Entrée en vigueur du cyberscore

Cette nouvelle obligation résulte de la loi n°2022-309 promulguée le 3 mars 2022, laquelle introduit l’article L. 111-7-3 du Code de la consommation. À noter que le terme cyberscore n’apparaît pas, toutefois, c’est le terme retenu par les professionnels du métier afin que cet indicateur reste accessible au grand public, qui en est le destinataire principal.

Un nouvel indicateur pour la robustesse de la cybersécurité sur les sites internet

Cette loi témoigne d’une double volonté de la part des autorités françaises, toujours dans le but de protéger les personnes et les concitoyens :

• renforcer la sécurité des données à caractère personnel hébergées par les plateformes, les entreprises et les sites web (donc, elle vient en renfort du RGPD)

• assurer une meilleure information des consommateurs, leur permettant ainsi d’identifier aisément le niveau de sécurité des plateformes consultées

Qui est concerné par cette nouvelle loi sur la cybersécurité ?

La loi va s’imposer à deux types de plateformes numériques (sous réserve qu’elles dépassent les seuils fixés dans un décret à venir) et pour le moment il s’agit des :

• opérateurs de plateformes en ligne au sens du Code de la consommation :

« toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (…) ».

Concrètement, cela concerne les moteurs de recherche, les sites d’annonces en ligne, les plateformes de partage de vidéos en ligne, etc…

• fournisseurs de services de communications interpersonnelles au sens du Code des postes et des communications électroniques :

« service de communications interpersonnelles qui n’établit pas de connexion à un numéro ou des numéros figurant dans le plan national ou international de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans un plan national ou international de numérotation ».

On y trouve donc les services de messagerie instantanée, les réseaux sociaux, ou encore les services de visioconférence.

À ce jour, les entreprises et les sociétés dans leur globalité ne sont pas concernées. Toutefois, cela fait partie de l’évolution logique de la cyberprotection. Rappelons également que les PME et les TPE sont de plus en plus touchées par les cyberattaques et qu’une protection suffisante n’est pas du luxe.

Vers une protection cyber pour tous… et une information plus transparente avec le cyberscore

En adoptant cette loi, la France met le doigt sur les nombreux incidents de sécurité qui ont affecté les plateformes les plus utilisées. Les cyberattaques sont récurrentes, obligeant les sociétés à mettre en place des niveaux de sécurité plus importants. Les fuites de données peuvent mettre en péril la sécurité des données à caractère personnel des consommateurs, et cela s’est déjà vu. Les conséquences sont dangereuses, pouvant aller du vol d’argent jusqu’au vol d’identité.

Les lois visent donc à améliorer l’information des consommateurs sur la sécurisation de leurs données et sur l’intégrité du système d’information des plateformes grâce au cyberscore. 

La transparence souhaitée doit apparaître selon le résultat de l’audit et doit être :

• présenté au consommateur de façon lisible, claire et compréhensible

• accompagné d’une présentation ou d’une explication qui peut être présenté sous la forme d’une échelle de couleur ou de lettres (comme le nutriscore ou le score énergétique des appareils électroménagers)

Cette loi a pour objectif de guider vers la prise de conscience nécessaire quant aux risques pesant sur la sécurité des données. Le rôle des entreprise sera également de mener à un changement d’habitudes de consommation.

Que risquent les plateformes en ne respectant les obligations ?

A partir du 1er octobre 2023, les plateformes qui ne respecteraient ces nouvelles obligations encourront une amende administrative de 375 000 euros, prononcée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

La sanction n’est pas négligeable et il est donc très important de se mettre en conformité rapidement afin de limiter les risques, mais aussi pour conforter ou restaurer les relations de confiance avec les consommateurs ou les clients.

Les nouvelles obligations du cyberscore viennent compléter les exigences du RGPD permettant aux plateformes de renforcer méthodiquement leur sécurité face aux attaques malveillantes.

Ce qui manque encore sur le cyberscore…

Etant donné que les décrets ne sont pas encore sortis, il manque tout de même quelques éléments importants comme :

• la durée de validité de l’audit

• les critères de l’audit et les points de vérification

• les procédures de vérification

• quelles sont les éléments d’affichage obligatoire ? (code couleur, affiche spécifique…)

• etc.

En conclusion : c’est une affaire à suivre et à prévoir car l’audit sera obligatoire et indispensable pour la protection numérique de tous.