Le gouvernement guinéen franchit une nouvelle étape dans l’encadrement du secteur numérique. À travers un nouveau décret relatif à l’audit, au contrôle et à la certification des systèmes d’information des transactions électroniques, les autorités entendent renforcer la sécurité des plateformes numériques opérant en Guinée.
Le texte, pris en application de la loi de 2016 sur les transactions électroniques, confère à Autorité de Régulation des Postes et Télécommunications (ARPT) un pouvoir accru de supervision des infrastructures numériques utilisées par les entreprises publiques et privées.
“Le présent décret a pour objet de définir la procédure d’audit de sécurité, de contrôle et de certification des systèmes d’information des transactions électroniques”, précise le document officiel, qui s’inscrit dans un contexte de montée en puissance des services financiers numériques, du mobile money et des plateformes électroniques en Guinée.
Le décret impose désormais un audit de sécurité périodique obligatoire à toutes les structures exerçant des activités de transactions électroniques sur le territoire national. Les entreprises concernées devront soumettre leurs systèmes d’information à un contrôle approfondi au moins une fois tous les trois ans.
“En cas d’incident de sécurité majeur ou de modification substantielle de l’architecture du système d’information, l’ARPT peut ordonner, par décision motivée, un audit exceptionnel en dehors du cycle périodique”, indique le texte.
Les audits devront être réalisés par des prestataires agréés par l’ARPT. Ces cabinets devront notamment démontrer leur indépendance, disposer d’une assurance professionnelle et employer au moins un expert certifié en cybersécurité.
Le décret élargit également son champ d’application aux prestataires étrangers offrant des services électroniques à des résidents guinéens. Une disposition qui vise clairement les plateformes numériques et opérateurs transnationaux actifs sur le marché guinéen.
“Les modalités d’application différenciées selon la taille, la nature et le volume d’activité des entités concernées sont fixées par décision de l’ARPT qui établit à cet effet une classification des entités par niveau de criticité.”
Cette approche permettra au régulateur d’adapter les exigences de contrôle en fonction du niveau de risque présenté par chaque acteur.
Le texte introduit aussi une obligation stricte de déclaration des incidents de cybersécurité. Toute attaque ou intrusion susceptible d’affecter un système de transactions électroniques devra être signalée à l’ARPT dans un délai maximal de 72 heures.
“Lorsque l’incident est susceptible d’affecter les données ou les services d’un nombre significatif d’utilisateurs, une notification initiale est adressée à l’ARPT dans les 24 heures.”
Cette disposition rapproche la Guinée des standards internationaux en matière de cybersécurité et de protection des données personnelles au sein de l’espace Communauté économique des États de l’Afrique de l’Ouest.
Le décret prévoit un régime de sanctions jugé particulièrement dissuasif. Les entreprises refusant de se soumettre aux audits obligatoires pourront être frappées d’une astreinte journalière de 50 millions de francs guinéens.
“Cette astreinte ne peut excéder la somme de quatre milliards cinq cents millions de francs guinéens.”
En cas de manquements persistants, l’ARPT pourra également infliger des sanctions pécuniaires pouvant atteindre trois milliards de francs guinéens, avec un doublement des montants en cas de récidive.
À travers ce décret, les autorités guinéennes affichent leur volonté de structurer davantage l’écosystème numérique national, alors que les usages électroniques connaissent une croissance rapide. “Le certificat de conformité peut être suspendu ou retiré par décision motivée de l’ARPT en cas d’incident de sécurité majeur survenu postérieurement à sa délivrance ou en cas de manquement grave.”
Le texte prévoit par ailleurs une période transitoire de dix-huit mois permettant aux opérateurs déjà en activité de se mettre en conformité avec les nouvelles exigences réglementaires.
