La loi met en place un « cyber score » afin que les internautes puissent juger la sécurité de leurs données sur les sites et réseaux sociaux qu’ils côtoient.
Cette loi répond au fait que les failles de sécurité et les affaires de vol de données personnelles sur Internet sont de plus en plus fréquentes.
A propos la nouvelle Loi
Historique du loi
- - La publication au Journal officiel du 4 mars 2022.
- - La promulgation le 3 mars 2022.
- - Le vote définitif de la proposition de loi (sans modification) en deuxième lecture par le Sénat le 24 février 2022
- - Le dépôt du texte par le sénateur Laurent Lafon et plusieurs de ses collègues le 15 juillet 2020.
- - L’adoption du texte en première lecture, avec modifications, par le Sénat le 22 octobre 2020, puis par l’Assemblée nationale le 26novembre 2021 .
Le contexte de la nouvelle obligation
Le texte proclame de nouvelles exigences en sujet de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés.
Ces opérateurs devront informer les internautes, par un visuel « cyberscore », de niveau de :
- - Sécurité de leur site ou
- - La sécurisation ainsi que de la localisation des données qu’ils hébergent par eux-mêmes ou leurs prestataires (cloud en particulier).
Un audit de sécurité
Les renseignements du cyber score seront tirés d’un audit de sécurité qu’ils devront accomplir.
Il ne s’agira pas d’un audit réalisé en interne ou d’une auto-qualification par les plateformes mais bien d’un audit réalisé par un prestataire d’audit externe accrédité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Un arrêté précisera les critères pris en compte par l’ANSSI pour établir le diagnostic de sécurité, sa durée de validité et ses modalités.
Par ailleurs, le résultat de cet audit devra :
- - Se présenter « de façon lisible, claire et compréhensible ».
- - S’accompagner « d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel » (visuel cyberscore).
Les objectifs de cette obligation
- - Apporter une réponse à l’accroissement des failles de sécurité et de fuites de données personnelles sur internet.
- - Augmenter le niveau général de sécurité appliqué aux plateformes les plus utilisées par le grand public (Le consommateur doit être capable en un seul coup d’œil de connaître le niveau de sécurité d’une plateforme)
- - Rendre le plus clair possible l’information apportée aux consommateurs par les acteurs du numérique.
Les plateformes concernées
Si la loi rend obligatoire la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public, les opérateurs concernés ne sont pas encore définis. Comme l’indique Vie publique, le texte reste pour l’instant très général, mais un décret citera les plateformes, réseaux sociaux et sites de visioconférence concernés (en fonction de l’importance de leur activité) et un arrêté spécifiera les critères pris en compte par l’audit de sécurité.
L’article 111-7 du Code de la consommation précise les plateformes concernées. Il s’agit de :
« Toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service .»
Source : Vie publique : au coeur du débat public (vie-publique.fr)