Le dispositif du CyberScore a été voté presque à l’unanimité en première lecture à l’Assemblée nationale, le 26 novembre. Son but : attribuer aux plateformes en ligne un score entre A et E en fonction des dispositifs de cybersécurité qu’elles possèdent. Le modèle n’est pas sans rappeler celui du Nutri-score établi en fonction de la valeur nutritionnelle d’un produit alimentaire.

Un CyberScore pour mieux cerner le niveau de sécurité d’un site ou d’une plateforme en ligne

Le texte approuvé par la chambre basse porte sur les plateformes dont la fréquentation dépasse un certain seuil. L’outil proposerait un « diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent ». Ainsi, si un internaute se connecte sur une plateforme très visitée, il pourra être en mesure de savoir si le site est considéré comme sécurisé ou non. Le texte a également été adopté par le Sénat, en octobre 2020.

Nutri-score

La comparaison avec le Nutri-score est inévitable.

À l’heure actuelle, le texte de loi reste très général et propose l’établissement d’un certain nombre de critères à déterminer avec des décrets et des arrêtés à prendre ultérieurement. Une question majeure se pose : qui se chargera de la certification des sites et donc de leur attribuer une notation ? Plusieurs parlementaires veulent éviter que les plateformes puissent s’autoévaluer et soutiennent le fait que ce travail d’audit soit mené par des prestataires extérieurs habilités par l’Autorité nationale de la sécurité des systèmes d’information (Anssi).

D’autres interrogations suivent celles de la certification : quels types de sites ou services seront concernés par ce CyberScore ? Quels critères d’éligibilités seront à prendre en compte ? etc.

Les paramètres du CyberScore restent encore à être définis

Même si les paramètres du CyberScore restent à établir, d’autres amendements proposent d’inclure aux futurs critères, la question de la localisation de l’hébergement. En effet, plusieurs plateformes ne sont pas forcément hébergées en France ou en Europe et sont soumises à des législations plus souples en matière de protection des données. C’est le cas des États-Unis qui ne possèdent pas d’équivalent au RGPD européen ni à la loi chinoise sur la protection des données.

Les auteurs de cet amendement, les députés Christophe Naegelen (UDI) et Philippe Latombe (MoDem), précisent « qu’il paraît essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme, dans le sens de l’affirmation d’une souveraineté numérique ».

Afin d’établir l’ensemble des paramètres du CyberScore, les députés et les sénateurs ont jusqu’au 1er octobre 2023, date à laquelle la loi devrait être appliquée en cas d’adoption. Toutefois, un aspect de la loi est d’ores et déjà très clair, celui de l’amende encourut en cas de manquement : 375 000 euros pour une personne morale, 75 000 euros pour une personne physique.