La loi Cyberscore a été instaurée en réponse à l’essor massif de l’utilisation du numérique durant la crise sanitaire. Cette période a vu une augmentation significative des activités en ligne, des achats sur Internet à l’usage intensif des messageries et des outils de visioconférence, tant pour des besoins professionnels que personnels. Cependant, les utilisateurs ont souvent ignoré les risques liés à l’utilisation de certaines plateformes en termes de protection des données personnelles.
Actuellement, bien que le Règlement Général sur la Protection des Données (RGPD) exige des responsables de traitement et des sous-traitants de mettre en place des mesures de sécurité adéquates, aucune transparence n’est imposée quant au niveau de sécurité offert par les sites consultés quotidiennement par les consommateurs français.
La loi Cyberscore vise à modifier le Code de la consommation en introduisant un nouvel article, le L.111-7-3, obligeant certaines plateformes à effectuer un audit de cybersécurité. Depuis le 1er octobre 2023, ces plateformes sont tenues de publier clairement les résultats de cet audit sur leur site. Cette information permet aux consommateurs d’évaluer le niveau de sécurité de ces plateformes ainsi que la protection et la localisation de leurs données.
Cette mesure s’apparente à des systèmes de notation existants, tels que le diagnostic de performance énergétique pour évaluer l’impact environnemental des logements ou le Nutri-score pour connaître la valeur nutritionnelle des produits alimentaires. Le « cyberscore » offrira une évaluation similaire pour aider les consommateurs à choisir des plateformes répondant à leurs critères de sécurité et de localisation des données.
Qui est concerné ?
Cette législation s’applique aux opérateurs de plateformes en ligne ainsi qu’aux fournisseurs de services de communications interpersonnelles, sous réserve d’un seuil d’activité défini. Pour 2024, ce seuil est fixé à 25 millions de visiteurs uniques par mois en France, afin de ne pas pénaliser les petites entreprises et les start-ups innovantes dans le domaine des services en ligne.
Quelles sont les obligations ?
Les plateformes concernées devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) agréé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet audit se basera sur des informations ouvertes et accessibles, et portera sur la sécurité et la localisation des données. Des critères spécifiques seront évalués, tels que l’organisation et la gouvernance, la protection des données, la maîtrise du service numérique, la localisation des infrastructures d’hébergement, l’exposition sur internet, et bien d’autres aspects liés à la cybersécurité.
Quelles sont les sanctions ?
Les sanctions en cas de non-respect de cette obligation peuvent être sévères, avec des amendes administratives pouvant aller jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale, conformément à l’article L131-4 du code de la consommation. De plus, un faible « cyberscore » risque de ternir l’image de l’opérateur concerné et de réduire la confiance des utilisateurs dans son site.
Dans ce contexte, il est crucial pour les entreprises concernées de mettre en place dès maintenant les mesures de sécurité techniques et organisationnelles adaptées. Des prestataires d’audit de sécurité qualifiés, tels que SERMA Safety and Security, agréés par l’ANSSI, peuvent accompagner ces entreprises pour évaluer et améliorer leur « cyberscore ».
