Si jusque-là, rien n’imposait aux plateformes numériques de communiquer sur leur niveau de sécurité et sur la sécurisation des données qu’elles hébergent, ce n’est plus le cas. Le nouvel article L. 111-7-3 du Code de la consommation prévoit qu’un certain nombre d’entre elles, devront réaliser un audit de cybersécurité et en publier le résultat sur leurs sites internet.
Face au risque cyber, le législateur arme les internautes d’un nouvel outil : le cyberscore. À l’image du Nutri-score, ce dispositif devrait leur permettre de comprendre en un coup d’œil le niveau de sécurité des plateformes numériques qu’ils utilisent.
LE CYBERSCORE S’IMPOSERA À COMPTER DU 1er OCTOBRE 2023
Cette nouvelle obligation résulte de la loi n°2022-309 du 3 mars 2022 (loi « cyberscore ») qui introduit un nouvel article L. 111-7-3 au Code de la consommation. Ce dernier n’utilise pas à proprement parler le terme « cyberscore », mais impose, à compter du 1er octobre 2023, à certaines plateformes de réaliser un audit de cybersécurité et d’en partager le résultat aux internautes.
L’objectif poursuivi par le législateur est double : informer les internautes sur un premier niveau de sécurité du site consulté à l’égard de leurs données personnelles ou données de paiements et inciter les plateformes à améliorer la protection de leurs systèmes informatiques.
L’article L. 111-7-3 du Code de la consommation sera complété par un décret visant à fixer les seuils d’application et un arrêté visant à fixer les obligations de la loi « cyberscore », dont les projets ont été rendus publics.
QUI EST SOUMIS À L’OBLIGATION DE PUBLIER UN CYBERSCORE ?
Le projet de décret fixe des seuils d’application de la loi « cyberscore » aux plateformes numériques. Celui-ci mentionne un seuil fixé à 25 millions de visiteurs unique par mois depuis le territoire français pour l’année 2024 et un seuil de 15 millions de visiteurs par mois pour l’année 2025.
Deux catégories de plateformes semblent être soumises à l’obligation de publier un cyberscore :
- Les opérateurs de plateformes, autrement dit toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service[1] (moteurs de recherche, marketplaces, réseaux sociaux, comparateurs de prix, …).
- Les fournisseurs de services de communication interpersonnels, terme qui renvoie aux fournisseurs de services de visioconférence et aux fournisseurs de solutions de messagerie[2] (messageries instantanées, boîtes mail, …).
METHODOLOGIE DE L’AUDIT
La méthodologie du dispositif doit encore être précisée par un arrêté, dont le projet a été publié, des ministres chargés du numérique et de la consommation, après avis de la Commission Nationale Informatique et Libertés (CNIL).
L’article L. 111-7-3 du Code de la consommation énonce que l’audit devra être réalisé par des prestataires agréés par l’ANSSI (prestataires dit « PASSI ») et qu’il portera sur trois éléments :
- la sécurisation des données hébergées par les plateformes ;
- la localisation de ces données ;
- et la sécurisation des plateformes.
Le projet d’arrêté ajoute que l’audit sera exécuté sur la base d’informations ouvertes, librement accessibles et de manière non intrusive par le prestataire PASSI. La question de la responsabilité du prestataire PASSI se pose au cas où des informations non librement accessibles ou accessibles de manière intrusive viendraient modifier la note du cyberscore. Le projet d’arrêté expose également, en annexe, des critères en vue de la détermination du cyberscore. Par exemple, une société délivrant un service et qui serait assujettie au droit européen obtiendrait une note de référence A.
A l’instar du Nutri-score, le résultat de cet audit devra être présenté aux internautes de façon lisible, claire et compréhensible et être accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. En application du (projet) d’arrêté, l’attribution du cyberscore aurait une durée de validité de 12 mois et devrait être renouvelée dans un délai de 3 mois[3].
SANCTION DU NON-RESPECT
Les propriétaires des plateformes qui manqueront à cette nouvelle obligation, au 1er octobre 2023, encourront une amende administrative de 75 000 euros s’il s’agit de personnes physiques et de 375 000 euros s’il s’agit de personnes morales[4]. L’amende sera prononcée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
LES LIMITES DU CYBERSCORE
Si le cyberscore est indubitablement une avancée majeure pour les internautes, l’outil semble toutefois présenter quelques limites.
L’obtention de ce label et de son renouvellement aura un coût pour les plateformes qui sera plus difficile à supporter pour les petites structures. Les plateformes qui ne sont pas soumises à l’obligation de réaliser l’audit pourraient en réalité s’y voir contraintes, au risque de voir leur nombre d’utilisateurs chuter en faveur des plateformes qui le réaliseront.
Le cyberscore constitue également une source d’information précieuse pour les personnes mal intentionnées. Les hackers ne manqueront sans doute pas de s’attaquer aux plateformes qui apparaîtront comme moins sécurisées.
Dans la même logique, il ne fait aucun doute qu’au regard des enjeux de l’assurance-cyber, l’outil sera utilisé par les assureurs pour fixer le montant des polices d’assurance.
Surtout, la grille d’audit proposée pour la détermination d’un cyberscore, telle qu’annexée au projet d’arrêté, laisse à penser que le législateur met en place un audit allégé qui ne vient en réalité pas rassurer sur la robustesse ou la résilience des plateformes numériques concernées, mais plutôt donner un indicateur sur la prise en compte de la cybersécurité par la plateforme numérique.
Il ne faudrait pas laisser à penser aux internautes qu’une note de A garantit un niveau de sécurité élevé.
[1] Art. L. 111-7 du Code de la consommation
[2] Art. L. 32 du Code des postes et des communications électroniques
[3] Art. 5 du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022
[4] Art. L. 131-4 du code de la consommation