Quels sont les sites et réseaux concernés par le cyberscore ?

Téléchargez le guide Créer et gérer un site de e-commerce 2022-2023 ➔

Que dit la loi sur le cyberscore ?

Adoptée le 3 mars 2022, la loi n°2022-309, modifie le code de la consommation en ajoutant de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés. Le champ de cette loi concerne les acteurs couverts par l’article L.111-7.I du code de la consommation dépassant un certain seuil restant à définir.

Ainsi, les sites et réseaux concernés devront afficher de manière lisible, claire et compréhensible, au moyen d’un système d’information coloriel, leur score. Ce score sera tiré d’un audit de sécurité que les opérateurs concernés devront réaliser auprès des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) portant sur la sécurisation des données qu’ils hébergent.

Le dispositif est prévu pour entrer en application le 1er octobre 2023.

Quelle application concrète pour les plateformes et réseaux sociaux ?

Le texte prévoit un décret qui listera les plateformes, réseaux sociaux et sites de visioconférence concernés et un arrêté précisera les critères pris en compte par l’audit de sécurité.

La FEVAD a eu des échanges avec les Ministères concernés sur le texte en question et a pu ainsi faire remonter un certain nombre de préoccupations identifiées par les professionnels du secteur, lesquelles ont été prises en compte dans la version finale du texte.

Le texte officiel en date du 4 mars 2022 :

« Art. L. 111-7-3.-Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article.

« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.

« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.

« Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ;