Cyberscore : décryptage de la loi du 3 mars 2022 et de ses possibles modalités d’application

loi du 3 mars 2022 et cyberscore

Ce mois-ci, nous vous invitons préalablement à lire l’interview de Philippe Latombe – député de la première circonscription de la Vendée et membre de la commission des Lois de l’Assemblée nationale – réalisée par Digitemis. Il y présente les apports de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public, loi qui instaure le cyberscore. Afin de compléter l’interview de Philippe Latombe, nous vous proposons une interprétation juridique de ces dispositions, dont la portée s’étend au-delà de la stricte protection des données personnelles en intégrant des aspects de cybersécurité

Sommaire

1. Cyberscore : ce que dit la loi du 2 mars 2022
2. Cyberscore : quelles seront les entités concernées ?
3. Cyberscore : quelles seront la nature et la durée de validité des audits ?
4. Cyberscore : quelle présentation ?

1. Cyberscore : ce que dit la loi du 2 mars 2022

Comme l’indique Philippe Latombe dans son interview, la loi entrera en vigueur le 1er octobre 2023. On ne peut donc encore la trouver que dans le Journal Officiel du 4 mars 2022, mais les dispositions qu’elle crée figureront dans un nouvel article L111-7-3 du Code de la consommation, parmi les articles encadrant l’information des consommateurs par les « opérateurs de plateformes en ligne ».

Ce nouvel article imposera donc à de tels opérateurs de faire réaliser un audit portant sur la sécurisation et la localisation des données qu’ils hébergent et d’en afficher publiquement le résultat, « au moyen d’un système d’information coloriel », permettant aux visiteurs d’avoir connaissance du sérieux avec lequel leurs données sont traitées. Les contrevenants s’exposeront à une « amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale » (article L131-4 Code de la consommation).

Comme le souligne Philippe Latombe, si la loi n’entre en vigueur que le 1er octobre 2023, c’est notamment pour permettre aux « ministres chargés du numérique et de la consommation » d’adopter, d’ici la fin de l’année 2022, « un arrêté conjoint » venant en préciser les modalités d’application puis de laisser aux opérateurs concernés le temps de se mettre en conformité avec cette nouvelle obligation.

2. Cyberscore : quelles seront les entités concernées ?

Un critère important pour l’impact de ces nouvelles obligations est tout d’abord la définition des entités concernées. Le premier terme est celui d’ « opérateur de plateforme en ligne », défini par l’article L111-7-1 du Code de la consommation créé par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique et couvrant, d’une part, les éditeurs de moteurs de recherche et de comparateurs de prix et, d’autre part, les sites permettant la mise en relation de personnes, qu’il s’agisse de sites de rencontres, de réseaux sociaux ou d’activités marchandes. S’il ne fait aucun doute sur le fait que les géants du web mentionnés par Philippe Latombe seront les premiers concernés, la loi limite son application aux opérateurs « dont l’activité dépasse un ou plusieurs seuils définis par décret ».

Nous ne connaissons pas encore les critères d’activité qui seront retenus, mais ils pourraient logiquement porter sur la fréquentation des sites concernés et l’on peut déjà imaginer que la définition du seuil qui sera retenu fera l’objet de longs débats avec les professionnels. On peut également espérer que certains opérateurs vertueux, qui ne seraient pas a priori concernés par les critères finalement retenus, réaliseront volontairement la démarche de faire auditer leurs sites et d’afficher leur score, tout comme l’affichage du nutriscore qui, à ses débuts, n’était mis en œuvre que par certains distributeurs et industriels agroalimentaires sans obligation légale. 

3. Cyberscore : quelles seront la nature et la durée de validité des audits ?

La nature et la durée de validité des audits demeurent également à préciser par voie réglementaire. On sait seulement qu’ils devront être réalisés par des « prestataires d’audit qualifiés par l’ANSSI », mais on ignore encore la nature du référentiel qui sera utilisé pour cet agrément. Dans son interview, Philippe Latombe indique que le décret « sera le fruit d’un travail complémentaire entre le gouvernement, le secrétariat d’État au numérique, la CNIL et l’ANSSI ».

On peut imaginer que seront pris en compte les éléments suivants, déjà inspectés par les consultants de Digitemis dans le cadre d’audits de site web :

Respect des principes du RGPD (dont la méconnaissance expose déjà l’éditeur à une amende pouvant aller jusqu’à 4% de son CA annuel ou 20M€) :

loyauté/transparence : Mentions d’information et politiques de protection des données complètes et lisibles

finalité : Aucune donnée ne doit être traitée sans répondre à un besoin lié à une finalité affichée

minimisation : Aucune collecte obligatoire de données qui ne seraient pas indispensables au traitement demandé par le visiteur.

Inspection des cookies :

possibilité réelle d’utiliser le site sans accepter le dépôt de cookies qui ne seraient pas indispensables à la fourniture d’un service demandé par le visiteur

durée de vie des cookies

localisation des serveurs vers lesquels les cookies envoient les données, de tels transferts hors de l’Union Européenne devant être indiqués au visiteur et couverts par les mesures adaptées

Les cookies de mesure d’audience et de publicité ciblée devraient particulièrement être étudiés dans le cadre d’un tel audit, au regard notamment des récents développements autour de la polémique Google Analytics et des transferts de données vers les États-Unis.

Autres aspects de sécurité, au confluent entre RGPD et cybersécurité :

certificats utilisés

suites de chiffrement

protocole de chiffrement

Philippe Latombe souligne également que malgré l’opposition du gouvernement, la localisation des données, davantage pertinente sous un angle RGPD que sous celui de la cybersécurité, devra être prise en compte dans l’audit, ce qui est indéniablement un critère contribuant à la protection des données personnelles en récompensant les responsables de traitement hébergeant leurs données au sein de l’Union Européenne.

4. Cyberscore : quelle présentation ?

Les derniers aspects à déterminer sont les critères de détermination du score et la forme de son affichage : l’analogie avec le nutriscore est aisément compréhensible, mais les arbitrages sur les seuils distinguant les différents niveaux promettent également d’importants débats. Le député Philippe Latombe évoque un affichage du score dans les résultats fournis par les moteurs de recherche, mais l’information devra vraisemblablement se trouver sur les sites concernés eux-mêmes. À quel endroit ? Dans une fenêtre pop-up ou un bandeau comme il en existe pour encadrer la gestion des cookies, ou de façon permanente en pied de page ? Sur la page d’accueil uniquement ou sur chaque page ? Les travaux ministériels s’annoncent d’ores et déjà passionnants !

D’autres articles de William Baffard, Juriste Consultant Protection des Données Digitemis

Cookies : premier bilan après les six mois de transition accordés par la CNIL

Le 1er octobre 2020, la CNIL publiait ses dernières lignes directrices et modifiait sa recommandation sur l’usage de cookies, laissant aux éditeurs de sites six mois pour se mettre en se mettre en conformité. Ce délai ayant expiré le 31 mars, nous disposons déjà de quelques éléments pour faire un premier point sur les changements constatés. La CNIL a publié dès le 2 avril un premier bilan.

Lire l’article
miniature cyberscore loi du 3 mars 2022

Traitement de données publiquement accessibles sur internet : la mise en demeure de Clearview AI par la CNIL

Depuis 2017, la société américaine Clearview AI fournit aux services de police de plusieurs pays des outils de reconnaissance faciale, conçus grâce à des algorithmes qui se sont « inspirés » des milliards de photographies de personnes librement accessibles sur Internet présentes sur des réseaux sociaux, des sites d’entreprise et sur des blogs. Les investigations menées par la CNIL depuis mai 2020 lui ont permis de constater deux manquements au RGPD. Elle a décidé le 26 novembre 2021 de prononcer une mise en demeure à l’encontre de Clearview AI.

Lire l’article
miniature article ai clearview

Je partage

William BAFFARD

Titulaire d'un DEA "Informatique et Droit", j'ai exercé près de 15 ans en tant que juriste d'entreprise dans différents domaines du droit des affaires. J'ai rejoint Digitemis en 2018 pour me consacrer pleinement au droit de la protection des données personnelles, au profit de clients externes dont les secteurs d'activité et les enjeux sont variés.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article