Nos données sont partout et en permanence utilisées. Mais comment sont-elles protégées ? Et le sont-elles bien ? De la transparence, voilà ce que souhaitent les consommateurs de plus en plus inquiets à l’heure actuelle. C’est pour rassurer et prévenir les abus que le sénateur Laurent Lafon a fait une proposition de loi audacieuse au sein de laquelle il envisage de créer un CyberScore. Adopté à l’unanimité au Sénat le 22 octobre dernier, pour que ce label devienne définitif, il doit encore être approuvé par l’Assemblée Nationale.
Le confinement, une mise en lumière de l’urgence de mieux connaître les plateformes numériques
En raison de la crise sanitaire et des épisodes de confinement, entre jeux vidéos, achats en ligne et Netflix, le temps moyen passé sur Internet, et par conséquent les datas, ont augmenté de façon exponentielle. La ruée vers les outils de visioconférence comme Zoom pour ne citer qu’un exemple, utilisés pour des réunions professionnelles ou des apéros entre amis, ont propulsé des millions d’utilisateurs sur de nouvelles plateformes sans pour autant qu’il existe de solutions protégeant les données personnelles de leurs utilisateurs. Des failles de sécurité ont été détectées, et le gouvernement n’a pas perdu de temps pour alerter les internautes des risques auxquels ils avaient pu et pourraient être exposés.
Le cyberscore, un nutriscore d’Internet.
Mais kezako ? Depuis 2017, les consommateurs sont avertis de la qualité nutritionnelle d’un produit alimentaire par un système d’étiquetage : le nutriscore. Inspiré de ce dernier, mais aussi du DPE (Diagnostic de performance énergétique), le cyberscore repose sur le même principe, et permettrait d’informer les utilisateurs de services numériques sur le niveau de sécurité de leurs données personnelles. Suivant les modèles existants, ce niveau de protection serait établi par des lettres et des couleurs allant de A à E, du vert au rouge, afin de donner une information synthétique, visuelle et accessible immédiatement à tous.
La mise en place du cyberscore n’est pas anodine, elle revêt un double objectif : tout d’abord, celui d’informer de façon claire et lisible sur le niveau de protection de nos données personnelles. Les sénateurs souhaitent faire prendre conscience aux internautes des risques qui se cachent derrière le simple fait de « surfer » sur Internet. En vue d’une meilleure maîtrise des dérives de la part de professionnels, ce cyberscore en appelle à la vigilance des consommateurs. Même si de nombreux textes régissent déjà le secteur de la cybersécurité, y compris le RGPD (règlement général de protection des données), le cyberscore devrait être complémentaire. Le but étant d’attirer l’attention même de ceux qui s’y connaissent le moins, et palier un vrai manque d’information.
D’autre part, le cyberscore ajoute une obligation pour le professionnel de communiquer les informations relatives à la sécurité des données qu’il héberge ou qui sont hébergées par un ou des prestataires. En pratique, peu de fournisseurs de produits et services en ligne mettent à disposition des informations relatives aux mesures de sécurité mises en œuvre pour assurer la protection de leurs données. Il y a une volonté de mettre indirectement une pression supplémentaire sur ces acteurs du numérique vis-à-vis de leur « bonnes » pratiques. Car en réalité, quel est le niveau de sécurité des services en ligne que nous utilisons ? Nombreux sont ceux qui affichent sur leurs sites de multiples visas et autres badges censés apporter la preuve de leur bonne foi, alors qu’en vérité il n’en est rien.
Quels critères pour le Cyberscore?
La réflexion sur les critères pour le cyberscore a été menée par l’ANSII (Agence nationale de la sécurité des systèmes d’information) main dans la main avec l’équipe du Secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques. Ce label devra être visible à chaque connexion, et reposerait sur des « critères objectifs et techniques ». À titre indicatif, le texte évoque la possibilité de retenir par exemple le recours à un chiffrement de bout en bout pour les services numériques impliquant des communications, le nombre de condamnations par une autorité en charge de la protection des données personnelles, ou encore le nombre de failles mises à jour. Même si ces critères devront faire l’objet d’un arrêté, il a été mis en avant qu’ils devront garder une nature fiable et pragmatique. Une exigence capitale dans la mesure où le système de Cyberscore repose sur une auto-évaluation, responsable de la notation pour faciliter sa mise en œuvre. En effet, aucune intervention d’une quelconque autorité indépendante n’a été prévue. Le dispositif s’oriente donc vers un contrôle a posteriori des déclarations des entreprises par la DGCCRF, bien que ce fonctionnement puisse encore changer sous le prisme des parlementaires.
Conformément au code de la consommation, il serait prévu que le non-affichage ou la mauvaise présentation du Cyberscore entraîne une amende pécuniaire.
Quels enjeux ?
Les Français seraient de mauvais élèves de la protection de leurs données et moins prudents que le reste des Européens. Plus d’un tiers affirme n’avoir aucune connaissance de la législation destinée à protéger leurs données. Le cyberscore viendrait combler le vide entre réalité et préoccupation des utilisateurs plus avertis. Si le Sénat décidait de mettre en place cet outil, cela pourrait permettre aux internautes français de favoriser les plateformes numériques les plus respectueuses de leurs données, ce qui ferait naître une concurrence des plateformes. Cette notation pousserait chacune d’entre elles à faire mieux, ce qui aurait pour conséquence une harmonisation de bonnes notes, dans la meilleure des hypothèses. Au même titre que le NutriScore permet de consommer en toute conscience, le CyberScore devrait permettre aux internautes de choisir les sites web qu’ils fréquentent et les outils qu’ils utilisent au quotidien.
Enfin, un doute plane sur les professionnels qui seront soumis à la mise en place de ce label et qui devront par conséquent prendre tous les moyens nécessaires à l’auto-évaluation en amont. Le paramètre d’application de la loi, et par conséquent du Cyberscore, fait encore débat. Ce qui est certain, c’est que les fournisseurs d’outils et plateformes numériques, mais aussi les fournisseurs de services de communication au public en ligne seront concernés par cette mesure. Alors que le gouvernement estime que le cyberscore a été conçu pour les grandes plateformes dont le seuil de connexion dépasserait « au moins cinq millions de visiteurs par mois », les sénateurs, de leur côté, ont proposé d’appliquer cette loi à « tous les services numériques », ce qui engloberait les sites internet, logiciels en ligne et applications, plateformes. C’est la raison pour laquelle le texte adopté par le Sénat réfère finalement à la notion de fournisseurs de services de communication au public en ligne, définie au 23° de l’article L.32 du Code des postes et des communications électroniques.
La question qui subsiste est donc de savoir si nous pouvons réellement faire confiance à ces plateformes pour mettre en place un tel label. Toutefois, les entreprises savent comment leur (e)réputation peut être mise à mal en peu de temps, et comprendront très rapidement, si cela n’est pas déjà fait, qu’il est n’est pas dans leur intérêt de tromper l’utilisateur. Aussi, celle qui s’amuserait à cacher cette information n’adopterait pas une stratégie gagnante.
Sources :
https://siecledigital.fr/2020/10/23/senateur-francais-cyberscore-plateformes-numeriques/