Arrête:

Art. 1er. - En application des dispositions des article 1er, 4, 6 et 14 du décret visé ci-dessus, le dossier de déclaration ou de demande d'autorisation concernant un moyen ou une prestation de cryptologie doit comporter:
1. Pour la partie administrative: une déclaration ou une demande conforme au modèle annexé au présent arrêté déposée en quatre exemplaires.
2. Pour la partie technique: les renseignements suivants, en langue française:
a) Nature et descriptif des objectifs de sécurité du moyen ou de la prestation de cryptologie. S'ils varient en fonction des conditions d'emploi, ces objectifs seront énumérés selon les diverses conditions d'empoi réelles ou supposées;
b) Description des fonctions et mécanismes de sécurité, y compris la description détaillée du ou des algorithmes cryptologiques (formules mathématiques utilisées) et du système de création, de gestion et de conservation des conventions secrètes; le ou les logiciels doivent être fournis, à la demande du service central de la sécurité des systèmes d'information, en langage source et en langage objet sur un support informatique d'usage courant tel que disquette ou bande magnétique; les logiciels doivent être accompagnés d'une documentation;
c) Notice explicative montrant l'adéquation des éléments fournis en b aux objectifs cités en a.
La partie technique du dossier doit être fournie en quatre exemplaires.

Art. 2. - Relèvent de la déclaration préalable la fourniture, l'exportation et l'utilisation des moyens de cryptologie suivants:
- moyens conçus pour protéger des mots de passe, des codes d'identification personnels ou des données d'authentification similaires, utilisés pour contrôler l'accès à des données, à des ressources, à des services ou à des locaux, sous la seule réserve qu'ils ne puissent pas permettre de chiffrer des fichiers autres que les fichiers de mots de passe ou de codes d'identification ni aucune information autre que celles nécessaires au contrôle d'accès;
- moyens conçus pour élaborer ou protéger une procédure de signature, une valeur de contrôle cryptographique, un code d'authentification de message ou une information similaire, pour vérifier la source des données, prouver la remise des données au destinataire, ou bien détecter les altérations ou modifications subreptices portant atteinte à l'intégrité des données, sous la seule réserve qu'ils ne puissent pas permettre de chiffrer les données elles-mêmes ni aucune information autre que celles nécessaires à l'authentification ou au contrôle d'intégrité des données concernées.

Art. 3. - Relèvent de la déclaration préalable la fourniture, l'exportation et l'utilisation de prestations de cryptologie ne faisant appel à aucun autre moyen de cryptologie que ceux mentionnés à l'article 2 du présent arrêté.

Art. 4. - Relèvent de l'autorisation préalable la fourniture, l'exportation et l'utilisation de tout moyen ou prestation de cryptologie non mentionnés aux articles 2 ou 3 du présent arrêté, sous réserve des dispositions des articles 6 et 7, notamment:
- les moyens, matériels ou logiciels susceptibles d'assurer la confidentialité des communications de toute nature ou la confidentialité de données conservées en mémoire;
- les prestations de cryptologie qui assurent la confidentialité de tout ou partie d'une communication ou de données conservées en mémoire;
- les moyens et prestations d'analyse cryptologique.

Art. 5. - En complément aux dispositions des articles 2, 3 et 4 du présent arrêté, relève de l'autorisation préalable l'exportation de tout composant ou constituant ayant une fonction cryptologique susceptible d'entrer dans la composition d'un produit visé à l'article 4, ainsi que l'exportation des moyens de fabrication qui leur sont propres.

Art. 6. - Les cartes à microprocesseur qui ne permettent pas par elles-mêmes, c'est-à-dire sans recourir à un dispositif cryptologique externe, d'assurer la confidentialité des communications bénéficient des déclarations effectuées ou des autorisations obtenues au titre des moyens et prestations dans lesquels elles sont utilisées.

Art. 7. - Ne sont pas considérés comme moyens de cryptologie les moyens,
matériels ou logiciels, spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, même s'ils font appel à des méthodes ou dispositifs tenus secrets, à condition qu'ils ne permettent pas de chiffrer soit directement, soit indirectement, le logiciel concerné.

Art. 8. - Doivent être portés à la connaissance du service central de la sécurité des systèmes d'information, un mois au moins avant le fait générateur:
- tout changement de nature à modifier le contenu du dossier de déclaration ou de demande d'autorisation;
- la cessation de l'activité déclarée ou autorisée.

Art. 9. - En cas d'incertitude du demandeur sur l'appartenance d'un moyen ou d'une prestation à la catégorie des moyens ou prestations de cryptologie,
l'avis du service central de la sécurité des systèmes d'information est demandé.

Art. 10. - Le présent arrêté sera publié au Journal officiel de la République française.