L'accroissement de l'usage des outils numériques lié à la crise sanitaire s'est accompagné d'une augmentation des risques liés à ces usages. Les données numériques des utilisateurs sont menacées non seulement par des actes de malveillance, mais aussi par les lois qui peuvent être applicables au prestataire auquel les données sont confiées. La cybersécurité est ainsi devenue un enjeu majeur, non seulement à l'échelle de l'Etat, mais aussi à l'échelle individuelle.
Afin d'informer les consommateurs sur la sécurité informatique des solutions qu'ils utilisent, la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public insère dans le Code de la consommation des dispositions créant un diagnostic de cybersécurité à destination du grand public (C. consom. art. L 111-7-3 nouveau), inspiré du diagnostic de performance énergétique.
A compter du 1er octobre 2023, les acteurs du numérique les plus importants devront réaliser un audit de cybersécurité dont les résultats seront présentés au consommateur.
Champ d'application
Sont concernés les opérateurs de plateformes en ligne au sens de l'article L 111-7 du Code de la consommation (notamment, les moteurs de recherche et les plateformes de marché en ligne) et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation (par exemple, WhatsApp ou les logiciels de visioconférence), dont l’activité dépasse un ou plusieurs seuils devant être définis par décret.
Réalisation et présentation du nouvel audit de sécurité
L'audit de sécurité portera sur la sécurisation et la localisation des données que ces acteurs hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation. Il devra être effectué par des prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Enfin, il devra être présenté au consommateur, de façon lisible, claire et compréhensible, et être accompagné d’un cyberscore en couleur.
La définition des critères à prendre en compte pour l’audit, sa présentation et sa durée de validité sont renvoyées à un arrêté.
Les indicateurs pertinents pourront être différents en fonction de la solution numérique concernée (site internet, logiciel, application... ). Les travaux parlementaires font référence, par exemple, au chiffrement de bout en bout pour les services numériques impliquant des communications. Sont également évoqués des critères moins techniques et se rapprochant de la logique du « name and shame », comme le nombre de condamnations par une autorité en charge de la protection des données personnelles ou le nombre de failles mises à jour. Enfin, des critères juridiques pourront être pris en compte, tels que l'existence d'une loi à portée extraterritoriale menaçant les données personnelles.
Sanctions
Le non-respect de cette obligation sera sanctionné par une amende administrative d'un montant maximal de 75 000 € pour une personne physique et 375 000 € pour une personne morale (C. consom. art. L 131-4, al. 1 modifié).
Avec le Bulletin Rapide Droit des Affaires, suivez toute l'actualité juridique commentée et analysée pour assurer la relance d'activité pour vos clients ou votre entreprise :
Pas encore abonné ? Nous vous offrons un essai gratuit d'un mois à la revue Bulletin Rapide Droit des Affaires.