Dernière mise à jour : 7 mars
Le Sénat a définitivement adopté la proposition de la loi pour la mise en place d'une certification de cybersécurité des plates-formes numériques destinées au grand public. Il doit entrer en application le 1er octobre 2023.
A la manière du nutri-score pour les produits alimentaires, ce cyberscore visera à informer le grand public du niveau de sécurisation des données offert par des services numériques qui leur sont destinés. Cet étiquetage sera décidé à l'issue d'un audit mené par des prestataires labellisés par l'ANSSI. Un décret précisera les seuils à partir desquels les entreprises y sont soumises.
Selon les rapports de différentes sociétés de cybersécurité, les cybercriminels s’attaquent de plus en plus aux banques et au gaming. En 2021, 95 000 nouveaux chevaux de Troie bancaires mobiles ont été repérés, sans oublier la récupération d’identifiants pour des jeux mobiles - ces derniers étant souvent revendus ultérieurement sur le darknet ou utilisés pour voler des biens virtuels aux utilisateurs.
Rendre lisibles des informations cruciales
Aujourd'hui, les conditions générales d'utilisation contiennent déjà la plupart des informations relatives à la sécurité information d'un service. Or, elles sont "inexploitables en pratique" car elles sont "noyées dans des termes techniques", a regretté Cédric O, le secrétaire d'Etat à la transition numérique et aux communications électroniques, devant le Sénat. Pour Anne-Catherine Loisier, rapporteure de la commission des affaires économiques, le nouveau système d'étiquetage vise à simplifier la lecture de ces informations afin que "le consommateur soit mieux informé sur la protection de ses données en ligne".
L'objectif initial du sénateur du Val-de-Marne Laurent Lafon est de cibler les plateformes numériques les plus utilisées. Après plusieurs amendements, c'est la notion "d'opérateur de plateforme en ligne" qui a été retenue.
D'après l'article L.111-7 du code de la consommation, il s'agit d'une personne physique ou morale proposant "à titre professionnel de manière rémunérée ou non un service de communication au public en ligne" reposant sur "le classement ou le référencement au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers" ou sur "la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service".
Moteur de recherche, marketplace, logiciel de visioconférence...
Sont ainsi concernés les moteurs de recherche, les marketplaces, les réseaux sociaux, les logiciels de visioconférence… Ils étaient déjà tenus de délivrer aux utilisateurs une information loyale, claire et transparente sur les conditions générales d'utilisation -CGU- du service ainsi que sur les modalités de référencement, de classement ou de déréférencement des offres mises en ligne.
A partir du 1er octobre 2023, ils seront également tenus de réaliser un audit de cybersécurité portant sur "la sécurisation et la localisation des données qu'ils hébergent directement ou par l'intermédiaire d'un tiers" et sur "leur propre sécurisation".
La procédure doit être effectuée par des prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Le résultat devra être présenté au consommateur de "façon lisible et compréhensible" et accompagné d'une "présentation ou d'une expression complémentaire, au moyen d'un système d'information coloriel".
Un décret viendra préciser les seuils à partir desquels les opérateurs de plates-formes en ligne sont soumis à cette nouvelle obligation. C'est une étape particulièrement importante pour trouver le bon équilibre entre innovation et encadrement.
De plus, après avis de la Commission nationale de l'informatique et des libertés (Cnil), un arrêté des ministres chargés du numérique et de la consommation fixera les critères d'évaluation pris en compte par l'audit, ainsi que ses conditions de validité et ses modalités de présentation.
Comment seront fixés les critères d'évaluation ?
Sans une grille d'évaluation, il sera difficile d'apprécier l'utilité du cyberscore. Anne-Catherine Loisier a proposé plusieurs pistes de réflexion devant le Sénat : le régime juridique applicable en matière de protection des données, l'usage du chiffrement de bout en bout, "le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel", voire "le nombre de failles mises à jour".
Reste à voir si l'application d'une loi extraterritoriale sera prise en compte dans la grille d'évaluation. Si tel est le cas, tous les services proposés par des entreprises étrangères pourraient se retrouver avec une mauvaise notation, à l'instar des solutions commercialisées par des sociétés françaises mais hébergées par de cloud étrangers.
Quelle articulation avec SecNumCloud ?
Ce cyberscore devra également s'articuler avec le label "SecNumCloud"délivré par l'Anssi.
Ce label garantit aux organisations publiques, parapubliques, et aux entreprises stratégiques comme les opérateurs d’importance vitale (OIV) qu’elles s’appuient sur un environnement cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité.
Les contours de ce label ont été révisés avec la nouvelle doctrine gouvernementale "cloud au centre", présenté par le gouvernement en mai 2021. Elle permet à des entreprises françaises de distribuer des services proposés par des entreprises étrangères sous licence. En octobre dernier, l'Anssi a par ailleurs publié une version révisée de son référentiel "SecNumCloud" pour l'adapter aux nouvelles exigences techniques et juridiques.
En savoir plus:
https://www.senat.fr/dossier-legislatif/ppl19-629.html
https://www.assemblee-nationale.fr/dyn/15/dossiers/DLR5L15N40131
https://www.senat.fr/senateur/loisier_anne_catherine14205j.html