Le texte adopté modifie le droit de la consommation pour imposer de nouvelles obligations en matière de cybersécurité aux plateformes numériques, messageries instantanées et sites de visioconférence les plus utilisés. Ces opérateurs devront informer les internautes sur la sécurité de leurs sites et services, ainsi que sur la sécurité et la localisation des données hébergées par eux ou leurs prestataires (notamment dans le cloud), par le biais d'un " cyberscore " visuel.
Qu'est-ce que le CyberScore ?
CyberScore est le surnom d'un projet soutenu par le projet de loi actuellement à l'étude. Ce projet de loi vise à instaurer une certification de cybersécurité des plateformes numériques à destination du grand public. Il établit une échelle simple pour aider les internautes à comprendre en un coup d'œil le niveau de cybersécurité des sites qu'ils visitent.
Le concept est similaire au Nutriscore présent sur de nombreux produits alimentaires. Le public est libre d'acheter les paquets les moins bien notés, mais ne peut plus vraiment prétendre à l'ignorance. Le Nutriscore n'est pas une solution parfaite, mais c'est aussi un moyen de résumer beaucoup de données nutritionnelles en une seule fois, sans avoir à les décortiquer ligne par ligne.
Il a également prévu la mise en place de prestataires d'audit accrédités par l'Agence nationale de la sécurité des systèmes d'information (Anssi) pour éviter l'auto-évaluation des établissements. Selon le sénateur Laurent Lafon, auteur du texte, le CyberScore pourrait à terme inciter les plateformes à améliorer leur fonctionnement afin de bénéficier de meilleures évaluations.
A quoi ressemble le CyberScore ?
L'échelle CyberScore devrait être similaire à l'échelle NutriScore. La loi exige que les résultats des audits soient "présentés de manière lisible, claire et compréhensible et accompagnés d'un affichage ou d'une représentation complémentaire au moyen d'un système d'information en couleur." En bref, un code couleur, voire un mémo.
Qui est concerné par le CyberScore ?
La loi précise qu'elle s'adresse aux opérateurs de plateformes en ligne qui fournissent des "services de communication publique en ligne". Plus explicitement, cela inclut les services de vidéoconférence, les services de messagerie et les moteurs de recherche. En d'autres termes, des entreprises telles que Google, WhatsApp, Zoom, Skype, Bing et Messenger.
Pour éviter de ratisser large, il est prévu de ne retenir que les plateformes dont "l'activité dépasse un ou plusieurs seuils", dont le trafic. Ces seuils seront publiés dans un futur décret. Le CyberScore concernera non seulement les opérateurs hébergeant leurs propres données, mais aussi ceux faisant appel à des tiers.