Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France : les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public,
Bientôt un cyberscore ?

Le , par Bill Fassinou

147PARTAGES

6  0 
Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.

Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.

En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.


Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».

Comment le cyberscore pourrait-il fonctionner ?

Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.

« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.

Comment le cyberscore pourrait-il être présenté aux internautes ?

Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.

« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».

Quelles sont les plateformes visées et quels critères seront évalués ?

Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.

Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.

Que risquent les plateformes qui trichent et y aura-t-il des amendes ?

À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.

« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.

Source : Le Sénat, La proposition de loi (PDF)

tweet ici

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 30/10/2020 à 19:08
Quel est votre avis sur le sujet ?

OK, mais à une seule condition, c'est que l'Etat mette à disposition les outils pour valider les plateformes, sinon ils fraudaient les prévenir que l'autoévaluation, ça n'as jamais marché dans aucunes industries, autant pi**er dans un violon pour espérer jouer la 5eme de Beethoven .

Déjà qu'avec le RGPD ça devient bien soûlant là ça donne vraiment plus envie de faire du web (juridiquement parlant).
3  0 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 31/10/2020 à 10:12
C'est vraiment agaçant cette propension à prétendre protéger les citoyens alors qu'on organise la collecte, la vente et le traitement de leurs données personnelle. Cette langue fourchée. Cette saloperie quotidienne.

Par ailleurs, quand je lis "La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score.",
je lis surtout "La loi vise à permettre aux gros acteurs bien friqués de payer des boites de sécurité certifiantes pendant que les autres petits seront lésés face à leurs incapacités à fournir le même niveau d'information aux utilisateurs"

#révolte
1  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 31/10/2020 à 16:39
@frenchlover2, , j'ai bien rigolé, merci.

Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?
1  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 01/11/2020 à 19:32
Bonsoir,

France : la loi sur la certification de cybersécurité des plateformes numériques est adoptée

Quel est votre avis sur le sujet ?
L'idée de fond est louable. Encore une fois plusieurs incohérences ...

> l'état se défausse . Qui fera les contrôles du coup ? Une entreprise privée qui va bidonner les chiffres et éjecter les petits commerçants avec peu de trafic ?
> mettre un "autoscore" . La encore c'est d'un ridicule ... Facebook ou Orange peuvent fonctionner correctement donc score de 5/A. Le site du service publique (pourtant d’intérêt publique) plante . On lui met un E/1 car très mauvais site ? Ne pas reproduire la problématique de notation des avis des hôtels et restaux avec les faux avis ...

Pour que le score fonctionne on a besoin de 4 canaux marchands chacun à 25% de la note :
> avis consommateur/utilisateur
> avis d'un organisme officiel sur la fiabilité du site/service et du respect du rpdg
> cabinet d'audit indépendant
> autoévaluation

On compile les chiffres via 4 sources différentes et la pas de triche ou alors difficile de triche sur un quart de note ... Histoire de limiter la fraude.

Citation Envoyé par frenchlover2
Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement
Qu'une instance internationale prenne la main sur le dossier est fondamentalement nécessaire . A la limite l'OMC ... le problème comme d'habitude c'est l'emprise des usa sur le sujet ... On a bien des partenariats entre l'AFNOR et des autorités de "normalisation" aux Kenya, Japon, Corée du Sud, UE ... mais les USA n'aiment pas le "normalisme" à la française ...

L'union internationale des postes et télécoms par exemple a difficilement la main mise sur ces normes.

Il y aussi l’adaptabilité des normes à différents marchés ... Ne pas oublié qu'il y a plusieurs bloc dans le monde : La Chine, L'Inde et des pays satellites, l'Asie Pacifique+Océanie, L'UE, les pays russophones, le moyens Orient , l'Afrique, l'Amérique du Nord et l’Amérique latine. Déjà que des blocs de pays ne s'aiment pas entre eux, je vois difficilement comment réussir à faire percer des autorités de régulation ou de "contrôle". Certains n'en voudront pas quand d'autres voudront pas main mise dessus.

Donc je reste assez septique sur la chose.

Citation Envoyé par defZero
Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?
Parler de l'ONU et OTAN c'est pour illustrer son propos comme l'OMC, l'UNICEF, l'UNESCO, l'UPU, FMI ...

En gros "inventer" une espèce d'instance internationale.
1  0 
Avatar de ManPaq
Membre habitué https://www.developpez.com
Le 11/11/2020 à 8:56
Pour faire simple: cnil.fr : la-protection-des-donnees-dans-le-monde
A: membres de l'UE
B: pays adéquats
C: adéquation partielle
D: autorité indépendante et loi
E: législation
F: pas de loi
0  0 
Avatar de frenchlover2
Membre régulier https://www.developpez.com
Le 31/10/2020 à 10:48
Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement
2  5