La France se dote d'un cyberscore pour afficher le niveau de protection des services numériques
A la manière du nutri-score pour les produits alimentaires, le cyberscore vise à informer le grand public du niveau de sécurisation des données offert par des services numériques à destination du grand public. Cet étiquetage sera décidé à l'issue d'un audit mené par des prestataires labellisés par l'Anssi. Un décret précisera les seuils à partir desquels les entreprises y sont soumises. La loi entrera en vigueur le 1er octobre 2023.
Le Sénat a définitivement adopté la proposition de la loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public. Il doit entrer en application le 1er octobre 2023.
Rendre lisibles des informations cruciales
Aujourd'hui, les conditions générales d'utilisation contiennent déjà la plupart des informations relatives à la sécurité information d'un service. Or, elles sont "inexploitables en pratique" car elles sont "noyées dans des termes techniques", a regretté Cédric O, le secrétaire d'Etat à la transition numérique et aux communications électroniques, devant le Sénat. Le nouveau système d'étiquetage vise à simplifier la lecture de ces informations afin que "le consommateur soit mieux informé sur la protection de ses données en ligne", a expliqué Anne-Catherine Loisier, rapporteure de la commission des affaires économiques.
L'objectif initial du sénateur du Val-de-Marne Laurent Lafon était de cibler les plateformes numériques les plus utilisées. Après plusieurs amendements, c'est la notion "d'opérateur de plateforme en ligne" qui a été retenue. D'après l'article L.111-7 du code de la consommation, il s'agit d'une personne physique ou morale proposant "à titre professionnels de manière rémunérée ou non un service de communication au public en ligne" reposant sur "le classement ou le référencement au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers" ou sur "la mise en relation de plusieurs parties en vue de la vente d'un bien de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service".
Moteur de recherche, marketplace, logiciel de visioconférence...
Sont ainsi concernés les moteurs de recherche, les marketplaces, les réseaux sociaux, les logiciels de visioconférence… Ils étaient déjà tenus de délivrer aux utilisateurs une information loyale, claire et transparente sur les conditions générales d'utilisation du service ainsi que sur les modalités de référencement, de classement ou de déréférencement des offres mises en ligne.
A partir du 1er octobre 2023, ils seront donc également tenus de réaliser un audit de cybersécurité portant sur "la sécurisation et la localisation des données qu'ils hébergent directement ou par l'intermédiaire d'un tiers" et sur "leur propre sécurisation". La procédure doit être effectuée par des prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Le résultat devra être présenté au consommateur de "façon lisible et compréhensible" et accompagné d'une "présentation ou d'une expression complémentaire, au moyen d'un système d'information coloriel".
Un décret viendra préciser les seuils à partir desquels les opérateurs de plateforme en ligne sont soumis à cette nouvelle obligation. Une étape particulièrement importante pour trouver le bon équilibre entre innovation et encadrement. De plus, après avis de la Commission nationale de l'informatique et des libertés (Cnil), un arrêté des ministres chargés du numérique et de la consommation fixera les critères d'évaluation pris en compte par l'audit, ainsi que ses conditions de validité et ses modalités de présentation.
Comment seront fixés les critères d'évaluation ?
Sans la grille d'évaluation, il est difficile d'apprécier l'utilité du cyberscore. Anne-Catherine Loisier a proposé plusieurs pistes de réflexion devant le Sénat : le régime juridique applicable en matière de protection des données, l'usage du chiffrement de bout en bout, "le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel", voire "le nombre de failles mises à jour".
Il reste à voir si l'application d'une loi extraterritoriale sera prise en compte dans la grille d'évaluation. Si tel est le cas, tous les services proposés par des entreprises étrangères pourraient se retrouver avec une mauvaise notation, ainsi les solutions commercialisées par des sociétés françaises mais hébergées par de cloud étrangers.
Quelle articulation avec SecNumCloud ?
Ce cyberscore devra également s'articuler avec le label "SecNumCloud". Délivré par l'Anssi, il garantit aux organisations publiques, parapubliques, et aux entreprises stratégiques comme les opérateurs d’importance vitale (OIV) qu’elles s’appuient sur un environnement cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité.
Les contours de ce label ont été révisés avec la nouvelle doctrine gouvernementale "cloud au centre", présenté par le gouvernement en mai 2021. Elle permet à des entreprises françaises de distribuer des services proposés par des entreprises étrangères sous licence. En octobre dernier, l'Anssi a publié une version révisée de son référentiel "SecNumCloud" pour l'adapter aux nouvelles exigences techniques et juridiques.
C'est ainsi que Thales et Google Cloud ont annoncé leur coopération, emboîtant le pas à Microsoft, Orange et Capgemini. Ces offres hybrides devraient avoir le fameux label, d'après les concernés. Ces offres n'existent toujours pas à l'heure actuelle.
Sélectionné pour vous
SUR LE MÊME SUJET
La France se dote d'un cyberscore pour afficher le niveau de protection des services numériques
Tous les champs sont obligatoires
0Commentaire
Réagir
