Par Anne Charlotte Andrieux et Vickie Le Bert
Aux fins de répondre aux impératifs d’une information claire et rapide du consommateur, le législateur tend, depuis quelques années, à imposer aux professionnels concernés l’apposition de logos ou pictogrammes visuels sur leurs produits :
.png?width=796&name=Plateformes%20num%C3%A9riques%20%20vers%20la%20mise%20en%20%C5%93uvre%20d%E2%80%99un%20cyberscore%20pour%202023%20%20(2).png)
Et le secteur du numérique, dans la lignée de cette démarche de transparence renforcée, est désormais lui aussi concerné.
Adoptée en première lecture le 22 octobre 2020, la proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public vient faire peser sur certaines grandes plateformes, messageries et sites de visioconférence de nouvelles obligations en matière de cybersécurité.
A compter du 1er octobre 2023, ces plateformes devront ainsi faire paraitre sur leur site une certification de cybersécurité, ou cyberscore, devant permettre aux internautes d’évaluer en un coup d’œil le niveau de sécurisation de leurs données sur les sites et réseaux sociaux qu’ils visitent.
Qu’est-ce que le cyberscore ?
Apportant des modifications au Code de la consommation, la proposition de loi prévoit d’instaurer, à la charge de certaines plateformes qui seront préalablement désignées par décret, l’obligation de communiquer aux internautes des informations sur leur niveau de sécurité.
De manière générale, l’internaute devra être informé du niveau de sécurité du site visité, mais également du niveau de sécurisation et de la localisation des données hébergées par l’opérateur concerné par la certification ou par des prestataires tiers.
Quelles plateformes seront concernées ?
Visées à l’article L111-7 du Code de la consommation, les plateformes qui seront concernées par cette nouvelle obligation seront celles répondant à la définition d’opérateur en ligne, soit toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant soit :
- Sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
- Sur la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service.
La proposition de loi étend également cette obligation aux personnes fournissant des services de communications interpersonnelles[1] dont l’activité dépasse des seuils qui seront ultérieurement fixés par décret. Ceci doit notamment permettre d’inclure les principales messageries en ligne, de type What’s App et Messenger.
Etablissement du cyberscore : La réalisation d’un audit de sécurité
Aux fins de recueillir l’ensemble des données nécessaires à l’établissement de ce cyberscore, les plateformes concernées par les nouvelles obligations du Code de la consommation devront réaliser un audit de sécurité.
Dans un souci d’impartialité et pour éviter que les plateformes et services soumis à cette nouvelle obligation auto-évaluent eux-mêmes leur niveau de sécurité, la réalisation de cet audit de sécurité sera confiée à des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Le texte, très général en l’état, prévoit que les critères pris en compte par le diagnostic de sécurité opéré par l’ANSSI seront précisés par arrêté.
Quelle forme prendra le cyberscore ?
L’information établie sur la base des données collectées lors de l’audit devra, selon le texte de la proposition de loi, être présentée aux internautes « de façon lisible, claire et compréhensible », et être accompagnée « d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
En d’autres termes, l’information sera transmise aux internautes sous la forme d’un cyberscore visuel, suivant celle déjà adoptée par le NutriScore :
Un cyberscore : pourquoi ?
La mise en œuvre du cyberscore fait suite au constat d’une hausse exponentielle des actes de piratage, due à l’explosion des usages numériques pendant la pandémie de Covid-19.
L’année 2020 a en effet été marquée par une augmentation importante de la cybercriminalité, décuplée par le recours intensif aux solutions et appareils numériques : achats en ligne, télétravail, visioconférences, cours à distance…
Pendant cette même période, la plateforme cybermalveillance.gouv.fr rapportait avoir connu une hausse de fréquentation de près de 155% par rapport à 2019, et un pic de visites de 600% lors des premières semaines de confinement.
La problématique de la cybersécurité, qui concerne indifféremment particuliers, entreprises et pouvoirs publics, est par ailleurs qualifiée par le législateur « d’enjeu majeur de notre souveraineté numérique ».
A l’occasion de cette proposition de loi, le législateur rappelle ainsi que s'assurer de la cyber sécurité nécessite l'accès de chacun à une information claire des risques encourus par l'utilisation d'une plateforme numérique. L’introduction de ce cyberscore doit alors permettre aux internautes de recouvrer la maîtrise de leurs données.
Mais les vertus de ce cyberscore vont au-delà de la simple information des utilisateurs sur le degré de sécurisation des sites qu’ils visitent. A terme, ce dernier devrait en effet inciter les plateformes à améliorer leurs pratiques et rehausser leur niveau de sécurité.
Prévu pour entrer en application le 1er octobre 2023, le cyberscore devrait avoir une durée de validité limitée dans le temps. Cette mesure contraindra également les plateformes à réaliser de manière régulière de nouveaux audits de sécurité.
Le texte doit désormais être adopté en deuxième lecture par les sénateurs.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit. Il propose notamment plusieurs typologies d’assistance juridique spécialisée dans la gestion de la sécurité informatique.
N’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Non-fondés sur la numérotation, au sens de l’article L32 Code des postes et communications électroniques (ex : le téléphone)
