France : l'Assemblée nationale adopte la proposition de loi de mise en place d'une certification de cybersécurité des plateformes numériques grand public

Le "cyberscore" entre en vigueur dès 2023

Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
destinées au grand public

Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.

Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.

En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.


Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».

Comment le cyberscore pourrait-il fonctionner ?

Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.

« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.

Comment le cyberscore pourrait-il être présenté aux internautes ?

Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.

« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».

Quelles sont les plateformes visées et quels critères seront évalués ?

Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.

Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.

Que risquent les plateformes qui trichent et y aura-t-il des amendes ?

À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.

« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.

Source : Le Sénat, La proposition de loi (PDF)

tweet ici

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc