En cours de discussion, une proposition de loi souhaite la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public. Elle pourrait entrer en vigueur en 2023.
Approuvée le 30 novembre par les députés, cette proposition se présente comme l’équivalent du NutriScore. Retenu dans différents pays, ce système d’étiquetage nutritionnel à cinq niveaux est établi en fonction de la valeur nutritionnelle d’un produit alimentaire.
Présentée fin 2020 par le sénateur Laurent Lafon (UDI), cette proposition de loi pourrait donc déboucher sur l’apparition d’un CyberScore… le 1er octobre 2023. Il concernera les plateformes opérant sur le territoire et « dont l’activité dépasse un ou plusieurs seuils qui seront fixés par décret », donc des réseaux sociaux comme Facebook et Twitter.
Le grand public saura immédiatement si un site a mis en place différents processus de sécurité informatique afin d’assurer la protection des données et notamment celles à caractère personnel.
Pas une usine à gaz
À l’instar du NutriScore, l’affichage du résultat devra être présenté « de façon lisible, claire et compréhensible et accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Pour l’instant, ce projet de loi ne détaille pas les critères d’évaluation pour établir le CyberScore (sous forme de certification) d’un site. Mené par des prestataires approuvés (liste pas encore connue) par l’Anssi (Agence nationale de la sécurité des systèmes d’information), l’audit portera évidemment sur la sécurité des données, leur localisation (dont le lieu du ou des datacenters…).
« L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a précisé Laurent Lafon au site nextinpact.com.
« Comme le Digital Services Act et Digital Markets Act, l’objectif du CyberScore est d’inciter les grandes plates-formes à plus de transparence. Comme pour le NutriScore qui indique quand un pain au chocolat industriel est trop gras, ce classement pour la sécurité des données sensibilisera peut-être le grand public, mais aussi tous les professionnels aux risques qu’ils encourent. Tous ceux qui sont tenus au secret professionnel et qui utilisent Whatsapp ou Messenger pour échanger des informations sensibles ou à caractère personnel seront peut-être plus attentifs. Mais comme pour les campagnes qui informent sur les dangers de la cigarette, la prise de conscience et les changements d’habitude prendront du temps », explique Maître Christiane Féral-Schuhl, avocate spécialisée en droit des nouvelles technologies et en droit de la propriété intellectuelle.
Amende peu dissuasive
Le CyberScore entrant dans le champ d’application de l’article L.131-4 du code de la consommation, ce texte de loi prévoit une amende – prononcée par la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes) – pouvant aller jusqu’à 375 000 euros.
Un montant qui apparaît comme dérisoire comparé aux chiffres d’affaires des GAFAM qui ont fortement progressé entre 2019 et 2020 : 182 milliards de dollars pour Alphabet (maison mère de Google) en 2020, 153 milliards pour Microsoft et 77 milliards pour Meta (ex-Facebook).
« La proposition de loi peut encore évoluer et, sur le principe, elle n’est pas choquante. Reste à préciser les modalités et le montant des sanctions, car 375 000 euros ce n‘est pas très dissuasif pour les grands acteurs du numérique qui sont ciblés », reconnaît Maître Christiane Féral-Schuhl.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE