La demande de qualification d'un produit de sécurité est adressée à l'Agence nationale de la sécurité des systèmes d'information. Celle-ci met à la disposition du public par voie électronique la liste des pièces à joindre à la demande, qui contient notamment une description détaillée du produit et de ses fonctions de sécurité ainsi que les objectifs de sécurité qu'il vise à satisfaire.
Lorsque le dossier de demande est complet, l'Agence nationale de la sécurité des systèmes d'information s'assure, au vu des pièces fournies, que :
1° Les objectifs de sécurité du produit sont définis de manière pertinente au regard des menaces pesant sur la sécurité des systèmes d'information ;
2° Les fonctions de sécurité du produit sont cohérentes avec les objectifs de sécurité qu'il vise à satisfaire ;
3° Les matériels, les logiciels, leurs codes sources et la documentation nécessaires pour réaliser l'évaluation des fonctions de sécurité du produit sont disponibles sans restriction.
Lorsqu'elle estime que les conditions prévues aux 1° à 3° sont remplies, l'Agence nationale de la sécurité des systèmes d'information invite le demandeur à faire évaluer les fonctions de sécurité du produit en vue d'obtenir une qualification. Dans le cas contraire, elle lui indique les motifs pour lesquels le produit ne peut être qualifié.

Pour faire évaluer les fonctions de sécurité du produit, le demandeur choisit un ou plusieurs centres d'évaluation agréés dans les conditions prévues par le décret du 18 avril 2002 susvisé. Il détermine avec chacun de ces centres le programme de travail et les délais nécessaires pour réaliser l'évaluation ainsi que les conditions dans lesquelles sera protégée la confidentialité des informations traitées dans le cadre de l'évaluation.
Lorsque l'évaluation de certaines fonctions de sécurité nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation, l'Agence nationale de la sécurité des systèmes d'information évalue elle-même ces fonctions.
En l'absence de centre d'évaluation agréé, l'Agence nationale de la sécurité des systèmes d'information peut réaliser l'ensemble de l'évaluation.

Le demandeur met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et de chaque centre d'évaluation concerné l'ensemble des matériels, des logiciels, des codes sources et de la documentation nécessaires pour évaluer les fonctions de sécurité du produit.

L'Agence nationale de la sécurité des systèmes d'information veille à la bonne exécution des travaux d'évaluation. Les centres d'évaluation l'informent sans délai de toute difficulté. L'agence peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander aux centres de compléter leur évaluation.

Au terme de l'évaluation, chaque centre d'évaluation concerné remet un rapport au demandeur et à l'Agence nationale de la sécurité des systèmes d'information. Lorsqu'elle a réalisé tout ou partie de l'évaluation, l'agence remet un rapport d'évaluation au demandeur.
Les rapports d'évaluation sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

Au vu des rapports d'évaluation, le directeur général de l'Agence nationale de la sécurité des systèmes d'information décide de qualifier ou non le produit. Lorsqu'il décide de qualifier le produit, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie au demandeur une décision mentionnant les objectifs de sécurité que satisfait le produit et précisant le niveau de qualification obtenu. La décision est assortie, le cas échéant, de conditions et de réserves et précise sa durée de validité.

En cas de manquement aux conditions et réserves fixées par la décision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le produit a été qualifié, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut, après que le demandeur a pu faire valoir ses observations, suspendre ou abroger la qualification.