Un prestataire de services de certification électronique qui demande à être reconnu comme qualifié choisit un organisme accrédité pour procéder à l'évaluation de ses activités.
Le prestataire est tenu de fournir à l'organisme choisi tous les éléments nécessaires au bon accomplissement de la procédure d'évaluation.

L'évaluation est effectuée par l'organisme aux frais du prestataire de services de certification. Son objet est de vérifier que le prestataire se conforme aux spécifications techniques relatives aux prestataires de services de certification en vue de la reconnaissance de sa qualification. Ces spécifications techniques, déterminées en annexe, précisent les exigences fixées par l'article 6 du décret du 30 mars 2001 susvisé.
A l'issue de la procédure d'évaluation, l'organisme accrédité établit un rapport qui est notifié au prestataire afin que celui-ci puisse, le cas échéant, formuler des observations sur son contenu.

Les rapports d'évaluation sont communiqués par les organismes accrédités à la direction centrale de la sécurité des systèmes d'information.

L'organisme accrédité reconnaît ou non la qualification du prestataire de services de certification électronique au vu du rapport d'évaluation et des éventuelles observations du prestataire et en informe la direction centrale de la sécurité des systèmes d'information.
Lorsqu'il reconnaît la qualification d'un prestataire, l'organisme accrédité délivre une attestation qui décrit les activités couvertes par la qualification ainsi que la durée pendant laquelle l'attestation est valable. Il en adresse une copie à la direction centrale de la sécurité des systèmes d'information. Pendant cette durée, qui ne peut excéder trois ans, le prestataire doit faire l'objet d'un audit de surveillance au moins annuel de la part de l'organisme accrédité, qui peut conduire à une suspension ou à un retrait de l'attestation de la part de l'organisme accrédité. Ce dernier en informe alors aussitôt la direction centrale de la sécurité des systèmes d'information.
Les prestataires dont la qualification est reconnue communiquent à toute personne qui en fait la demande une copie de l'attestation délivrée par l'organisme accrédité.

Les prestataires qui fournissent des services techniques aux prestataires de services de certification électronique délivrant des certificats électroniques qualifiés peuvent solliciter auprès d'un organisme accrédité, dans les mêmes conditions, une attestation de conformité de ces services aux spécifications techniques, figurant en annexe, qui leur sont applicables.

L'arrêté du 31 mai 2002 relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l'accréditation des organismes chargés de l'évaluation est abrogé.

Le directeur général de l'industrie, des technologies de l'information et des postes est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.