Le Premier ministre,
Vu la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, notamment son article 28 ;
Vu le décret n° 92-1358 du 28 décembre 1992 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie ;
Vu les délibérations du directoire de la sécurité des systèmes d'information en date du 29 octobre 1992,
Arrête :
a) Les interfaces avec les utilisateurs doivent être conformes aux normes nationales toutes les fois qu'il en existe ;
b) Le fournisseur de la prestation doit prévoir et mettre en oeuvre des moyens propres à éviter qu'un tiers non autorisé puisse se substituer au gestionnaire de la prestation ;
c) Les éléments secrets utilisés devront être conservés, associés à des éléments d'information permettant de connaître l'usage qui en a été fait, durant une période minimale de dix jours ouvrables s'ils sont propres à une communication donnée, de quatre mois dans les autres cas. Toutefois, le service central de la sécurité des systèmes d'information peut dispenser le fournisseur de cette obligation s'il justifie de dispositions comportant des garanties équivalentes ;
Les fichiers utilisés pour cette conservation ne seront consultables qu'avec l'accord écrit de toutes les parties concernées ou sur réquisition d'une autorité habilitée par la loi :
d) Le fournisseur de la prestation devra prendre toute mesure pour qu'il n'y ait pas d'impossibilité technique à la conduite des enquêtes ou investigations autorisées par la loi ;
e) Le fournisseur de la prestation est tenu de déclarer aux autorités de la police judiciaire territorialement compétentes les accès illicites au système de gestion ou les atteintes à sa sécurité dont il aurait connaissance ; il en informe également le service central de la sécurité des systèmes d'information.
Fait à Paris, le 28 décembre 1992.