Une proposition de loi centriste prévoit la création d’un cyberscore afin de mieux informer les internautes du niveau de sécurité des plateformes. Esquisse de ce que pourrait être ce nouvel outil d’information.
C’est à Laurent Lafon, sénateur centriste et président de la commission de la Culture que nous devons cette proposition de loi, déposée au Sénat le 15 juillet dernier et qui vient d’être adoptée à l’unanimité ce 22 octobre par l’Assemblée des Sages. L’objectif final, simple à formuler mais pas aisé à concrétiser, est d’améliorer la sécurité des données personnelles sur la toile. Une sécurité qui, faut-il le rappeler, est une obligation clairement édictée par le RGPD. Mais face aux enjeux importants que cela représente, l’internaute a peu de moyens pour apprécier le niveau de sécurité des sites qu’il explore. Il s’agit donc de créer au service de l’utilisateur, un outil d’information simple de lecture et qui serait inspiré du nutriscore.
Une obligation d’information
Cette proposition de loi crée une obligation d’information à la charge des opérateurs, qui seraient ainsi tenus de communiquer aux internautes les informations relatives à la sécurité des données personnelles qu’ils hébergent ou que leurs prestataires hébergent. Cette obligation viendrait compléter notre Code de la Consommation, en devenant l’alinéa L 111-7-3.
Cette obligation nécessitera donc au préalable un diagnostic de sécurité, diagnostic réalisé par des organismes indépendants. La proposition initiale de loi prévoyait que ces organismes soient habilités par l’Anssi, l’Agence Nationale de Sécurité des Systèmes d’Information, mais le gouvernement semble hostile à cette exigence et un diagnostic fait sous la responsabilité de l’opérateur pourrait être une autre approche, certes moins sécuritaire.
Mais un champ d’application encore incertain
La grande question de fond est en effet de savoir à quels types de plateformes s’appliquera cette obligation ? C’est apparemment un autre sujet de dissidence entre le Sénat et le gouvernement. En effet, ce dernier souhaiterait que seules les plateformes ayant au moins 5 millions de VUS par mois y soient contraintes.
Il semblerait finalement que les modalités d’application de cette nouvelle obligation soient définies par un décret conjoint des ministres chargés du numérique et de la consommation. Ce décret préciserait les critères à prendre en compte dans l’établissement du diagnostic, la durée de validité de ce diagnostic ainsi que le seuil de connexions à partir duquel les plateformes y seraient contraintes. Un décret qui serait pris après avis de la CNIL.
Si les modalités précises d’application du futur cyberscore sont encore floues, cet outil – s’affichant lors de la connexion au site – pourrait bien avoir un effet vertueux, poussant les plateformes concernées à s’inscrire dans une démarche d’amélioration continue de la sécurité des services offerts aux internautes. Deux chiffres sont là pour nous rappeler les enjeux. Selon le journal belge L’Echo, rien que sur le mois de septembre 2020, 530 millions de fichiers de données personnelles auraient été dérobés à l’échelle de la planète. Et selon la CPME, sur l’année 2019, 40% de nos PME auraient eu à subir une cyberattaque.
