Le 3 mars 2022, la loi n°2022-309 a été adoptée. Celle-ci modifie le code de la consommation en faveur d’une clarification en matière de cybersécurité. Elle impose aux (grandes) plateformes numériques, aux messageries instantanées (comme WhatsApp) ou aux sites de visioconférence les plus utilisés (comme Zoom) d’afficher de manière lisible, claire et compréhensible au moyen d’un système coloriel leur score cyber, dès le 1er octobre 2023. Le bien-nommé « cyberscore » sera établi à la suite d’un audit réalisé par des prestataires choisis par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), à la charge des entreprises concernées.
Un impératif étendu aux prestataires
L’objectif ? Assurer les internautes qu’un service proposé est bien sécurisé, mais aussi qu’il protège les données hébergées directement… ou du côté de ses prestataires, et ce, peu importe qu’elles soient hébergées dans le cloud ou dans des serveurs physiques. Pour l’instant, la liste des entreprises qui devront se soumettre à l’audit n’est pas définitive : un décret devra lister les plateformes, réseaux sociaux, services de messagerie et sites de visioconférence concernés, le principal critère retenu étant la taille des entreprises ainsi que leur seuil d’activité – a priori 5 millions de visiteurs uniques par mois. Le site Dalloz Actualité, spécialisé dans le droit, estime ainsi qu’une centaine d’entreprises seraient soumises à l’obligation.
Des sanctions financières en cas de manquement
Pour les entreprises qui ne respecteraient pas la loi, une amende de 375 000 euros pourrait être prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Pour rappel, en 2020, le chiffre d’affaires de Zoom s’élevait à 2,65 milliards de dollars, et à 4,1 milliards de dollars en 2021.
Pas les bons critères
Pour l’avocate Lamia El Fath, spécialisée sur les enjeux du numérique et de la propriété intellectuelle, le cyberscore ne va pas assez loin. « La loi ne concerne qu’une petite quantité d’acteurs. Il faut certes attendre le décret d’application, mais le périmètre annoncé ne laisse pas présager que les mesures seront appliquées au plus grand nombre. Le critère choisi, à savoir le nombre de visiteurs uniques mensuels, n’est peut-être pas le seul qui devrait être pris en compte. À mon sens, certains secteurs sont plus sensibles que d’autres en termes de données traitées et devraient être également concernés par la mesure. » En effet, en l’état, aucune mention n’est faite du type de données soumises au cyberscore. Or, certaines plateformes traitent ou hébergent des données de santé, financières, liées au droit ou au secret des affaires. « Par ailleurs, seules sont concernées les plateformes destinées aux consommateurs. »
Perte de sens
Les consommateurs, justement, sont de plus en plus soumis aux « preuves de transparence » des outils en ligne. « Conditions générales, politiques de confidentialité, et maintenant cyberscore : il devient compliqué, pour les utilisateurs, de trouver les informations. » Sans compter les frais engendrés pour les entreprises concernées. « Elles se retrouvent à débourser des frais conséquents. Le danger est que mises en balance avec le risque de sanctions, les prises de décision tendent vers moins de conformité », rapporte Lamia El Fath.
Une mesure qui pénalise les petites structures ?
Autre inquiétude : les structures non concernées, mais proposant des services concurrents des grandes plateformes, pourraient se retrouver défavorisées par cette loi. En effet, une entreprise plus modeste mais mieux sécurisée qu’une grande plateforme ne disposant pas du label pourrait décourager ou inquiéter les internautes. « Toutes les entreprises n’ont pas les moyens de ‘marketer’ leurs offres. Il y a un vrai problème avec cette logique de label payant : tout le monde ne peut pas se le payer, même ceux qui sont en règle. »
Un bon indicateur… pour les hackers
Malgré sa proximité, en termes d’intention et de nom, avec le nutriscore, le cyberscore donne plus d’informations que celui-ci… aux personnes malintentionnées. Une barre de céréales mal notée ne risque « que » de s’attirer le désamour des consommateurs. Un site estampillé « sécurité faible » en revanche, pourrait bien attiser la curiosité des hackers. « Nous n’avons pas encore les détails, mais dans la mesure où la note doit être claire et lisible, celle-ci pourrait bien donner de nombreuses informations sur les failles détectées », conclut l’avocate.
