La mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public – Loi du 3 mars 2022
Durant la crise sanitaire, beaucoup ont eu recours aux outils de visioconférence, s’orientant dans l’urgence vers les plateformes les plus utilisées, sans se rendre compte que leurs données y étaient échangées. Des failles de sécurité, ainsi qu’une importante croissance des affaires de vol de données personnelles, ont poussé les parlementaires à apporter une réponse à cette problématique de cybersécurité.
La loi 2022-309 du 3 mars 2022 vise à favoriser l’accès à une information claire des risques encourus par l’utilisation d’une plateforme numérique. Ainsi, la loi met en pratique l’utilisation d’un « cyberscore » à l’image du « nutriscore » créé pour les produits alimentaires, afin que les internautes puissent connaître le niveau de sécurisation de leurs données sur les sites et réseaux sociaux qu’ils fréquentent.
La mesure s’inscrit dans la continuité du travail déjà réalisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) laquelle a, en effet, d’ores et déjà développé plusieurs certifications d’outils numériques. Cette loi étend ces certifications aux plateformes numériques utilisées par le grand public et les rend obligatoires.
La loi créé un nouvel article L. 111-7-3 dans le Code de la consommation[1]qui vise à obliger les plateformes numériques à communiquer aux consommateurs un audit de cybersécurité afin de mieux les informer sur la sécurisation des données qu’elles hébergent. Cette obligation s’impose précisément à deux catégories d’opérateurs :
Les opérateurs de plateformes en ligne : selon l’article L. 111-7 du Code de la consommation[2], est visée toute personne physique ou morale proposant, à titre professionnel, un service de communication au public en ligne reposant sur un référencement au moyen d’algorithmes informatiques (moteurs de recherche, réseaux sociaux, etc.) ;
Les fournisseurs de service de communication au public en ligne, soumis au respect du secret des correspondance. Cela concerne les services de visioconférence (de type Zoom) et les messageries (de type Messenger ou WhatsApp).
Pour chacune de ces deux catégories d’opérateurs, la fourniture d’un audit de cybersécurité s’imposera lorsque l’activité exercée dépasse un ou plusieurs seuils définis par décret qui listera les plateformes concernées en fonction de l’importance de leur activité.
En pratique, il s’agit d’auditer une entreprise pour identifier le processus et le niveau de sécurité encadrant son activité, puis de lui assigner une note relative à la conformité de son activité aux règlements européens et nationaux.
Les parlementaires ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et ces obligations s’appliquent à compter du 1er octobre 2023.[3]
En cas de manquement aux obligations visées au nouvel article L. 111-7-3, l’opérateur s’expose aux sanctions prévues par l’article L. 131-4 du code de la consommation[4], à savoir une amende administrative dont le montant est plafonné à 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Avec l’adoption de ces nouveaux décrets, le droit des plateformes en ligne se complexifie et les opérateurs de plateformes devront rapidement se mettre à jour quant au respect de ces règles.
[1] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045294275
[2] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033219601/
[3] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045294275
[4] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000039248234/