Cyberscore : décryptage de la loi du 3 mars 2022 et de ses possibles modalités d’application

loi du 3 mars 2022 et cyberscore

Ce mois-ci, nous vous invitons préalablement à lire l’interview de Philippe Latombe – député de la première circonscription de la Vendée et membre de la commission des Lois de l’Assemblée nationale – réalisée par Digitemis. Il y présente les apports de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public, loi qui instaure le cyberscore. Afin de compléter l’interview de Philippe Latombe, nous vous proposons une interprétation juridique de ces dispositions, dont la portée s’étend au-delà de la stricte protection des données personnelles en intégrant des aspects de cybersécurité

Sommaire

1. Cyberscore : ce que dit la loi du 2 mars 2022
2. Cyberscore : quelles seront les entités concernées ?
3. Cyberscore : quelles seront la nature et la durée de validité des audits ?
4. Cyberscore : quelle présentation ?

1. Cyberscore : ce que dit la loi du 2 mars 2022

Comme l’indique Philippe Latombe dans son interview, la loi entrera en vigueur le 1er octobre 2023. On ne peut donc encore la trouver que dans le Journal Officiel du 4 mars 2022, mais les dispositions qu’elle crée figureront dans un nouvel article L111-7-3 du Code de la consommation, parmi les articles encadrant l’information des consommateurs par les « opérateurs de plateformes en ligne ».

Ce nouvel article imposera donc à de tels opérateurs de faire réaliser un audit portant sur la sécurisation et la localisation des données qu’ils hébergent et d’en afficher publiquement le résultat, « au moyen d’un système d’information coloriel », permettant aux visiteurs d’avoir connaissance du sérieux avec lequel leurs données sont traitées. Les contrevenants s’exposeront à une « amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale » (article L131-4 Code de la consommation).

Comme le souligne Philippe Latombe, si la loi n’entre en vigueur que le 1er octobre 2023, c’est notamment pour permettre aux « ministres chargés du numérique et de la consommation » d’adopter, d’ici la fin de l’année 2022, « un arrêté conjoint » venant en préciser les modalités d’application puis de laisser aux opérateurs concernés le temps de se mettre en conformité avec cette nouvelle obligation.

2. Cyberscore : quelles seront les entités concernées ?

Un critère important pour l’impact de ces nouvelles obligations est tout d’abord la définition des entités concernées. Le premier terme est celui d’ « opérateur de plateforme en ligne », défini par l’article L111-7-1 du Code de la consommation créé par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique et couvrant, d’une part, les éditeurs de moteurs de recherche et de comparateurs de prix et, d’autre part, les sites permettant la mise en relation de personnes, qu’il s’agisse de sites de rencontres, de réseaux sociaux ou d’activités marchandes. S’il ne fait aucun doute sur le fait que les géants du web mentionnés par Philippe Latombe seront les premiers concernés, la loi limite son application aux opérateurs « dont l’activité dépasse un ou plusieurs seuils définis par décret ».

Nous ne connaissons pas encore les critères d’activité qui seront retenus, mais ils pourraient logiquement porter sur la fréquentation des sites concernés et l’on peut déjà imaginer que la définition du seuil qui sera retenu fera l’objet de longs débats avec les professionnels. On peut également espérer que certains opérateurs vertueux, qui ne seraient pas a priori concernés par les critères finalement retenus, réaliseront volontairement la démarche de faire auditer leurs sites et d’afficher leur score, tout comme l’affichage du nutriscore qui, à ses débuts, n’était mis en œuvre que par certains distributeurs et industriels agroalimentaires sans obligation légale. 

3. Cyberscore : quelles seront la nature et la durée de validité des audits ?

La nature et la durée de validité des audits demeurent également à préciser par voie réglementaire. On sait seulement qu’ils devront être réalisés par des « prestataires d’audit qualifiés par l’ANSSI », mais on ignore encore la nature du référentiel qui sera utilisé pour cet agrément. Dans son interview, Philippe Latombe indique que le décret « sera le fruit d’un travail complémentaire entre le gouvernement, le secrétariat d’État au numérique, la CNIL et l’ANSSI ».

On peut imaginer que seront pris en compte les éléments suivants, déjà inspectés par les consultants de Digitemis dans le cadre d’audits de site web :

Respect des principes du RGPD (dont la méconnaissance expose déjà l’éditeur à une amende pouvant aller jusqu’à 4% de son CA annuel ou 20M€) :

loyauté/transparence : Mentions d’information et politiques de protection des données complètes et lisibles

finalité : Aucune donnée ne doit être traitée sans répondre à un besoin lié à une finalité affichée

minimisation : Aucune collecte obligatoire de données qui ne seraient pas indispensables au traitement demandé par le visiteur.

Inspection des cookies :

possibilité réelle d’utiliser le site sans accepter le dépôt de cookies qui ne seraient pas indispensables à la fourniture d’un service demandé par le visiteur

durée de vie des cookies

localisation des serveurs vers lesquels les cookies envoient les données, de tels transferts hors de l’Union Européenne devant être indiqués au visiteur et couverts par les mesures adaptées

Les cookies de mesure d’audience et de publicité ciblée devraient particulièrement être étudiés dans le cadre d’un tel audit, au regard notamment des récents développements autour de la polémique Google Analytics et des transferts de données vers les États-Unis.

Autres aspects de sécurité, au confluent entre RGPD et cybersécurité :

certificats utilisés

suites de chiffrement

protocole de chiffrement

Philippe Latombe souligne également que malgré l’opposition du gouvernement, la localisation des données, davantage pertinente sous un angle RGPD que sous celui de la cybersécurité, devra être prise en compte dans l’audit, ce qui est indéniablement un critère contribuant à la protection des données personnelles en récompensant les responsables de traitement hébergeant leurs données au sein de l’Union Européenne.

4. Cyberscore : quelle présentation ?

Les derniers aspects à déterminer sont les critères de détermination du score et la forme de son affichage : l’analogie avec le nutriscore est aisément compréhensible, mais les arbitrages sur les seuils distinguant les différents niveaux promettent également d’importants débats. Le député Philippe Latombe évoque un affichage du score dans les résultats fournis par les moteurs de recherche, mais l’information devra vraisemblablement se trouver sur les sites concernés eux-mêmes. À quel endroit ? Dans une fenêtre pop-up ou un bandeau comme il en existe pour encadrer la gestion des cookies, ou de façon permanente en pied de page ? Sur la page d’accueil uniquement ou sur chaque page ? Les travaux ministériels s’annoncent d’ores et déjà passionnants !

D’autres articles de William Baffard, Juriste Consultant Protection des Données Digitemis

Cookies : premier bilan après les six mois de transition accordés par la CNIL

Le 1er octobre 2020, la CNIL publiait ses dernières lignes directrices et modifiait sa recommandation sur l’usage de cookies, laissant aux éditeurs de sites six mois pour se mettre en se mettre en conformité. Ce délai ayant expiré le 31 mars, nous disposons déjà de quelques éléments pour faire un premier point sur les changements constatés. La CNIL a publié dès le 2 avril un premier bilan.

Lire l’article
miniature cyberscore loi du 3 mars 2022

Traitement de données publiquement accessibles sur internet : la mise en demeure de Clearview AI par la CNIL

Depuis 2017, la société américaine Clearview AI fournit aux services de police de plusieurs pays des outils de reconnaissance faciale, conçus grâce à des algorithmes qui se sont « inspirés » des milliards de photographies de personnes librement accessibles sur Internet présentes sur des réseaux sociaux, des sites d’entreprise et sur des blogs. Les investigations menées par la CNIL depuis mai 2020 lui ont permis de constater deux manquements au RGPD. Elle a décidé le 26 novembre 2021 de prononcer une mise en demeure à l’encontre de Clearview AI.

Lire l’article
miniature article ai clearview

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article