Le cahier des charges, annexé au présent arrêté, des procédures de transmission de données et de documents électroniques, opérées conformément à l'article D. 1617-23 du code général des collectivités territoriales, est approuvé.

Une collectivité territoriale ou un établissement public local a le choix, pour effectuer la transmission et la réception de données et de documents électroniques, de recourir soit à un dispositif de transmission mis en oeuvre par un opérateur dénommé tiers de transmission, soit à la passerelle de transmission sécurisée d'Hélios. La collectivité ou l'établissement public local peut assumer directement la fonction de tiers de transmission en mettant en oeuvre un dispositif de transmission. Le recours à un dispositif de transmission mis en oeuvre par un tiers de transmission est recommandé dans la logique d'interopérabilité des échanges entre administrations.
Le dispositif technique de transmission, choisi par la collectivité territoriale ou l'établissement public local, est homologué dans les conditions fixées par l'article 12 du présent arrêté.
Dans le cas de l'utilisation de la passerelle de transmission sécurisée d'Hélios, la collectivité territoriale ou l'établissement public local respecte les prérequis techniques communiqués par la direction générale de la comptabilité publique.

Lorsque le protocole d'échange standard est mis en oeuvre par la collectivité ou l'établissement public local pour la dématérialisation des mandats de dépenses, des titres de recettes et des bordereaux les récapitulant, il peut aussi être utilisé pour transmettre les pièces justificatives dématérialisées associées suivant l'une des deux modalités suivantes :
a) Les pièces justificatives sont transmises, au sein du même flux électronique, dans les zones dédiées à cette fin (modèle de flux) ;
b) Les informations identifiant les pièces justificatives sont transmises au sein du même flux électronique, les pièces justificatives étant archivées et consultables sur une plate-forme de stockage sécurisée et référencée selon des modalités fixées par arrêté du ministre en charge du budget (modèle de stock).

L'homologation a pour objet de certifier la conformité au cahier des charges annexé au présent arrêté des dispositifs techniques proposés aux ordonnateurs par les tiers de transmission dans le cadre de l'option ouverte par l'article 11 du présent arrêté.
L'homologation du tiers de transmission est subordonnée au respect des obligations générales énumérées à l'article D. 1617-23 du code général des collectivités territoriales et au respect des obligations techniques décrites dans le cahier des charges en annexe n° 1 du présent arrêté.
L'homologation de tout ou partie d'un dispositif de transmission est prononcée par le ministre en charge du budget sur la base d'un rapport d'évaluation établi par un ou plusieurs centres d'évaluation de la sécurité des technologies de l'information agréés et référencés pour les domaines « techniques informatiques et réseaux » par les services du Premier ministre, conformément au décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

Le responsable du dispositif de transmission sécurisée, dénommé commanditaire, peut adresser à la direction générale de la comptabilité publique du ministère en charge du budget une demande d'homologation dans laquelle il s'engage à présenter un dispositif conforme aux exigences du cahier des charges. Cette demande doit s'accompagner d'un dossier qui comprend :
- une description du dispositif de transmission à homologuer incluant la documentation sur les modalités de mise en oeuvre de ce dispositif ;
- toutes autres indications pouvant être utiles dans la connaissance de ce dispositif (références éventuelles d'utilisation...).
Il est émis un accusé de réception du dépôt de cette demande dont l'instruction par l'administration est subordonnée à la présentation d'un ou plusieurs rapports d'évaluation établis par un ou plusieurs centres d'évaluation mentionnés au précédent article.
Le commanditaire choisit à cette fin un ou plusieurs centres d'évaluation avec chacun desquels il détermine :
- le dispositif objet de l'homologation ;
- les conditions de protection de la confidentialité des informations traitées dans le cadre de l'homologation ;
- le calendrier et les modalités pratiques de l'homologation ;
- le coût et les modalités de paiement de l'évaluation à la charge du commanditaire.
Le commanditaire doit mettre à la disposition du ou des centres d'évaluation agréés qu'il a choisis ainsi que de l'administration, si elle en fait la demande, tous les éléments nécessaires à la procédure d'homologation, après accord, le cas échéant, des fabricants concernés.

Au terme des travaux d'évaluation, chaque centre d'évaluation de la sécurité des technologies de l'information remet un rapport au commanditaire et à la direction générale de la comptabilité publique du ministère en charge du budget. Ce rapport est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial.
Le commanditaire et l'administration valident les rapports d'évaluation en liaison avec le centre d'évaluation concerné. Sur la base du ou des rapports d'évaluation validés, l'administration établit un rapport tendant à prononcer l'homologation ou à la refuser.
L'administration peut, en complément des travaux d'évaluation du ou des centres d'évaluation, procéder, en lien avec le commanditaire, à des vérifications complémentaires de son dispositif.
Le dispositif de transmission ainsi homologué peut être mis en oeuvre par un ou plusieurs tiers de transmission et utilisé pour le compte de plusieurs collectivités et établissements publics locaux.

Le rapport d'homologation est notifié par l'administration au commanditaire et le certificat d'homologation peut être assorti de recommandations.
L'homologation est délivrée pour une période de cinq ans. Toute prolongation au-delà de cette période nécessite une nouvelle évaluation du dispositif. Si, pendant cette période, des modifications substantielles du dispositif homologué interviennent, le commanditaire opère une nouvelle saisine du centre d'évaluation de la sécurité des technologies de l'information pour que son certificat d'homologation soit complété pour les prendre en compte.
En cas de discordance entre le dispositif homologué et sa mise en oeuvre opérationnelle, l'homologation peut être annulée par arrêté du ministre en charge du budget.
Le ministère en charge du budget ne peut être tenu responsable des dysfonctionnements des dispositifs de transmission et de leurs conséquences pour les collectivités territoriales et pour les établissements publics locaux qui les mettent en oeuvre.

Un dispositif de transmission homologué peut être mis en oeuvre par un opérateur dénommé tiers de transmission. La mise en oeuvre effective du dispositif de transmission, notamment le raccordement à l'application Hélios, est subordonnée à la signature préalable entre le tiers de transmission et la direction générale de la comptabilité publique d'une convention de raccordement.

En cas de recours à un tiers de transmission, le contrat conclu entre ce dernier et l'ordonnateur de la collectivité territoriale ou de l'établissement public local atteste l'homologation du dispositif de transmission sécurisée et comprend l'engagement de mettre en oeuvre le cahier des charges dans son intégralité et sans altération, dans les conditions fixées par le chapitre 4 du présent arrêté, ainsi que l'engagement d'assurer sa maintenance et son bon fonctionnement.

Le directeur général de la comptabilité publique est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.