Face à la multiplication des systèmes d’étiquetage apparus dans un souci de transparence vis-à-vis du consommateur, l’heure est désormais à l’évaluation des plateformes numériques grand public.
Le cyberscore résulte, ainsi, d’une obligation imposée par la loi promulguée le 3 mars 2022 créant le nouvel article L. 111-7-3 du Code de la consommation. L’initiative est attribuée à Laurent Lafon, président de la commission de la culture, de l’éducation et de la communication du Sénat, qui perçut, en pleine crise sanitaire, la nécessité de « présenter une information transparente sur le niveau de sécurité offert sur ces plateformes ». Ce dispositif œuvrant pour plus de sécurité et de respect de la vie privée entrera en application le premier octobre 2023.
Bien que le cyberscore pâlirait l’absence législative et réglementaire d’une obligation relative à la transparence sur le niveau de sécurité des sites consultés quotidiennement, une analogie demeure possible.
D’une part, avec l’obligation de sécurité créée par la loi de sécurité du 26 février 2018 qui avait élaboré la catégorie de « fournisseur de service numérique ». D’autre part, avec l’obligation de sécurité générale de l’article 32 du Règlement Général de la Protection des Données.
Par ailleurs, cette nouvelle exigence s’inscrit dans la démarche européenne ayant conduit à la mise en place du règlement européen relatif à l’ENISA (European Union Agency for Cybersecurity) et à la certification de cybersécurité des technologies de l’information et des communications.
Par conséquent, les opérateurs devront, par le visuel « cyberscore » directement identifiable, informer les internautes de la sécurité de leur site ou service et de la sécurisation ainsi que de la localisation des données qu’ils hébergent eux-mêmes ou leurs prestataires. Néanmoins, si les seuils ne sont, à présent, pas définis, l’objectif demeure de cibler les acteurs les plus importants du marché. Un décret devrait, à ce titre, préciser les critères permettant d’identifier l’ensemble des acteurs concernés.
Mais qui aura la charge d’élaborer les critères ?
L’hypothèse d’une autoévaluation étant formellement écartée par l’Assemblée Nationale, le cyberscore résultera donc d’une appréciation par des prestataires d’audit qualifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Les critères que l’ANSSI devra prendre en compte pour établir un tel diagnostic de sécurité, sa durée, ses modalités ainsi que sa validité seront définis par arrêté ministériel après avis de la CNIL. Pour l’heure, les plateformes peuvent s’auto-diagnostiquer à l’aide, notamment, d’un test de pénétration permettant d’analyser l’infrastructure d’un réseau informatique en simulant l’attaque d’un utilisateur ou d’un malware.
Les principaux aspects de sécurité couverts par ce cyberscore concerneront les données liées au consommateur, l’accent de l’évaluation étant porté sur la confidentialité des données clients, nonobstant, l’hébergement et la localisation de celles-ci ne seront pas sans impact sur l’évaluation.
En outre, toute non-conformité sera assortie de sanctions prévues par une future version de l’article L. 131-4 du Code de la consommation qui entrera en vigueur le premier octobre 2023. Plus précisément, il s’agira d’une amende administrative dont le montant atteindrait 75 000 euros pour les personnes physiques et 375 000 euros pour les personnes morales.
In fine, l’initiative du cyberscore est primordiale avec le développement de l’intelligence artificielle, la multiplication des objets connectés et la collecte massive des données en résultant. L’objectif demeure de renforcer, via un audit indépendant, la confiance de l’internaute qui pourra, en ce sens, identifier clairement le niveau de sécurité des plateformes visées par les dispositions et ainsi de privilégier les plateformes correspondant à ses exigences de sécurité.
Lucia Berdeil
M2 Cyberjustice – Promotion 2022/2023
Sources :
- https://www.pwcavocats.com/fr/ealertes/ealertes-france/2022/03/le-projet-de-loi-cyberscore-definitivement-adopte-par-le-senat.html)
- https://info.haas-avocats.com/droit-digital/cyberscore-les-obligations-de-cybersecurite-des-plateformes
- https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881&from=FR
- https://datalegaldrive.com/cyberscore-rgpd/
- https://www.vie-publique.fr/loi/282626-loi-3-mars-2022-cyberscore-securite-des-plateformes-numeriques
- https://www.alain-bensoussan.com/avocats/un-cyberscore-pour-les-plateformes-grand-public/2022/04/08/
- https://www.village-justice.com/articles/cyberscore-mode-emploi-reserve,41874.html)
