Le ministre de l'économie, des finances et de l'industrie,
Vu le décret no 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique,
Arrête :
Art. 1er. - Le Comité français d'accréditation (COFRAC), association déclarée le 4 mai 1994, ainsi que les organismes d'accréditation signataires de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation, sont chargés d'accréditer les organismes qui procèdent à l'évaluation des prestataires de services de certification électronique en vue de reconnaître leur qualification. Ils sont nommés ci-après centres d'accréditation.
Art. 2. - La demande d'accréditation, adressée par un organisme à un centre d'accréditation, doit comprendre les éléments suivants :
1. Les statuts de l'organisme, son règlement intérieur et tous autres textes régissant son fonctionnement ;
2. Les noms et qualités des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ;
3. Les noms et les qualifications des personnels de l'organisme prenant part à la procédure d'évaluation ;
4. La description des activités de l'organisme, de sa structure et de ses moyens techniques ;
5. Les comptes des deux exercices précédents ;
6. La description des procédures et des moyens qui seront mis en oeuvre par l'organisme pour évaluer les prestataires de certification électronique en vue de reconnaître leur qualification, compte tenu des normes ou prescriptions techniques en vigueur.
L'organisme demandeur doit en outre signaler au centre d'accréditation les liens éventuels qu'il a avec des prestataires de services de certification électronique. En ce cas, il doit préciser les mesures qu'il compte mettre en oeuvre pour éviter tout conflit d'intérêts.
Art. 3. - Le centre d'accréditation instruit la demande d'accréditation. Il peut solliciter tous renseignements complémentaires de l'organisme demandeur. Il peut demander à effectuer des vérifications dans les locaux de l'organisme demandeur.
A l'issue de l'instruction, le centre d'accréditation prend une décision motivée qu'il notifie à l'organisme demandeur et dont il adresse copie à la direction centrale de la sécurité des systèmes d'information. Lorsqu'il accorde l'accréditation, le centre d'accréditation peut soumettre l'organisme bénéficiaire à des obligations particulières.
Art. 4. - L'accréditation est accordée pour une durée de deux ans. Elle peut être renouvelée pour une durée identique, à la demande de l'organisme bénéficiaire, après que le centre d'accréditation a vérifié que celui-ci remplit toujours l'ensemble des conditions requises.
Les organismes accrédités informent le centre d'accréditation de tout changement par rapport aux éléments communiqués dans le dossier de demande d'accréditation. Le centre d'accréditation peut s'assurer à tout moment que les organismes continuent à satisfaire aux critères au vu desquels ils ont été accrédités.
Lorsqu'un organisme ne satisfait plus aux conditions d'accréditation ou manque aux obligations fixées dans la décision d'accréditation, le retrait d'accréditation peut être prononcé par le centre d'accréditation après que le représentant de l'organisme concerné a été mis à même de présenter ses observations.
Art. 5. - Le centre d'accréditation met à la disposition du public, notamment sur un site internet, la liste des organismes accrédités. Cette liste est tenue à jour.
Art. 6. - Un prestataire de services de certification électronique qui demande à être reconnu comme qualifié choisit un ou plusieurs organismes accrédités pour procéder à l'évaluation des services qu'il propose.
Le prestataire est tenu de fournir aux organismes qu'il a choisis tous les éléments nécessaires au bon accomplissement de la procédure d'évaluation.
Art. 7. - L'évaluation est effectuée par l'organisme aux frais du prestataire de services de certification. Son objet est notamment de vérifier que les services offerts par le prestataire respectent en tous points les exigences fixées par l'article 6 du décret du 30 mars 2001 susvisé ainsi que les normes, prescriptions techniques et règles de bonne pratique applicables en matière de certification électronique.
A l'issue de la procédure d'évaluation, l'organisme accrédité établit un rapport qui est notifié au prestataire afin que celui-ci puisse, le cas échéant, formuler des observations sur son contenu.
Art. 8. - Les rapports d'évaluation sont communiqués par les organismes accrédités à la direction centrale de la sécurité des systèmes d'information si celle-ci le demande.
Art. 9. - L'organisme accrédité reconnaît ou non la qualification du prestataire de services de certification électronique au vu du rapport d'évaluation et des éventuelles observations du prestataire.
Lorsqu'il reconnaît la qualification d'un prestataire, l'organisme accrédité délivre une attestation qui décrit les prestations de services couvertes par la qualification ainsi que la durée, qui ne peut excéder un an, pendant laquelle l'attestation est valable.
Les prestataires dont la qualification est reconnue communiquent à toute personne qui en fait la demande une copie de l'attestation délivrée par l'organisme accrédité.
Art. 10. - La directrice générale de l'industrie, des technologies de l'information et des postes est chargée de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 31 mai 2002.