À compter d’octobre 2023, les plateformes générant le plus de trafic en France devront afficher un cyberscore. Celui-ci est lié au niveau de maturité des données que les entreprises hébergent.
Qu’est-ce que le cyberscore ?
La crise du COVID-19 a augmenté considérablement l’utilisation des solutions numériques. Le numérique s’est développé tant dans la vie professionnelle que dans la sphère privée. Il a ainsi obligé les entreprises à accélérer leurs transformations numériques. Durant cette période de crise, Internet est essentiellement devenu le canal d’une interaction humaine véritable. Cependant, l’utilisation accrue de ces solutions numériques a conjointement augmenté le potentiel d’attaques et de vulnérabilités en matière de cybersécurité.
Par conséquent, cette pandémie a mis en évidence pour le législateur français la nécessité d’informer de manière claire les individus. Le principal risque demeure sur les risques liés à l’utilisation d’une plateforme numérique. La nouvelle loi française « pour la mise en œuvre d’une certification en matière de cybersécurité des plateformes numériques destinées au grand public » répond donc à cette préoccupation en imposant de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques.
Voir aussi : Qu’est ce que le phishing ?
Pour quand le cyberscore est-il prévu ?
Cette loi entrera en vigueur le 1er octobre 2023. Ainsi, a compter de cette date, toute plateforme devra se doter cyberscore. Ce cyberscore présentera à ses utilisateurs les résultats d’une autoévaluation réalisée par un prestataire d’audit qualifié par l’ANSSI.
Prise de RDV immédiate
Quelles obligations pour ces plateformes ?
La loi impose de nouvelles obligations de transparence en matière de cybersécurité pour les plateformes.
Premièrement, les grandes plateformes numériques devront réaliser un audit sur « la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article« . Les prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) seront en charge de l’audit. Selon le projet de loi, les ministres chargés du numérique et de la consommation fixeront les critères. Ils seraient notamment le diagnostic de cybersécurité, sa durée de validité et ses modalités de présentation auprès de la CNIL.
Ensuite, le projet de loi prévoit l’obligation d’afficher un « cyberscore » : à l’instar du système d’étiquetage nutri-score. En cas de manquement, les contrevenants pourront se voir infliger des amendes allant jusqu’à 75 000 € pour une personne physique et 375 000 € pour une personne morale. Un champ d’application incluant les plateformes implantées hors de France et atteignant un seuil d’utilisateurs à déterminer par le futur décret.
Ces nouvelles obligations s’appliquent aux plateformes telles que définies par l’article L. 111-7 du code de la consommation (c’est-à-dire les places de marché et les plateformes de référencement), aux prestataires de services de messagerie et aux prestataires de services de visioconférence. Cibler les plateformes numériques les plus utilisées est l’objectif initial.
a testé et validé
La formation continue
Quelles plateformes seront concernées par ce cyberscore ?
Nous ne connaissons pas encore le périmètre des plateformes concernées. Un décret listera les plateformes soumises à cette nouvelle obligation. Celui-ci contiendra également les seuils d’éligibilité.
En surplus, ces nouvelles obligations s’intègrent dans une section du Code de la consommation français dédiée aux obligations d’information précontractuelle. Ces règles s’appliquent quel que soit le pays où l’opérateur se situe. Cela à condition qu’il cible ses services vers les consommateurs français. Ces nouvelles obligations devraient donc s’appliquer non seulement aux acteurs français, mais également aux acteurs étrangers ciblant les consommateurs français.
Quelle forme prendra le cyberscore ?
Un cyberscore visuel permettra de transmettre l’information aux internautes. Ce visuel devrait suivre celui adopté par le NutriScore, dans le secteur de l’alimentation. La nouvelle loi prévoit que le résultat de l’audit sera présenté de « façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Des initiatives similaires existent-elles dans l’Union Européenne ?
Il est intéressant de noter que ce même besoin de protéger et d’informer les consommateurs via un système de certification se retrouve au niveau européen. En 2019 a été adopté l’EU Cybersecurity Act, qui a pour objectif de définir un cadre de certification européen.
En outre, la Commission en mars 2022 une consultation publique pour recueillir les avis et les expériences de toutes les parties concernées sur le futur Acte européen sur la cyber-résilience, dont l’objectif principal est d’établir des normes communes pour les produits de cybersécurité.
