Le Comité français d'accréditation (COFRAC), association déclarée le 4 mai 1994, ou tout organisme d'accréditation signataire de l'accord multilatéral de reconnaissance mutuelle pris dans le cadre de la coopération européenne des organismes d'accréditation (EA), ci-après nommé centre d'accréditation, est chargé d'accréditer les organismes qui procèdent à l'évaluation des prestataires de services de certification électronique en vue de reconnaître leur qualification. Le référentiel d'accréditation comprend la norme NF EN 45012 ou une norme équivalente, ainsi que les règles d'application établies par le centre d'accréditation.

La demande d'accréditation adressée par un organisme à un centre d'accréditation doit comprendre les éléments suivants :

1. Les statuts de l'organisme, son règlement intérieur et tout autre texte régissant son fonctionnement ;
2. Les noms et qualités des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ;
3. Les noms et les qualifications des personnels de l'organisme prenant part à la procédure d'évaluation ;
4. La description des activités de l'organisme, de sa structure et de ses moyens techniques ;
5. Les comptes des deux exercices précédents ;
6. La description des procédures et des moyens qui seront mis en oeuvre par l'organisme pour évaluer les prestataires de services de certification électronique en vue de reconnaître leur qualification, compte tenu des normes ou prescriptions techniques en vigueur.
   L'organisme demandeur doit en outre signaler au centre d'accréditation les liens éventuels qu'il a avec des prestataires de services de certification électronique. En ce cas, il doit préciser les mesures qu'il compte mettre en oeuvre pour éviter tout conflit d'intérêts.
   L'organisme demandeur doit disposer, conformément à la clause 2.1.2.e de la norme NF EN 45012, d'une structure en son sein qui préserve son impartialité. Cette structure doit notamment comprendre un représentant de la direction centrale de la sécurité des systèmes d'information, un représentant de l'agence pour le développement de l'administration électronique et un représentant de la direction générale de l'industrie, des technologies de l'information et des postes.

Le centre d'accréditation instruit la demande d'accréditation. Il peut solliciter tous renseignements complémentaires de l'organisme demandeur. Il peut demander à effectuer des vérifications dans les locaux de l'organisme demandeur.
A l'issue de l'instruction, le centre d'accréditation prend une décision motivée qu'il notifie à l'organisme demandeur et dont il adresse copie à la direction centrale de la sécurité des systèmes d'information. Lorsqu'il accorde l'accréditation, le centre d'accréditation peut soumettre l'organisme bénéficiaire à des obligations particulières.

L'accréditation est valable pour une durée qui ne peut excéder cinq ans. Les organismes accrédités informent le centre d'accréditation de tout changement par rapport aux éléments communiqués dans le dossier de demande d'accréditation.
Pendant la durée de l'accréditation, le centre d'accréditation effectue une surveillance régulière, qui peut conduire selon les cas à une suspension ou à un retrait de l'accréditation, en vertu des règles en vigueur dans le cadre de la coopération européenne des organismes d'accréditation. La suspension ou le retrait de l'accréditation ne peut être prononcé qu'après que le représentant de l'organisme précédemment accrédité a été mis à même de présenter ses observations. La direction centrale de la sécurité des systèmes d'information est informée de toute suspension ou de tout retrait d'accréditation.

Le centre d'accréditation met à la disposition du public, notamment sur un site internet, la liste des organismes accrédités. Cette liste est tenue à jour.