A partir du 1er octobre 2023, certaines plateformes devront rendre accessible aux consommateurs sous forme de « cyberscore », le résultat de l’audit de cybersécurité réalisé par un prestataire qualifié.
Cette nouvelle obligation résulte de la loi n°2022-309 promulguée le 3 mars 2022, laquelle introduit l’article L. 111-7-3 du Code de la consommation. Précisons que le terme « cyberscore » n’est pas utilisé par la loi précitée.
Cette loi s’inscrit témoigne d’une double volonté :
- renforcer la sécurité des données à caractère personnel hébergées par les plateformes ;
- assurer une meilleure information des consommateurs, leur permettant ainsi d’identifier aisément le niveau de sécurité des plateformes consultées.
Quelles sont les plateformes concernées ?
Ces obligations s’imposeront à deux types de plateformes numériques, sous réserve qu’elles dépassent les seuils fixés dans un décret à venir :
- les opérateurs de plateformes en ligne au sens du Code de la consommation :
« toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (…) ».
Concrètement, cela concerne les moteurs de recherche, les sites d’annonces en ligne, les plateformes de partage de vidéos en ligne, etc…
- les fournisseurs de services de communications interpersonnelles au sens du Code des postes et des communications électroniques :
« service de communications interpersonnelles qui n’établit pas de connexion à un numéro ou des numéros figurant dans le plan national ou international de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans un plan national ou international de numérotation ».
Peuvent tomber sous le coup de cette définition, les services de messagerie instantanée, les réseaux sociaux, ou encore les services de visioconférence.
Un audit de sécurité à faire réaliser pour définir le cyberscore
Les plateformes entrant dans le champ d’application de la loi devront faire réaliser un audit de cybersécurité dont le périmètre est le suivant :
- la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers,
- leur propre sécurisation.
Cet audit devra être effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), c’est-à-dire par des prestataires ayant obtenu une qualification certifiant leur conformité aux exigences des référentiels de l’ANSSI.
Les critères de l’audit ne sont pas encore connus à ce jour, et seront déterminés dans un arrêté conjoint des Ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Une information transparente et intelligible aux consommateurs
En adoptant cette loi, le législateur français se saisit de la problématique des incidents de sécurité qui ont pu affecter les plateformes les plus utilisées, pouvant mettre en péril la sécurité des données à caractère personnel des consommateurs. Il vise aussi à améliorer l’information des consommateurs sur la sécurisation de leurs données et sur l’intégrité du système d’information des plateformes.
La transparence souhaitée par le législateur transparait notamment dans le fait que le résultat de l’audit doit :
- être présenté au consommateur de façon lisible, claire et compréhensible ;
- et être accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel.
Rappelons qu’il résulte des rapports législatifs que cette loi vise à ce que la prise de conscience quant aux risques pesant sur la sécurité des données amène à un changement d’habitudes de consommation.
Il est toutefois surprenant que les pouvoirs publics et les collectivités ne soient pas inclus dans le dispositif alors même que les usagers n’ont pas nécessairement le choix de recourir aux services en ligne mis à leur dispositions par ces acteurs.
Quelles sanctions en cas de manquement ?
A compter du 1er octobre 2023, les plateformes manquant à ces nouvelles obligations encourront une amende administrative de 375 000 euros, prononcée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Que retenir ?
Cette loi poursuit un objectif de protection des données et de sécurité, partagé avec d’autres textes dont par exemple le RGPD. En revanche, elle est singulière en ce qu’elle aboutit à la création d’une obligation d’information en termes de cybersécurité pour certains acteurs.
Par ailleurs, cette loi s’inscrit dans un contexte européen de renforcement des obligations en la matière. On pense notamment à la directive NIS (Network and Information System Security), étant précisé qu’un accord a été trouvé au niveau européen sur la directive NIS 2, ou encore au règlement européen Digital Services Act qui contraindra certaines plateformes à recourir chaque année à des audits de conformité.
Dans l’attente du décret et de l’arrêté conjoint des ministres chargés du numérique et de la consommation, quelques interrogations demeurent :
- Quels seront les critères de l’audit ? Quid de la durée de validité du score ?
- Comment le système d’information coloriel sera-t-il présenté et affiché (pop-up, encart sur une page ou dans le footer, accessible en bas de page via un lien cliquable) ?
Les réponses seront apportées par les textes réglementaires susmentionnés dont Mathias Avocats vous tiendra informé.