Le jeudi 3 mars 2022, le Président de la République a promulgué la loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.

Celle-ci est parue au journal officiel du vendredi 4 mars 2022.

Le dispositif prévu doit entrer en application le 1^er octobre 2023.

Quel est le sens de cette loi ?

Durant la crise sanitaire, les cyberattaques se sont intensifiées ; le recours aux outils de visioconférence aussi.

Dans l’urgence, beaucoup ont choisi les outils les plus « utilisés » ou les plus « simples », avant de se rendre compte que les données échangées y étaient vulnérables.

Pour faire face à cette vulnérabilité, il convenait d’assurer l’accès de chacun à une information claire des risques encourus par l’utilisation d’une plateforme numérique.

Par cette loi, le législateur crée ainsi un « cyberscore » afin de permettre aux internautes de connaitre la sécurisation de leurs données sur les plateformes numériques qu’ils fréquentent.

Que contient cette loi ?

Tel qu’adopté, le texte modifie le Code de la consommation et notamment après l’article L111-7-2 est inséré un nouvel article L111-7-3.

Ce texte impose de nouvelles obligations, en matière de cybersécurité, aux opérateurs de plateforme en ligne.

• A noter : Un décret viendra prochainement préciser les seuils à partir desquels les opérateurs de plateforme en ligne mentionnés à l’article L111-7 du Code de la consommation seront soumis à ces nouvelles obligations.

Sont ainsi concernés par la notion « d’opérateurs de plateforme en ligne » les grandes plateformes numériques, les moteurs de recherche, les marketplaces, les réseaux sociaux, les logiciels de visioconférence, les messageries instantanées etc.

En pratique : les opérateurs de plateforme en ligne concernés devront informer les internautes, par un visuel « cyberscore » de la sécurité de leur site ou de leur service, et de la sécurisation ainsi que de la localisation des données qu’ils hébergent par eux-mêmes ou leurs prestataires.

• Ce nouveau système vise à garantir une meilleure information aux utilisateurs sur la protection de leurs données en ligne.
• A noter : Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL), précisera les critères pris en compte par l’audit de sécurité, ses conditions de validité et ses modalités de présentation.

Les informations du cyberscore seront tirées d’un audit de sécurité qu’ils devront réaliser.

Il est précisé que cette procédure d’audit devra être effectuée par des prestataires qualifiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

De plus, le résultat d’audit devra être présenté « au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel »

• A noter : Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL), précisera les critères pris en compte par l’audit de sécurité, ses conditions de validité et ses modalités de présentation.