activités et sans délai en cas de cessation d'activité pour cause de liquidation judiciaire; - se mettre régulièrement aux vérifications et contrôles décidés par la Direction générale de la sécurité des systèmes d'information. A cet effet, il permet aux agents ou experts commissionnés par ladite autorité l'accès aux locaux et installations et leur communique tous les documents professionnels nécessaires pour effectuer les vérifications et les contrôles.
