Cyberscore : Les obligations de cybersécurité des plateformes

Par Gérard Haas et Paul Benelli

C’est désormais officiel. Comme nous vous l’indiquions au cours du mois de Février, les plateformes en ligne (mentionnées à l’article L.111-7 du Code de la Consommation, soit les moteurs de recherche, les sites de petites annonces, les comparateurs et les marketplaces) vont devoir se doter d’un « cyberscore » équivalent au nutriscore mis en place pour les produits alimentaires[1].

Comment fonctionne le cyberscore pour les plateformes en ligne ?

A compter du 1^er octobre 2023, toute plateforme devra se doter d’un cyberscore présentant à ses utilisateurs les résultats d’une autoévaluation réalisée par un prestataire d’audit qualifié par l’ANSSI.

Si ce dispositif reste encore « très largement à construire » nous savons d’ores et déjà que l’audit de cybersécurité portera sur :

la sécurisation des données hébergées (chiffrement, anonymisation, etc.) ;
la localisation des données hébergées directement ou par l’intermédiaire d’un tiers ;
la sécurisation de l’infrastructure de la plateforme en elle-même.

Qui est concerné par le Cyberscore ?

Ne seront concernées que certaines plateformes, dont l’activité dépasse un ou plusieurs seuils encore en cours de définition.

Cette obligation rejoint les obligations de sécurité qui avaient été créées en 2018 par la loi de sécurité du 26 février 2018 créant la catégorie de « FOURNISSEUR DE SERVICE NUMERIQUE » (FSN) englobant notamment les places de marché en ligne, les moteurs de recherche et les services de cloud ainsi que l’obligation de sécurité générale de l’article 32 du RGPD.

Tout porteur de projet devra donc intégrer la cybersécurité au cœur de ses priorités, notamment en procédant à des auto diagnostics, comme des tests de pénétration.

****

Le Cabinet HAAS Avocats est un des seuls cabinets à disposer de cette double compétence alliant :