« Il est temps d’agir pour que les utilisateurs de ces plateformes ne soient ni captifs, ni inconscients des risques qu’ils encourent dans leurs usages numériques quotidiens », exposait le rapport de la Commission des lois. En séance, à une majorité presque absolue, les députés ont adopté vendredi le cyberscore.
Après le Sénat, la proposition de loi du sénateur du Val-de-Marne Laurent Lafon vient de passer le cap de l’Assemblée nationale en première lecture.
Le cœur du texte ? Obliger les opérateurs de plateformes en ligne, mais désormais également les services de messagerie et de visioconférence comme WhatsApp ou Zoom à afficher une certification ou plus exactement à réaliser « un audit de cybersécurité », dont les résultats seront présentés au consommateur. C’est le cyberscore.
L’audit portera sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation.
Entrée en scène des prestataires d’audit agréés par l’ANSSI
Dans la version des sénateurs, la proposition de loi se satisfaisait d’un système d’autocertification. « Un niveau de sécurité faible, voire trompeur pour le consommateur qui pourrait croire à une véritable sécurisation du site concerné » a reproché le rapport de la commission des lois à l’Assemblée nationale.
Le régime gagne donc désormais en amplitude : il repose sur un système d’audit effectué par un tiers. Au fil d’une série d’amendements adoptés, les députés Christophe Naegelen et Philippe Latombe, mais également tous ceux de la République en Marche ont précisé en effet que « le seul dispositif technique existant de recours à des organismes tiers susceptibles d’assurer les missions prévues par le texte, est celui d’un audit mené par des prestataires d'audit de la sécurité des systèmes d'information, qualifiés par l’ANSSI ».
Les amendements 9 et 14 entérinent la mise dans la boucle de l’Autorité nationale de la sécurité des systèmes d’information. Désormais, cette certification sera donc « effectuée par des organismes habilités par l’autorité administrative compétente ».
Un système d’information coloriel présenté aux consommateurs
Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la CNIL, sera chargé de fixer « les critères qui sont pris en compte par la certification », mais également « ses conditions en matière de durée de validité ainsi que les modalités de sa présentation ».
Cette certification sera présentée au consommateur « de façon lisible, claire et compréhensible et est accompagnée d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Bras de fer sur le critère de la localisation
Dans cet autre amendement adopté en séance, le critère de la localisation des données hébergées entrera également dans le champ du cyberscore. « Il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme » a relevé le député MoDem Philippe Latombe.
L’auteur d’un rapport sur le sujet a témoigné de sa volonté « de faire du cyberscore un outil au service de notre souveraineté numérique ».
Lors des débats en commission, Philippe Latombe avait déjà été partisan de l'intérêt d'un tel critère : « Frances Haugen l’a rappelé, une fois que Facebook a des données, on ne sait plus où elles sont stockées ni comment elles sont traitées. Pourtant, c’est extrêmement important pour les consommateurs et tous les acteurs du numérique. »
Le même se souvenait de l'épisode relatif à l’accord Privacy shield, consacrant les transferts de données personnelles entre l’Union européenne et les États-Unis. Il « avait été conclu sur l’affirmation que le niveau de protection était équivalent de part et d’autre. La Cour de justice de l’Union européenne ayant invalidé cet accord, Facebook nous avait fait tout un sketch, prétendant qu’il serait obligé de quitter l’Europe. Cela montre à quel point la localisation des données est importante : loin d’être un sous-critère de la sécurisation, elle constitue un critère à part entière, qui doit donc relever de la loi, et non simplement du règlement ».
L’inclusion du levier de la localisation, aux côtés de celui de la cybersécurité, a fait sourciller Cédric O en séance. « Je comprends l’intention : assurer une meilleure protection des données et, au-delà, affermir notre souveraineté. Mais je veux rappeler que l’information sur la location physique des données est insuffisante pour atteindre cet objectif. Le fait que les données appartenant à un citoyen français soient localisées sur le territoire français ne les protège pas dès lors qu’elles seraient confiées à un acteur dont le centre de données serait géré depuis l’étranger ».
Le gouvernement s’est donc opposé à cet amendement, jugeant même par la voix de son secrétaire d’État au numérique qu’ « informer le citoyen de l’endroit où ses données sont stockées, comme le prévoit l’amendement, risque (…)de créer une sécurité illusoire. Cela pourrait être contre-productif : nos concitoyens pourraient plébisciter des services fournis par des acteurs étrangers, pensant à tort que la protection est la même que celle d’un fournisseur européen ».
L’amendement a malgré tout été adopté, dans une assemblée pourtant aux mains du groupe LReM.
Répondre à la dépendance aux outils technologiques
Seuls les acteurs dépassant un seuil défini par décret seront concernés, pas les plus petits. Pour le rapport en commission des lois « la crise sanitaire liée à l’épidémie de Covid-19 a mis en lumière notre interdépendance numérique ».
Malgré le retour à la « vie normale », le phénomène resterait d’actualité d’autant que « le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par les citoyens d’ici mai 2022 ». Pour le rapport de la commission des lois, « si les sites gouvernementaux présentent un niveau de sécurité élevé face aux cyberattaques, qu’en est-il exactement des sites les plus utilisés par les consommateurs – plateformes de vente en ligne, banques en ligne, sites de commerce en ligne ? »
L’enjeu du texte serait d’apporter une brique supplémentaire au RGPD : « Si le RGPD sécurise les données personnelles des consommateurs qui consultent les sites internet, il ne les protège pas, en effet, des failles en termes de cybersécurité, ni n’empêche le transfert des données personnelles collectées par les messageries et les outils de visioconférence », affirme le rapport, alors que la composante sécurité et la problématique du transfert vers des pays tiers sont bien au chapitre du règlement.
Retrait confirmé de critère cybersécurité dans la commande publique
La commission des lois du Sénat avait souhaité introduire une obligation de respecter la « cybersécurité » dans le champ de la commande publique, en plus de l’actuelle prise en compte « des objectifs de développement durable dans leurs dimensions économique, sociale et environnementale » déjà prévue par les textes en vigueur.
La mesure inscrite à l’article 2 avait été supprimée en séance au Sénat à la demande du gouvernement qui relevait que cette réforme allait porter « sur l’ensemble des marchés quel que soit l’objet du marché ».
Or, d’une part, « à la différence du critère du développement durable, qui est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques ». D’autre part, « l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ».
D’ailleurs, l’article R2152-7 du Code de la commande publique rend déjà possible la prise en compte de « la valeur technique d’une offre dans le choix des critères d’attribution ». Pour l’exécutif, il est déjà « légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques ». Cette suppression de l’article 2 a été maintenue à l’Assemblée nationale.
Une entrée en vigueur repoussée à octobre 2023
S’il est adopté dans les mêmes termes en seconde lecture au Sénat, le texte entrera en vigueur le 1er octobre 2023. « La nécessité d’une publication préalable des textes règlementaires pour donner au texte toute sa portée, ainsi que le travail d’expertise technique que devra mener l’ANSSI, impose une entrée en vigueur différée de la loi », ont prévenu les députés Christophe Naegelen et Philippe Latombe.
La proposition de loi a finalement été adoptée par 49 voix contre 1. Elle sera réexaminée prochainement par les sénateurs.
Commentaires (16)
#1
Un scieur doit savoir scier sans son sien.
#2
si c’est aussi faux que celui sur la bouffe…
#3
50 votants pour un effectif de 570 membres?
Ca c’est de la représentation!
#4
il neigeait, les vieux ça supporte mal le froid.
#4.1
Bah le chauffeur n’a qu’à foutre le chauffage
#5
L’idée est intéressante, mais en pratique ça va donner n’importe quoi. Par exemple, un nutriscore est basé sur une recette donnée, avec les connaissances qu’on a sur les ingrédients. Cela bouge assez peu en général, et surtout on n’a besoin d’aucun contexte. En cybersécurité, ça bouge tout le temps, et cela dépend énormément du contexte (composants utilisés, architecture, code, etc.), sans compter qu’il est rare de connaître tous les “ingrédients”. Un audit par un prestataire agréé va coûter cher et ne sera valable que pour un périmètre donné, à un moment donné, sachant qu’une modification très mineure peut parfois entraîner une énorme faille de sécurité. On va vite se retrouver avec sites qui vont se faire trouer avec un score A, ce qui va générer une perte rapide de crédibilité pour ce cyberscore. En plus j’imagine très bien Google se faire auditer par Thalès…
#6
(https://blog.projetarcadie.com/content/pourquoi-les-parlementaires-ne-sont-ils-pas-dans-lhemicycle)
#6.1
“nos élus ne peuvent pas être à plusieurs endroits “
on nous la ressort à chaque fois celle-là !
dans ce cas on filme pas, ça donne une mauvaise image de l’AN. et du Sénat !
#6.2
Oui je connais cette excuse de merde pour le cumul des mandats à la française.
Ils ont aussi une “enveloppe” pour recruter, et donc se faire représenter s’il ne peuvent être présent pour un truc plus important que leur carrière, à savoir voter des lois qui concernent tous les français.
#7
Les charentaises glissent sur sol mouillé
#7.1
Pour une fois que ces clowns pourraient nous faire sourire, ce serait dommage de s’en priver
#8
Ce Cyberscore ça va être un appel au hacking, les sites les mieux notés seront à avoir en trophée pour les black hat.
#9
+1
Après c’est pas très différent des entreprises qui sont certifiées ISO 27001, SOC type 2 ou NIST SP 800. Ces certifications ne sont valables qu’un temps donné et sur un périmètre particulier.
Ça vaut ce que ça vaut mais ça a au moins le mérite de partir d’une bonne intention (en plus d’offrir de nouvelles affaires aux entreprises qualifiées PASSI).
Là où ça peut être vraiment vicieux c’est que ce cyberscore va être affiché en gros sur des services grands publics (là où les certifications précédentes sont plutôt mentionnées sur des services accédés par des personnes ayant un minimum de culture informatique) dont les utilisateurs manquent globalement de compréhension sur le fonctionnement des TIC.
Autant dire que gare au service qui aura trop mit en avant son cyberscore A et qui se fera pirater, ça risque de piquer encore plus que d’habitude niveau réputation.
Ça sera intéressant de voir le référentiel d’exigences de ce cyberscore et de voir la matrice de correspondances avec les autres référentiels de sécurité de l’information.
#10
Ce n’est pas u cumul des mandats quand l’élu participe à des commissions. Et pour rappel, c’est lui qui est élu, il ne peut déléguer son rôle d’élu : ce n’est pas comme un maire qui a des maires adjoint. L’enveloppe lui sert à embaucher des collaborateurs pour préparer des dossiers pour être efficace, pas pour le remplacer ce qui serait illégal.
#11
Voter des lois c’est juste une petite proportion de leur travail.
Pour voter une loi, il faut d’abord la préparer. Et la préparation ne se fait pas toute seule par magie. Tout comme les représentations et la tenue des bureaux.
#12
Ouais alors les remarques sous les assemblées vides, cela devient un peu ridicule.
Si vous faite l’effort d’aller regarder vraiment (genre plus de 3 minutes) les assemblées, on aurait 200 personnes ou 50, c’est pareil. On a tout simplement (en général) les élus compétents sur les dossiers en cours. Et qui respecte les équilibres politiques.
Et oui, il y a d’autres réunions (commission des affaires économiques, des députés en réunion à l’étranger aussi ce jour la par exemple). Et puis on peut avoir, en tant que député, un rendez-vous important à ce moment-là (pour la préparation d’une loi, pour le travail avec le groupe parlementaire, etc.).
Aujourd’hui, les équipes d’un député sont assez légères comparé à l’autre pays européen (sans parler des US).
Pour prendre mon simple exemple, j’ai été invité par un député suite à une proposition de loi, il était tellement débordé que j’ai rencontré un de ses assistants parlementaires. Le compte rendu des travaux qu’ils avaient réalisés suite à ma proposition, c’était au moins 7 à 8H de boulot (appel au Conseil d’État, au ministère de l’Intérieur, recherche documentaire).
Bref, c’est tellement simple de critiquer …