Lorsqu’un prestataire de services de confiance qualifié délivre un certificat qualifié pour un service de confiance, il
vérifie par des moyens appropriés l’identité et le cas échéant, tous les attributs spécifiques de la personne physique
ou morale à laquelle il délivre le certificat qualifié. Ces informations sont vérifiées par le prestataire de services de
confiance qualifié ou par un tiers, notamment :
1- par la présence physique de la personne physique concernée ou du représentant autorisé de la personne morale ;
2- au moyen d’un certificat de signature électronique qualifié ou de cachet électronique qualifié ; ou
3- à l’aide d’autres méthodes d’identification reconnues en République du Bénin qui fournissent une garantie
équivalente en termes de fiabilité, à la présence physique de la personne physique concernée ou du représentant
autorisé de la personne morale. La garantie équivalente est confirmée par un organisme d’évaluation de la
conformité.
Un prestataire de services de confiance qualifié doit :
1- informer l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et
de son intention éventuelle de cesser ses activités ;
2- démontrer qu'il dispose des moyens techniques fiables en vue de fournir les services de confiance qualifié en
toute sécurité ;
3- assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat ;
4- veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec
précision ;
5- prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de services de confiance
génère des données afférentes à la création de signature ou de cachet électronique, garantir la confidentialité au
cours du processus de génération de ces données ;
6- disposer des ressources financières suffisantes pour mener convenablement son activité ;
7- souscrire une police d'assurance garantissant les dommages susceptibles d'être causés dans l'exercice de cette
activité ;
8- employer du personnel et sous-traitants disposant de l’expertise, de l’expérience et des qualifications nécessaires
en matière de sécurité des réseaux et systèmes d'informations et de protection des données à caractère personnel, et
appliquant des procédures administratives et de gestion correspondant aux normes nationales et internationales ;
9- informer les utilisateurs de services de confiance qualifiés, de manière claire, exhaustive et avant toute relation
contractuelle, sur les conditions précises d’utilisation du service, y compris les limites à son utilisation, les
procédures de réclamation et de règlement des litiges. Cette information peut être transmise par voie électronique,
et doit faire l’objet d’un écrit en langue française et être aisément compréhensible. Des éléments pertinents de cette
information doivent également, sur demande, être mis à la disposition de tiers qui se prévalent du certificat ;
10- utiliser des systèmes et équipements fiables, protégés contre les risques de modifications et assurant la sécurité
technique des processus pris en charge ;
11- utiliser des systèmes fiables de stockage des données qui lui sont communiquées, sous une forme vérifiable de
sorte que :
•
•
les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la
personne concernée ;
seules des personnes autorisées puissent introduire des données et modifier les données conservées ;