Actualités

Le département IP/IT/Data revient sur l’entrée en vigueur au 1^er octobre 2023 des nouvelles obligations en matière de cybersécurité qui incomberont aux opérateurs de plateformes numériques et aux services de messagerie électronique ou de visioconférence les plus utilisés. Ces plateformes devront, sous peine de sanctions, se soumettre à un audit aux fins d’obtenir un « cyberscore » à mettre à disposition du consommateur.

Le champ d’application du nouvel article L. 111-7-3 du Code de la consommation

Le nouvel article L.111-7-3 du Code de la consommation est applicable à deux types d’acteurs différents :

Sont d’abord visés les opérateurs de plateformes en ligne définis à l’article L. 111-7 du même Code comme toute personne proposant à titre professionnel soit « le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers » (par exemple, les moteurs de recherches, les comparateurs de prix, etc.), soit la mise en relation de plusieurs parties « en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service » (par exemple, les « marketplaces », sites de petites annonces, etc.).

Sont également concernés par le texte, les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation (visés par l’article L.32 quater 6° du Code des postes et des communications électroniques). Cette catégorie regroupe les services de messagerie électronique et les services de visioconférences (comme par exemple, WhatsApp, Slack, Messenger, Zoom, Skype, etc.).

L’audit à diligenter

L’audit aura pour objet d’évaluer le niveau de sécurité de la plateforme ou du service, ainsi que la sécurisation et la localisation des données hébergées par l’opérateur lui-même ou un prestataire tiers d’hébergement. Le législateur cherche ainsi à fournir une information transparente aux consommateurs sur le sujet.

L’audit devra être mis en œuvre par un Prestataire d’Audit de la Sécurité des Systèmes d’Information (« PASSI »), agréé par l’ANSSI. Le projet d’arrêté ministériel liste les critères de l’audit parmi lesquels on retrouve la protection des données, la maîtrise du service numérique, le niveau d’externalisation, le niveau d’exposition sur internet, la sensibilisation aux risques cyber et la présence de dispositifs de traitement des incidents de sécurité, la présence de développements sécurisés.

Cet audit sera limité puisqu’il sera réalisé sur la base d’informations librement accessibles et de manière non-intrusive par le prestataire (article 4 du projet d’arrêté).

À l’issue de l’audit, une note à laquelle correspondra une lettre sera attribuée, et devra être affichée « de manière visible sur l’écran d’accueil du service en ligne », tandis que la note de l’audit devra figurer dans les mentions légales dudit service.

L’attribution du cyberscore aura une durée de validité de 12 mois. Par conséquent, les audits devront être renouvelés dans les 3 mois suivants cette période de 12 mois.

Cette obligation s’ajoute aux nombreuses obligations mises à la charge des plateformes (dispositions prévues par le Digital Service Act ou le Digital Market Act, lutte contre les contenus odieux et la désinformation, etc.).

L’entrée en vigueur de ce nouvel article est prévue au 1^er octobre 2023. Toutefois, l’application de ces nouvelles dispositions est conditionnée à l’adoption définitive des décrets et arrêtés, qui n’ont pas encore été publiés à ce jour.