Alors que son entrée en vigueur était prévue pour le 1er octobre 2023, le Cyberscore, souvent présenté comme le « Nutri-Score pour la sécurité des données », ne semble pas encore en place sur les plate-formes concernées. Ceci est tout à fait normal, car les textes d’application n’ont pas encore été publiés sur le Journal Officiel.
Il est donc pour l’heure impossible d’afficher ce score, contrairement aux avis clients affichés par de nombreux sites web. Cependant, les professionnels se posent des questions légitimes sur ses conditions d’application. Pour y voir plus clair, découvrons ensemble à quoi va servir ce score virtuel, et qui sera réellement concerné par cette nouvelle obligation.
Le cyberscore, c’est quoi ? Définition et historique
Prévu normalement pour le 1er octobre 2023 (mais ce n’est pas encore le cas), conformément à la loi de mars 2022, toute plateforme devra se munir d’un Cyberscore pour présenter les résultats d’un audit effectué par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Ce Cyberscore, représenté sous forme d’un système d’information de couleur, similaire à ce qu’on retrouve en grande surface sur les produits alimentaires avec le Nutri-Score, a pour objectif d’informer le grand public sur le niveau de sécurisation des données offert par les services numériques qui leur sont destinés. Il évalue la sécurisation et la localisation des données qu’ils hébergent, que ce soit directement ou par l’intermédiaire d’un tiers, ainsi que leur propre sécurisation.
Qui est concerné par l’obligation d’afficher un cyberscore ?
Si vous possédez un petit site web ou une boutique en ligne avec quelques dizaines voire centaines de visiteurs par jour, rassurez-vous, vous n’êtes pas concernés. Il s’agit avant tout des grandes plateformes en ligne, conformément à l’article L. 111-7 du code de la consommation, ainsi que des fournisseurs de services de communications interpersonnelles non basés sur la numérotation, selon la définition du 6° quater de l’article L. 32 du code des postes et des communications électroniques. Cependant, cette obligation ne s’applique qu’aux acteurs dont l’activité dépasse certains seuils définis par décret.
Le projet de décret propose d’utiliser le critère de l’audience pour déterminer quelles grandes plateformes sont concernées. Pour l’année 2024, le seuil est fixé à 25 millions de visiteurs uniques par mois en France, avant d’abaisser ce seuil à 15 millions de visiteurs uniques par mois en 2025. Il faut noter que ce champ d’application est plus restreint que celui énoncé dans l’article L.111-7-1 du code de la consommation, où le seuil est de 5 millions de visiteurs uniques par mois.
Selon l’article L. 111-7 du code de la consommation, les plateformes concernées par cette nouvelle obligation incluent :
- les moteurs de recherche (Google, Bing…),
- les réseaux sociaux (Facebook, Instagram, Twitter, Pinterest…),
- les sites de petites annonces (Leboncoin, Vinted…),
- les comparateurs,
- les marketplaces (Amazon, Cdiscount, Aliexpress…).
Cependant, faute de publication du décret définissant le seuil minimum d’activité, il demeure impossible de savoir quelles plateformes seront impactées à l’heure où nous publions cet article.
Comment obtenir le meilleur Cyberscore ?
À l’heure actuelle, la loi ne spécifie pas les critères qui seront pris en compte lors de l’audit. C’est à travers un arrêté, élaboré de concert par les ministres en charge du numérique et de la consommation, que ces critères devraient être définis. On ne sait pas si la sécurisation des mots de passe, l’endroit où sont stockées les données utilisateurs etc. La Commission nationale de l’informatique et des libertés (Cnil), en tant que gardienne des libertés numériques, doit également donner son avis. Pourtant, ni les ministères ni la Cnil n’ont encore rendu public le texte ni même sa date de publication.
Le cyberscore sera-t’il réellement utile ?
Dans le contexte d’un débat en cours sur la souveraineté numérique, et plus largement dans un cadre de sensibilisation à l’usage des données personnelles et aux risques qu’Internet présente aux citoyens français, cet outil suscite un certain intérêt. Cependant, l’impact sur les utilisateurs n’est pour l’instant pas prouvé : est-ce que les utilisateurs se désinscriront de Facebook ou TikTok s’ils avaient un score de B ou C ? In fine, l’objectif indirect est plutôt d’encourager les grandes entreprises technologiques de type GAFAM à modifier leurs pratiques en faveur de davantage de transparence, en alignement avec le Digital Services Act (DSA).