Cyberscore : vers un vote conforme de la proposition de loi au Sénat

AAA+
Droit 5 min
Cyberscore : vers un vote conforme de la proposition de loi au Sénat
Crédits : Senat.fr

Au Sénat, la proposition de loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public » a été adoptée sans modification en commission. Elle sera examinée en seconde lecture lors de la séance du 24 février.

En novembre dernier, la proposition de loi était adoptée par les députés par 49 voix contre 1. Dans le cœur du texte, les plateformes dépassant un seuil qui sera fixé par décret et les logiciels de visioconférence devront réaliser « un audit de cybersécurité ».

Mieux, les résultats de ces travaux devront être présentés au consommateur, tant pour les informations relatives à la sécurisation, que celles relatives à la localisation des données hébergées. Cet audit devra être réalisé par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Dans le détail, un arrêté, pris après avis de la CNIL, fixera « les critères qui sont pris en compte par l’audit » et les modalités de sa présentation. Pour éviter que ce document soit noyé dans un jargon incompréhensible, la proposition de loi prévient que le résultat de l’audit sera présenté « au consommateur de façon lisible, claire et compréhensible », accompagné d’une présentation « au moyen d’un système d’information coloriel ».

Un cyberscore à l'image du Nutri-Score

Derrière cette expression, on trouve le futur cyberscore. Le sénateur (UDI) Laurent Lafon, président de la commission de la Culture et auteur de la proposition, nous avait fait part de ses motivations :

« Quand on utilise un outil numérique, on n’a pas connaissance du risque qu’il présente en termes de cybersécurité. Il fallait donc, à l’image de ce qu’il peut exister sur le plan alimentaire avec le Nutri-Score ou sur le plan immobilier avec le DPE, avoir une information synthétique, visuelle et accessible immédiatement à tous les usagers, quel que soit leur degré de connaissance et portant sur des risques qu'ils prendront à utiliser et livrer des données sur une plateforme ».

C’est avec un amendement déposé par Philippe Latombe que le diagnostic de sécurité a été étendu, ajoutant au critère de la sécurisation, celui de la localisation.

Prenant appui sur l’invalidation du Privacy Shield en juillet 2020 par la Cour de Justice de l’Union européenne, « les transferts de données personnelles hors de l’Espace Économique Européen ne peuvent être effectués que si des garanties appropriées sont mises en place, et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».

Pour le député MoDem, le cyberscore pourrait ainsi être un levier « au service de notre souveraineté numérique », sujet sur lequel le parlementaire a consacré un épais rapport

« Nous avons besoin de redévelopper des activités économiques en Europe. Pour cela, la localisation est un bon moyen d’avoir des data centers, et non des filières numériques, en Europe qui permettent de contrebalancer des solutions de type cloud américain », témoignait l’élu dans nos colonnes.

Adoption conforme en commission au Sénat

Au Sénat, le texte a été adopté sans modification par la commission des affaires économiques, saisie au fond. La sénatrice (UC) et rapporteure Anne-Catherine Loisier relève que si le RGPD protège les personnes physiques, il « n’impose cependant pas d’informer sur le niveau de cybersécurité des solutions proposées par un prestataire de solutions numériques ».

Et celle-ci de constater qu’ « aujourd’hui, aucune disposition ne garantit l’information du consommateur quant à la sécurité informatique de la solution numérique qu’il utilise ».

S’agissant des indicateurs pris en compte, elle dessine plusieurs pistes : prendre en compte le régime juridique applicable en matière de protection des données, mais aussi l’usage du chiffrement de bout en bout pour les services de communication ou encore « le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel », voire « le nombre de failles mises à jour ».

Et selon la parlementaire centriste, « l’existence d’une loi à portée extraterritoriale pourrait aussi être prise en compte ».

Pour justifier l’adoption « conforme » (donc sans toucher une virgule au texte adopté par les députés), la commission souligne que son objectif « est d’avoir un dispositif qui, dans un premier temps, s’applique seulement aux plus grands acteurs et intègre les logiciels de visioconférence, dont l’utilisation s’est généralisée depuis le début de la crise sanitaire ».

Elle se satisfait de l’adoption d’un seuil de déclenchement pour la mise en route de l’audit de cybersécurité. « Il s’agit de trouver un équilibre entre réglementation et innovation et de ne pas pénaliser les TPE, les PME et les start-ups innovantes en matière de services en ligne ».

Quel critère de localisation ? 

Et s’agissant du critère de localisation, elle précise toutefois que « la localisation ne peut pas être le seul critère utilisé pour apprécier les standards de sécurité de l’hébergement des données ».

Ainsi, « il y a des données qui sont hébergées de façon sécurisée en dehors de l’Union européenne, c’est pourquoi la Commission européenne peut par exemple prendre des décisions d’adéquation attestant que le niveau de protection des données dans un pays tiers est au moins équivalent à celui permis par le droit de l’Union ».

Or, « des données peuvent être stockées sur des serveurs et dans des centres de données situés dans l’Union européenne, mais hébergées par des logiciels de cloud américain ». Elle promet en conséquence une grande vigilance sur l’arrêté chargé de définir le spectre de l’audit de cybersécurité.

L’article 3 de la proposition a fixé, pour mémoire, le délai d’entrée en vigueur de la future loi au 1er octobre 2023. « Si ce délai semble lointain, la mise en place d’un audit de cybersécurité est inédite et technique. La définition du périmètre d’application et celle du contenu de l’audit de cybersécurité seront respectivement précisées par décret et par arrêté ministériel ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !