La demande de qualification est adressée par le prestataire de service de confiance à l'Agence nationale de la sécurité des systèmes d'information. Celle-ci met à la disposition du public par voie électronique la liste des pièces à joindre à la demande, qui contient notamment :
1° La description des services sur lesquels porte la demande ;
2° L'organisation, les procédures et les méthodes mises en place par le prestataire pour fournir les services ;
3° Les coordonnées du centre d'évaluation choisi par le prestataire pour évaluer les services sur lesquels porte la demande ;
4° Le programme de travail défini par le prestataire avec le centre d'évaluation.

Lorsque le dossier de demande est complet, l'Agence nationale de la sécurité des systèmes d'information s'assure, au vu des pièces fournies, que :
1° Les services fournis par le prestataire sont susceptibles de répondre aux besoins de sécurité des systèmes d'information ;
2° Le centre d'évaluation choisi est agréé pour évaluer les services sur lesquels porte la demande ;
3° Le programme de travail défini avec le centre d'évaluation est cohérent ;
4° Les documents nécessaires à l'évaluation sont disponibles ;
5° Les conditions d'accès aux locaux, au personnel et aux moyens techniques du prestataire sont satisfaisantes.
Lorsqu'elle estime que les conditions prévues aux 1° à 5° sont remplies, l'Agence nationale de la sécurité des systèmes d'information invite le prestataire à faire évaluer ses services en vue d'obtenir une qualification. Dans le cas contraire, elle lui indique les motifs pour lesquels il ne peut être qualifié.

Les services fournis par le prestataire sont évalués au regard de règles fixées par des référentiels propres à chaque type de services. Ces référentiels sont élaborés par l'Agence nationale de la sécurité des systèmes d'information et approuvés par le Premier ministre. Pour les besoins de la sécurité nationale, les référentiels peuvent imposer au prestataire de respecter les prescriptions prévues aux articles R. 2311-1 et suivants du code de la défense.
L'évaluation est réalisée sur pièce et sur place par un centre d'évaluation agréé dans les conditions prévues à la section 2 du présent chapitre. Elle vise à s'assurer que le prestataire respecte les règles prévues par les référentiels mentionnés au premier alinéa, en particulier qu'il dispose du personnel compétent ainsi que des moyens techniques et des locaux adéquats pour fournir ses services.
Lorsque l'évaluation nécessite des compétences techniques particulières dont ne disposent pas les centres d'évaluation, l'Agence nationale de la sécurité des systèmes d'information apporte son concours à ces centres.
En l'absence de centre d'évaluation agréé, l'Agence nationale de la sécurité des systèmes d'information peut évaluer les services du prestataire.

Le prestataire choisit un centre d'évaluation agréé sur la liste prévue à l'article 19.
Il détermine avec le centre d'évaluation :
1° Les services à évaluer ;
2° Les conditions d'accès à ses locaux, à son personnel et à ses moyens techniques ;
3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ;
4° Le programme de travail du centre.
Il met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et à ses moyens techniques et de rencontrer son personnel.
Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister au déroulement d'une prestation de service effectuée par le prestataire.

L'Agence nationale de la sécurité des systèmes d'information veille à la bonne exécution des travaux d'évaluation. Le centre d'évaluation l'informe sans délai de toute difficulté. L'agence peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander au centre de compléter son évaluation.

Au terme de l'évaluation, le centre d'évaluation remet un rapport au prestataire et à l'Agence nationale de la sécurité des systèmes d'information. Lorsqu'elle a réalisé l'évaluation, l'agence remet un rapport d'évaluation au prestataire.
Le rapport d'évaluation est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.

Au vu du rapport d'évaluation et, le cas échéant, des conclusions d'une enquête administrative sur le prestataire menée en application de l'article L. 114-1 du code de la sécurité intérieure, le directeur général de l'Agence nationale de la sécurité des systèmes d'information décide de qualifier ou non le prestataire.

Lorsqu'il décide de qualifier le prestataire, le directeur général de l'Agence nationale de la sécurité des systèmes d'information lui notifie une décision attestant sa capacité à respecter les règles mentionnées au premier alinéa de l'article 10 et précisant, s'il y a lieu, le niveau de qualification obtenu. La décision précise les services qualifiés et est assortie, le cas échéant, de conditions et de réserves.

La qualification est valable pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions.

L'Agence nationale de la sécurité des systèmes d'information peut s'assurer à tout moment que le prestataire respecte les règles au vu desquelles il a été qualifié. Le prestataire l'informe sans délai de toute modification des circonstances dans lesquelles il a été qualifié.
En cas de manquement aux conditions et réserves fixées par la décision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le prestataire a été qualifié, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut, après que le prestataire a pu faire valoir ses observations, suspendre ou abroger la qualification.