Le dossier de demande d'autorisation est adressé par envoi recommandé avec demande d'avis de réception ou déposé contre accusé de dépôt à l'Agence nationale de la sécurité des systèmes d'information. Cette dernière en délivre récépissé revêtu du numéro d'enregistrement du dossier.

La forme et le contenu du dossier de demande d'autorisation sont définis par un arrêté du Premier ministre. Ce dossier comporte une partie technique et une partie administrative.

Si le dossier est complet, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie sa décision, par lettre recommandée avec demande d'avis de réception, dans un délai de quatre mois à compter de la délivrance de l'avis de réception ou de l'accusé de dépôt de la demande. Un défaut de notification dans ce délai vaut autorisation pour une durée d'un an.

Le dossier est réputé complet si, dans le délai de deux mois suivant la réception de la demande, l'Agence nationale de la sécurité des systèmes d'information n'a pas invité, par lettre recommandée avec demande d'avis de réception, le demandeur à fournir des pièces complémentaires. Dans ce dernier cas, le délai de quatre mois fixé à l'alinéa précédent court à compter de la réception des pièces complétant le dossier.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut également requérir le demandeur, dans le délai de deux mois mentionné à l'alinéa précédent, de mettre à la disposition de l'Agence nationale de la sécurité des systèmes d'information le code source et, pour une durée qui ne peut excéder six mois, deux exemplaires du moyen de cryptologie.

L'autorisation peut être assortie de conditions visant à assurer la protection des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat.

Elle est délivrée pour une durée qui ne peut excéder cinq années. Elle peut être renouvelée dans les mêmes conditions que la demande initiale.

L'autorisation peut être retirée par le directeur général de l'Agence nationale de la sécurité des systèmes d'information :

1° En cas de fausse déclaration ou de faux renseignement ;

2° Lorsque son maintien risque de porter atteinte à la défense nationale ou à la sécurité intérieure ou extérieure de l'Etat ;

3 En cas de non-respect des prescriptions dont est, le cas échéant, assortie l'autorisation ;

4° Lorsque le titulaire de l'autorisation cesse l'exercice de l'activité pour laquelle a été délivrée l'autorisation ;

5° Lorsque les conditions auxquelles est subordonnée la délivrance de l'autorisation ne sont plus réunies.

Le retrait ne peut intervenir qu'après que le titulaire de l'autorisation a été mis à même de faire valoir ses observations dans un délai de huit jours.

En cas d'urgence, l'autorisation peut être suspendue immédiatement.