Apparu au Sénat en juillet 2020, l’idée d’un « cyberscore », sorte de nutriscore qui évalue la sécurité d’une plateforme en ligne, a fait son chemin jusqu’aux travées de l’Assemblée nationale, non sans certaines modifications, dont la localisation des données.
Verra-t-on d’ici à quelques années fleurir sur les sites web et les applications un code couleur similaire au désormais célèbre nutriscore ? L’Assemblée nationale a fait un pas en ce sens, plus d’un an après le Sénat : en octobre 2022 était déposé une proposition de loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public ».
La dernière version du texte, adoptée jeudi soir par 49 députés pour, 1 contre, prévoit que soit présenté cet « audit » de sécurité au consommateur « de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel ».
En commission, le rapporteur Christophe Naegelen avait soumis un amendement, adopté, qui modifiait en profondeur le premier article du texte du Sénat. Sa formulation était changée de telle sorte que soit compris non seulement la sécurisation de la plateforme, mais aussi de l’hébergement des données de ses utilisateurs. Est en outre restreint le champ des plateformes concernées à celles visées par l’article L. 111-7-1 du code de la consommation, tout en l’étendant aux services de messageries et de visioconférence.
Seuils à déterminer par décret
Ainsi, le député s’était référé à l’article L. 111-7-1 du code de la consommation, qui vise les opérateurs de plateforme réalisant plus de 5 millions de visiteurs uniques par mois. Mais en séance publique, les élus ont estimé que ce seuil, établi en 2017 dans d’autres desseins (l’élaboration et la diffusion aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté), n’était pas adapté.
L’amendement n°8, adopté, fait l’impasse sur le L. 111-7-1 pour se référer directement à l’article L. 111‑7 du code de la consommation, qui définit plus largement les opérateurs de plateforme. De même, la commission des affaires économiques de l’Assemblée nationale avait détricoté le texte adopté par les sénateurs, supprimant toute référence à un « diagnostic » au profit d’une « certification ».
La localisation des données, illusion de sécurité ?
Dans les travées, marche arrière toute ! plusieurs amendements adoptés en séance publique ont évacuer le terme « certification » du texte, pour lui préférer celui d’ « audit ». Il est en outre précisé que c’est l’ANSSI et des entreprises habilitées par elles qui se livrent à cet « audit », et non pas la DGCCRF, ou une auto-déclaration de la part des opérateurs concernés.
Autre ajout au texte, l’amendement n°3 prévoit d’inscrire dans la loi que la localisation des données est comprise dans le diagnostic. Malgré l’avis défavorable du gouvernement, Cedric O expliquant que « informer le citoyen de l’endroit où ses données sont stockées, comme le prévoit l’amendement, risque à mon sens de créer une sécurité illusoire », l’amendement a été adopté.
Le texte doit désormais passer en seconde lecture au Sénat, avant un éventuel retour à l’Assemblée, voire un passage en commission paritaire mixte. Puis viendra le temps des décrets et arrêtés qui clarifieront les très nombreux points laissés dans le flou par les parlementaires. L’entrée en vigueur est prévue en octobre 2023.