Dans un décret lu ce jeudi 21 mai 2026 à la télévision nationale, le Président de la République a instauré un nouveau cadre réglementaire relatif à l’audit de sécurité, au contrôle et à la certification des systèmes d’information utilisés dans les transactions électroniques.
Selon le décret, les autorités justifient cette réforme par « l’essor rapide des services de transactions électroniques en République de Guinée » ainsi que par « la nécessité impérieuse de garantir la sécurité, la fiabilité et l’intégrité des systèmes d’information ».
Le décret confère à l’Autorité de Régulation des Postes et Télécommunications (ARPT) de larges pouvoirs de supervision, de contrôle et de certification des infrastructures numériques utilisées dans les transactions électroniques.
Le document définit plusieurs notions essentielles liées à la cybersécurité, notamment :
* l’audit de sécurité ;
* la certification des systèmes d’information ;
* les non-conformités majeures et mineures ;
* les infrastructures critiques ;
* les incidents de sécurité ;
* ainsi que les obligations des prestataires d’audit agréés.
Selon l’article 4 du décret, toutes les entreprises et établissements publics ou privés exerçant des activités de transactions électroniques en Guinée sont désormais soumis à des audits de sécurité obligatoires.
Le texte précise également que les sociétés étrangères proposant des services électroniques à des résidents guinéens devront se conformer aux exigences imposées par l’ARPT.
Les audits de sécurité devront être réalisés tous les trois ans, avec des contrôles intermédiaires pour les structures jugées sensibles ou critiques.
En cas d’incident majeur de cybersécurité ou de modification importante d’un système informatique, l’ARPT pourra imposer un audit exceptionnel.
Le décret prévoit qu’à l’issue d’un audit concluant, l’ARPT délivrera un certificat de conformité attestant que le système audité respecte les normes de sécurité et de performance exigées.
En revanche, en cas de non-conformité majeure, une nouvelle vérification sera imposée aux frais de l’entreprise concernée avant toute certification.
Le texte insiste aussi sur la confidentialité absolue des rapports d’audit. Toute divulgation non autorisée pourrait entraîner des poursuites civiles et pénales.
Autre innovation majeure : les entreprises auront désormais l’obligation de signaler toute attaque informatique ou perturbation affectant leurs systèmes dans un délai maximal de 72 heures après constatation.
Lorsqu’un incident touche un nombre important d’utilisateurs, une première alerte devra être adressée à l’ARPT dans les 24 heures, suivie d’un rapport détaillé dans les 72 heures.
Le décret prévoit un dispositif de sanctions particulièrement sévère contre les entreprises refusant de se soumettre aux audits obligatoires.
Ainsi, une astreinte journalière de 50 millions de francs guinéens pourra être infligée aux entités récalcitrantes, avec un plafond fixé à 4,5 milliards de francs guinéens.
Des sanctions pécuniaires pouvant atteindre 3 milliards de francs guinéens sont également prévues en cas de manquements graves aux obligations fixées par le décret.
Les prestataires d’audit agréés ne sont pas épargnés. En cas de rapports incomplets, de conflits d’intérêts non déclarés ou de violations des règles de confidentialité, l’ARPT pourra prononcer des avertissements, des suspensions temporaires ou le retrait définitif de leur agrément.