Le 15 juillet 2020 Laurent Lafont, sénateur du Val-de-Marne a déposé une proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public. 

Le texte propose donc de mettre en place des cyber-scores avec un code couleur et une notation de A à E à destination du grand public, pour favoriser la transparence des sites internet quant à leur niveau de cyber-sécurité. 

Le cyberscore, réponse à l’asymétrie d’information en matière de cyber-sécurité. 

Déjà mis en place pour répondre à un besoin de transparence dans l’agro-alimentaire, avec le système de nutri-score, ce mécanisme de notation s’est montré assez efficace pour lutter contre l’asymétrie d’information qui existe entre les géants de l’agroalimentaire et les consommateurs.

La sécurité informatique représente pour les internautes un réel enjeux dans la société d’information et il est complexe pour un utilisateur de saisir les nuances et les dangers auxquels il se confronte en partageant des données à caractère personnel sur internet. 

La mise en place de cyber-score semble donc répondre à un réel besoin en synthétisant un grand nombre de données par un système simple et facile à comprendre pour tous. 

Les critères de notation proposés

Le cyber-score propose donc un système de notation de A à E en fonction de plusieurs critères, toujours débattus à l’assemblée nationale actuellement.

Le premier critère proposé est celui de la qualité des dispositifs mis en place pour protéger les systèmes d’information et et les données personnelles. 

C’est ensuite par un amendement que le critère de la localisation des données a été votée, contre l’avis du gouvernement. En effet, si les députés à l’initiative de cette loi souhaitent voir ce critère intégré au calcul du score, le gouvernement et notamment Cédric O, secrétaire d’Etat chargé du numérique a montré une opposition à cette disposition, arguant que la localisation en France des données par un fournisseur de service, ne pourrait à elle seule représenter une garantie de protection ce qui ferait naitre une confusion pour les utilisateurs, se sentant protégés à tort.

Le député Ronan le Gleut a en outre précisé lors d’un débat parlementaire le 22 octobre 2020 l’exigence d’un critère  temporel. En effet, le score ne pourrait être valide que pour une durée d’un an. Les innovations technologiques avancent à une vitesse très importante et donc l’évaluation pourrait rapidement devenir obsolète.

Il prend l’exemple des ordinateurs quantiques et précise que ceux-ci qui selon lui vont considérablement se développer dans les prochaines années, rendraient potentiellement inefficaces les systèmes de sécurité informatique en place aujourd’hui. La volonté du cyber score est donc également de pouvoir s’adapter aux évolutions techniques en ayant cette durée de vie assez restreinte ce qui obligerait les fournisseurs à s’adapter constamment pour maintenir un niveau de sécurité optimal. 

En outre, cette notation est associée à un code couleur allant du vert au rouge et positionné sur la page d’accueil ou le portail de connexion permettant d’accéder au site pour permettre aux utilisateurs de se repérer rapidement et d’avoir une vision globale du niveau de sécurité du site internet, le critère de transparence et de clarté étant un point central de la volonté du législateur. 

Les acteurs visés et les sanctions prévues 

Pour que ce système fonctionne, le législateur a légitimement avancé l’idée que cette certification soit réalisée par des organismes habilités afin d’éviter les conflits d’intérêts. C’est donc l’Agence Nationale la Sécurité des Systèmes d’Informations (ANSSI) qui qualifie les prestataires habilités à réaliser l’audit en vue d’établir une notation. 

Le texte prévoit en outre que l’apposition du cyber-score sur la page d’accueil sera rendu obligatoire pour les fournisseurs de services de communication au public qui opèrent sur le territoire français. Ce sont donc les services de visioconférence, de messagerie en ligne et les moteurs de recherche qui sont visés par la loi. Il est en outre précisé qu’un seuil de trafic sera fixé par décret pour délimiter les acteurs concernés et ne viser que les plateformes et entreprises les plus importantes, ce qui représente une centaine de sites. Le gouvernement avait émis au cours des débats parlementaire l’hypothèse d’un seuil fixé à 5 millions de visiteurs uniques par mois. 

En cas de manquement, la proposition de loi prévoit que les entreprises contrevenantes s’exposent à une amende de 375 000 euros.

L’assemblée a approuvé le 26 novembre en première lecture le texte, il est donc en deuxième lecture actuellement et son adoption pourrait avoir lieu au cours de l’année 2021, l’article 3 de la proportion de loi prévoyant une entrée en vigueur pour 2023. 

Elena Leruch  –  M2 DCAN

https://www.senat.fr/rap/l20-038/l20-0382.html#toc17

https://www.assemblee-nationale.fr/dyn/15/dossiers/DLR5L15N40131

https://www.vie-publique.fr/loi/282626-proposition-de-loi-cyberscore-securite-plateformes-numeriques