À l’image du NutriScore, les internautes vont bientôt pouvoir comprendre en un clin d’œil le niveau de sécurité apporté à leurs données par le site qu’ils fréquentent. Du code couleur allant du vert au rouge au score allant de A à E, le CyberScore s’impose dans l’ère numérique.
À partir du 1er octobre 2023 – entrée en vigueur de la loi – tous les fournisseurs de services en ligne opérant sur le territoire français, à partir d’un seuil de trafic fixé par décret, seront notés.
Les services de messagerie et de visioconférence seraient également concernés.
Le CyberScore devrait s’appliquer à une centaine de services, comme par exemple Google, Zoom, Whatsapp et Messenger.
À l’origine, lors de l’examen du texte en première lecture au Sénat, les parlementaires avaient soumis la faculté pour les plateformes et sites de s’auto-évaluer et de déterminer par eux-mêmes leur CyberScore.
Dans la proposition de loi du 26 novembre 2021, l’Assemblée nationale et les députés n’ont pas retenu ce fonctionnement et ont préféré confier cette évaluation – sous forme d’audit – à des intervenants extérieurs habilités par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Les modalités pratiques de l’audit ainsi que ses critères seront fixées par un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Le projet de loi précise que l’évaluation portera « sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ».
Outre l’incitation des plateformes à modifier leurs pratiques pour bénéficier d’une meilleure note, le projet de loi poursuit également un objectif de transparence ; lequel implique d’informer l’internaute de la cybersécurité du site sur lequel il navigue.
La délivrance de l’information se fera ainsi au moyen du fameux Score : « Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
En cas de manquement, autrement dit, de refus de cette nouvelle obligation, les entreprises contrevenantes s’exposeront à une amende de 375 000 euros, et les particuliers à amende de 75 000 euros.
À l’heure où la cybersécurité est devenue un enjeu majeur, l’internaute saura immédiatement si un site a mis en place des processus de sécurité informatique afin d’assurer la protection de ses données. Aussi, le grand public pourra faire le choix, eu égard au score attribué, d’en tenir compte ou pas !
L‘ÉQUIPE IP / IT DATA