Retour sur le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022.
Cyberscore : dans le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022, la sénatrice Mme Anne-Catherine Loisier indiquait qu’en dépit d’une augmentation croissante des cyberattaques[1], les entreprises ne modifiaient pas leur comportement face à la menace[2].
Partant du constat que la cybersécurité était une contrepartie indispensable à l’économie numérique et plus largement, à la numérisation de tous les pans de la société, le législateur a donc imposé de nouvelles obligations à la charge des opérateurs de plateforme.
La loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score ») a introduit dans le code de la consommation[3] une obligation d’information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu’ils hébergent.
Cette loi apporte une obligation d’information des opérateurs numériques à destination des utilisateurs de leurs services sur le niveau de sécurité de leurs données, qui n’était pas prévue par le règlement général sur la protection des données (« RGPD »). Ce dernier ne prévoit en effet que la mise en place de mesures de sécurité des données personnelles, sans toutefois informer les personnes concernées quant à leur robustesse[4].
Le nouvel article L.111-7-3 du code de la consommation dispose ainsi que :
« Les opérateurs de plateformes en ligne (…)dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur (…), portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation (…) ».
L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.
(…)
Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. »
La loi cyber-score est entrée en vigueur le 1er octobre 2023.
Le décret d’application et l’arrêté précisant ses modalités d’application sont en attente de publication.
1. Qui est concerné par cette obligation de communication ?
Le champ d’application est particulièrement large dès lorsqu’il concerne (i) les opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et (ii) les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil fixé par décret. Le projet de décret prévoit un seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024[5]. L’objectif du législateur est en effet de ne pas pénaliser les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne.
Concrètement, les plateformes numériques (places de marché, les sites comparateurs, les moteurs de recherche, réseaux sociaux…), les services de messagerie et les logiciels de visioconférence à destination du grand public sont concernés par l’obligation de réaliser des audits de cyber-sécurité et de communiquer le résultat au public sous réserve de dépasser le seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024.
2. Quelles sont les modalités de l’audit de cybersécurité ?
Les opérateurs concernés devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
L’audit sera réalisé sur la base d’informations ouvertes, librement accessible et de manière non intrusive par le prestataire et portera sur la sécurisation et la localisation des données. A cet égard, une localisation au sein de l’Union européenne est une garantie de sécurité des données, au regard de l’application du RGPD, mais également en enjeu de souveraineté numérique.
La localisation des données n’est toutefois pas le seul critère à prendre en compte. Le projet d’arrêté prévoit les points de contrôle suivants[6] :
- Organisation et gouvernance (assurance cyber, certification de sécurité, …)
- Protection des données (mesures de sécurité relative à l’hébergement des données, exposition des données à des législations extraterritoriales, partage des données à des tiers)
- Connaissance et maîtrise du service numérique (cartographie des informations traitées par le service numérique et sensibilité, cartographie des prestataires, existence de mécanismes de cloisonnement réseau visant à prémunir le service numérique d’une attaque par rebond sur les environnements mutualisés)
- Niveau d’externalisation (localisation des infrastructures d’hébergement du service numérique en UE…)
- Niveau d’exposition sur internet (réalisation de scans de sécurité régulier, mise en œuvre d’une solution visant à se prémunir des dénis de service (DDoS), gestion de l’identification / authentification des utilisateurs…)
- Dispositif de traitement des incidents de sécurité
- Audits du service numérique (Réalisation d’audits de sécurité réguliers avant la mise en œuvre du service numérique (audit/Bug bounty/etc.))
- Sensibilisation aux risques cyber et lutte anti-fraude (sensibilisation aux risques de cybersécurité, Avertissement des usagers sur les risques cyber d’escroqueries et de fraudes et recommandations de précaution…)
- Développement sécurisé (prise en compte des règles OWASP…)
Il convient de noter que les points de contrôle suscités doivent déjà être pris en compte par les entreprises dans le cadre de leur mise en conformité au RGPD.
Il convient d’attendre la publication de l’arrêté pour avoir une grille exhaustive des points de vérification de l’audit de cyber-sécurité.
3. Comment afficher le cyber-score ?
A l’instar du « nutriscore », le législateur prévoit que l’opérateur économique doit publier un « cyberscore » sur son site. Le projet d’arrêté indique que le marquage devra être apposé de manière visible sur l’écran d’accueil et que le score d’audit cyberscore et sa date de réalisation devront apparaitre de manière visible dans les mentions légales du service en ligne.
Le résultat du cyber-audit, quel qu’il soit, devra être affiché de manière claire et accessible sur le site de l’opérateur.
L’objectif est en effet de permettre aux consommateurs usagers d’être mieux informés quant à la protection de leurs données en ligne.
4. Quelles sont les sanctions en cas de non-respect ?
En cas de manquement à cette obligation et conformément à l’article Article L131-4 du code de la consommation, l’opérateur encourt une amende administrative infligée par la DGCCRF dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.
En outre, un cyber-score faible portera nécessairement atteinte à l’image de l’opérateur concerné et diminuera la confiance des utilisateurs de son site.
***
Dans ce contexte, il est essentiel pour les entreprises concernées de mettre en place dès à présent les mesures de sécurité technique et organisationnelle adaptées.
Le département IT/Data du cabinet Joffe & Associés vous accompagne dans la mise en conformité de vos plateforme (mise en conformité RGPD, sécurisation des relations avec les tiers, sensibilisation à la cyber-sécurité…).
Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.
[1] Selon le rapport, 54% des entreprises déclaraient avoir subi au moins une cyber-attaque en 2021 et 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques.
[2] Rapport Sénat n°503 p6 https://www.senat.fr/rap/l21-503/l21-5031.pdf
[3] Article L.111-7-3 du code de la consommation
[4] Article 32 du RGPD
[5] https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-decret-cyberscore.pdf
[6]https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-arrete-cyberscore.pdf
