Laurent Lafon a fait adopter hier sa proposition de loi relative au CyberScore. Le sénateur UDI, président de la commission de la Culture revient dans nos colonnes sur la raison d’être de ce mécanisme inspiré du Nutri-Score ou du DPE, orienté cybersécurité, visant les grandes plateformes dépassant un seuil de connexion.
Comment résumer le principe du Cyberscore en quelques mots et avant tout, d’où vous est venue cette idée ?
L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées.
Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs.
Dans le même temps, les Français nous disent que la question de la cybersécurité est une vraie problématique dont ils ont compris une bonne partie des enjeux.
Je me suis dit qu’il y avait un vide entre cette réalité et ces préoccupations, consécutif à un problème d’information.
Quand on utilise un outil numérique, on n’a pas connaissance du risque qu’il présente en terme de cybersécurité. Il fallait donc, à l’image de ce qu’il peut exister sur le plan alimentaire avec le Nutri-Score ou sur le plan immobilier avec le DPE, avoir une information synthétique, visuelle et accessible immédiatement à tous les usagers, quel que soit leur degré de connaissance et portant sur des risques qu'ils prendront à utiliser et livrer des données sur une plateforme.
Quels seront les critères pertinents et surtout comment les objectiver ?
La proposition de loi ne définit pas les critères. Elle les renvoie à un arrêté. Nous avons d’ores et déjà commencé à travailler avec le gouvernement sur cette problématique.
Ce qui est important dans le processus législatif, c’est qu’on est entré en interaction avec le gouvernement. Parfois, le gouvernement nous dit que cela ne l’intéresse pas. Dans le cas présent, ce n’est pas le cas. On a une vraie écoute de Cédric O et son équipe. Ce projet les intéresse. Ils veulent travailler avec nous pour que cette « PPL » aboutisse.
On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence.
On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier au Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes. On peut imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL.
L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme.
La proposition de loi adoptée à l’unanimité repose néanmoins sur un système d’autoévaluation, non des scores délivrés par une autorité indépendante, comme imaginé initialement. Pourquoi ce choix ? Le regrettez-vous ?
Cela fait partie des éléments du dialogue avec le gouvernement. Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante. Le gouvernement nous a dit que si on allait dans cette direction, cela sera difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation.
On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence.
Que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2 ?
C’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation.
Après c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante.
Il y aurait donc des contrôles, mais pas d’amende ?
Il faut regarder : cela dépendra du dispositif définitif à l'issue de la navette parlementaire. En l'état actuel des travaux, le CyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF.
Même si les critères ne sont pas encore définis, a-t-on déjà une idée du coût d’une telle auto-évaluation ?
C’est une des préoccupations du gouvernement, pour être très honnête encore. Pour revenir à votre question sur l’évaluation par une autorité ou l'autoévaluation, l’idée était de ne pas pénaliser les petits acteurs qui pourraient trouver que le coût ne pénalise leur rentabilité ou la mise sur le marché de leur produit.
Si le nombre de critères est assez faible et s’ils sont faciles d’appréhension, cela participera au fait qu’on ne sera pas sur des démarches coûteuses.
Quid du nombre d’entreprises concernées ?
Le champ des entreprises concernées est le deuxième point de dialogue avec l’État, le premier étant les critères. Le gouvernement avait préparé un amendement que nous avons sous-amendé, Cédric O reconnaissant lui-même que la version gouvernementale était trop restrictive et ne concernait pas assez d’entreprises, nous demandant aussi de réfléchir pour faire en sorte qu’on mesure bien, dans notre version, le nombre et la typologie des outils concernés.
La définition des outils soumis au CyberScore fait partie du travail dans les semaines à venir. Dans notre esprit, il faut que ce soit dans une assez large diffusion. Je pense que le gouvernement est aussi sur cette ligne-là, mais il voudrait s’assurer que dans la définition juridique, on mesure bien tout ce qui sera ou ne sera pas inclus. C’est ce travail de précision qui va être mis en œuvre.
Le texte parle des « fournisseurs de service de communication au public en ligne ». Des acteurs comme Zoom et les autres solutions de visioconférences entrent-elles dans le champ ?
Très clairement, ils sont concernés, d’où notre sous-amendement.
Et les moteurs de recherche ?
Aussi.
Le RGPD prévoit déjà la possibilité pour les sites de délivrer des informations sur les traitements de données personnelles sous forme d’icônes normalisées. N’était-ce pas suffisant ?
Non. Nous, on n’est pas sur le « peut » mais sur le « doit ». À partir du moment où on le met en « possibilité », on voit que cela n’entre pas de manière systématique.
Votre texte vise non les données à caractère personnel, mais toutes les « données ». Pourquoi ?
Absolument. Ce CyberScore n’a d’efficacité que s’il est d’un usage assez répandu. Pour cela, on est donc sur des définitions les plus étendues possible.
Y-a-t-il des précédents en Europe ou dans le Monde ?
Pas à ma connaissance, mais je dois vous avouer qu’on n’a pas fait un travail de bench marking pour savoir si cela existait ailleurs. Je n’en ai pas entendu parler dans les discussions qu’on a eues notamment avec l’ANSSI ou le gouvernement.
Envisagez-vous de notifier le texte à la Commission européenne ?
Bien sûr, cela sera au gouvernement de faire le lien. On a bien précisé que notre démarche n’était pas du tout contraire ou opposée à ce que pouvait faire l’Union européenne, qui a elle-même ses propres démarches. On sait que les processus de l’UE sont parfois un peu longs, puisque se mettre d’accord à 27 est plus compliqué que seul et donc qu’en attendant un accord, cela ne doit pas empêcher la France d’avancer.
Parfois le fait qu’un pays avance permet d’accélérer les processus européens. C’est aussi dans cet esprit-là que nous nous plaçons.
