Arrêté du 29 janvier 2015 définissant la forme et le contenu des dossiers de déclaration et de demande d'autorisation d'opérations relatives aux moyens et aux prestations de cryptologie




Arrêté du 29 janvier 2015 définissant la forme et le contenu des dossiers de déclaration et de demande d'autorisation d'opérations relatives aux moyens et aux prestations de cryptologie

NOR: PRMD1431125A
Version consolidée au 23 mai 2019


Le Premier ministre,
Vu la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique, notamment ses articles 30 et 31 ;
Vu le décret n° 2007-663 du 2 mai 2007 modifié pris pour l'application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif aux moyens et aux prestations de cryptologie, notamment ses articles 3, 4, 7 et 9 ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information », notamment son article 4,
Arrête :


La déclaration préalable prévue aux 1° et 2° de l'article 3 du décret du 2 mai 2007 susvisé est effectuée au moyen du formulaire joint en annexe I au présent arrêté. Cette annexe précise les caractéristiques techniques qui peuvent être demandées au déclarant en application de l'article 7 du décret du 2 mai 2007 susvisé.
La déclaration préalable prévue au 3° de l'article 3 du décret du 2 mai 2007 susvisé est effectuée au moyen du formulaire joint en annexe II au présent arrêté.


La demande d'autorisation mentionnée à l'article 9 du décret du 2 mai 2007 susvisé est effectuée au moyen du formulaire joint en annexe I au présent arrêté.

Article 3
A modifié les dispositions suivantes :


Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

  • Annexe


    ANNEXES
    ANNEXE I
    DÉCLARATION ET DEMANDE D'AUTORISATION D'OPÉRATIONS RELATIVES À UN MOYEN DE CRYPTOLOGIE


    Formulaire (1) à adresser en deux exemplaires à l'Agence nationale de la sécurité des systèmes d'information, bureau des contrôles réglementaires, 51, boulevard de La Tour-Maubourg, 75700 Paris 07 SP (téléphone : + 33 [0]1-71-75-82-75 ; mél : controle@ssi.gouv.fr).
    Le présent formulaire permet d'effectuer les formalités prévues aux chapitres II et III du décret n° 2007-663 du 2 mai 2007 pour les opérations suivantes relatives à un moyen de cryptologie :


    - la déclaration de fourniture, de transfert depuis ou vers un Etat membre de l'Union européenne, d'importation et d'exportation (2) vers un Etat n'appartenant pas à l'Union européenne ;
    - la demande d'autorisation ou de renouvellement d'autorisation de transfert vers un Etat membre de l'Union européenne et d'exportation vers un Etat n'appartenant pas à l'Union européenne.


    Cochez la case correspondant aux formalités que vous souhaitez effectuer :
    □ Déclaration et demande d'autorisation de toute opération relative à un moyen de cryptologie.
    En cochant cette case, vous effectuez les formalités relatives à toutes les opérations de fourniture, de transfert depuis ou vers un Etat membre de l'Union européenne, d'importation et d'exportation hors de l'Union européenne d'un moyen de cryptologie relevant des chapitres II et III du décret n° 2007-663 du 2 mai 2007.
    □ Déclaration de fourniture, de transfert depuis ou vers un Etat membre de l'Union européenne, d'importation et d'exportation vers un Etat n'appartenant pas à l'Union européenne d'un moyen de cryptologie.
    En cochant cette case, vous effectuez les formalités relatives aux seules opérations relevant du chapitre II du décret n° 2007-663 du 2 mai 2007.
    □ Demande d'autorisation de transfert vers un Etat membre de l'Union européenne et d'exportation vers un Etat n'appartenant pas à l'Union européenne d'un moyen de cryptologie.
    En cochant cette case, vous effectuez les formalités relatives aux seules opérations relevant du chapitre III du décret n° 2007-663 du 2 mai 2007.
    □ Demande de renouvellement d'autorisation de transfert vers un Etat membre de l'Union européenne et d'exportation vers un Etat n'appartenant pas à l'Union européenne d'un moyen de cryptologie.
    Voir paragraphe D du formulaire.


    A. - Déclarant et/ou demandeur


    Le « déclarant et/ou demandeur » désigne ci-après la personne effectuant la déclaration et/ou la demande d'autorisation d'opération relative à un moyen de cryptologie.


    A.1. Personne morale


    Paragraphe à remplir lorsque le déclarant et/ou le demandeur est une personne morale (société, administration, association, etc.).
    Dénomination sociale :
    Numéro SIRET :
    Nationalité :
    Adresse :
    Numéro de téléphone :


    Personne chargée du dossier administratif


    Nom et prénoms :
    Adresse :
    Numéro de téléphone :
    Adresse de courrier électronique :


    Personne chargée des éléments techniques


    Nom et prénoms :
    Adresse :
    Numéro de téléphone :
    Adresse de courrier électronique :


    A.2. Personne physique


    Paragraphe à remplir lorsque le déclarant et/ou le demandeur est une personne physique (particulier).
    Nom et prénoms :
    Nationalité :
    Adresse :
    Numéro de téléphone :
    Adresse de courrier électronique :


    B. - Moyen de cryptologie auquel s'appliquent la déclaration et/ou la demande d'autorisation
    B.1. Informations générales sur le moyen


    Désignation générique du moyen (selon le format [MARQUE DE DISTRIBUTION - DENOMINATION DU MOYEN]) :
    Version :
    Référence commerciale :
    Date de mise sur le marché :
    Si le déclarant et/ou le demandeur n'est pas le fabricant du moyen de cryptologie, précisez les éléments suivants :
    Fabricant :
    Dénomination d'origine du moyen :


    B.2. Description fonctionnelle du moyen


    B.2.1. Classez le moyen dans la ou les catégories correspondantes :
    □ Matériel □ Logiciel
    B.2.2. Description générale du moyen :





    B.2.3. Indiquez à quelle catégorie se rapporte la fonction principale du moyen :
    □ Sécurité de l'information (moyen de chiffrement, bibliothèque cryptographique, etc.)
    □ Ordinateur (système d'exploitation, serveur, logiciel de virtualisation, etc.)
    □ Envoi, stockage, réception d'informations (terminal de communication, logiciel de gestion, etc.)
    □ Réseau (logiciel de supervision, routeur, station de base, etc.)
    □ Autres. Si oui, précisez :


    B.3. Description technique des services de cryptologie fournis


    B.3.1. Description des fonctionnalités cryptographiques du moyen :





    B.3.2. Indiquez à quelle(s) catégorie(s) se rapporte(nt) la ou les fonctions cryptographiques du moyen :
    □ Authentification
    □ Intégrité
    □ Confidentialité
    □ Signature
    B.3.3. Indiquez le(s) protocole(s) sécurisé(s) utilisés par le moyen :
    □ IPsec
    □ SSH
    □ SSL/TLS
    □ Protocoles liés à la VoIP (de type SIP/RTP)
    □ Autres. Si oui, précisez :
    B.3.4. Précisez les algorithmes cryptographiques utilisés et leurs longueurs maximales de clés :


    ALGORITHME

    MODE

    TAILLE DE CLÉ ASSOCIÉE

    FONCTION


    C. - Cas d'un moyen de cryptologie relevant de la catégorie 3 de l'annexe 2 du décret n° 2007-663 du 2 mai 2007


    □ En cochant cette case, vous déclarez que le moyen de cryptologie relève de la catégorie 3 de l'annexe 2 du décret n° 2007-663 du 2 mai 2007. Dans ce cas, renseignez les éléments justificatifs ci-après :
    Présentez le mode de commercialisation du moyen de cryptologie et le marché auquel il s'adresse :




    Expliquez pourquoi la fonctionnalité cryptographique du moyen ne peut pas être modifiée facilement par l'utilisateur :




    Expliquez en quoi les modalités d'installation du moyen ne nécessitent pas d'assistance importante ultérieure de la part du fournisseur :




    D. - Renouvellement d'autorisation de transfert ou d'exportation


    Lorsque le moyen de cryptologie a déjà été l'objet d'une autorisation de transfert ou d'exportation, indiquez les références de cette autorisation :
    Numéro de dossier (mentionné sur le récépissé et sur l'autorisation) :
    Date de l'autorisation :
    Numéro de l'autorisation (mentionné sur l'autorisation) :


    E. - Pièces à joindre (cochez les cases correspondant aux pièces que vous avez jointes)


    □ Document général présentant la société (format électronique souhaité)
    □ Extrait K bis du registre du commerce et des sociétés datant de moins de trois mois (ou un document équivalent pour les sociétés de droit étranger)
    □ Brochure commerciale du moyen de cryptologie (format électronique souhaité)
    □ Brochure technique du moyen de cryptologie (format électronique souhaité)
    □ Manuel utilisateur (si disponible) (format électronique souhaité)
    □ Guide administrateur (si disponible) (format électronique souhaité)


    F. - Attestation


    Je soussigné (nom, prénoms) :
    agissant en qualité de :
    pour le compte de :
    représentant le déclarant et/ou le demandeur, certifie que les renseignements figurant sur ce formulaire et les pièces qui lui sont jointes sont exacts et ont été établis de bonne foi et que le déclarant et/ou le demandeur s'engage à porter à la connaissance de l'Agence nationale de la sécurité des systèmes d'information sans délai tout élément nouveau de fait ou de droit de nature à modifier cette déclaration et/ou cette demande d'autorisation ou les éléments joints, toute omission ou toute fausse déclaration exposant le déclarant et/ou le demandeur aux sanctions prévues aux articles 34 et 35 de la loi n° 2004-575 du 21 juin 2004 modifiée.
    Date :
    Signature


    ÉLÉMENTS ET CARACTÉRISTIQUES TECHNIQUES À COMMUNIQUER SUR DEMANDE DE L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION
    (A fournir de préférence au format électronique)


    1. Les éléments nécessaires pour mettre en œuvre le moyen de cryptologie :
    a) Deux exemplaires du moyen de cryptologie ;
    b) Les guides d'installation du moyen ;
    c) Les dispositifs d'activation du moyen, s'il y a lieu (numéro de licence, numéro d'activation, dispositif matériel, etc.) ;
    d) Les dispositifs d'injection de clé ou d'activation du réseau, s'il y a lieu.
    2. Les éléments relatifs à la protection du procédé de chiffrement, à savoir la description des mesures techniques mises en œuvre pour empêcher l'altération du procédé de chiffrement ou de la gestion de clés associée.
    3. Les éléments relatifs au traitement des données :
    a) La description des prétraitements subis par les données claires avant leur chiffrement (compression, formatage, ajout d'un en-tête, etc.) ;
    b) La description des post-traitements des données chiffrées, après leur chiffrement (ajout d'un en-tête, formatage, mise en paquet, etc.) ;
    c) Trois sorties de référence du moyen, sous format électronique, effectuées à partir d'un texte clair et d'une clé choisie arbitrairement, qui seront aussi fournis, dans le but de vérifier la mise en œuvre du moyen par rapport à la description de celui-ci.
    4. Les éléments relatifs à la conception du moyen de cryptologie :
    a) Le code source du moyen et les éléments permettant une recompilation du code source ou les références des compilateurs associés ;
    b) Les références des composants intégrant les fonctions de cryptologie du moyen et les noms des fabricants de chacun de ces composants ;
    c) Les fonctions de cryptologie mises en œuvre par chacun de ces composants ;
    d) La documentation technique du ou des composants réalisant les fonctions de cryptologie ;
    e) Les types des mémoires (flash, ROM, EPROM, etc.) dans lesquelles sont stockés les fonctions et les paramètres de cryptologie ainsi que les références de ces mémoires.

  • Annexe


    ANNEXE II
    DÉCLARATION DE FOURNITURE D'UNE PRESTATION DE CRYPTOLOGIE


    Formulaire (1) à adresser en deux exemplaires à : Agence nationale de la sécurité des systèmes d'information, bureau des contrôles réglementaires, 51, boulevard de La-Tour-Maubourg, 75700 Paris 07 SP (téléphone : + 33 [0]1-71-75-82-75 ; mél : controle@ssi.gouv.fr).
    □ Si la prestation consiste à délivrer des certificats électroniques qualifiés au sens du décret n° 2001-272 du 30 mars 2001 modifié, cochez la case.


    A. - Déclarant
    A-1. Personne morale


    Dénomination sociale :
    Numéro SIRET :
    Nationalité :
    Adresse :
    Numéro de téléphone :
    Personne chargée du dossier administratif :
    Nom et prénoms :
    Adresse :
    Numéro de téléphone :
    Adresse du courrier électronique :


    A-2. Particulier


    Nom et prénoms :
    Nationalité :
    Adresse :
    Numéro de téléphone :
    Adresse du courrier électronique :


    B. - Description de la prestation


    Dénomination de la prestation :


    B-1. Catégories d'utilisateurs auxquels est destinée la prestation


    □ Administrations (précisez lesquelles) :
    □ Grandes entreprises (précisez le secteur d'activité) :
    □ Etablissements financiers :
    □ PME (précisez le secteur d'activité) :
    □ Professions libérales (précisez le secteur d'activité) :
    □ Autres (précisez le secteur d'activité) :


    B-2. Types de données concernées par la prestation


    Précisez le type de données concernées par la prestation (données personnelles, médicales, financières, administratives, autres) :


    B-3. Services de cryptologie fournis


    Précisez les noms des algorithmes utilisés et la longueur maximale des clés cryptographiques pour chaque algorithme :
    □ Authentification :
    □ Signature :
    □ Confidentialité :
    □ Horodatage :
    □ Archivage sécurisé :
    □ Gestion de clés cryptographiques :
    □ Certification de clés ou de données :
    □ Autres (précisez) :


    B-4. Personne chargée des éléments techniques


    Nom et prénoms :
    Adresse :
    Numéro de téléphone :
    Adresse du courrier électronique :


    C. - Moyens de cryptologie mis en œuvre par le prestataire


    Pour les moyens de cryptologie mis en œuvre par le prestataire pour fournir sa prestation, indiquez :
    Désignation générique du moyen (selon le format « MARQUE DE DISTRIBUTION - DENOMINATION DU MOYEN ») :
    Version :
    Référence commerciale :
    Le cas échéant, référence des déclarations ou des autorisations relatives aux moyens :


    D. - Pièces à joindre (cochez les cases correspondant aux pièces que vous avez jointes)


    □ Document général présentant la société (format électronique souhaité)
    □ Extrait Kbis du registre du commerce et des sociétés datant de moins de trois mois (ou un document équivalent pour les sociétés de droit étranger)


    E. - Attestation


    Je soussigné (nom, prénoms) :
    agissant en qualité de :
    pour le compte de :
    représentant le déclarant, certifie que les renseignements figurant sur cette déclaration et les pièces qui lui sont jointes sont exacts et ont été établis de bonne foi et que le déclarant s'engage à porter à la connaissance de l'Agence nationale de la sécurité des systèmes d'information sans délai tout élément nouveau de fait ou de droit de nature à modifier cette déclaration ou les éléments joints, toute omission ou toute fausse déclaration exposant le déclarant aux sanctions prévues aux articles 34 et 35 de la loi n° 2004-575 du 21 juin 2004 modifiée et à l'article 13 du décret n° 2007-663 du 2 mai 2007.
    Date :
    Signature


    ÉLÉMENTS TECHNIQUES À JOINDRE OBLIGATOIREMENT À LA DÉCLARATION DE FOURNITURE D'UNE PRESTATION DE CRYPTOLOGIE
    (A fournir de préférence au format électronique)


    1. La description des services offerts aux utilisateurs de la prestation.
    2. La description des fonctions cryptologiques mises en œuvre par le prestataire.
    3. La description des locaux utilisés pour mettre en œuvre la prestation.
    4. La description des matériels et des logiciels informatiques et notamment des moyens de cryptologie utilisés par le prestataire.
    5. La description des systèmes de protection physique et de contrôle d'accès aux locaux et aux systèmes informatiques du prestataire.
    6. Lorsque la prestation consiste en la gestion de clés cryptographiques ou de certificats électroniques au profit des utilisateurs :
    a) La description de la procédure de génération des clés et des certificats ;
    b) La description de la procédure de distribution et de remise des clés et des certificats aux utilisateurs ;
    c) La description des mesures techniques et organisationnelles mises en œuvre pour la protection et la conservation des clés ;
    d) La description de la procédure de recouvrement des clés (uniquement pour le service de confidentialité) ;
    e) Les références des moyens de cryptologie mis en œuvre par les utilisateurs de la prestation, lorsque ces moyens sont spécifiquement conçus pour fonctionner avec les clés ou les certificats délivrés par ce prestataire.

    (1) Le formulaire est disponible sur le site internet www.ssi.gouv.fr. (2) La déclaration d'exportation ne s'applique qu'aux opérations d'exportation prévues à l'annexe 2 du décret n° 2007-663 du 2 mai 2007.


Fait le 29 janvier 2015.


Pour le Premier ministre et par délégation :

Le secrétaire général de la défense et de la sécurité nationale,

L. Gautier