Camille Gruhier
Un Cyberscore pour la sécurité informatique
Failles de sécurité et vols de données personnelles sont une préoccupation quotidienne sur Internet. À l’image du Nutri-Score pour les produits alimentaires, un Cyberscore renseignera bientôt les internautes sur le degré de sécurité de leurs données sur de nombreux sites Internet. La loi est promulguée, l’entrée en vigueur prévue le 1er octobre 2023.
Après le Nutri-Score, voici le Cyberscore ! Le gouvernement vient de promulguer une loi (1) qui imposera bientôt aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés de renseigner les internautes sur le degré de sécurité de leurs données. Le texte est encore très général, au gouvernement de décider des modalités d’application. Pour l’heure, on ne connaît pas encore le nom des sites et plateformes concernés (qu’un décret listera), ni les critères qui entreront dans le calcul du Cyberscore (ils seront définis par un arrêté).
Localisation des données
Mais on sait déjà que les sites concernés devront réaliser un audit auprès d’un prestataire qualifié par l’Anssi (Agence nationale de la sécurité des systèmes d’information). On sait aussi que la localisation des données hébergées fera partie des critères. « Au-delà de la sécurisation des données, il paraît essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme », plaidait le député Philippe Latombe, à l’origine de l’amendement. La localisation des données est en effet l’une des composantes essentielles du RGPD (Règlement général sur la protection des données). Les données des Européens doivent en effet rester en Europe, ou dans des pays tiers identifiés par la Commission européenne, à moins que des garanties spécifiques et suffisantes soient mises en place. Or actuellement, aucun accord spécifique n’encadre les données qui transitent vers les États-Unis, où sont basés les géants du Web comme Facebook, Google ou Microsoft (la Cour de justice de l’Union européenne a invalidé le texte existant, baptisé « Privacy Shield », en juillet 2020). Les sociétés doivent donc instaurer de nouvelles garanties supplémentaires pour s’assurer du respect de la réglementation européenne lorsqu’elles souhaitent envoyer ou stocker des données aux États-Unis.
Enfin, on sait que le Cyberscore retranscrira le résultat de l’audit « de façon lisible, claire et compréhensible » et sera accompagné « d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ». Une formulation qui laisse entendre que visuellement, le Cyberscore ressemblera fortement au Nutri-Score. Entrée en vigueur prévue pour le 1er octobre 2023 !
(1) Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.