Arrête:

Art. 1er. - En application de l'article 4, alinéa 3, du décret no 92-1358 du 28 décembre 1992 susvisé, les prestations de cryptologie dont la fourniture est soumise à autorisation sur le territoire national doivent satisfaire aux conditions suivantes:
a) Les interfaces avec les utilisateurs doivent être conformes aux normes nationales toutes les fois qu'il en existe;
b) Le fournisseur de la prestation doit prévoir et mettre en oeuvre des moyens propres à éviter qu'un tiers non autorisé puisse se substituer au gestionnaire de la prestation;
c) Les éléments secrets utilisés devront être conservés, associés à des éléments d'information permettant de connaître l'usage qui en a été fait,
durant une période minimale de dix jours ouvrables s'ils sont propres à une communication donnée, de quatre mois dans les autres cas. Toutefois, le service central de la sécurité des systèmes d'information peut dispenser le fournisseur de cette obligation s'il justifie de dispositions comportant des garanties équivalentes;
Les fichiers utilisés pour cette conservation ne seront consultables qu'avec l'accord écrit de toutes les parties concernées ou sur réquisition d'une autorité habilitée par la loi;
d) Le fournisseur de la prestation devra prendre toute mesure pour qu'il n'y ait pas d'impossibilité technique à la conduite des enquêtes ou investigations autorisées par la loi;
e) Le fournisseur de la prestation est tenu de déclarer aux autorités de la police judiciaire territorialement compétentes les accès illicites au système de gestion ou les atteintes à sa sécurité dont il aurait connaissance; il en informe également le service central de la sécurité des systèmes d'information.

Art. 2. - Le fournisseur de la prestation est tenu de fournir, sur demande du service central de la sécurité des systèmes d'information, tout élément justifiant du respect des dispositions de l'article 1er.

Art. 3. - Le présent arrêté sera publié au Journal officiel de la République française.