L’Assemblée nationale a adopté une proposition de loi dans cet objectif le 26 novembre. Le texte doit désormais être adopté en deuxième lecture par le Sénat.
[Mise à jour du 28 février 2022]
La proposition de loi pour créer un cyberscore évaluant la sécurité des données numériques a été votée de manière définitive et sans modifications par le Sénat le 24 février dernier. Cependant, elle n’entrera en application que le 1er octobre 2023, avec, pour rappel, de nouvelles obligations en termes de cybersécurité pour les plateformes numériques, les messageries et les sites de visioconférences les plus utilisés.
[Article initial du 29 novembre 2021]
En France, un nutriscore permet aux consommateurs de s’informer sur la valeur nutritionnelle d’un produit alimentaire avec cinq niveaux : du A au E et du vert au rouge. Dans le même sens, un « cyberscore » pourrait prochainement voir le jour afin que les internautes puissent évaluer la sécurisation de leurs données sur les sites et réseaux sociaux fréquentés. Une proposition de loi pour la création de ce dispositif a en effet été adoptée par l’Assemblée nationale le 26 novembre dernier.
« Lorsqu’un utilisateur ira sur un site ou une plateforme, il verra un code couleur, bien identifié, qui lui apprendra qu’un audit indépendant a confirmé que ses données sont bien protégées, mais aussi que la sécurisation interne du site est rigoureuse », a déclaré Christophe Naegelen, rapporteur de la commission des affaires économiques lors de la séance à l’Assemblée. Le texte adopté s’appliquerait aux grandes plateformes numériques, aux messageries et aux sites de visioconférences les plus utilisés (Zoom…).
La question de la localisation des données
La proposition de loi prévoit un décret pour indiquer les sites et plateformes concernés, ainsi qu’un arrêté afin de préciser les critères pris en compte par le diagnostic de sécurité. Elle renvoie actuellement à l’article L.111-7-1 du code de la consommation, qui porte sur les opérateurs de plateformes en ligne dont l’activité dépasse un seuil de 5 millions de visiteurs uniques par mois. Le rapporteur de la commission des affaires économiques a en effet expliqué qu’il ne voulait pas que ce dispositif soit trop contraignant ou trop coûteux, notamment pour les petites start-ups qui viennent de se lancer. Une fois les critères définis, l’audit de sécurité serait effectué par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les opérateurs concernés par le texte devraient également indiquer aux internautes la localisation des données hébergées par eux-mêmes ou par leurs prestataires. Un amendement inclus dans le texte à cet effet a été adopté par l’Assemblée nationale : « En effet, au-delà de la sécurisation des données, il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme ». Le Gouvernement – représenté par Cédric O – souhaitait pourtant le retrait de cet amendement. Le secrétaire d’État chargé de la transition numérique et des communications électroniques considère en effet que donner cette information aux internautes risque de créer « une sécurité illusoire ». Pour lui, le fait que les données d’un Français soient localisées en France ne permet pas de les protéger car elles sont susceptibles d’être confiées à un acteur dont le centre de données est géré depuis l’étranger. « Nos concitoyens pourraient plébisciter des services fournis par des acteurs étrangers, pensant à tort que la protection est la même que celle d’un fournisseur européen », a-t-il expliqué.
Approuvée par l’Assemblée nationale, la proposition de loi doit encore passer par le Sénat. Si elle est définitivement adoptée, son application est prévue pour le 1er octobre… 2023.