« Il est temps d’agir pour que les utilisateurs de ces plateformes ne soient ni captifs, ni inconscients des risques qu’ils encourent dans leurs usages numériques quotidiens », exposait le rapport de la Commission des lois. En séance, à une majorité presque absolue, les députés ont adopté vendredi le cyberscore.
Après le Sénat, la proposition de loi du sénateur du Val-de-Marne Laurent Lafon vient de passer le cap de l’Assemblée nationale en première lecture.
Le cœur du texte ? Obliger les opérateurs de plateformes en ligne, mais désormais également les services de messagerie et de visioconférence comme WhatsApp ou Zoom à afficher une certification ou plus exactement à réaliser « un audit de cybersécurité », dont les résultats seront présentés au consommateur. C’est le cyberscore.
L’audit portera sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation.
Entrée en scène des prestataires d’audit agréés par l’ANSSI
Dans la version des sénateurs, la proposition de loi se satisfaisait d’un système d’autocertification. « Un niveau de sécurité faible, voire trompeur pour le consommateur qui pourrait croire à une véritable sécurisation du site concerné » a reproché le rapport de la commission des lois à l’Assemblée nationale.
Le régime gagne donc désormais en amplitude : il repose sur un système d’audit effectué par un tiers. Au fil d’une série d’amendements adoptés, les députés Christophe Naegelen et Philippe Latombe, mais également tous ceux de la République en Marche ont précisé en effet que « le seul dispositif technique existant de recours à des organismes tiers susceptibles d’assurer les missions prévues par le texte, est celui d’un audit mené par des prestataires d'audit de la sécurité des systèmes d'information, qualifiés par l’ANSSI ».
Les amendements 9 et 14 entérinent la mise dans la boucle de l’Autorité nationale de la sécurité des systèmes d’information. Désormais, cette certification sera donc « effectuée par des organismes habilités par l’autorité administrative compétente ».
Un système d’information coloriel présenté aux consommateurs
Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la CNIL, sera chargé de fixer « les critères qui sont pris en compte par la certification », mais également « ses conditions en matière de durée de validité ainsi que les modalités de sa présentation ».
Cette certification sera présentée au consommateur « de façon lisible, claire et compréhensible et est accompagnée d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Bras de fer sur le critère de la localisation
Dans cet autre amendement adopté en séance, le critère de la localisation des données hébergées entrera également dans le champ du cyberscore. « Il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme » a relevé le député MoDem Philippe Latombe.
L’auteur d’un rapport sur le sujet a témoigné de sa volonté « de faire du cyberscore un outil au service de notre souveraineté numérique ».
Lors des débats en commission, Philippe Latombe avait déjà été partisan de l'intérêt d'un tel critère : « Frances Haugen l’a rappelé, une fois que Facebook a des données, on ne sait plus où elles sont stockées ni comment elles sont traitées. Pourtant, c’est extrêmement important pour les consommateurs et tous les acteurs du numérique. »
Le même se souvenait de l'épisode relatif à l’accord Privacy shield, consacrant les transferts de données personnelles entre l’Union européenne et les États-Unis. Il « avait été conclu sur l’affirmation que le niveau de protection était équivalent de part et d’autre. La Cour de justice de l’Union européenne ayant invalidé cet accord, Facebook nous avait fait tout un sketch, prétendant qu’il serait obligé de quitter l’Europe. Cela montre à quel point la localisation des données est importante : loin d’être un sous-critère de la sécurisation, elle constitue un critère à part entière, qui doit donc relever de la loi, et non simplement du règlement ».
L’inclusion du levier de la localisation, aux côtés de celui de la cybersécurité, a fait sourciller Cédric O en séance. « Je comprends l’intention : assurer une meilleure protection des données et, au-delà, affermir notre souveraineté. Mais je veux rappeler que l’information sur la location physique des données est insuffisante pour atteindre cet objectif. Le fait que les données appartenant à un citoyen français soient localisées sur le territoire français ne les protège pas dès lors qu’elles seraient confiées à un acteur dont le centre de données serait géré depuis l’étranger ».
Le gouvernement s’est donc opposé à cet amendement, jugeant même par la voix de son secrétaire d’État au numérique qu’ « informer le citoyen de l’endroit où ses données sont stockées, comme le prévoit l’amendement, risque (…)de créer une sécurité illusoire. Cela pourrait être contre-productif : nos concitoyens pourraient plébisciter des services fournis par des acteurs étrangers, pensant à tort que la protection est la même que celle d’un fournisseur européen ».
L’amendement a malgré tout été adopté, dans une assemblée pourtant aux mains du groupe LReM.
Répondre à la dépendance aux outils technologiques
Seuls les acteurs dépassant un seuil défini par décret seront concernés, pas les plus petits. Pour le rapport en commission des lois « la crise sanitaire liée à l’épidémie de Covid-19 a mis en lumière notre interdépendance numérique ».
Malgré le retour à la « vie normale », le phénomène resterait d’actualité d’autant que « le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par les citoyens d’ici mai 2022 ». Pour le rapport de la commission des lois, « si les sites gouvernementaux présentent un niveau de sécurité élevé face aux cyberattaques, qu’en est-il exactement des sites les plus utilisés par les consommateurs – plateformes de vente en ligne, banques en ligne, sites de commerce en ligne ? »
L’enjeu du texte serait d’apporter une brique supplémentaire au RGPD : « Si le RGPD sécurise les données personnelles des consommateurs qui consultent les sites internet, il ne les protège pas, en effet, des failles en termes de cybersécurité, ni n’empêche le transfert des données personnelles collectées par les messageries et les outils de visioconférence », affirme le rapport, alors que la composante sécurité et la problématique du transfert vers des pays tiers sont bien au chapitre du règlement.
Retrait confirmé de critère cybersécurité dans la commande publique
La commission des lois du Sénat avait souhaité introduire une obligation de respecter la « cybersécurité » dans le champ de la commande publique, en plus de l’actuelle prise en compte « des objectifs de développement durable dans leurs dimensions économique, sociale et environnementale » déjà prévue par les textes en vigueur.
La mesure inscrite à l’article 2 avait été supprimée en séance au Sénat à la demande du gouvernement qui relevait que cette réforme allait porter « sur l’ensemble des marchés quel que soit l’objet du marché ».
Or, d’une part, « à la différence du critère du développement durable, qui est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques ». D’autre part, « l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ».
D’ailleurs, l’article R2152-7 du Code de la commande publique rend déjà possible la prise en compte de « la valeur technique d’une offre dans le choix des critères d’attribution ». Pour l’exécutif, il est déjà « légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques ». Cette suppression de l’article 2 a été maintenue à l’Assemblée nationale.
Une entrée en vigueur repoussée à octobre 2023
S’il est adopté dans les mêmes termes en seconde lecture au Sénat, le texte entrera en vigueur le 1er octobre 2023. « La nécessité d’une publication préalable des textes règlementaires pour donner au texte toute sa portée, ainsi que le travail d’expertise technique que devra mener l’ANSSI, impose une entrée en vigueur différée de la loi », ont prévenu les députés Christophe Naegelen et Philippe Latombe.
La proposition de loi a finalement été adoptée par 49 voix contre 1. Elle sera réexaminée prochainement par les sénateurs.
