digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Ce mois-ci, nous vous invitons préalablement à lire l’interview de Philippe Latombe – député de la première circonscription de la Vendée et membre de la commission des Lois de l’Assemblée nationale – réalisée par Digitemis. Il y présente les apports de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public, loi qui instaure le cyberscore. Afin de compléter l’interview de Philippe Latombe, nous vous proposons une interprétation juridique de ces dispositions, dont la portée s’étend au-delà de la stricte protection des données personnelles en intégrant des aspects de cybersécurité.
1. Cyberscore : ce que dit la loi du 2 mars 2022
Comme l’indique Philippe Latombe dans son interview, la loi entrera en vigueur le 1er octobre 2023. On ne peut donc encore la trouver que dans le Journal Officiel du 4 mars 2022, mais les dispositions qu’elle crée figureront dans un nouvel article L111-7-3 du Code de la consommation, parmi les articles encadrant l’information des consommateurs par les « opérateurs de plateformes en ligne ».
Ce nouvel article imposera donc à de tels opérateurs de faire réaliser un audit portant sur la sécurisation et la localisation des données qu’ils hébergent et d’en afficher publiquement le résultat, « au moyen d’un système d’information coloriel », permettant aux visiteurs d’avoir connaissance du sérieux avec lequel leurs données sont traitées. Les contrevenants s’exposeront à une « amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale » (article L131-4 Code de la consommation).
Comme le souligne Philippe Latombe, si la loi n’entre en vigueur que le 1er octobre 2023, c’est notamment pour permettre aux « ministres chargés du numérique et de la consommation » d’adopter, d’ici la fin de l’année 2022, « un arrêté conjoint » venant en préciser les modalités d’application puis de laisser aux opérateurs concernés le temps de se mettre en conformité avec cette nouvelle obligation.
2. Cyberscore : quelles seront les entités concernées ?
Un critère important pour l’impact de ces nouvelles obligations est tout d’abord la définition des entités concernées. Le premier terme est celui d’ « opérateur de plateforme en ligne », défini par l’article L111-7-1 du Code de la consommation créé par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique et couvrant, d’une part, les éditeurs de moteurs de recherche et de comparateurs de prix et, d’autre part, les sites permettant la mise en relation de personnes, qu’il s’agisse de sites de rencontres, de réseaux sociaux ou d’activités marchandes. S’il ne fait aucun doute sur le fait que les géants du web mentionnés par Philippe Latombe seront les premiers concernés, la loi limite son application aux opérateurs « dont l’activité dépasse un ou plusieurs seuils définis par décret ».
Nous ne connaissons pas encore les critères d’activité qui seront retenus, mais ils pourraient logiquement porter sur la fréquentation des sites concernés et l’on peut déjà imaginer que la définition du seuil qui sera retenu fera l’objet de longs débats avec les professionnels. On peut également espérer que certains opérateurs vertueux, qui ne seraient pas a priori concernés par les critères finalement retenus, réaliseront volontairement la démarche de faire auditer leurs sites et d’afficher leur score, tout comme l’affichage du nutriscore qui, à ses débuts, n’était mis en œuvre que par certains distributeurs et industriels agroalimentaires sans obligation légale.
3. Cyberscore : quelles seront la nature et la durée de validité des audits ?
La nature et la durée de validité des audits demeurent également à préciser par voie réglementaire. On sait seulement qu’ils devront être réalisés par des « prestataires d’audit qualifiés par l’ANSSI », mais on ignore encore la nature du référentiel qui sera utilisé pour cet agrément. Dans son interview, Philippe Latombe indique que le décret « sera le fruit d’un travail complémentaire entre le gouvernement, le secrétariat d’État au numérique, la CNIL et l’ANSSI ».
On peut imaginer que seront pris en compte les éléments suivants, déjà inspectés par les consultants de Digitemis dans le cadre d’audits de site web :
Respect des principes du RGPD (dont la méconnaissance expose déjà l’éditeur à une amende pouvant aller jusqu’à 4% de son CA annuel ou 20M€) :
- loyauté/transparence : Mentions d’information et politiques de protection des données complètes et lisibles
- finalité : Aucune donnée ne doit être traitée sans répondre à un besoin lié à une finalité affichée
- minimisation : Aucune collecte obligatoire de données qui ne seraient pas indispensables au traitement demandé par le visiteur.
Inspection des cookies :
- possibilité réelle d’utiliser le site sans accepter le dépôt de cookies qui ne seraient pas indispensables à la fourniture d’un service demandé par le visiteur
- durée de vie des cookies
- localisation des serveurs vers lesquels les cookies envoient les données, de tels transferts hors de l’Union Européenne devant être indiqués au visiteur et couverts par les mesures adaptées
Les cookies de mesure d’audience et de publicité ciblée devraient particulièrement être étudiés dans le cadre d’un tel audit, au regard notamment des récents développements autour de la polémique Google Analytics et des transferts de données vers les États-Unis.
Autres aspects de sécurité, au confluent entre RGPD et cybersécurité :
- certificats utilisés
- suites de chiffrement
- protocole de chiffrement
Philippe Latombe souligne également que malgré l’opposition du gouvernement, la localisation des données, davantage pertinente sous un angle RGPD que sous celui de la cybersécurité, devra être prise en compte dans l’audit, ce qui est indéniablement un critère contribuant à la protection des données personnelles en récompensant les responsables de traitement hébergeant leurs données au sein de l’Union Européenne.
4. Cyberscore : quelle présentation ?
Les derniers aspects à déterminer sont les critères de détermination du score et la forme de son affichage : l’analogie avec le nutriscore est aisément compréhensible, mais les arbitrages sur les seuils distinguant les différents niveaux promettent également d’importants débats. Le député Philippe Latombe évoque un affichage du score dans les résultats fournis par les moteurs de recherche, mais l’information devra vraisemblablement se trouver sur les sites concernés eux-mêmes. À quel endroit ? Dans une fenêtre pop-up ou un bandeau comme il en existe pour encadrer la gestion des cookies, ou de façon permanente en pied de page ? Sur la page d’accueil uniquement ou sur chaque page ? Les travaux ministériels s’annoncent d’ores et déjà passionnants !
