Le Cyberscore : le label de confiance français des plateformes numériques

Le 20 octobre 2023 |

Aujourd'hui, plus que jamais, les entreprises sont vulnérables aux cyberattaques et cela, quelle que soit leur taille. Les organisations ont désormais conscience de l'importance de leurs données numériques et devront, pour certaines d’entre elles, communiquer sur la fiabilité de leurs plateformes en ligne. C'est dans ce contexte que la loi n°2022-309 modifie le code de la consommation en y ajoutant une notation visant à sécuriser l'espace numérique.

Le Cyberscore : la nouvelle certification de sécurité des plateformes digitales

Entré en vigueur le 1er octobre 2023, conçu à l'image du « nutriscore » qui lui, informe le consommateur sur la valeur nutritionnelle des produits alimentaires, le nouveau système de notation « cyberscore » évalue le niveau de sécurité des plateformes numériques.

La proposition de loi « cyberscore » vient modifier le code de la consommation, avec l'objectif d'informer de manière claire et compréhensible les utilisateurs des plateformes en ligne sur les enjeux de gouvernance, de sécurité informatique, et de respect du règlement européen sur la protection des données personnelles (RGPD).

Cette certification impose des obligations aux éditeurs des services numériques en matière de cybersécurité. Ils devront ainsi mettre en évidence sur leur site internet un visuel coloré permettant d'apprécier son niveau de sécurité, sa politique vis-à-vis des données personnelles telle que l’existence d’une cartographie des informations traitées par le service numérique et son positionnement sur les problématiques de gouvernance (maîtrise des risques engendrés par la collecte de données personnelles).

Qui est concerné ?

La loi « Cyberscore » s’appliquera aux plateformes numériques dépassant le seuil de 25 millions de visiteurs uniques français par mois en 2024, puis, 15 millions à partir de l’année 2025 d’après le projet de décret publié par le ministère de l’Economie.1 Cette certification concerne les moteurs de recherche, les sites de petites annonces, les plateformes de communication (visioconférence et messagerie), les comparateurs, les marketplaces.

Quelles sont les sanctions prévues ?

L'évaluation de ce score sera réalisée au travers d'un audit effectué par un prestataire qualifié PASSI (Prestataire d'Audit de la sécurité des systèmes d'information qualifiés). À la suite de la réalisation de l'audit, les entreprises concernées doivent afficher les résultats sur leur site internet. Cet audit, d'une validité de 12 mois, oblige les plateformes numériques à renouveler leur certification dans les 3 mois suivant son expiration. 

À défaut, elles se verront exposées à des sanctions prononcées par la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF).  Les sanctions prévues correspondent à des amendes administratives allant jusqu'à 75 000 € pour une personne physique et 375 000 € pour une personne morale.

L'entrée en vigueur de la loi « Cyberscore »2 dépend désormais de la publication d’un arrêté fixant les critères de l’audit et d’un décret fixant les seuils définissant les plateformes concernées. Le projet d’arrêté prévoit une application du cyberscore au 1er janvier 2024, ce qui obligerait les plateformes en question à afficher le résultat d’un audit cyberscore au plus tard le 1er avril 2024.

1   Projet de décret fixant les seuils pour l’application de la loi n° 2022-309 du 3 mars 2022 relative à la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public publié par ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique.

2   Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.

Auteurs