[CYBERSÉCURITÉ] Retour sur l’obligation des plateformes de mettre à disposition un « cyberscore »

[CYBERSÉCURITÉ] Retour sur l’obligation des plateformes de mettre à disposition un « cyberscore »
28/09/2023 , 02h09 Cyber risque

Le département IP/IT/Data revient sur l’entrée en vigueur au 1er octobre 2023 des nouvelles obligations en matière de cybersécurité qui incomberont aux opérateurs de plateformes numériques et aux services de messagerie électronique ou de visioconférence les plus utilisés. Ces plateformes devront, sous peine de sanctions, se soumettre à un audit aux fins d’obtenir un « cyberscore » à mettre à disposition du consommateur.

Si vous n’avez que 30 secondes

 

La loi n°2022-309 du 3 mars 2022 a inséré un nouvel article L.111-7-3 au sein du Code de la consommation, dont l’entrée en vigueur est prévue au 1er octobre 2023, qui impose notamment aux opérateurs de plateformes en ligne de diligenter un audit aux fins de certification en matière de cybersécurité et d’information du consommateur. Sont visés les services de messagerie électronique, les services de visioconférence, les comparateurs en ligne, les « marketplaces », les moteurs de recherche et les sites de petites annonces, qui dépassent certains seuils déterminés par décret.

L’audit aura pour objet d’évaluer le niveau de sécurité de la plateforme ou du service, ainsi que la sécurisation et la localisation des données hébergées par ces opérateurs. Cet audit devra être réalisé par des prestataires agréés par l’Agence Nationale de Sécurité des Services d’Information (« ANSSI »), aux frais de l’opérateur. Le résultat de l’audit doit être mis à disposition du consommateur, dans un format similaire à celui du Nutriscore, et devra notamment être apposé « de manière visible sur l’écran d’accueil du service en ligne ».

En cas de manquement à cette obligation d’information, une amende administrative dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale pourra être prononcée par la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (« DGCCRF »).

 

Le champ d’application du nouvel article L. 111-7-3 du Code de la consommation

 

Le nouvel article L.111-7-3 du Code de la consommation est applicable à deux types d’acteurs différents :

Sont d’abord visés les opérateurs de plateformes en ligne définis à l’article L. 111-7 du même Code comme toute personne proposant à titre professionnel soit « le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers » (par exemple, les moteurs de recherches, les comparateurs de prix, etc.), soit la mise en relation de plusieurs parties « en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service » (par exemple, les « marketplaces », sites de petites annonces, etc.).

Sont également concernés par le texte, les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation (visés par l’article L.32 quater 6° du Code des postes et des communications électroniques). Cette catégorie regroupe les services de messagerie électronique et les services de visioconférences (comme par exemple, WhatsApp, Slack, Messenger, Zoom, Skype, etc.).

 

L’audit à diligenter

 

L’audit aura pour objet d’évaluer le niveau de sécurité de la plateforme ou du service, ainsi que la sécurisation et la localisation des données hébergées par l’opérateur lui-même ou un prestataire tiers d’hébergement. Le législateur cherche ainsi à fournir une information transparente aux consommateurs sur le sujet.

L’audit devra être mis en œuvre par un Prestataire d’Audit de la Sécurité des Systèmes d’Information (« PASSI »), agréé par l’ANSSI. Le projet d’arrêté ministériel liste les critères de l’audit parmi lesquels on retrouve la protection des données, la maîtrise du service numérique, le niveau d’externalisation, le niveau d’exposition sur internet, la sensibilisation aux risques cyber et la présence de dispositifs de traitement des incidents de sécurité, la présence de développements sécurisés.

Cet audit sera limité puisqu’il sera réalisé sur la base d’informations librement accessibles et de manière non-intrusive par le prestataire (article 4 du projet d’arrêté).

À l’issue de l’audit, une note à laquelle correspondra une lettre sera attribuée, et devra être affichée « de manière visible sur l’écran d’accueil du service en ligne », tandis que la note de l’audit devra figurer dans les mentions légales dudit service.

L’attribution du cyberscore aura une durée de validité de 12 mois. Par conséquent, les audits devront être renouvelés dans les 3 mois suivants cette période de 12 mois.

Cette obligation s’ajoute aux nombreuses obligations mises à la charge des plateformes (dispositions prévues par le Digital Service Act ou le Digital Market Act, lutte contre les contenus odieux et la désinformation, etc.).

L’entrée en vigueur de ce nouvel article est prévue au 1er octobre 2023. Toutefois, l’application de ces nouvelles dispositions est conditionnée à l’adoption définitive des décrets et arrêtés, qui n’ont pas encore été publiés à ce jour.