Le projet de loi « cyberscore » définitivement adopté par le Sénat

Que prévoit ce projet de loi ?

Ce projet de loi vient apporter des modifications au Code de la consommation en y ajoutant un article L.111-7-3. Ce nouvel article impose, à compter du 1er octobre 2023, à certaines plateformes de réaliser un audit de cybersécurité et de faire apparaitre clairement sur leur site les résultats de cet audit.

Cette nouvelle information à destination du consommateur aura pour objectif d’informer ce dernier du niveau de sécurité du site sur lequel il se rend ainsi que sur la sécurisation et la localisation des données hébergées par ces plateformes.

L’objectif est de présenter ce résultat sous la forme d’un diagnostic similaire à celui utilisé pour la performance énergétique qui permet au consommateur d’identifier clairement l’impact environnemental d’un logement ou encore celui utilisé pour le Nutri-score qui permet aux consommateurs de connaitre aisément la valeur nutritionnelle d’un produit alimentaire.

Le « cyberscore » permettra ainsi aux consommateurs d’identifier le niveau de sécurité des plateformes concernées par le projet de loi et de privilégier les plateformes qui correspondent à leurs exigences de sécurité et de localisation des données.

Quels acteurs sont concernés par ce projet de loi ?

Ce projet de loi concerne les plateformes en ligne mentionnés à l’article L.111‑7 du Code de la consommation, à savoir les personnes physiques ou morales « proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service » ainsi que les opérateurs qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, tels que les services de messagerie ou encore les services de visioconférence, dont l’activité dépasse un ou plusieurs seuils définis par décret.

A ce jour, les seuils ne sont pas encore définis. Cependant, l’objectif est de cibler les acteurs les plus importants du marché. Le rapport de l’Assemblée nationale du 18 novembre 2021 cible notamment les plateformes qui reçoivent cinq millions de visiteurs uniques par mois, les services de messageries électroniques les plus utilisés ainsi que les services de visioconférence.

Qui réalise l’audit ?

Le projet de loi prévoit que l’audit devra être effectué par des prestataires d’audit qualifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’objectif étant d’éviter toute auto-certification des acteurs concernés. Le contenu de cet audit et les critères pris en compte seront quant à eux définis par arrêté ministériel.

Sanction

Toute non-conformité à ce nouvel article L.111-7-3 sera passible d'une amende administrative dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.