La demande de certification, adressée à l'Agence nationale de la sécurité des systèmes d'information par le fournisseur de moyen d'identification électronique, comprend les documents suivants :

1° Le formulaire de demande de certification complété et signé ;

2° Une présentation générale du fournisseur de moyen d'identification électronique ;

3° Une présentation technique du moyen d'identification électronique candidat à la certification ;

4° Un extrait du registre du commerce et des sociétés ou, à défaut, un extrait d'un autre registre pertinent, d'un document équivalent délivré par l'autorité judiciaire ou administrative compétente du pays d'origine ou d'établissement du fournisseur de moyen d'identification électronique ;

5° Une liste des tiers (sous-traitants, fournisseurs et prestataires) intervenant dans la conception, la mise en œuvre ou l'exploitation du moyen d'identification électronique ;

6° L'engagement du fournisseur du moyen d'identification électronique complété et signé à respecter les exigences définies par le processus de certification et par le référentiel d'exigences mentionné à l'article R. 54-2 ou le cahier des charges défini aux articles R. 54-16 à R. 54-27 ;

7° Un acte de délégation de pouvoir au signataire de l'engagement du fournisseur du moyen d'identification électronique.

Lors du renouvellement de la certification du moyen d'identification électronique, la demande comprend, en plus des documents mentionnés du 1° au 7° du présent article, une analyse d'impact sur la sécurité de toutes les modifications, quelle que soit leur nature, intervenues entre la version du moyen d'identification électronique précédemment certifiée et la version objet de la demande.

L'Agence nationale de la sécurité des systèmes d'information accuse réception de toute demande de certification de moyen d'identification électronique dans les conditions prévues à l'article L. 112-11 du code des relations entre le public et l'administration.

Lorsque le dossier de demande de certification qui lui est transmis n'est pas complet, l'Agence nationale de la sécurité des systèmes d'information demande, par courrier ou courrier électronique, au fournisseur de moyen d'identification électronique la fourniture des pièces manquantes dans un délai qu'elle fixe. Au terme de ce délai, si les pièces manquantes n'ont pas été fournies, l'agence informe le fournisseur de moyen d'identification électronique de la clôture de sa demande de certification.

Lorsque le dossier de demande de certification est complet, l'Agence nationale de la sécurité des systèmes d'information convient avec le fournisseur de moyen d'identification électronique d'une stratégie d'évaluation du moyen d'identification électronique.

Dès qu'elle a validé cette stratégie, l'Agence nationale de la sécurité des systèmes d'information invite le fournisseur à faire évaluer son moyen d'identification électronique par un centre d'évaluation choisi parmi ceux mentionnés au 1° ou au 2° de l'article R. 54-4.

Le fournisseur de moyen d'identification électronique détermine avec le centre d'évaluation choisi, conformément à la stratégie d'évaluation mentionnée à l'article R. 54-6 :

1° Le périmètre du service à évaluer et le type de certification visé ;

2° Les conditions d'accès du centre d'évaluation à ses locaux, à son personnel et à ses moyens techniques ;

3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ;

4° Le programme de travail du centre d'évaluation.

Le moyen d'identification électronique est évalué sur pièces et sur place selon le programme de travail, mentionné à l'article R. 54-6, par le centre d'évaluation et, le cas échéant, par l'Agence nationale de la sécurité des systèmes d'information.

Le fournisseur de moyen d'identification électronique met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et ses moyens techniques et de rencontrer son personnel.

Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister à toute activité effectuée par le fournisseur de moyen d'identification électronique et relevant de la certification visée.

Le centre d'évaluation informe sans délai l'Agence nationale de la sécurité des systèmes d'information de toute difficulté. L'Agence peut, à tout moment, demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander, aux frais du fournisseur de moyen d'identification électronique, un complément à l'évaluation réalisée par le centre d'évaluation.

Au terme de l'évaluation, le centre d'évaluation remet un rapport d'évaluation au fournisseur de moyen d'identification électronique qui le transmet à l'Agence nationale de la sécurité des systèmes d'information dans un délai de trois jours ouvrables après sa réception.

Le rapport d'évaluation fait état :

1° D'un avis motivé sur la conformité du moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27 ou au référentiel d'exigences mentionné à l'article R. 54-2 ;

2° Des activités d'évaluation réalisées ;

3° Des constats réalisés lors de l'évaluation et le cas échéant des non-conformités identifiées.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information prend la décision de certification en tenant compte du rapport d'évaluation et, le cas échéant, des vérifications complémentaires demandées ou réalisées par l'Agence nationale de la sécurité des systèmes d'information.

La décision d'octroi de la certification mentionne :

1° L'identité du fournisseur de moyen d'identification électronique ;

2° Les caractéristiques du moyen d'identification électronique certifié ;

3° Le niveau de garantie atteint par le moyen d'identification électronique ;

4° La durée de validité de la certification ;

5° Le cas échéant, les conditions et les réserves liées à la délivrance ou à l'usage du moyen d'identification électronique.

La décision de refus de certification mentionne les voies et les délais de recours possibles.

En application du 4° de l'article L. 231-4 et de l'article L. 231-6 du code des relations entre le public et l'administration, le silence gardé par le directeur général de l'Agence nationale de la sécurité des systèmes d'information pendant trois mois sur la demande de certification vaut décision de rejet.

La certification a une durée de validité maximale de deux ans à compter du prononcé de la décision par le directeur de l'Agence nationale de la sécurité des systèmes d'information.

Son renouvellement est prononcé dans les mêmes formes et selon la même procédure que celles prévues par la présente section.

L'Agence nationale de la sécurité des systèmes d'information publie sur son site internet les décisions de certification en cours de validité.

Pendant la période de validité de la décision de certification, l'Agence nationale de la sécurité des systèmes d'information peut contrôler, ou faire contrôler par un centre d'évaluation, la conformité du fournisseur de moyen d'identification électronique aux exigences applicables. Ces contrôles sont réalisés dans la limite d'un contrôle par an, sauf en cas d'apparition de vulnérabilités affectant le moyen d'identification électronique ou à la suite d'un incident de sécurité affectant le moyen d'identification électronique.

En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut décider d'abroger la décision de certification ou de l'assortir de conditions restrictives.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information met en demeure le fournisseur du moyen d'identification électronique de présenter dans un délai de deux mois un plan d'action pour répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa.

Si le directeur général de l'Agence nationale de la sécurité des systèmes d'information estime que les mesures proposées par le fournisseur du moyen d'identification électronique dans le cadre du plan d'action ne permettent pas de répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa, il en informe la direction interministérielle du numérique et sollicite son avis afin que, dans un délai d'un mois, elle lui fasse part des enjeux de continuité des services qui s'appuient sur ce moyen d'identification électronique.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information sollicite simultanément l'avis des personnes qui lui semblent qualifiées. Cet avis est transmis au directeur général de l'Agence nationale de la sécurité des systèmes d'information dans un délai d'un mois à compter de la réception de la sollicitation.

A l'issue du délai d'un mois mentionné au précédent alinéa, le directeur général de l'Agence nationale de la sécurité des systèmes d'information informe le fournisseur de moyen d'identification électronique du sens de sa décision et des avis de la direction interministérielle du numérique et, le cas échéant, des autres personnes qualifiées sollicitées.

Le fournisseur de moyen d'identification électronique peut présenter ses observations dans un délai de deux mois à compter de cette information.

A l'issue de ce délai de deux mois, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie sa décision au fournisseur de moyen d'identification électronique dans les conditions prévues par le code des relations entre le public et l'administration.

Lorsque les manquements ou changements de circonstance mentionnés à l'article R. 54-14 sont liés à des vulnérabilités permettant d'usurper ou d'altérer l'identité des utilisateurs du moyen d'identification électronique, connues publiquement ou dont l'exploitation, suspectée ou avérée, entraîne des conséquences graves pour l'utilisateur ou les fournisseurs de services, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut suspendre la certification du moyen d'identification électronique concerné. Cette suspension est prononcée jusqu'à l'intervention d'une décision d'abrogation de la certification ou de levée de la suspension prise par le directeur général de l'Agence nationale de la sécurité des systèmes d'information, dans un délai qui ne peut excéder cinq mois, dans les conditions prévues à l'article R. 54-14.