Le principe du Cyberscore

La loi n° 2022-309 du 3 mars 2022 a mis en place, à l‘image du Nutriscore, le principe du Cyberscore. Il s’agit de la certification de cybersécurité obligatoire des plateformes numériques destinée au grand public (réseaux sociaux, visioconférence, messageries instantanées etc.) par un audite de l’Anssi.

Seules les plateformes qui remplissent certains critères (fixés prochainement par arrêté ministériel) sont concernées.

Ce dispositif est prévu pour entrer en application le 1er octobre 2023.

Notion de cybersécurité

L’Anssi définit la cybersécurité de façon technique, comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».

Il s’agit donc de préserver de diverses menaces techniques les données professionnelles et à caractère personnel stockées et les services qui leur sont associés.

Définition des seuils

La 1ère difficulté résidera sans doute dans la définition, par voie réglementaire, des seuils au-delà desquels les opérateurs de plateformes en ligne et les entreprises seront concernés. Seuls les acteurs numériques les plus importants sont concernés afin de ne pas décourager l’innovation des plus petites entreprises proposant des services en ligne. Il s’agit de trouver un équilibre entre innovation et réglementation.

Audit de cybersécurité

La 2ème difficulté concerne le contenu de cet audit de cybersécurité, qui sera défini par arrêté ministériel.

Si le critère de localisation des données est important, car déterminant le régime juridique applicable en matière de protection des données et participant de l’affirmation d’une plus grande souveraineté numérique, cela ne peut pas être le seul critère pris en compte pour déterminer la sécurité de l’hébergement des données.

La difficulté résidera dans la définition des autres indicateurs pertinents pour réaliser cet audit.

Des critères techniques pourraient être retenus, comme le chiffrement de bout en bout pour les services numériques impliquant des communications.

D’autres critères, moins techniques, pourraient également être envisagés comme le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel ou le nombre de failles mises à jour. L’existence d’une loi à portée extraterritoriale pourrait aussi être prise en compte.

Modalités d’information des consommateurs

Enfin, la difficulté concerne les modalités d’information des consommateurs. Le dispositif devait être présenté de façon lisible, claire et compréhensible à l’aide d’un système coloriel (comme le logo du Nutriscore).

cyberscore

Les sanctions prévues  

En application de l’article L. 131-4 du code de la consommation, tout manquement à ces dispositions serait passible d’une amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale, prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*