AVANT- PROJET DE LOI SUR LA CRYPTOLOGIE

EXPOSE DES MOTIFS

Le développement de la société de l’information ne peut se réaliser sans la confiance des utilisateurs.

Cela passe par une maîtrise globale de la sécurité des systèmes d’information.

La cryptologie est la science utilisée pour la sécurisation des échanges d'information sous quelle que
forme que ce soit notamment écrite, visuelle, sonore ou numérique. Elle a pour objet l'étude de
l'ensemble des moyens et procédés utilisés pour crypter ou décrypter un message ou des données
numérisées. A ce titre, elle vise à garantir :

• la sécurité des systèmes d’information, des données numériques stockées, échangées, circulant
sur les technologies de l’Internet, sur l’Intranet voire sur un simple réseau privé ;
• la confidentialité des données.

Au Sénégal, la cryptologie est largement utilisée dans plusieurs secteurs notamment dans
l’Administration, dans le secteur des télécommunications, dans l’informatique plus précisément au
niveau des centres d’appels et des sociétés de transfert d’argent ou pour le paiement électronique.

L’objectif de ce projet de loi est de définir les conditions générales d’utilisation, de fourniture, de
transfert, d’importation et d’exportation des moyens et des prestations de cryptologie.

Le présent projet de loi comprend sept (7) chapitres.

Le chapitre premier, sur les dispositions générales relatives à l’utilisation de la cryptologie, fixe l'objet
de la loi, circonscrit son champ d'application et définit les différents termes utilisés dans la présente loi.

Le chapitre II institue une Commission nationale de cryptologie qui est l’organe garant du respect des
dispositions de la présente loi.

Le chapitre III fixe les régimes juridiques des moyens et prestations de cryptologie.
Le chapitre IV est consacré aux responsabilités des prestataires de services de cryptologie.

Le chapitre V vise les sanctions prévues en cas de non respect des dispositions de la présente loi.

Le chapitre VI consacre les sanctions pénales spécifiques à la cryptologie.

Le chapitre VII est relatif aux dispositions transitoires et finales.

Telle est l’économie du présent projet de loi.

1
 TABLE DES MATIERES

CHAPITRE PREMIER : DISPOSITIONS GENERALES ...................................................................................... 3

CHAPITRE II : COMMISSION NATIONALE DE CRYPTOLOGIE .................................................................. 4

CHAPITRE III : REGIMES JURIDIQUES DES MOYENS ET PRESTATIONS DE CRYPTOLOGIE .......... 6

CHAPITRE IV : RESPONSABILITES DES PRESTATAIRES DE SERVICES DE CRYPTOLOGIE ............ 6

CHAPITRE V : SANCTIONS ADMINISTRATIVES.............................................................................................. 7

CHAPITRE VI : SANCTIONS PENALES ................................................................................................................ 7

CHAPITRE VII : DISPOSITIONS TRANSITOIRES ET FINALES ..................................................................... 9

2
CHAPITRE PREMIER : DISPOSITIONS GENERALES

Article Premier :
La présente loi a pour objet de fixer les règles applicables aux moyens et prestations de cryptologie.

Article 2 :
Les dispositions de la présente loi ne s’appliquent pas aux moyens de cryptologie utilisés par les
missions diplomatiques et consulaires visées par la Convention de Vienne sur les relations diplomatiques
et les services de sécurité de l’Etat.

Article 3 :
Au sens de la présente loi, les expressions ci-dessous sont définies comme suit :

1. Activité de cryptologie : toute activité ayant pour but la production, l’utilisation, l’importation,
l’exportation ou la commercialisation des moyens de cryptologie ;
2. Agrément : reconnaissance formelle que le produit ou le système évalué peut protéger jusqu’à un
niveau spécifié par un organisme agréé ;
3. Authentification : fonction dont le but est de s’assurer de l’identité d’une personne pour contrôler
l’accès à un logiciel ou à un système d’information ;
4. Bi-clé : couple clé publique/clé privée utilisé dans des algorithmes de cryptographie asymétrique ;
5. Chiffrement : technique qui consiste à transformer des données numériques en un format
inintelligible en employant des moyens de cryptologie ;
6. Clé de chiffrement : série de symboles commandant les opérations de chiffrement et de
déchiffrement ;
7. Clé privée : clé utilisée en cryptographie asymétrique non publiable et associée à une clé publique
pour former une bi-clé ;
8. Clé publique : clé utilisée en cryptographie asymétrique publiable et nécessaire à la mise en œuvre
d'un moyen ou d'une prestation de cryptologie pour des opérations de chiffrement et de
déchiffrement ;
9. Confidentialité : propriété qui assure que l’information n’est pas rendue disponible ou révélée à des
personnes, entités ou processus non autorisés ;
10. Conventions secrètes : clés non publiées nécessaires à la mise en oeuvre d'un moyen ou d'une
prestation de cryptologie pour les opérations de chiffrement ou de déchiffrement ;
11. Cryptologie : science relative à la protection et à la sécurité des informations notamment pour la
confidentialité, l’authentification, l’intégrité et la non répudiation.
12. Cryptographie asymétrique : système de chiffrement et de déchiffrement utilisant deux clés, une
clé privée gardée secrète et une clé publique distribuée ;
13. Cryptographie symétrique : système de chiffrement et de déchiffrement utilisant la même clé dite
clé privée ;
14. Déchiffrement : opération inverse du chiffrement ;
15. Information : élément de connaissance susceptible d’être représenté à l’aide de conventions pour
être utilisé, conservé, traité ou communiqué. L’information peut être exprimée sous forme écrite,
visuelle, sonore, numérique, etc. ;
16. Intégrité : propriété qui assure que des données n’ont pas été modifiées ou détruites de façon non
autorisée lors de leur traitement, conservation et transmission ;
17. Moyens de cryptologie : l’ensemble des outils scientifiques et techniques (matériel ou logiciel) qui
permettent de chiffrer et/ou de déchiffrer ;
18. Accès dérobé : tout mécanisme permettant de dissimuler un accès à des données ou à un système
informatique sans l’autorisation de l’utilisateur légitime ;

3
19. Prestation de cryptologie : toute opération visant à la mise en oeuvre, pour le compte de soi ou
d'autrui, des moyens de cryptologie ;
20. Prestataire de services de cryptologie : toute personne, physique ou morale, qui fournit une
prestation de cryptologie.

CHAPITRE II : COMMISSION NATIONALE DE CRYPTOLOGIE

Article 4 :
Il est créé une Commission nationale de cryptologie rattachée au Secrétariat Général de la Présidence de
la République.

Article 5 :
La Commission nationale de cryptologie est composée de douze (12) membres choisis, en raison de leur
compétence juridique, scientifique et/ou technique en matière de cryptologie, ainsi qu’il suit :

• le Secrétaire Général de la Présidence de la République ou son représentant ;

• un représentant de la Primature ;
• un représentant du Ministère des Affaires Etrangères ;
• un représentant du Ministère de l’Intérieur ;
• un représentant du Ministère des Forces Armées ;
• un représentant du Ministère de l’Economie et des Finances ;
• un représentant du Ministère de l’Education Nationale ;
• un représentant du Ministère des Télécommunications, des Postes et des Nouvelles
Technologies de l’information et de la Communication ;
• un représentant du Service Technique Central des Chiffres et de Sécurité des
Télécommunications ;
• un représentant de l’Agence de Régulation des Télécommunications et des
Postes (ARTP) ;
• un représentant de l’Agence De l’Informatique de l’Etat (ADIE) ;
• un représentant de l’Agence Nationale de la Sécurité.

Les membres de la Commission nationale de cryptologie sont désignés par les structures qu’ils
représentent.

La qualité de membre de la Commission nationale de cryptologie est incompatible avec la qualité de

l’exercice des fonctions de dirigeants d’entreprise, de la détention de participation dans les
entreprises du secteur de l’informatique ou des télécommunications.

Tout membre de la Commission nationale de cryptologie doit informer celle-ci des intérêts directs
ou indirects qu’il détient ou vient à détenir, des fonctions qu’il exerce ou vient à exercer au sein
d’une personne morale notamment dans les secteurs d’activités mentionnés au précédent alinéa.

4
Le cas échéant, la Commission prend toutes les dispositions utiles pour assurer l’indépendance et
l’impartialité de ses membres.

Article 6 :
Le Président de la Commission nationale de cryptologie peut inviter, à titre consultatif, toute
personne dont la contribution est jugée utile.

Article 7 :
La Commission nationale de cryptologie est présidée par le Secrétaire Général de la Présidence de la
République ou son représentant. Les membres de la Commission se réunissent sur convocation du
Président.

Le Secrétariat de la Commission nationale de cryptologie est assuré par l'Agence de Régulation des
Télécommunications et des Postes.

Les dépenses afférentes au fonctionnement de la Commission nationale de cryptologie sont à la

charge de l'Agence de Régulation des Télécommunications et des Postes.

Les modalités de mise en application du présent article sont définies par décret.

Article 8 :
Les membres de la Commission nationale de cryptologie sont soumis au secret professionnel
conformément aux textes en vigueur.

Article 9 :
La Commission nationale de cryptologie est chargée de statuer sur :

• toute question relative au développement des moyens ou prestations de cryptologie au Sénégal ;

• les projets de textes législatifs et règlementaires en matière de cryptologie ;
• les normes techniques adoptées dans le domaine de la sécurité en général et celui de la
cryptologie en particulier.

Par ailleurs, la Commission nationale de cryptologie est compétente pour :

• recevoir les déclarations prévues à l’article 12 de la présente loi ;

• délivrer des autorisations prévues à l’article 13 de la présente loi ;
• délivrer des agréments aux prestataires de services de cryptologie ;
• demander la communication des descriptions des caractéristiques techniques des moyens de
cryptologie ;
• mener des enquêtes et procéder à des contrôles sur les prestataires de services de cryptologie
ainsi que sur les produits fournis ;
• prononcer des sanctions administratives à l’encontre des contrevenants aux dispositions de la
présente loi ;
• défendre les intérêts du Sénégal dans les instances et organismes régionaux et internationaux
traitant de la cryptologie.

Enfin, la Commission nationale de cryptologie peut se prononcer sur toute autre question relative à la
cryptologie.

Les conditions et modalités de mise en application du présent article sont définies par décret.
5
Article 10 :
Les décisions prises par la Commission nationale de cryptologie peuvent faire l’objet d’un recours
devant le Conseil d’Etat à compter de leur notification.

CHAPITRE III : REGIMES JURIDIQUES DES MOYENS ET PRESTATIONS DE

CRYPTOLOGIE

Article 11 :
Sauf dispositions contraires, l'utilisation des moyens et prestations de cryptologie est libre.

La fourniture, le transfert depuis ou vers un pays tiers, l'importation et l'exportation des moyens de
cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont
également libres.

Article 12 :
La fourniture, le transfert depuis un pays tiers ou l'importation d'un moyen de cryptologie n'assurant pas
exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration
préalable auprès de la Commission nationale de cryptologie.

Le prestataire ou la personne procédant au transfert ou à l'importation d’un service de cryptologie tient à

la disposition de la Commission nationale de cryptologie une description des caractéristiques techniques
de ce moyen de cryptologie.

Les prestataires de services de cryptologie sont assujetties au secret professionnel dans les conditions
prévues à l’article 363 du code pénal.

Un décret définit les conditions dans lesquelles est effectuée cette déclaration préalable.

Article 13 :
Sauf dispositions contraires, le transfert vers un pays tiers et l'exportation d'un moyen de cryptologie
n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à
autorisation de la Commission nationale de cryptologie.

Les conditions et modalités de mise en application du présent article sont définies par décret.

CHAPITRE IV : RESPONSABILITES DES PRESTATAIRES DE SERVICES DE

CRYPTOLOGIE

Article 14 :
Sauf à démontrer qu'elles n'ont commis aucune faute intentionnelle ou négligence, les prestataires de
services de cryptologie à des fins de confidentialité sont responsables au titre de ces prestations,
nonobstant toute stipulation contractuelle contraire, du préjudice causé aux personnes leur confiant la
gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la
disponibilité des données transformées à l'aide de ces dites conventions.

6
Sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de
services de cryptologie sont responsables du préjudice causé aux personnes qui se sont fiées
raisonnablement à leur produit.

Les prestataires de services de cryptologie ne sont pas responsables du préjudice causé par un usage non
autorisé de leur produit.

Les conditions et modalités de mise en application du présent article sont définies par décret.

CHAPITRE V : SANCTIONS ADMINISTRATIVES

Article 15 :
Lorsqu’un prestataire de services de cryptologie, même à titre gratuit, ne respecte pas les obligations
auxquelles il est assujetti en application des présentes dispositions, la Commission nationale de
cryptologie peut, après audition de l’intéressé, prononcer :
• l’interdiction d’utilisation et de mise en circulation du moyen de cryptologie concerné ;
• le retrait provisoire de l’autorisation accordée pour une durée de trois (3) mois à l’expiration de
laquelle le retrait devient définitif ;
• la suspension provisoire de la déclaration pour une durée de six (6) mois à l’expiration de
laquelle la suspension devient définitive ;
• des amendes pécuniaires dont le montant est fixé en fonction de la gravité des manquements
commis et en relation avec les avantages ou les profits tirés de ces manquements.
Le recouvrement des amendes s’effectue au profit du Trésor public conformément à la législation
relative au recouvrement des créances de l’Etat.

Les conditions et modalités de mise en application du présent article sont définies par décret.

CHAPITRE VI : SANCTIONS PENALES

Article 16 :
Il est créé une annexe III dans le code pénal intitulé « Les infractions pénales en matière de
cryptologie ».

Article 17 :
Les dispositions de l'article 1 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à « quiconque n’aura pas satisfait à l’obligation de communication à la
Commission nationale de cryptologie d’une description des caractéristiques techniques du moyen de
cryptologie dans les conditions prévues à l’article 9 de la loi sur la cryptologie sera puni d’un
emprisonnement de six (6) mois à deux (2) ans et d’une amende de 400 000 francs à 2 000 000 francs ou
de l’une de ces deux peines seulement ».

Article 18 :
Les dispositions de l'article 2 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à :

7
 • « quiconque aura procédé à la fourniture, au transfert depuis le Sénégal ou aura importé ou
exporté un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou
de contrôle d'intégrité sans satisfaire à l’obligation de déclaration préalable auprès da la
Commission nationale de cryptologie prévue à l’article 12 de la loi sur la cryptologie, sera puni
d’un emprisonnement de six (6) mois à cinq (5) ans et d’une amende de 400 000 francs à 5 000
000 francs ou de l’une de ces deux peines seulement ».

• « quiconque aura fourni des prestations de cryptologie sans avoir obtenu préalablement
l’agrément de la Commission nationale de cryptologie prévu à l’article 9 de la loi sur la
cryptologie, sera puni d’un emprisonnement d’un (1) an à cinq (5) ans et d’une amende de
1.000.000 francs à 20.000.000 francs ou de l’une de ces deux peines seulement ».

Article 19 :
Les dispositions de l'article 3 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à « quiconque aura transféré vers un pays tiers ou exporté un moyen de
cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d’intégrité sans
avoir obtenu préalablement l’autorisation de la Commission nationale de cryptologie prévue à l’article
13 de la loi sur la cryptologie, sera puni sera puni d’un emprisonnement d’un (1) an à cinq (5) ans et
d’une amende de 1 000 000 francs à 20 000 000 francs ou de l’une de ces deux peines seulement ».

Article 20 :
Les dispositions de l'article 4 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à « quiconque aura vendu, loué, prêté ou mis à disposition à autrui un
moyen de cryptologie ayant fait l’objet d’une interdiction d’utilisation et de mise en circulation en
application de l’article 15 de la loi sur la cryptologie sera puni d’un emprisonnement d’un (1) an à cinq
(5) ans et d’une amende de 1.000.000 francs à 20.000.000 francs ou de l’une de ces deux peines
seulement ».

Article 21 :
Les dispositions de l'article 5 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à « quiconque aura fait obstacle au déroulement des enquêtes prévues à
l’article 9 de la loi sur la cryptologie ou refusé de fournir des informations ou documents y afférents sera
puni d’emprisonnement d’un (1) an à cinq (5) ans et d’une amende de 1 000 000 francs à 20 000 000
francs ou de l’une de ces deux peines seulement ».

Article 22 :
Les dispositions de l'article 6 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » s’appliquent à « quiconque aura mis en place un accès dérobé à des données ou à un
système informatique sans l’autorisation de l’utilisateur légitime conformément aux dispositions de la loi
sur la cryptologie, sera puni d’emprisonnement d’un (1) an à cinq (5) ans et d’une amende de 1 000 000
francs à 30 000 000 francs ou de l’une de ces deux peines seulement ».

Article 23 :
Les dispositions de l'article 7 de l’annexe III du code pénal intitulé « Les infractions pénales en matière
de cryptologie » prévoient les peines complémentaires suivantes :

• La confiscation, suivant les modalités prévues par l'article 11 du code pénal, des outils qui ont
servi, étaient destinés à commettre l'infraction ou qui en sont le produit à l'exception des objets
susceptibles de restitution ;

8
 • L'interdiction d'exercer une fonction publique, une activité professionnelle ou sociale dans
l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise, pour une durée de
cinq (5) ans au plus ; cependant cette interdiction n’est pas applicable à l’exercice des activités de
recherche ou d’enseignements, d’un mandat électif ou de responsabilités syndicales ou en matière
de délits de presse ;

• La fermeture de l’un ou des établissements de l'entreprise ayant servi à commettre les faits
incriminés pour une durée de (5) cinq ans au plus ;

• L'exclusion des marchés publics pour une durée de cinq (5) ans au plus.

Les peines complémentaires s’appliquent à toute personne physique ou morale coupable de l'une des
infractions prévues par la présente loi.

Article 24 :
Toute infraction liée à la cryptologie sera constatée sur procès verbal dressé concurremment par les
officiers de police judiciaire, les agents de l’Administration des Douanes et les agents assermentés de
l’Agence de Régulation des Télécommunications et des Postes.

La recherche et la constatation des infractions s’effectuent conformément aux dispositions législatives et

réglementaires en vigueur.

CHAPITRE VII : DISPOSITIONS TRANSITOIRES ET FINALES

Article 25 :

Les personnes assurant des prestations de cryptologie ou exerçant des activités de cryptologie à compter
de la date d’entrée en vigueur de la présente loi disposent d’un délai de six (6) mois pour régulariser leur
situation auprès de la Commission nationale de cryptologie.

Article 26 :

A compter de l’entrée en vigueur de la présente loi, les articles 37 et 67 du code des télécommunications
sont abrogés.

Toutefois, les autorisations d’utilisation de moyens de cryptologie délivrées conformément aux

dispositions de l’article 37 du code des télécommunications conservent leurs effets jusqu'à l'expiration du
terme prévu par celles-ci.

Article 27 :

La présente loi sera exécutée comme loi de l’Etat.