Au 1er octobre 2023, de nombreux services en ligne devront communiquer sur leur « cyberscore » de sécurité informatique.
Partant du constat que les consommateurs s’exposent régulièrement à des cybermenaces, le législateur (L. n°2022-309, 3 mars 2022) a prévu de nouvelles obligations de transparence pour les plateformes, messageries en ligne et outils de visioconférence, qui entreront en vigueur le 1er octobre 2023.
L’objectif est double : d’une part, mettre les internautes en mesure de choisir les solutions numériques les plus fiables et sécurisées ; d’autre part, mettre en exergue les failles de sécurité afin de mieux lutter contre le risque de violation des données.
A titre d’exemple, lors des confinements successifs, nombre d’internautes se sont tournés vers des outils de visioconférence sans se soucier des risques liés à la confidentialité de leurs échanges. Or, l’utilisation de plateformes non sécurisées expose à de nombreux risques cybers, tels que le vol de données, l’enregistrement de leurs conversations, l’espionnage, etc. En rendant l’information publique, les plateformes concernées se voient contraintes de renforcer leur sécurité, ne serait-ce que pour rester compétitives sur le marché.
Deux nouvelles obligations
Les services concernés devront désormais réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données hébergées, que ce soit directement ou par l’intermédiaire d’un tiers, ainsi que sur leur propre sécurisation.
On notera que cet audit porte sur toutes les données hébergées et pas seulement sur les données à caractère personnel.
Les critères à prendre en compte pour la réalisation de cet audit, sa durée de validité et ses modalités de présentation seront précisés ultérieurement par arrêté des ministres chargés du numérique et de la consommation, pris après avis de la CNIL.
Un rapport parlementaire évoquait au titre des éléments qui pourraient s’avérer pertinents à prendre en compte : le chiffrement de bout en bout (notamment pour les services de messagerie en ligne), le nombre de condamnations prononcées par la CNIL à l’encontre du service, l’existence d’une législation étrangère à portée extraterritoriale menaçant les données personnelles collectées, etc.
Afin d’assurer l’objectivité de cet audit, le texte impose qu’il soit réalisé par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
A l’issue de cet audit, un « cyberscore » sera attribué au service concerné.
Ce « cyberscore » devra être porté à la connaissance des consommateurs. Il devra être présenté de façon lisible, claire et compréhensible et être « accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Sur ce point, la proposition de loi se référait explicitement à l’affichage retenu en matière de diagnostic de performance énergétique, permettant de renseigner l’acheteur d’un bien immobilier sur l’impact environnemental de celui-ci.
Le non-respect de cette obligation d’information est sanctionné par le prononcé d’une amende administrative dont le montant ne peut excéder 75 000 euros pour les personnes physiques et 375 000 euros pour les personnes morales (C. conso., art. L. 131-4 à compter du 1er octobre 2023).
Les acteurs concernés
Les opérateurs de plateforme en ligne, c’est-à-dire « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :
– le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
– ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service » (C. conso., art. L. 111-7).
Les personnes qui fournissent des « services de communications interpersonnelles non fondés sur la numérotation » (au sens du CPCE, art. L. 32, 6° quater). Il s’agit des services de messagerie Over The Top (OTT) – services qui livrent des contenus vidéo, audio et autres via Internet sans recourir à un opérateur de réseau classique (téléphonie, satellite ou câble) – tels que WhatsApp ou Zoom.
Néanmoins, seuls sont concernés les acteurs dont l’activité dépasse un ou plusieurs seuils, qui seront fixés ultérieurement par décret.
S’agissant des seuils qui pourraient être retenus, le rapport parlementaire de la commission des affaires économiques entendait limiter ces obligations « aux seuls opérateurs de taille significative », le but étant d’épargner aux moyennes entreprises et aux start-up les coûts engendrés par cette certification, coûts qui pourraient s’avérer conséquents. Dans cet objectif, le rapport suggère de fixer le seuil à cinq millions de visiteurs uniques par mois (C. conso., art. L. 111-7-1 qui impose aux opérateurs de plateforme en ligne une obligation d’information loyale, claire et transparente notamment en matière de classement et de déréférencement).
Au final, seraient ainsi concernés les plateformes, messageries et solutions de visioconférence les plus utilisés et dont le nombre s’élèverait à une centaine selon le rapport parlementaire précité.
Si la date du 1er octobre 2023 peut paraître lointaine, la démarche de conformité exige du temps : choisir le prestataire certifié, faire l’audit permettant d’identifier d’éventuelles failles, corriger celles-ci…. Il est donc urgent de ne pas attendre !
Pour lire La Tribune dans son contexte original.