Focus sur le Cyberscore, le label de confiance français des plateformes numériques

Cyberscore : une nouvelle certification de sécurité pour les plateformes digitales

Entré en vigueur le 1er octobre 2023, conçu à l'image du « nutriscore » qui lui, informe le consommateur sur la valeur nutritionnelle des produits alimentaires, le nouveau système de notation « cyberscore » évalue le niveau de sécurité des plateformes numériques.

La proposition de loi « cyberscore » vient modifier le code de la consommation, avec l'objectif d'informer de manière claire et compréhensible les utilisateurs des plateformes en ligne sur les enjeux de gouvernance, de sécurité informatique, et de respect du règlement européen sur la protection des données personnelles (RGPD).

Cette certification impose des obligations aux éditeurs des services numériques en matière de cybersécurité. Ils devront ainsi mettre en évidence sur leur site internet un visuel coloré permettant d'apprécier son niveau de sécurité, sa politique vis-à-vis des données personnelles telle que l’existence d’une cartographie des informations traitées par le service numérique et son positionnement sur les problématiques de gouvernance (maîtrise des risques engendrés par la collecte de données personnelles).

Qui est concerné ?

La loi Cyberscore s’appliquera aux plateformes numériques dépassant le seuil de 25 millions de visiteurs uniques français par mois en 2024, puis, 15 millions à partir de l’année 2025 d’après le projet de décret publié par le ministère de l’Economie¹ Cette certification concerne les moteurs de recherche, les sites de petites annonces, les plateformes de communication (visioconférence et messagerie), les comparateurs, les marketplaces.

Quelles sont les sanctions prévues ?

L'évaluation de ce score sera réalisée au travers d'un audit effectué par un prestataire qualifié PASSI (Prestataire d'Audit de la sécurité des systèmes d'information qualifiés). À la suite de la réalisation de l'audit, les entreprises concernées doivent afficher les résultats sur leur site internet. Cet audit, d'une validité de 12 mois, oblige les plateformes numériques à renouveler leur certification dans les 3 mois suivant son expiration. 

À défaut, elles se verront exposées à des sanctions prononcées par la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF).  Les sanctions prévues correspondent à des amendes administratives allant jusqu'à 75 000 € pour une personne physique et 375 000 € pour une personne morale.

L'entrée en vigueur de la loi Cyberscore ² dépend désormais de la publication d’un arrêté fixant les critères de l’audit et d’un décret fixant les seuils définissant les plateformes concernées. Le projet d’arrêté prévoit une application du cyberscore au 1^er janvier 2024, ce qui obligerait les plateformes en question à afficher le résultat d’un audit cyberscore au plus tard le 1^er avril 2024.

¹   Projet de décret fixant les seuils pour l’application de la loi n° 2022-309 du 3 mars 2022 relative à la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public publié par ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique.

²   Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.