Journal officiel du Cameroun
LOI N°2010/012 DU 21 Décembre 2010 RELATIVE A LA CYBERSECURITE ET LA CYBERCRIMINALITE AU CAMEROUN
TITRE PREMIER
DISPOSITIONS GENERALES
Art. 1er — La présente loi régit le cadre de sécurité des réseaux de communications électroniques et des systèmes d'information, définit et réprime les infractions liées à l'utilisation des technologies de l'information et de la communication au Cameroun. A ce titre, elle vise notamment à :
instaurer la confiance dans les réseaux de communications électroniques et les systèmes d'information ;
fixer le régime juridique de la preuve numérique, des activités de sécurité, de cryptographie et de certification électronique ;
protéger les droits fondamentaux des personnes physiques, notamment le droit à la dignité humaine, à l'honneur et au respect de la vie privée, ainsi que les intérêts légitimes des personnes morales.
Art. 2 — - Sont exclues du champ de la présente loi, les applications spécifiques utilisées en matière de défense et de sécurité nationales.
Art. 3 — Les réseaux de communications électroniques visés par la présente loi comprennent : les réseaux satellitaires, les réseaux terrestres, les réseaux électriques lorsqu'ils servent à l'acheminement de communications électroniques, les réseaux assurant la diffusion ou la distribution de services de communication audiovisuelle.
Art. 4 — Au sens de la présente loi et de ses textes d'application, les définitions ci-après, sont admises :
Accès illicite : accès intentionnel, sans en avoir le droit, à l'ensemble ou une partie d'un réseau de communications électroniques, d'un système d'information ou d'un équipement terminal ;
Administration chargée des Télécommunications : Ministère ou Ministre selon le cas, investi pour le compte du Gouvernement, d'une compétence générale sur le secteur des télécommunications et des technologies de l'information et de la communication ;
Algorithme : suite d'opérations mathématiques élémentaires à appliquer des données pour aboutir à un résultat désiré ;
Algorithme asymétrique : algorithme de chiffrement utilisant une clé publique pour chiffrer et une clé privée (différente) pour déchiffrer les messages ;
Algorithme symétrique : algorithme de chiffrement utilisant une même clé pour chiffrer et déchiffrer les messages ;
Attaque active : acte modifiant ou altérant les ressources ciblées par l'attaque (atteinte à l'intégrité, à la disponibilité et à la confidentialité des données) ;
Attaque passive : acte n'altérant pas sa cible (écoute passive, atteinte à la confidentialité) ;
Atteinte à l'intégrité : fait de provoquer intentionnellement une perturbation grave ou une interruption de fonctionnement d'un système d'information, d'un réseau de communications électroniques ou d'un équipement terminal, en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données ;
Audit de sécurité : examen méthodique des composantes et des acteurs de la sécurité, de la politique, des mesures, des solutions, des procédures et des moyens mis en œuvre par une organisation, pour sécuriser son environnement, effectuer des contrôles de conformité, des contrôles d'évaluation de l'adéquation des moyens (organisationnels, techniques, humains, financiers) investis au regard des risques encourus, d'optimisation, de rationalité et de performance ;
Authentification : critère de sécurité défini par un processus mis en œuvre notamment pour vérifier l'identité d'une personne physique ou morale et s'assurer que l'identité fournie correspond à l'identité de cette personne préalablement enregistrée ;
Autorité de certification : autorité de confiance chargée de créer et d'attribuer des clés publiques et privées ainsi que des certificats électroniques ;
Autorité de Certification Racine : Organisme investi de la mission d'accréditation des autorités de certification, de la validation de la politique de certification des autorités de certification accréditées, de la vérification et de la signature de leurs certificats respectifs ;
Certificat électronique : document électronique sécurisé par la signature électronique de la personne qui l'a émis et qui atteste après constat, la véracité de son contenu ;
Certificat électronique qualifié : certificat électronique émis par une autorité de certification agréée ;
Certification électronique" : émission de certificat électronique ;
Chiffrement : procédé grâce auquel on transforme à l'aide d'une convention secrète appelée clé, des informations claires en informations inintelligibles par des tiers n'ayant pas la connaissance de la clé ;
Clé : dans un système de chiffrement, elle correspond à une valeur mathématique, un mot, une phrase, qui permet, grâce à l'algorithme de chiffrement, de chiffrer ou de déchiffrer un message ;
Clé privée : clé utilisée dans les mécanismes de chiffrement asymétriques (ou chiffrement à clé publique), qui appartient à une entité et qui doit être secrète ;
Clé publique : clé servant au chiffrement d'un message dans un système asymétrique et donc librement diffusée ;
Clé secrète : clé connue de l'émetteur et du destinataire servant de chiffrement et de déchiffrement des messages et utilisant le mécanisme de chiffrement symétrique ;
Code source : ensemble des spécifications techniques, sans restriction d'accès ni de mise en œuvre, d'un logiciel ou protocole de communication, d'interconnexion, d'échange ou d'un format de données ;
Communication audiovisuelle : communication au public de services de radiodiffusion télévisuelle et sonore ;
Communication électronique : émission, transmission ou réception de signes, signaux, d'écrits, d'images ou de sons, par voie électromagnétique ;
Confidentialité : maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d'informations aux non destinataires permettant la lecture, l'écoute, la copie illicite d'origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert ;
Contenu : ensemble d'informations relatives aux données appartenant à des personnes physiques ou morales, transmises ou reçues à travers les réseaux de communications électroniques et les Systèmes d'information ;
Contenu illicite : contenu portant atteinte à la dignité humaine, à la vie privée, à l'honneur ou à la sécurité nationale ;
Courrier électronique : message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur d'un réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère ;
Cryptage : utilisation de codes ou signaux non usuels permettant la conversion des informations à transmettre en des signaux incompréhensibles par les tiers ;
Cryptanalyse : ensemble des moyens qui permet d'analyser une information préalablement chiffrée en vue de la déchiffrer ;
Cryptogramme : Message chiffré ou codé ;
Cryptographie : application des mathématiques permettant d'écrire l'information, de manière à la rendre inintelligible à ceux ne possédant pas les capacités de la déchiffrer ;
Cybercriminalité : ensemble des infractions s'effectuant à travers le cyberspace par d'autres moyens que ceux habituellement mis en œuvre, et de manière complémentaire à la criminalité classique ;
Cybersécurité : ensemble de mesures de prévention, de protection et de dissuasion d'ordre technique, organisationnel, juridique, financier, humain, procédural et autres actions permettant d'atteindre les objectifs de sécurité fixés à travers les réseaux de communications électroniques, les systèmes d'information et pour la protection de la vie privée des personnes ;
Déclaration des pratiques de certification : ensemble des pratiques (organisation, procédures opérationnelles, moyens techniques et humains) que l'autorité de certification compétente applique dans le cadre de la fourniture de ce service et en conformité avec la (les) politique(s) de certification qu'il s'est engagé à respecter ;
Déchiffrement : opération inverse du chiffrement ;
Déni de service : attaque par saturation d'une ressource du système d'information ou du réseau de communications électroniques, afin qu'il s'effondre et ne puisse plus réaliser les services attendus de lui ;
Déni de service distribué : attaque simultanée des ressources du système d'information ou du réseau de communications électroniques, afin de les saturer et amplifier les effets d'entrave ;
Disponibilité : critère de sécurité permettant que les ressources des réseaux de communications électroniques, des systèmes d'information ou des équipements terminaux soient accessibles et utilisables selon les besoins (le facteur temps) ;
Dispositif de création de signature électronique : ensemble d'équipements et/ou logiciels privés de cryptage, homologués par une autorité compétente, configurés pour la création d'une signature électronique ;
Dispositif de vérification de signature électronique" : ensemble d'équipements et/ou logiciels publics de cryptage, homologués par une autorité compétente, permettant la vérification par une autorité de certification d'une signature électronique ;
Données : représentation de faits, d'informations ou de notions sous une forme susceptible d'être traitée par un équipement terminal, y compris un programme permettant à ce dernier d'exécuter une fonction ;
Données de connexion : ensemble de données relatives au processus d'accès dans une communication électronique ;
"Données de trafic : données ayant trait à une communication électronique indiquant l'origine, la destination, l'itinéraire, l'heure, la date, la taille et la durée de la communication ou le type du service sous-jacent ;
Equipement terminal : appareil, installation ou ensemble d'installations destiné à être connecté à un point de terminaison d'un système d'information et émettant, recevant, traitant, ou stockant des données d'information ;
Fiabilité : aptitude d'un système d'information ou d'un réseau de télécommunications à fonctionner sans incident pendant un temps suffisamment long ;
Fournisseur des services de communications électroniques : personne physique ou morale fournissant les prestations consistant entièrement ou principalement en la fourniture de communications électroniques ;
Gravité de l'impact : appréciation du niveau de gravité d'un incident, pondéré par sa fréquence d'apparition ;
Intégrité des données : critère de sécurité définissant l'état d'un réseau de communications électroniques, d'un système d'information ou d'un équipement terminal qui est demeuré intact et permet de s'assurer que les ressources n'ont pas été altérées (modifiées ou détruites) d'une façon tant intentionnelle qu'accidentelle, de manière à assurer leur exactitude, leur fiabilité et leur pérennité ;
Interception illégale : accès sans en avoir le droit ou l'autorisation, aux données d'un réseau de communications électroniques, d'un système d'information ou d'un équipement terminal ;
Interception légale : accès autorisé aux données d'un réseau de communications électroniques, d'un système d'information ou d'un équipement terminal
Intrusion par intérêt : accès intentionnel et sans droit dans un réseau de communications électroniques ou dans un système d'information, dans le but soit de nuire soit de tirer un bénéfice économique, financier, industriel, sécuritaire ou de souveraineté ;
Intrusion par défi intellectuel: accès intentionnel et sans droit dans un réseau de communications électroniques ou dans un système d'information, dans le but de relever un défi intellectuel pouvant contribuer à l'amélioration des performances du système de sécurité de l'organisation ;
Logiciel trompeur : logiciel effectuant des opérations sur un équipement terminal d'un utilisateur sans informer préalablement cet utilisateur de la nature exacte des opérations que le logiciel va effectuer sur son équipement terminal ou sans demander à l'utilisateur s'il consent à ce que le logiciel procède à ces opérations ;
Logiciel espion : type particulier de logiciel trompeur collectant les informations personnelles (sites web les plus visités, mots de passe, etc.) auprès d'un utilisateur du réseau de communications électroniques ;
Logiciel potentiellement indésirable : logiciel présentant des caractéristiques d'un logiciel trompeur ou d'un logiciel espion ;
Message clair" : version intelligible d'un message et compréhensible par tous ;
Moyen de cryptographie : équipement ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser une opération inverse avec ou sans convention secrète afin de garantir la sécurité du stockage ou de la transmission de données, et d'assurer leur confidentialité et le contrôle de leur intégrité ;
Non répudiation : critère de sécurité assurant la disponibilité de preuves qui peuvent être opposées à un tiers et utilisées pour prouver la traçabilité d'une communication électronique qui a eu lieu ;
Politique de certification : ensemble de règles identifiées, définissant les exigences auxquelles l'autorité de certification se conforme dans la mise en place de ses prestations et indiquant l'applicabilité d'un service de certification à une communauté particulière et/ou à une classe d'applications avec des exigences de sécurité communes ;
Politique de sécurité : référentiel de sécurité établi par une organisation, reflétant sa stratégie de sécurité et spécifiant les moyens de la réaliser ;
Prestation de cryptographie : opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptographie ;
Réseau de communications électroniques : Systèmes de transmission, actif ou passif et, le cas échéant, les équipements de commutation et de routage et les autres ressources qui permettent l'acheminement des signaux par câble, par voie hertzienne, par moyen optique ou par d'autres moyens électromagnétiques comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuit ou de paquet, y compris l'Internet) et mobile, les systèmes utilisant le réseau électrique, pour autant qu'ils servent à la transmission des signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d'information transmise ;
Réseau de télécommunications : installation ou ensemble d'installations assurant soit la transmission et l'acheminement de signaux de télécommunications, soit l'échange d'informations de commande et de gestion associés à ces signaux entre les points de ce réseau ;
Sécurité : situation dans laquelle quelqu'un, quelque chose n'est exposé aucun danger. Mécanisme destiné à prévenir un événement dommageable, ou à en limiter les effets ;
Service de certification : prestation fournie par une autorité de certification ;
Service de communications électroniques : prestation consistant entièrement ou principalement en la fourniture de communications électroniques à l'exclusion des contenus des services de communication audiovisuelle ;
Signataire : personne physique, agissant pour son propre compte ou pour celui de la personne physique ou morale qu'elle représente, qui met contribution un dispositif de création de signature électronique ;
Signature électronique : signature obtenue par un algorithme de chiffrement asymétrique permettant d'authentifier l'émetteur d'un message et d'en vérifier l'intégrité ;
Signature électronique avancée : signature électronique obtenue à l'aide d'un certificat électronique qualifié ;
Standard ouvert : protocole de communication, d'interconnexion ou d'échange et format de données interopérable, dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre ;
Système de détection : système permettant de détecter les incidents qui pourraient conduire aux violations de la politique de sécurité et permettant de diagnostiquer des intrusions potentielles ;
Système d'information : dispositif isolé ou groupe de dispositifs interconnectés ou apparentés, assurant par lui-même ou par un ou plusieurs de ses éléments, conformément à un programme, un traitement automatisé de données ;
Vulnérabilité : défaut de sécurité se traduisant soit intentionnellement, soit accidentellement par une violation de la politique de sécurité, dans l'architecture d'un réseau de communications électroniques, dans la conception d'un système d'information.
Pour le lire inscrivez-vous gratuitement à notre offre numérique sans engagement