France : les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public,
Bientôt un cyberscore ?
Le 2020-10-30 16:52:55, par Bill Fassinou, Chroniqueur Actualités
Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.
Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.
En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.
Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».
Comment le cyberscore pourrait-il fonctionner ?
Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.
« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.
Comment le cyberscore pourrait-il être présenté aux internautes ?
Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.
« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».
Quelles sont les plateformes visées et quels critères seront évalués ?
Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.
Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.
Que risquent les plateformes qui trichent et y aura-t-il des amendes ?
À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.
« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.
Source : Le Sénat, La proposition de loi (PDF)
tweet ici
Et vous ?
Voir aussi
Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.
En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.
Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».
Comment le cyberscore pourrait-il fonctionner ?
Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.
« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.
Comment le cyberscore pourrait-il être présenté aux internautes ?
Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.
« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».
Quelles sont les plateformes visées et quels critères seront évalués ?
Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.
Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.
Que risquent les plateformes qui trichent et y aura-t-il des amendes ?
À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.
« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.
Source : Le Sénat, La proposition de loi (PDF)
tweet ici
Et vous ?
Voir aussi
-
defZeroMembre extrêmement actifQuel est votre avis sur le sujet ?
OK, mais à une seule condition, c'est que l'Etat mette à disposition les outils pour valider les plateformes, sinon ils fraudaient les prévenir que l'autoévaluation, ça n'as jamais marché dans aucunes industries, autant pi**er dans un violon pour espérer jouer la 5eme de Beethoven.
Déjà qu'avec le RGPD ça devient bien soûlant là ça donne vraiment plus envie de faire du web (juridiquement parlant).le 30/10/2020 à 19:08 -
rbolanMembre actifJe me demande quel score pourrait avoir Doctolib ? Et le Health Data Hub ?
Et la nouvelle plateforme monespacesanté.fr !le 07/12/2021 à 13:14 -
Jules34Membre expérimentéle 01/03/2022 à 10:31
-
seedbarrettMembre éclairéScore de A, parce que tout comme la poste, si tu vends des données privées c'est pas un manquement de sécurité mais une fonctionnalitéle 07/12/2021 à 13:39
-
Jules34Membre expérimentéJ'ai envie de dire super un nouveau bullshit job ! Apposer des certificats bidon à tout les mecs qui auront pignon sur rue sur le net pour que les autres aient l'air louche alors que tout le monde aura le même environnement logiciel/technique. De toute façon quand ils disent:Ca veut direLes députés ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) »Comme HADOPI, comme les autres projet du genre, le cloud souverain, c'est juste de l'argent jeté par les fenêtres.Les copains on va filer du blé à mes potossle 07/12/2021 à 14:42
-
mh-cbonMembre extrêmement actifC'est vraiment agaçant cette propension à prétendre protéger les citoyens alors qu'on organise la collecte, la vente et le traitement de leurs données personnelle. Cette langue fourchée. Cette saloperie quotidienne.
Par ailleurs, quand je lis "La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score.",
je lis surtout "La loi vise à permettre aux gros acteurs bien friqués de payer des boites de sécurité certifiantes pendant que les autres petits seront lésés face à leurs incapacités à fournir le même niveau d'information aux utilisateurs"
#révoltele 31/10/2020 à 10:12 -
defZeroMembre extrêmement actif@frenchlover2,
, j'ai bien rigolé, merci.
Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?le 31/10/2020 à 16:39 -
tanaka59InactifBonsoir,L'idée de fond est louable. Encore une fois plusieurs incohérences ...France : la loi sur la certification de cybersécurité des plateformes numériques est adoptée
Quel est votre avis sur le sujet ?
> l'état se défausse . Qui fera les contrôles du coup ? Une entreprise privée qui va bidonner les chiffres et éjecter les petits commerçants avec peu de trafic ?
> mettre un "autoscore" . La encore c'est d'un ridicule ... Facebook ou Orange peuvent fonctionner correctement donc score de 5/A. Le site du service publique (pourtant d’intérêt publique) plante . On lui met un E/1 car très mauvais site ? Ne pas reproduire la problématique de notation des avis des hôtels et restaux avec les faux avis ...
Pour que le score fonctionne on a besoin de 4 canaux marchands chacun à 25% de la note :
> avis consommateur/utilisateur
> avis d'un organisme officiel sur la fiabilité du site/service et du respect du rpdg
> cabinet d'audit indépendant
> autoévaluation
On compile les chiffres via 4 sources différentes et la pas de triche ou alors difficile de triche sur un quart de note ... Histoire de limiter la fraude.Qu'une instance internationale prenne la main sur le dossier est fondamentalement nécessaire . A la limite l'OMC ... le problème comme d'habitude c'est l'emprise des usa sur le sujet ... On a bien des partenariats entre l'AFNOR et des autorités de "normalisation" aux Kenya, Japon, Corée du Sud, UE ... mais les USA n'aiment pas le "normalisme" à la française ...Envoyé par frenchlover2
L'union internationale des postes et télécoms par exemple a difficilement la main mise sur ces normes.
Il y aussi l’adaptabilité des normes à différents marchés ... Ne pas oublié qu'il y a plusieurs bloc dans le monde : La Chine, L'Inde et des pays satellites, l'Asie Pacifique+Océanie, L'UE, les pays russophones, le moyens Orient , l'Afrique, l'Amérique du Nord et l’Amérique latine. Déjà que des blocs de pays ne s'aiment pas entre eux, je vois difficilement comment réussir à faire percer des autorités de régulation ou de "contrôle". Certains n'en voudront pas quand d'autres voudront pas main mise dessus.
Donc je reste assez septique sur la chose.Parler de l'ONU et OTAN c'est pour illustrer son propos comme l'OMC, l'UNICEF, l'UNESCO, l'UPU, FMI ...Envoyé par defZero
En gros "inventer" une espèce d'instance internationale.le 01/11/2020 à 19:32 -
tanaka59InactifBonsoir,Cela va favoriser les gros sites aux détriments des petits ... E-nautia, Mailo ou encore Laposte.net vont se prendre un C/D quand des Google et Facebook vont se prendre A/B ... "ou comment flinguer les boites françaises", vu que tout est fait en dépit du bon sens dans pays ...Que pensez-vous de ce système de notation des sites à l’intention des internautes ?Que les boites françaises se prennent des scores inférieurs aux boites US ... Pourtant d'un point de vu sécurité il est plus intéressant d'avoir confiance en laposte.net que gmail.com ... L'un est français, l'autre non.Quels inconvénients entrevoyez-vous ?
Affligeantle 10/12/2021 à 21:24 -
KnifeOnlyIMembre régulierLe nutriscore n'a pas vocation a impacter la vie de qui que ce soit si il n'en n'a pas envie.
Mais maintenant les gens ont un outil de plus pour savoir ce qu'ils mangent.
Regarder un nutriscore (ou autre outil) est plus simple que de regarder la composition pour 100g derrière la boite.le 01/03/2022 à 17:00