4- s'il est assujetti à la TVA, le numéro d’identification fiscale correspondant ;
5- un justificatif de souscription à une police d'assurance couvrant de manière efficace les dommages liés à son
activité.
L'autorité compétente délivre aux prestataires de services de confiance déclarés, un récépissé de déclaration dans
les cinq (05) jours ouvrables suivant leur déclaration.
Article 307 : Obligation de protection des données à caractère personnel
Sans préjudice des dispositions du Livre V, un prestataire de services de confiance qui délivre des certificats au
public ne peut recueillir des données personnelles que directement auprès de la personne concernée, avec le
consentement explicite de celle-ci, et uniquement dans la mesure où cela est nécessaire à la délivrance et à la
conservation du certificat.
Les données qui leurs sont transmises, en particulier les données à caractère personnel, ne peuvent être recueillies
ni traitées à d'autres fins sans le consentement explicite préalable de la personne intéressée. Les prestataires ne
peuvent détenir, consulter et exploiter ces données que dans la mesure strictement nécessaire à l'accomplissement
de leurs services.
Lorsque le titulaire du certificat utilise un pseudonyme et lorsque les nécessités d'enquêtes de police ou d'enquêtes
judiciaires l'exigent, le prestataire de services de confiance ayant délivré le certificat est tenu de communiquer à
l'autorité compétente, à la police ou à l'autorité judiciaire, toute donnée et/ou information relative à l'identité du
titulaire.
Article 308 : Exigences de sécurité applicables aux prestataires de services de confiance
Les prestataires de services de confiance qualifiés et non-qualifiés prennent les mesures techniques et
organisationnelles nécessaires, afin de prévenir et gérer les risques liés à la sécurité des services de confiance qu’ils
fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de
sécurité soit proportionné au degré de risques. Des mesures sont notamment prises en vue de prévenir et limiter les
conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels
incidents.
Article 309 : Obligation de notification à un organe de contrôle des prestataires de services de confiance
Les prestataires de services de confiance qualifiés et non-qualifiés notifient à l’organe de contrôle et le cas échéant
aux autres organismes concernés, dans les meilleurs délais et au plus tard dans un délai de vingt quatre (24) heures
après en avoir eu connaissance, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence significative
sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.
Article 310 : Autres obligations de notification des prestataires de services de confiance
Lorsque l’atteinte à la sécurité ou la perte d’intégrité visée à l’article 309 est susceptible de porter préjudice à un
utilisateur du service de confiance, le prestataire de services de confiance lui notifie aussi l’atteinte à la sécurité ou
la perte d’intégrité dans les meilleurs délais.
Lorsque l'atteinte à la sécurité ou la perte d’intégrité concerne un Etat étranger, l’organe de contrôle qui en a reçu
la notification peut en informer les autorités compétentes et/ou les organes de contrôle de cet Etat. L’organe de
contrôle en informe par ailleurs le public ou exige du prestataire de services de confiance qu’il informe le public,
dès lors que l’organe de contrôle constate qu’il est dans l’intérêt du public d'être alerté de l’atteinte à la sécurité ou
de la perte d’intégrité.
Article 311 : Exigences applicables aux prestataires de services de confiance qualifiés