Un cyberscore français pour certifier les services numériques tombé aux oubliettes
- 28 févr. 2022
- 4 min de lecture
Dernière mise à jour : 14 avr.
Alors que la loi pour la mise en place d'une certification de cybersécurité des plates-formes numériques destinées au grand public a été promulguée il y a plus de trois ans par le Sénat et qu'elle devait entrer en application le 1er octobre 2023, aucun décret n'a été publié à ce jour et aucune mesure règlementaire n'a été prise. La loi est-elle tombée aux oubliettes?

A la manière du nutri-score pour les produits alimentaires, ce cyberscore devait viser à informer le grand public du niveau de sécurisation des données offert par des services numériques qui leur sont destinés. Un étiquetage qui aurait dû être décidé à l'issue d'un audit mené par des prestataires labellisés par l'ANSSI.
En janvier 2024, un décret d'application avait bien été publié sur le site du ministère de l'économie précisant un seuil d'application de 25 millions d'utilisateurs/mois. Depuis, la page a été supprimée.
Selon les rapports de différentes sociétés de cybersécurité, les cybercriminels s’attaquent de plus en plus aux banques et au gaming. En 2021, 95 000 nouveaux chevaux de Troie bancaires mobiles ont été repérés, sans oublier la récupération d’identifiants pour des jeux mobiles - ces derniers étant souvent revendus ultérieurement sur le darknet ou utilisés pour voler des biens virtuels aux utilisateurs.
Rendre lisibles des informations cruciales
Aujourd'hui, les conditions générales d'utilisation contiennent déjà la plupart des informations relatives à la sécurité information d'un service. Or, elles sont "inexploitables en pratique" car elles sont "noyées dans des termes techniques", avait regretté Cédric O, le secrétaire d'Etat à la transition numérique et aux communications électroniques, devant le Sénat. Pour Anne-Catherine Loisier, rapporteure de la commission des affaires économiques, le nouveau système d'étiquetage vise à simplifier la lecture de ces informations afin que "le consommateur soit mieux informé sur la protection de ses données en ligne".

L'objectif initial du sénateur du Val-de-Marne Laurent Lafon est de cibler les plateformes numériques les plus utilisées. Après plusieurs amendements, c'est la notion "d'opérateur de plateforme en ligne" qui a été retenue.
D'après l'article L.111-7 du code de la consommation, il s'agit d'une personne physique ou morale proposant "à titre professionnel de manière rémunérée ou non un service de communication au public en ligne" reposant sur "le classement ou le référencement au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers" ou sur "la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service".
Moteur de recherche, marketplace, logiciel de visioconférence...
Etaient ainsi concernés les moteurs de recherche, les marketplaces, les réseaux sociaux, les logiciels de visioconférence… Ils étaient déjà tenus de délivrer aux utilisateurs une information loyale, claire et transparente sur les conditions générales d'utilisation -CGU- du service ainsi que sur les modalités de référencement, de classement ou de déréférencement des offres mises en ligne. Ce qui était loin d'être fait en réalité dans la pratique.
A partir du 1er octobre 2023, les opérateurs de plates-formes en ligne et fournisseurs de services de communications dont l'activité dépasse le seuil soumis par décret (Art. L. 111-7-3 du code de la consommation), devaient donc être tenus de réaliser un audit de cybersécurité portant sur "la sécurisation et la localisation des données qu'ils hébergent directement ou par l'intermédiaire d'un tiers" et sur "leur propre sécurisation".
Une procédure qui devait être effectuée par des prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
Objectif initial: Présenter le résultat au consommateur de "façon lisible et compréhensible" accompagné d'une "présentation ou d'une expression complémentaire, au moyen d'un système d'information coloriel".
Après avis de la Commission nationale de l'informatique et des libertés (Cnil), un arrêté des ministres chargés du numérique et de la consommation devait fixer les critères d'évaluation pris en compte par l'audit, ainsi que ses conditions de validité et ses modalités de présentation.
Comment devaient être fixés les critères d'évaluation ?
Sans une grille d'évaluation, il sera difficile d'apprécier l'utilité du cyberscore. Anne-Catherine Loisier avait proposé plusieurs pistes de réflexion devant le Sénat : le régime juridique applicable en matière de protection des données, l'usage du chiffrement de bout en bout, "le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel", voire "le nombre de failles mises à jour".
Reste à voir si l'application d'une loi extraterritoriale aurait pu être prise en compte dans la grille d'évaluation. Si tel est le cas, tous les services proposés par des entreprises étrangères pourraient se retrouver avec une mauvaise notation, à l'instar des solutions commercialisées par des sociétés françaises mais hébergées par de cloud étrangers.

Quelle articulation avec SecNumCloud ?
Ce cyberscore devait également s'articuler avec le label "SecNumCloud"délivré par l'Anssi.
Ce label garantit aux organisations publiques, parapubliques, et aux entreprises stratégiques comme les opérateurs d’importance vitale (OIV) qu’elles s’appuient sur un environnement cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité.
Les contours de ce label ont été révisés avec la nouvelle doctrine gouvernementale "cloud au centre", présenté par le gouvernement en mai 2021. Elle permet à des entreprises françaises de distribuer des services proposés par des entreprises étrangères sous licence. En octobre dernier, l'Anssi a par ailleurs publié une version révisée de son référentiel "SecNumCloud" pour l'adapter aux nouvelles exigences techniques et juridiques.
Quelle articulation avec la SREN?
La loi SREN promulguée le 21 mai 2024 a adapté le droit français pour application du DMA (Digital Market Act) et du DSA (Digital Service Act).
La DGCCRF, en collaboration avec l'Arcom et la CNIL a été désignée pour en contrôler les règlements et mieux protéger les consommateurs.
Pour rappel, les obligations de sécurité, de transparence et de loyauté du DSA s'imposent à toutes les places de marché en ligne. Les infractions potentielles pouvant être signalées via l'outil SignalConso
Des arrêtés sont toujours en attente de publications pour la Loi de mise en place de certification cyber des plates-formes numériques. Mais il semblerait que le cyberscore est de peu chance de se concrétiser.
Comments