C'est une obligation de plus pour les plateformes en ligne destinées au grand public : la loi du 3 mars 2022 leur impose de procéder à un audit de cybersécurité et d’afficher les résultats sous forme de visuel coloré - le Cyberscore - pour l’information des consommateurs.
Qu'est-ce que le Cyberscore ?
Le nouvel article L. 111–7-3 du code de la consommation est entré en vigueur le 1er octobre 2023. Il impose à certaines plateformes en ligne de faire réaliser un audit de cybersécurité et de faire apparaître le résultat "de façon lisible, claire et compréhensible" sur leurs plateformes, sous forme de Cyberscore.
Ce Cyberscore est inspiré du célèbre Nutriscore qui informe les consommateurs sur la valeur nutritionnelle des produits alimentaires. En l'espèce il s'agira d'auditer et de noter la plateforme, et d'informer les utilisateurs de ce score notamment sur :
Les résultats de l'audit devront également être présentés aux consommateurs sous la forme d'un dispositif visuel en couleurs, mais contrairement au Nutriscore, la nouvelle certification de cybersécurité est obligatoire pour certains acteurs. Ses modalités de mise en œuvre seront précisées par décret et par un arrêté, dont les projets ont été publiés : Leur publication définitive interviendra après avis de la CNIL (Commission Nationale de l'Informatique et des Libertés) puisqu'il s'agit d'auditer la sécurisation des données et la conformité aux règles de protection des données personnelles (RGPD et loi française Informatique et libertés).
Qui est concerné ?
Les nouvelles obligations s'appliquent aux opérateurs de plateformes en ligne (tels que les moteurs de recherche, les sites d'annonce en ligne, les Marketplaces, les réseaux sociaux...) ou les personnes qui fournissent des services de communication interpersonnelles non fondés sur la numérotation (tel que les services de messageries instantanées), qu'ils hébergent les données directement ou par l'intermédiaire d'un tiers. Pour qu'ils soient soumis à ce nouveau dispositif, il faut également que ces acteurs dépassent certains seuils définis par décret. À ce jour, le projet de décret prévoit que l'obligation du Cyberscore s'appliquera aux acteurs qui remplissent les conditions suivantes :
Mais il faudra attendre le décret définitif pour savoir précisément qui sera concerné.
Des conséquences incertaines pour les entreprises ?
Concrètement, les entreprises concernées devront faire apparaître leur Cyberscore sur leur plateforme. Chaque Cyberscore sera déterminé par un audit externe qui devra être réalisé par un prestataire d'audit de la sécurité des systèmes d'information (PASSI), qualifié par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), ou par un auditeur sélectionné par le PASSI.
Le projet d'arrêté, qui entrerait en vigueur au 1er janvier 2024, prévoit que la certification au Cyberscore sera valide pendant seulement 12 mois, ce qui est court et porteur de contraintes opérationnelles puisque ce délai obligerait les entreprises à se faire auditer et recertifier chaque année. Les opérateurs vont devoir s'organiser pour obtenir leur Cyberscore, puis ensuite pour parvenir à l'améliorer ou à le conserver d'une année sur l'autre.
Le projet d'arrêté comporte également en annexe les critères de notation qui devront être pris en compte pour l'audit, avec une grille de notation de F à A+. L'exercice apparaît complexe : pour obtenir le niveau A+ par exemple, il faut atteindre un nombre total de 62 critères par niveau, alors même que seuls 36 critères figurent à ce jour dans l'annexe, mais qui eux-mêmes "se décomposent en sous critères" qui ne sont pas pour l'instant mentionnés.
Plusieurs des 36 critères suscitent au demeurant des interrogations :
À titre d'exemple, il est prévu de scorer l'"Exposition des données du service numérique à des législations à portée extra territoriale (fournisseurs du service et partenaire tiers". Mais cette détermination sera en pratique très complexe à réaliser puisqu'elle impliquera, pour chacun des partenaires et sous-traitants de la plateforme, de recenser quelles sont les différentes législations de chaque pays du monde qui sont de portée extra territoriale - elles sont nombreuses - et lesquelles sont susceptibles, en fonction du contenu variable du texte de ces législations, de s'appliquer à chacun d'entre eux. Il s'agit en outre d'un exercice éminemment juridique, très différent des autres critères techniques comme l'évaluation du niveau de sécurité sur Internet ou de la robustesse du dispositif de traitement des incidents de sécurité. Le prestataire d'audit de la sécurité (PASSI) sera-t-il alors toujours épaulé d'un spécialiste du droit ?
Au-delà des questions pratiques de réalisation du score et des critères qui présideront à celui-ci, se pose la question de la portée concrète du Cyberscore :
Au vu d'un score D ou E, les utilisateurs seront-ils influencés et changeront-t-il leurs habitudes pour une plateforme plus sécurisée ?
Les cyber attaquants cibleront-ils davantage les plateformes présentant un mauvais score puisqu'elles seront en principe plus faciles à pirater si leur score indique un niveau de sécurité insuffisant, ou au contraire seront-ils galvanisés par la perspective de réussir à hacker une plate-forme bien notée?
L'enjeu pour les entreprises concernées se pose en termes d'image de marque, puisqu'elles seront obligées d'afficher publiquement leurs niveaux de sécurité et de conformité à la protection des données personnelles, comme l'indique le projet d'arrêté : "le marquage visuel Cyberscore devra être apposé de manière visible sur l'écran d'accueil du service en ligne".
Le Cyberscore, même s'il résulte d'une loi française, s'inscrit par conséquent dans la logique des nouveaux textes européens comme le Digital Services Act (DSA) et le Digital Markets Act (DMA) qui poursuivent l'objectif global d'obliger les grandes plateformes à plus de transparence.