Un audit de cybersécurité à la charge des grandes plateformes numériques

Genèse du texte. La loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public est issue d’une proposition de loi sénatoriale dont l’auteur est le sénateur du Val-de-Marne Laurent Lafon. Comme le précise l’exposé des motifs, il est « primordial de rendre accessibles au plus grand nombre les enjeux abscons de cybersécurité » (Doc. Sénat, n° 629, 15 juill. 2020, p. 3). Le texte a de ce fait pour objet, en s’inspirant du modèle du diagnostic de performance énergétique mis en place pour décrire clairement l’impact environnemental d’un logement à son acheteur, « la mise en place d’un diagnostic de cybersécurité des plateformes numériques à destination du grand public » (eod. loc.). La mesure s’inscrit dans la continuité du travail déjà réalisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), laquelle a, en effet, d’ores et déjà développé plusieurs certifications, en particulier les Certifications de sécurité de premier niveau, réalisées par des évaluateurs tiers (CSPN). La loi du 3 mars 2022 ne fait en réalité qu’étendre ces certifications aux plateformes numériques utilisées par le grand public et à les rendre obligatoires. Cela implique de les faire réaliser par centres agréés et qu’un protocole de test pour les certifications – naturellement plus léger que ceux actuels, l’ANSSI ne procédant qu’à des certifications de haute qualité dont le délai peut être long – soit publié. Comme le précise encore l’exposé des motifs, le dispositif institué s’inscrit également dans la démarche européenne ayant conduit à la mise en place de l’EU Cybersecurity Act (loi européenne sur la cybersécurité) – précisément le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications – qui doit permettre de définir à terme un cadre de certification européen. Précisons, par ailleurs, que la loi du 3 mars 2022 entre en vigueur le 1^er octobre 2023.

Contenu de l’audit de cybersécurité et opérateurs concernés. La loi du 3 mars 2022 crée à cette fin un nouvel article L. 111-7-3 dans le code de la consommation qui vise donc à obliger les plateformes numériques à fournir aux consommateurs un audit de cybersécurité afin de mieux informer ceux-ci sur la sécurisation des données qu’elles hébergent, directement ou par l’intermédiaire d’un tiers, c’est-à-dire d’un sous-traitant (al. 1^er). Cette obligation s’impose précisément à deux catégories d’opérateurs : 1° les opérateurs de plateformes en ligne au sens de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique – à savoir, selon l’article L. 111-7 du même code, toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (moteurs de recherche, réseaux sociaux, etc.) – ; 2° les fournisseurs de service de communication au public en ligne visés à l’article L. 32 du code des postes et des communications électroniques, qui fournissent les services permettant à leurs utilisateurs d’échanger des correspondances et sont soumis, à ce titre, au respect du secret des correspondance. Cela concerne les services de visioconférence (de type Zoom) et les messageries (de type Messenger ou WhatsApp). Pour chacune de ces deux catégories d’opérateurs, la fourniture d’un audit de cybersécurité s’imposera à condition que l’activité exercée dépasse un ou plusieurs seuils définis par décret. Le seuil minimal d’activité pourrait être fixé à cinq millions de visiteurs uniques par mois, de telle sorte qu’une centaine d’entreprises seraient concernées par l’obligation de fournir un audit de cybersécurité (Doc. AN, n° 3473, 18 nov. 2021, p. 13). Ce seuil, relativement élevé, s’explique par le fait que l’obtention d’une certification de cybersécurité a un coût, qui peut être important (Doc. AN, préc., p. 21).

Autres précisions sur l’audit. Cet audit devra être effectué par des prestataires d’audit qualifiés par l’ ANSSI (al. 2). Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la CNIL, viendra fixer les critères qui sont pris en compte par l’audit et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation (al. 3). Enfin, il est précisé que le résultat de l’audit devra être présenté au consommateur « de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel » (al. 4). Comme le mentionnent les travaux préparatoires, cela pourrait se traduire par un logo de type « nutriscore » de la cybersécurité des solutions numériques, autrement dit une sorte de « cyberscore » (Doc. Sénat, n° 38, 13 oct. 2020, p. 19 et 21).

Sanctions. En cas de manquement aux obligations visées au nouvel article L. 111-7-3, l’opérateur s’expose aux sanctions prévues par l’article L. 131-4 du code de la consommation. En application de cet article, tel que modifié par la loi du 3 mars 2022, tout manquement aux exigences de l’article L. 111-7-3 sera passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale, prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).