Par Gérard Haas et Paul Bertucci
En raison du contexte sanitaire actuel, le nombre d’achats en ligne ou de réunions à distance a ces derniers mois augmenté de manière drastique, au mépris parfois de solutions protectrices des données personnelles des utilisateurs.
Afin de remédier à cela, une proposition de loi sénatoriale vise à sensibiliser les consommateurs et les fournisseurs de services de communication au public en ligne aux enjeux liés à la cybersécurité.
Adopté en première lecture par le Sénat le 22 octobre dernier, ce texte a pour objectif de contraindre notamment les plateformes, éditeurs et hébergeurs de contenus en ligne à mieux informer les consommateurs sur la sécurisation de leurs données.
1. La création d’un « Cyberscore » pour les services de communication en ligne
En pratique, peu de fournisseurs de produits et services en ligne mettent à disposition de leurs utilisateurs des informations relatives aux mesures de sécurité mises en œuvre pour assurer la protection de leurs données.
La proposition de loi initiale prévoyait donc d’ajouter une quatrième obligation aux opérateurs de plateforme en ligne. Or cette notion juridique ne prend pas en compte les services de visioconférence ou encore les hébergeurs de contenus pourtant visés par le législateur. Il convenait par conséquent de recourir à une définition plus large qui engloberait les sites internet, logiciels et applications de communication en ligne.
C’est la raison pour laquelle le texte adopté par le Sénat réfère finalement à la notion de fournisseurs de services de communication au public en ligne, définie au 23° de l’article L. 32 du Code des postes et des communications électroniques.
Ainsi, cette proposition de loi prévoit la création d’un article L. 111-7-3 au sein du Code de la consommation qui énoncerait la chose suivante :
« Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions, affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article.
Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier. »
Le dispositif évoqué par le texte consisterait dès lors en la mise en place d’un « Cyberscore ». A l’image du Nutriscore que l’on peut retrouver sur des packagings de produits alimentaires, ce dernier permettrait aux utilisateurs d’être informés sur le niveau général de protection des données adopté par chaque fournisseur de services de communication en ligne.
Le texte précise également que les critères pris en compte par le diagnostic de cybersécurité, sa durée de validité ou encore ses modalités de présentation seront fixés à travers un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la CNIL.
A titre indicatif, le rapport rendu par la commission chargée d’étudier ce texte évoque la possibilité de retenir les critères suivants pour attribuer un score entre A et E :
- le recours à un chiffrement de bout en bout pour les services numériques impliquant des communications;
- le nombre de condamnations par une autorité en charge de la protection des données personnelles, ou le nombre de failles mises à jour;
- la subordination à un droit extraterritorial insuffisamment protecteur des données personnelles (référence notamment au droit américain suite à l’invalidation du Privacy Shield).
Enfin, l’article L. 131-4 du Code de la consommation s’appliquerait au nouvel article L. 111-7-3 de sorte que le non-affichage ou la mauvaise présentation du Cyberscore entraînerait une amende de 75 000 euros pour les personnes physiques et de 375 000 euros pour les personnes morales.
2. Quid des marchés publics ?
La proposition de loi initiale prévoyait également de modifier l’article L. 2111-1 du Code de la commande publique afin que « les impératifs de cybersécurité » soient pris en compte dans le cadre d’un marché public.
Cette disposition a cependant été supprimée par les sénateurs, aux motifs que les impératifs de cybersécurité ne concernaient pas tous les marchés publics et que l’ajout de cette disposition particulière aurait pour conséquence d’affaiblir cet article de portée générale.
Si ces arguments sont recevables en droit, ils posent tout de même question vis-à-vis de l’intérêt collectif : le choix ou encore le maintien de Microsoft en tant qu’hébergeur du Health Data Hub constituent le meilleur exemple en date.
Il est aujourd’hui devenu impératif que l’État ne contracte qu’avec des prestataires présentant des garanties suffisantes en matière de protection des données, tant sur le plan technique que sur le plan juridique pour retrouver un peu de confiance chez ses citoyens.
Ce texte à l’initiative du Sénat doit encore obtenir l’approbation de l’Assemblée nationale pour pouvoir être promulgué. Suivant la durée des débats, il pourrait entrer en vigueur dans les prochains mois.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit de la propriété intellectuelle et des nouvelles technologies. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Pour en savoir plus, contactez-nous ici.