Cyberscore : un score pour la sécurité des données en ligne
CYBERSCORE. L'Assemblée nationale vient d'adopter une proposition de loi portant sur la création d'un étiquetage coloré indiquant le niveau de sécurisation des données hébergées par un site ou une plateforme internet.
Permettre au grand public d'y voir plus clair et de savoir, en toute transparence, comment sont protégées les données personnelles laissées, et donc le plus souvent hébergées, par les sites et les plateformes internet : c'est la promesse contenue dans une proposition de loi, déposée à la fin de l'année 2020 par Laurent Lafon, sénateur UDI, qui vient d'être adoptée en première lecture, vendredi 26 novembre 2021, à l'Assemblée nationale. Directement inspiré du Nutri-Score, le dispositif qui informe aujourd'hui sur la valeur nutritionnelle des produits alimentaires, cet indicateur baptisé Cyberscore prendrait la forme d'un étiquetage coloré allant de A à E, et du vert au rouge. Le Cyberscore, ne concernerait toutefois que les sites Web, les services en ligne et les plateformes (tels que WhatsApp, Teams, Messenger, Discord ou bien encore Zoom) les plus fréquentés et les plus utilisés. Cet outil intégrerait un "diagnostic de cybersécurité portant sur la sécurisation des données qu'ils hébergent".
Au moment de l'examen du texte en première lecture au Sénat, en octobre 2020, les parlementaires avaient retenu le principe que les plateformes et les sites internet concernés puissent s'auto-évaluer et composer, de facto, eux-mêmes, le futur Cyberscore. Cependant, à l'Assemblée nationale, les députés ont opté pour une autre solution qui apparaît, à la fois comme étant plus objective et plus transparente, et qui consiste à confier ce travail d'audit à des intervenants extérieurs habilités par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) via la qualification PASSI, une sélection des meilleurs prestataires d'audit de la sécurité des systèmes d'information.
Des informations sur la localisation des serveurs
De plus, l'Assemblée nationale a adopté, contre l'avis du Gouvernement, un amendement visant à intégrer dans les critères du Cyberscore la question de la localisation de l'hébergement des données personnelles. Pour les auteurs de cet amendement, les députés Christophe Naegelen (UDI) et Philippe Latombe (MoDem), "il paraît essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu'ils se connectent à une plateforme, dans le sens de l'affirmation d'une souveraineté numérique". Opposé à cette mention, le secrétaire d'Etat chargé du Numérique Cédric O, a – à juste titre – expliqué que le fait que des données soient hébergées sur le territoire français "ne les protègent pas" des attaques informatiques et que ce certificat de localisation serait de nature à générer un sentiment de "fausse sécurité" auprès du public.
En tout état de cause, si la mise en place du Cyberscore n'est pas attendue avant le fin de l'année 2023 – navette parlementaire, décrets d'application et arrêtés ministériels obligent –, les entreprises qui décideraient de se soustraire à l'obligation d'affichage du futur Cyberscore s'exposeraient à une amende d'un montant de 375 000 euros pour une personne morale (c'est-à-dire dans la très grande majorité des cas une entreprise) et de 75 000 euros pour les particuliers. À noter également, la proposition de loi portant sur la création du Cyberscore vise à compléter le code de la consommation et diffère ainsi totalement du RGPD (le Règlement général européen sur la protection des données).