Le « cyber-score » c’est quoi ?
Marie-Laure Tarragano, avocat expert en droit social

Il s’agit de la loi du 3 mars 2022 qui a instauré la mise en place d’un « cyber-score » et qui deviendra obligatoire le 1er octobre 2023 (applicable dans un premier temps à tous les grands opérateurs du numérique pour le public).

En résumé, le « cyber-score » vise la transparence et la responsabilité, et à :
Informer sur le niveau de sécurité du prestataire et de la solution ;
Favoriser l’achat auprès de fournisseurs sécurisés et « responsables » ;
Lier la cybersécurité à la responsabilité sociétale de l’entreprise.
Avec cette loi Lafon il est désormais prévu de soumettre des opérateurs et plateformes (déterminés par un décret prochain) à une obligation de réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données qu’ils hébergent et sur leur propre sécurisation. Les résultats de cet audit devront ensuite être présentés au consommateur.

Concrètement, il s’agira d’une étiquette à destination des internautes attestant du niveau de sécurité des données personnelles sur la plateforme numérique visitée. Il va être attribué une note indiquant le niveau de fiabilité dans la protection des données des utilisateurs.

Encore plus concrètement, avec cette obligation au 1er octobre 2023, on va aboutir à cela : La mise en place de cet outil servira d’indicateur de comparaison entre les entreprises, deviendra un critère commercial, servira d’outil de sélection et reflètera la valorisation. La protection des données devient ainsi un critère de valeur économique, environnemental et social.

Qui va être concerné par cette obligation du « cyber-score » ?
Deux types d’opérateurs sont concernés par cette obligation très proche :

Tous les opérateurs de plateforme en ligne « proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :
1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service » 

Les services de communications interpersonnelles non fondés sur la numérotation : les services qui n’établissent pas de connexion à un ou plusieurs numéros figurant dans le plan national ou international de numérotation ou qui n’en permettent pas la communication (les services de messagerie, les services de visioconférence, etc.).
La loi prévoit en outre une condition tenant au niveau de fréquentation du site et un décret devrait définir les seuils d’activité.
Je précise que l’objectif de la loi est d’abord de cibler les acteurs les plus importants du marché tels que les plateformes qui reçoivent 5 millions de visiteurs uniques par mois, les services de messageries électroniques les plus utilisés et les services de visioconférence  et entrera en vigueur à compter du 1er octobre 2023.

Comment va se mettre en place le « cyber-score » ?
La loi prévoit que l’obtention du « cyber-score » se fera après audit de cybersécurité par des prestataires d’audit agrées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Un décret viendra préciser les critères et indicateurs qui seront pris en compte pour la délivrance de ce label mais il pourrait s’agir par exemples du lieu d’hébergement des données ou de la non exposition des données à des législations étrangères à portée extraterritoriale.

La méthodologie du dispositif sera précisée par un arrêté des Ministres chargés du numérique et de la consommation après avis de la Commission Nationale Informatique et Libertés (CNIL). Il clarifiera les critères d’évaluation de l’audit, ses conditions de validité et modalités de présentation qui ont fait l’objet de débats animés au Parlement (l’hypothèse d’une autoévaluation ayant été écartée par l’Assemblée nationale).

Le cyber-score résultera d’une évaluation par un prestataire d’audit qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La saisine de la CNIL permettra d’intégrer à l’audit des facteurs de conformité avec la loi Informatique et Libertés.

Cet audit portera sur les données qu’ils hébergent directement ou par l’intermédiaire d’un tiers et visera :
La sécurisation des données : recours au chiffrement, à l’anonymisation, etc… ;
La localisation de l’hébergement : un facteur particulièrement critique puisque 90% des données françaises seraient hébergées sur des serveurs états-uniens ;
Et leur propre sécurisation.
Le contenu des critères d’évaluation n’étant pas encore adopté, des pistes sont envisagées telles que l’usage du chiffrement de bout en bout, le nombre de condamnations par une autorité de contrôle des données, ou encore le nombre de failles mises à jour.

En tout état de cause, les entreprises doivent avoir en tête que le non-respect de cette obligation future sera sanctionné lourdement par une amende administrative s’élevant à 75.000 € pour les personnes physiques et 375.000 € pour les personnes morales, sans compter également le très fort préjudice réputationnel.

Lire l’article complet sur : www.tom.travel