La loi n°26-02 du 17 février 2026, portant sur les services de confiance pour les transactions électroniques et l’identification électronique, entre en vigueur après sa publication au Journal officiel n°14.
Selon le texte, « la présente loi a pour objet de fixer les règles générales relatives aux services de confiance pour les transactions électroniques et à l’identification électronique ».
Le champ d’application est également précisé. Les dispositions de la loi « s’appliquent aux personnes physiques ou morales utilisant les transactions électroniques et/ou les services de confiance, aux transactions électroniques, aux documents électroniques et aux services de confiance ainsi qu’aux procédures nécessaires pour leur concrétisation ».
Dans ce cadre, la loi prévoit la création d’une autorité nationale unifiée de certification électronique. Il est indiqué que « l’Autorité est chargée de la supervision, du contrôle, de la promotion, du développement et de l’organisation des activités liées aux services de confiance. »
Cette autorité est notamment chargée, entre autres missions, « d’élaborer ses politiques de certification électronique et de veiller à leur application, après leur approbation conformément à la législation et à la réglementation en vigueur, de définir les exigences requises pour la fourniture des services de confiance, d’approuver les politiques de certification électronique élaborées par les fournisseurs de services de confiance, d’élaborer les cahiers de charges fixant les conditions et les modalités de prestation de services de confiance, de fournir les services de confiance et les services de confiance qualifiés ».
Par ailleurs, l’organisme national chargé de la sécurité des systèmes d’information « arrête les modalités d’accréditation des prestataires de services d’audit en matière de fourniture des services de confiance, de concert avec l’Autorité, conformément à la législation et à la réglementation en vigueur ».
La loi prévoit que les tiers de confiance « font l’objet d’un audit périodique effectué par l’autorité ou l’organisme national en charge de la sécurité des systèmes d’information ou par un prestataire de services d’audit accrédité, afin d’évaluer leur conformité par rapport aux référentiels d’audit nationaux. Le maintien de la fourniture d’un ou de plusieurs services de confiance est tributaire des résultats des opérations d’audit périodiques ».
De leur côté, les prestataires de services de confiance « font l’objet d’un audit périodique effectué, à leurs frais, par l’autorité ou par un prestataire de services d’audit accrédité, afin d’évaluer leur conformité par rapport aux référentiels d’audit nationaux et/ou reconnus par l’autorité ».
Le texte précise également que « le maintien de la fourniture d’un ou de plusieurs services de confiance par les prestataires de services de confiance est tributaire des résultats des opérations d’audit périodiques ».
La loi introduit en outre des sanctions financières et administratives en cas de non-respect des obligations prévues par le cahier des charges.
Ainsi, « le non-respect des conditions auxquelles sont soumis les prestataires de services de confiance au titre du cahier de charges et des décisions de l’autorité donne lieu à l’application des sanctions pécuniaires ; suspension ou réduction de la durée de l’autorisation ; retrait de l’autorisation ». Il est aussi précisé que « sans préjudice de sanctions plus graves prévues par la législation en vigueur, les infractions aux dispositions de la présente loi sont sanctionnées par les peines déterminées dans ce chapitre (3, ndlr) ».
La loi prévoit une mesure particulière en cas d’atteinte à la défense nationale ou à la sécurité publique. « Dans le cas d’une atteinte à des impératifs exigés par la défense nationale et la sécurité publique par un prestataire de services de confiance, l’autorité procède au retrait, sans délai, de l’autorisation. Dans ce cas, les équipements du prestataire de services de confiance font l’objet de mesures conservatoires, conformément à la législation en vigueur, et ce, sans préjudice des poursuites pénales ».
