La loi n°2022-309 du 3 mars 20221 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public est entrée en vigueur le 1er octobre 2023. L’objectif de cette loi est de sensibiliser et d’éduquer les utilisateurs de plateformes en ligne à la cybersécurité. La période de crise sanitaire liée au covid a accéléré la dématérialisation des données et les interdépendances humaines aux systèmes de communication numérique. Le recours à des plateformes ou à des solutions de messagerie, de visioconférence, s’est décuplé au cours de cette période. Ces services ont notamment été proposés par des acteurs américains, ce qui a posé des questions d’application des règles protectrices du droit de l’Union ou encore de l’hébergement des données. Leur développement a aussi multiplié les risques et les atteintes liées à la cybersécurité, qui sont de plus en plus élaborées, telles que la captation des données personnelles, de données bancaires, l’usurpation d’identité, l’espionnage, les enregistrements frauduleux de réunions en ligne à l’insu des participants, voire le détournement d’image ou de voix pour l’élaboration de deep fake… Et ces failles ne sont pas exploitées uniquement envers les particuliers ; les systèmes informatiques des pouvoirs publics, des collectivités territoriales, des hôpitaux, ou encore des entreprises privées sont également largement visés. La loi s’insère dans le développement d’une stratégie de maîtrise, de protection des données et de préservation de la souveraineté numérique Pour sensibiliser sur les enjeux de sécurité numérique, la loi a introduit un système de cyberscore en créant l’article L. 111-7-3 dans le Code de la consommation. Cet article va tout d’abord s’appliquer aux opérateurs de plateformes en lignes tels que désignés à l’article L. 111-7 du même code. Ces opérateurs sont « des personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers, ou sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service ». Sont ensuite concernés les services de communications interpersonnelles non fondés sur la numérotation qui sont désignés et définis au point 6° quater de l’article L. 32 du Code des postes et des communications électroniques, comme WhatsApp ou Messenger. La loi impose à ces acteurs, franchissant un certain seuil dont les modalités de détermination seront fixées par décret, de réaliser un audit auprès de prestataires d’audit de la sécurité des systèmes d’information (PASSI)2 qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les critères à prendre en compte lors de la réalisation de l’audit sont quant à eux déterminés par décret conjoint des ministres en charge de la consommation et du numérique, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL). Le résultat de l’audit prendra la forme d’une certification de sécurité pour les plateformes numériques. Ce label cyberscore, à l’instar du nutriscore présent sur de nombreux emballages de produits alimentaires, vise à informer les internautes utilisateurs de ces sites sur le niveau de sécurisation des données. Il devra être présenté aux utilisateurs des plateformes « de façon lisible, claire et compréhensible et être accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ». En obligeant la présentation d’une telle information sur les sites, les objectifs de la loi sont clairs : forcer les opérateurs concernés à être transparents sur leur sécurité et à la renforcer, protéger les utilisateurs tout sensibilisant ces derniers à la protection de leurs données, à des fins d’éducation sur la cybersécurité. Cette garantie de cybersécurité vise les données dans leur ensemble, allant au-delà d’un simple chevauchement avec la protection des données personnelles déjà assurée par le Règlement général sur la protection des données (RGPD). Bénéficier d’un score élevé, obtenu à l’issue d’audits réalisés par des opérateurs externes qualifiés, sera vertueux tant pour l’image de la plateforme que pour la confiance des utilisateurs. Ces audits permettront, de plus, de s’assurer d’un certain contrôle sur les plateformes et autres opérateurs du Cloud, dont un grand nombre est susceptible d’être tiers à l’Union européenne. Des débuts difficiles pour la loi Cependant, arborer un tel score ne garantit aucunement l’absence totale de risques. Les attaques contre les sites internet, les entreprises et les particuliers sont nombreuses et les méthodes variées. Par ailleurs, la loi est certes entrée en vigueur, mais le décret d’application et l’arrêté censés définir respectivement les seuils déterminant les plateformes et services visés, ainsi que les critères à prendre en compte pour l’audit et la délivrance du certificat, n’ont pas été pris au jour de l’entrée en application de la loi, ce qui retarde son application effective. Ainsi, les opérateurs concernés ne sont pas encore déterminés. En effet, tous les sites ne seront pas concernés, et ce, pour permettre un équilibre entre une réglementation trop prononcée, et le développement des activités et de l’innovation. La loi ne sera donc pleinement opérationnelle qu’après la publication du décret et de l’arrêté, éléments clés pour définir les acteurs concernés. Arthur Burger Stagiaire juriste Gaëlle Loinger-Benamran Conseil en propriété industrielle Associée [1] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045294275/ [2] https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/