Modèle de contrat type

Forme du contrat type que l’organisme propose à ses clients

 Conformément aux décrets n° 2010-1209 du 13 septembre et n°2012-1508 du 31 décembre 2012 relatifs à la loi 2008-41 du 20 août 2008 sur la cryptologie, l’organisme prestataire de cryptologie doit obligatoirement établir un contrat avec son client.

Le contrat doit comprendre :

  1. La référence de l’agrément, la durée et la date d’expiration prévues par cet agrément, ainsi que tout élément d’information que le cahier des charges imposerait de communiquer aux utilisateurs ;
  2. Un engagement de l’organisme agréé relatif à la sécurité des conventions secrètes qu’il gère pour le compte de l’utilisateur ;
  3. Les modalités selon lesquelles l’utilisateur ou toute autre personne éventuellement mandatée par celui-ci, pourra, à la demande, se faire délivrer copie de ses conventions secrètes durant le contrat ou après son terme (en cas de transfert) ;
  4. Les informations légales et réglementaires à communiquer au client, en particulier : 
  5. Les règles d’emploi du moyen et des conventions secrètes distribuées ;
  6. Les sanctions encourues par le client en cas de mauvais usage ou de détournement du moyen dont le prestataire gère les conventions secrètes ;
  7. Les sanctions encourues par le prestataire en cas de perte, vol ou altération des conventions secrètes du client.
  8. Les règles d’emploi détaillées des produits de cryptologie : 

Outre une description des prestations et des moyens de cryptologie proposés aux clients, l’organisme agréé doit lui en communiquer le mode d’emploi détaillé. Ce dernier peut, par exemple, prendre la forme d’un manuel rédigé à l’intention des utilisateurs indiquant le procédé de chiffrement et de génération des clés employées, l’architecture des clés, les fonctions et schémas d’utilisation.

  • Les modalités de délivrance des copies des clés au client ou à son mandataire : 

Pour mettre en œuvre les conventions secrètes sur les moyens de cryptologie prévus au contrat, l’organisme agréé doit préalablement attribuer et remettre à ses clients un identifiant afin qu’ils puissent remplir les champs prévus, aux fins d’identification, dans les moyens de cryptologie.

Il doit également mettre en œuvre les dispositifs permettant de contrôler l’intégrité de ces identifiants et données associées et conserver ces identifiants dans le répertoire de ses clients.