Afin de limiter les risques auxquels s’exposent quotidiennement les consommateurs dans l’environnement numérique, le législateur a créé de nouvelles obligations à l’égard de certains acteurs du numérique pour leur imposer l’affichage d’un cyberscore attestant de leur niveau de sécurité.
La Loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public a été publiée au Journal Officiel le 4 mars dernier.
Cette loi a pour objectif de renforcer la sécurité des consommateurs dans l’environnement numérique, en mettant à la charge de certaines plateformes de nouvelles obligations permettant aux internautes d’avoir accès à une information claire sur les risques auxquels ils s’exposent lors de leur utilisation.
Les plateformes numériques concernées
Ces nouvelles obligations concernent, les « opérateurs de plateforme en ligne » dont l’activité dépasse un ou plusieurs seuils qui seront fixés ultérieurement par un décret. Il s’agit de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :
- Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; ou
- La mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service[1].
Les personnes qui fournissent des « services de communications interpersonnelles non fondés sur la numérotation[2] » sont également visées par ces dispositions sous réserve du dépassement d’un ou plusieurs seuils qui seront fixés ultérieurement par décret. Il s’agit ici de cibler spécifiquement les services de messagerie et de visioconférence tels que WhatsApp ou Zoom.
Les nouvelles obligations en matière de cybersécurité
- Réalisation d’un audit de cybersécurité
La loi impose aux plateformes et services concernés de réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données qu’elles hébergent, que ce soit directement ou par l’intermédiaire d’un tiers, ainsi que sur leur propre sécurisation. Les critères qui seront pris en compte lors de cet audit, sa durée de validité et ses modalités de présentation seront précisés par arrêté des ministres chargés du numérique et de la consommation, pris après avis de la CNIL.
Cet audit sera nécessairement réalisé par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) afin d’assurer l’objectivité et du rapport et d’éviter que les plateformes ne s’autoévaluent.
- Présentation du résultat de l’audit
Dans un souci de transparence, le résultat de l’audit de cybersécurité devra être présenté aux internautes de façon « lisible, claire et compréhensible » et être « accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
A cette fin, un rapport[3] de l’Assemblée nationale précise que l’idée est de présenter ce « cyberscore » via un code couleur permettant d’identifier les niveaux de sécurité assurés par les plateformes et les outils de communication concernés. Ce visuel devrait, en principe, se rapprocher de celui adopté pour le nutriscore qui est apposé sur les produits alimentaires.
Les sanctions
Le non-respect de ces nouvelles obligations sera passible d’une amende administrative d’un montant maximal de 75 000 euros pour les personnes physiques et de 375 000 euros pour les personnes morales.
Ces dispositions entreront en vigueur le 1er octobre 2023.
Lire le texte de la loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public.
[1] Article L. 111-7 du Code de la consommation modifié par loi n°2016-1321 du 7 octobre 2016
[2] Au sens de l’article L. 32 6° quater du Code des postes et des communications électroniques modifié par loi n°2021-1755 du 23 décembre 2021
[3] Rapport n°4700 de M. Christophe Naegelen enregistré le 18 novembre 2021