Code des postes et des communications électroniques
Section 2 : Procédure de certification
1° Le formulaire de demande de certification complété et signé ;
2° Une présentation générale du fournisseur de moyen d'identification électronique ;
3° Une présentation technique du moyen d'identification électronique candidat à la certification ;
4° Un extrait du registre du commerce et des sociétés ou, à défaut, un extrait d'un autre registre pertinent, d'un document équivalent délivré par l'autorité judiciaire ou administrative compétente du pays d'origine ou d'établissement du fournisseur de moyen d'identification électronique ;
5° Une liste des tiers (sous-traitants, fournisseurs et prestataires) intervenant dans la conception, la mise en œuvre ou l'exploitation du moyen d'identification électronique ;
6° L'engagement du fournisseur du moyen d'identification électronique complété et signé à respecter les exigences définies par le processus de certification et par le référentiel d'exigences mentionné à l'article R. 54-2 ou le cahier des charges défini aux articles R. 54-16 à R. 54-27 ;
7° Un acte de délégation de pouvoir au signataire de l'engagement du fournisseur du moyen d'identification électronique.
Lors du renouvellement de la certification du moyen d'identification électronique, la demande comprend, en plus des documents mentionnés du 1° au 7° du présent article, une analyse d'impact sur la sécurité de toutes les modifications, quelle que soit leur nature, intervenues entre la version du moyen d'identification électronique précédemment certifiée et la version objet de la demande.
Lorsque le dossier de demande de certification qui lui est transmis n'est pas complet, l'Agence nationale de la sécurité des systèmes d'information demande, par courrier ou courrier électronique, au fournisseur de moyen d'identification électronique la fourniture des pièces manquantes dans un délai qu'elle fixe. Au terme de ce délai, si les pièces manquantes n'ont pas été fournies, l'agence informe le fournisseur de moyen d'identification électronique de la clôture de sa demande de certification.
Lorsque le dossier de demande de certification est complet, l'Agence nationale de la sécurité des systèmes d'information convient avec le fournisseur de moyen d'identification électronique d'une stratégie d'évaluation du moyen d'identification électronique.
Dès qu'elle a validé cette stratégie, l'Agence nationale de la sécurité des systèmes d'information invite le fournisseur à faire évaluer son moyen d'identification électronique par un centre d'évaluation choisi parmi ceux mentionnés au 1° ou au 2° de l'article R. 54-4.
1° Le périmètre du service à évaluer et le type de certification visé ;
2° Les conditions d'accès du centre d'évaluation à ses locaux, à son personnel et à ses moyens techniques ;
3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ;
4° Le programme de travail du centre d'évaluation.
Le fournisseur de moyen d'identification électronique met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et ses moyens techniques et de rencontrer son personnel.
Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister à toute activité effectuée par le fournisseur de moyen d'identification électronique et relevant de la certification visée.
Le rapport d'évaluation fait état :
1° D'un avis motivé sur la conformité du moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27 ou au référentiel d'exigences mentionné à l'article R. 54-2 ;
2° Des activités d'évaluation réalisées ;
3° Des constats réalisés lors de l'évaluation et le cas échéant des non-conformités identifiées.
La décision d'octroi de la certification mentionne :
1° L'identité du fournisseur de moyen d'identification électronique ;
2° Les caractéristiques du moyen d'identification électronique certifié ;
3° Le niveau de garantie atteint par le moyen d'identification électronique ;
4° La durée de validité de la certification ;
5° Le cas échéant, les conditions et les réserves liées à la délivrance ou à l'usage du moyen d'identification électronique.
La décision de refus de certification mentionne les voies et les délais de recours possibles.
Son renouvellement est prononcé dans les mêmes formes et selon la même procédure que celles prévues par la présente section.
L'Agence nationale de la sécurité des systèmes d'information publie sur son site internet les décisions de certification en cours de validité.
Pendant la période de validité de la décision de certification, l'Agence nationale de la sécurité des systèmes d'information peut contrôler, ou faire contrôler par un centre d'évaluation, la conformité du fournisseur de moyen d'identification électronique aux exigences applicables. Ces contrôles sont réalisés dans la limite d'un contrôle par an, sauf en cas d'apparition de vulnérabilités affectant le moyen d'identification électronique ou à la suite d'un incident de sécurité affectant le moyen d'identification électronique.
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information met en demeure le fournisseur du moyen d'identification électronique de présenter dans un délai de deux mois un plan d'action pour répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa.
Si le directeur général de l'Agence nationale de la sécurité des systèmes d'information estime que les mesures proposées par le fournisseur du moyen d'identification électronique dans le cadre du plan d'action ne permettent pas de répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa, il en informe la direction interministérielle du numérique et sollicite son avis afin que, dans un délai d'un mois, elle lui fasse part des enjeux de continuité des services qui s'appuient sur ce moyen d'identification électronique.
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information sollicite simultanément l'avis des personnes qui lui semblent qualifiées. Cet avis est transmis au directeur général de l'Agence nationale de la sécurité des systèmes d'information dans un délai d'un mois à compter de la réception de la sollicitation.
A l'issue du délai d'un mois mentionné au précédent alinéa, le directeur général de l'Agence nationale de la sécurité des systèmes d'information informe le fournisseur de moyen d'identification électronique du sens de sa décision et des avis de la direction interministérielle du numérique et, le cas échéant, des autres personnes qualifiées sollicitées.
Le fournisseur de moyen d'identification électronique peut présenter ses observations dans un délai de deux mois à compter de cette information.
A l'issue de ce délai de deux mois, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie sa décision au fournisseur de moyen d'identification électronique dans les conditions prévues par le code des relations entre le public et l'administration.