07/03/22
Jeudi 24 février dernier, le Sénat a définitivement adopté, en deuxième lecture, le projet de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public[1].
Le texte, initié par Laurent Lafon, Président de la commission de la culture, de l’éducation et la communication du Sénat, a été déposé, le 15 juillet 2020, au Sénat en première lecture[2]. Ce projet de loi a vu le jour au début de la crise sanitaire durant laquelle l’usage du numérique a considérablement augmenté (commandes en ligne, utilisation des messageries et outils de visioconférence que ce soit à des fins professionnelles que personnelles etc.), sans que les consommateurs aient conscience des risques que peut présenter l’usage de certaines plateformes sur leurs données[3]. En effet, à ce jour, si le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) impose aux responsables de traitement ainsi qu’aux sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ou que le droit européen de la cybersécurité prévoit la mise en place d’un dispositif de certification harmonisé[4], aucune information transparente sur le niveau de sécurité offerte par les sites que consultent les consommateurs français quotidiennement n’est requise que ce soit par le RGPD ou tout autre texte législatif ou réglementaire.
Ce projet de loi vient apporter des modifications au Code de la consommation en y ajoutant un article L.111-7-3. Ce nouvel article impose, à compter du 1er octobre 2023, à certaines plateformes de réaliser un audit de cybersécurité et de faire apparaitre clairement sur leur site les résultats de cet audit. Cette nouvelle information à destination du consommateur aura pour objectif d’informer ce dernier du niveau de sécurité du site sur lequel il se rend ainsi que sur la sécurisation et la localisation des données hébergées par ces plateformes. L’objectif est de présenter ce résultat sous la forme d’un diagnostic similaire à celui utilisé pour la performance énergétique qui permet au consommateur d’identifier clairement l’impact environnemental d’un logement[5] ou encore celui utilisé pour le Nutri-score[6] qui permet aux consommateurs de connaitre aisément la valeur nutritionnelle d’un produit alimentaire. Le « cyberscore » permettra ainsi aux consommateurs d’identifier le niveau de sécurité des plateformes concernées par le projet de loi et de privilégier les plateformes qui correspondent à leurs exigences de sécurité et de localisation des données.
Ce projet de loi concerne les plateformes en ligne mentionnés à l’article L.111‑7 du Code de la consommation, à savoir les personnes physiques ou morales « proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :
1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service » ainsi que les opérateurs qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, tels que les services de messagerie ou encore les services de visioconférence, dont l’activité dépasse un ou plusieurs seuils définis par décret.
A ce jour, les seuils ne sont pas encore définis. Cependant, l’objectif est de cibler les acteurs les plus importants du marché. Le rapport de l’Assemblée nationale du 18 novembre 2021 cible notamment les plateformes qui reçoivent cinq millions de visiteurs uniques par mois, les services de messageries électroniques les plus utilisés ainsi que les services de visioconférence[7].
Le projet de loi prévoit que l’audit devra être effectué par des prestataires d’audit qualifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’objectif étant d’éviter toute auto-certification des acteurs concernés. Le contenu de cet audit et les critères pris en compte seront quant à eux définis par arrêté ministériel.
Toute non-conformité à ce nouvel article L.111-7-3 sera passible d'une amende administrative dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.
[1] https://www.senat.fr/petite-loi-ameli/2021-2022/504.html.
[2] https://www.senat.fr/leg/ppl19-629.html.
[3] https://www.senat.fr/leg/exposes-des-motifs/ppl19-629-expose.html.
[4] Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications.
[5] Cf. supra.
[6] Voir en ce sens L’essentiel sur la proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public de la Commission des affaires économiques : https://www.senat.fr/lessentiel/ppl19-629_1.pdf.
[7] https://www.assemblee-nationale.fr/dyn/15/rapports/cion-eco/l15b4700_rapport-fond.