Le CyberScore, un enjeu de transparence de la part des acteurs du net concernant leur sécurité et celle des données.
Le CyberScore, qu’est-ce que c’est ?
Le CyberScore découle d’une proposition de loi du sénateur du Val-de-Marne, Laurent Lafon. La proposition de loi a été adoptée le 22 octobre 2020 par le Sénat puis le 26 novembre 2021 par l’Assemblée nationale. Elle a été définitivement adoptée le 24 février 2022, le CyberScore entrera en vigueur dès octobre 2023.
Il s’apparente au Nutri-Score, ce classement par couleur et par lettre allant du vert au rouge et de A à E, rendant accessible et facilement compréhensible pour le grand publique, la valeur nutritionnelle des aliments.
Le Cyberscore complète le code de la consommation en adaptant ce principe du Nutri-Score au domaine de la cybersécurité. Il sert plus précisément à évaluer la qualité de la sécurité de divers sites et plateformes. L’objectif est de rendre directement compréhensible, et ce même pour les novices, la qualité de la sécurité du site et des données qui s’y trouvent.
Le but étant que le CyberScore soit visible dès l’arrivée de l’utilisateur sur le site. C’est pourquoi, il apparait dès l’ouverture de la page web ou lors de la connexion au compte de l’usager.
Sa naissance : une création du Sénat
Cette proposition de loi a été motivée par la volonté d’améliorer la transparence des sites, concernant leur niveau de sécurité globale et le niveau de protection qu’ils accordent aux données qu’ils hébergent ou font héberger par des tiers.
Afin d’atteindre ces différents objectifs, l’article premier de la proposition de loi prévoit que le CyberScore s’applique à divers types de plateformes si elles atteignent un certain nombre d’utilisateurs défini par décret.
Il y a deux types de plateformes concernées, celles offrant des services de communication entre utilisateurs et les moteurs de recherche.
Bien-sûr, les sites qui n’entrent pas dans ces critères mais qui souhaitent tout de même mettre en place un CyberScore, le pourront.
Le Sénat estimait que les plateformes devaient s’autoévaluer afin de fixer leur CyberScore.
Son évolution : l’impact des amendements de l’Assemblée nationale
L’Assemblée nationale a adopté la proposition de loi du Sénat mais non sans la modifier.
Un amendement proposé par les députés Christophe Naegelen et Philippe Latombe prévoit l’intégration de la localisation et de l’hébergement des données personnelles des utilisateurs, dans la prise en compte des critères servants à établir le CyberScore. Et ceci dans un but de souveraineté numérique de l’Etat français.
Le secrétaire d’Etat chargé du numérique n’approuve pas cet amendement car il estime que cela peut être trompeur pour l’utilisateur. Celui-ci pourrait se sentir mieux protégé si ses données sont hébergées au sein de l’Europe. Or, selon le Sénat, la protection des données ne dépend pas de leur emplacement géographique.
L’Assemblée nationale a modifié aussi les modalités d’évaluation des critères. Elle a décidé, par ses amendements, que les sites et plateformes seront évalués par des prestataires d’audit de la sécurité des systèmes d’information qualifiés (qualification PASSI), habilités par l’ANSSI.
Selon l’Assemblée nationale, le souhait des sénateurs d’une autoévaluation par les plateformes n’était pas objectif, ni transparent.
Les sanctions encourues face à son non-respect
Etant donné que le CyberScore a été implémenté au code de consommation, les entreprises ne le respectant pas s’exposent à une amende pouvant aller jusqu’à 375 000 euros prononcée par la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes). Les particuliers s’exposent eux à une amende de 75 000 euros.
Cette méthode favorise les sites les mieux notés, poussant les autres à se mettre à leur niveau afin d’attirer les utilisateurs.
La validité du CyberScore sera limitée dans le temps, ce qui contraindra les plateformes concernées à faire des audits régulièrement, afin de vérifier que leur niveau de sécurité et de protection des données restent stables. Ce qui facilitera aussi la modification des critères pris en compte afin d’évaluer le CyberScore d’une plateforme.
Noémie CARON : https://www.linkedin.com/in/no%C3%A9mie-caron-347ab4206/
M2 Cyberjustice – Promotion 2021/2022
Sources :
Image : https://pixabay.com/fr/photos/cyber-s%c3%a9curit%c3%a9-l-internet-r%c3%a9seau-4610993/
https://www.senat.fr/tableau-historique/ppl19-629.html
http://www.senat.fr/petite-loi-ameli/2020-2021/39.html
https://www.assemblee-nationale.fr/dyn/15/textes/l15t0710_texte-adopte-seance