IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France : l'Assemblée nationale adopte la proposition de loi de mise en place d'une certification de cybersécurité des plateformes numériques grand public
Le "cyberscore" entre en vigueur dès 2023

Le , par Patrick Ruiz

37PARTAGES

15  0 
Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
destinées au grand public

Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.

Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.

En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.


Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».

Comment le cyberscore pourrait-il fonctionner ?

Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.

« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.

Comment le cyberscore pourrait-il être présenté aux internautes ?

Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.

« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».

Quelles sont les plateformes visées et quels critères seront évalués ?

Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.

Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.

Que risquent les plateformes qui trichent et y aura-t-il des amendes ?

À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.

« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.

Source : Le Sénat, La proposition de loi (PDF)

tweet ici

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc
Vous avez lu gratuitement 0 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de rbolan
Membre actif https://www.developpez.com
Le 07/12/2021 à 13:14
Je me demande quel score pourrait avoir Doctolib ? Et le Health Data Hub ?

Et la nouvelle plateforme monespacesanté.fr !
4  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 01/03/2022 à 10:31
Citation Envoyé par Patrick Ruiz Voir le message
France : le Sénat adopte de façon définitive la proposition de mise en place d’une certification de cybersécurité des plateformes numériques grand public
Le cyberscore entre en vigueur en 2023

La proposition de loi vise à mettre en place une certification de sécurité pour les plateformes numériques, sur le modèle du Nutriscore. Cet outil doit être simple et lisible ; un système d'information coloriel semble donc le plus adapté. L'enjeu est de construire un monde numérique plus sûr.
Cette problématique doit être abordée à l'échelle européenne. Monsieur le secrétaire d'État, quelles mesures comptez-vous défendre en matière de sécurité numérique dans le cadre de la PFUE ?
C'est vrai que le nutriscore a changé nos vie, merci. Bullshitjob.
4  0 
Avatar de seedbarrett
Membre éclairé https://www.developpez.com
Le 07/12/2021 à 13:39
Citation Envoyé par rbolan Voir le message
Je me demande quel score pourrait avoir Doctolib ?
Score de A, parce que tout comme la poste, si tu vends des données privées c'est pas un manquement de sécurité mais une fonctionnalité
2  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 07/12/2021 à 14:42
Citation Envoyé par Bill Fassinou Voir le message
Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
destinées au grand public
Et vous ?

Quel est votre avis sur le sujet ?

J'ai envie de dire super un nouveau bullshit job ! Apposer des certificats bidon à tout les mecs qui auront pignon sur rue sur le net pour que les autres aient l'air louche alors que tout le monde aura le même environnement logiciel/technique. De toute façon quand ils disent:

Les députés ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) »
Ca veut dire

Les copains on va filer du blé à mes potoss
Comme HADOPI, comme les autres projet du genre, le cloud souverain, c'est juste de l'argent jeté par les fenêtres.
3  1 
Avatar de
https://www.developpez.com
Le 10/12/2021 à 21:24
Bonsoir,

Que pensez-vous de ce système de notation des sites à l’intention des internautes ?
Cela va favoriser les gros sites aux détriments des petits ... E-nautia, Mailo ou encore Laposte.net vont se prendre un C/D quand des Google et Facebook vont se prendre A/B ... "ou comment flinguer les boites françaises", vu que tout est fait en dépit du bon sens dans pays ...

Quels inconvénients entrevoyez-vous ?
Que les boites françaises se prennent des scores inférieurs aux boites US ... Pourtant d'un point de vu sécurité il est plus intéressant d'avoir confiance en laposte.net que gmail.com ... L'un est français, l'autre non.

Affligeant
2  1 
Avatar de KnifeOnlyI
Membre régulier https://www.developpez.com
Le 01/03/2022 à 17:00
Citation Envoyé par Jules34 Voir le message
C'est vrai que le nutriscore a changé nos vie, merci. Bullshitjob.
Le nutriscore n'a pas vocation a impacter la vie de qui que ce soit si il n'en n'a pas envie.
Mais maintenant les gens ont un outil de plus pour savoir ce qu'ils mangent.
Regarder un nutriscore (ou autre outil) est plus simple que de regarder la composition pour 100g derrière la boite.
1  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 08/12/2021 à 9:07
Bonjour,
Citation Envoyé par Jules34 Voir le message
J'ai envie de dire super un nouveau bullshit job ! Apposer des certificats bidon à tout les mecs qui auront pignon sur rue sur le net pour que les autres aient l'air louche alors que tout le monde aura le même environnement logiciel/technique.
Avoir le même environnement technique et les mêmes logiciels est une chose, avoir les mêmes protocoles de sécurité en est une autre.

Comme toute proposition de loi, elle sera largement amendée, puis fera (peut-être) l'objet d'un décret d'application.
À partir de là, on pourra formuler des critiques sous réserve d'avoir lu cette loi... plusieurs fois, histoire d'en digérer le contenu le plus souvent indigeste !
0  0 
Avatar de rbolan
Membre actif https://www.developpez.com
Le 01/03/2022 à 9:18
Si je comprend bien c'est l'ANSII qui mènera les audits ? et qui développera le cahier des charges ?
0  0 
Avatar de
https://www.developpez.com
Le 03/03/2022 à 22:48
Bonsoir

France : le Sénat adopte de façon définitive la proposition de mise en place d’une certification de cybersécurité des plateformes numériques grand public

Le cyberscore entre en vigueur en 2023
Un ânerie de plus votre cyberscore ... A l'image du nutriscore ou des produits régionaux / AOP / sous label sont classés E ... Un produit industriel se retrouve mieux noté que le truc artisanal qu'on va manger 1/2 fois par mois.

En gros on dit au consommateur "c'est artisanal c'est censé être [...] mais on considére que c'est de la merde " ... drôle de conception des choses

Les sites associatifs ou des petits professionnels vendant sur internet vont se faire dégager , avec un tel truc ?

Cela favorisera la marketplace des petits professionnels sur les grosses plateformes (Amazon, Alibaba, Cdiscount ... ) ... Au lieu de petits VADistes.
0  0 
Avatar de
https://www.developpez.com
Le 08/12/2021 à 13:17
C'est horriblement moche vraiment les bureaucrates ne savent plus quoi inventer
1  4