Les centres d'évaluation chargés de procéder à l'évaluation prévue au présent décret et aux articles R. 331-85 à R. 331-88 du code de la propriété intellectuelle sont agréés dans les conditions fixées par le présent chapitre.

I.-La demande d'agrément est formulée auprès de l'Agence nationale de la sécurité des systèmes d'information. Cette demande précise le domaine dans lequel l'organisme demandeur entend exercer son activité.

II.-L'organisme demandeur doit faire la preuve :

a) De sa conformité à des critères de qualité selon les règles ou les normes en vigueur ;

b) De son aptitude à appliquer les critères d'évaluation en vigueur et la méthodologie correspondante ainsi qu'à assurer la confidentialité requise par l'évaluation ;

c) De sa compétence technique à conduire une évaluation.

La conformité mentionnée au a et l'aptitude mentionnée au b sont attestées soit par une accréditation délivrée par une instance d'accréditation mentionnée à l'article L. 115-28 du code de la consommation, soit par l'Agence nationale de la sécurité des systèmes d'information.

La compétence technique mentionnée au c est appréciée par l'Agence nationale de la sécurité des systèmes d'information, notamment à partir des moyens, des ressources et de l'expérience du centre d'évaluation.

L'agrément est délivré par le directeur général de l'Agence nationale de la sécurité des systèmes d'information, après avis du comité directeur de la certification. Il peut énoncer les obligations particulières auxquelles est soumis le centre d'évaluation. Il est valable pour une durée de deux ans renouvelable.

Lorsqu'un centre d'évaluation situé hors du territoire national ou d'un autre Etat membre de la Communauté européenne a déjà fait l'objet d'un agrément par les autorités de son pays d'installation dans le cadre d'une procédure homologue, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut, après avis du comité directeur de la certification, le déclarer agréé au titre du présent décret. Cet agrément, qui est accordé pour une durée de deux ans renouvelable, peut être limité à un niveau d'assurance déterminé.

Lorsqu'un centre d'évaluation situé dans un Etat membre de la Communauté européenne a déjà fait l'objet d'un agrément par les autorités de cet Etat dans le cadre d'une procédure équivalente, le directeur général de l'Agence nationale de la sécurité des systèmes d'information, après avis du comité directeur de la certification, le déclare agréé au titre du présent décret.

L'Agence nationale de la sécurité des systèmes d'information peut s'assurer à tout moment que les centres d'évaluation continuent à satisfaire aux critères au vu desquels ils ont été agréés.

Lorsqu'un centre ne satisfait plus aux exigences mentionnées à l'article 11 ou qu'il manque aux obligations fixées par la décision d'agrément, l'agrément peut être retiré par le directeur général de l'Agence nationale de la sécurité des systèmes d'information, après avis du comité directeur de la certification. Le retrait ne peut être prononcé qu'après que le représentant du centre d'évaluation a été mis à même de faire valoir ses observations devant le comité directeur de la certification.