L’essor du télétravail en 2020 a entraîné une multiplication des cyberattaques, avec une augmentation de la fréquentation de la plateforme cybermalveillance.gouv.fr de 155 %, et une hausse de 30 % des demandes d’assistance pour répondre aux attaques par rançongiciels. Pour faire face à ces enjeux, la loi Cyberscore permettra de sensibiliser les internautes aux pratiques digitales plus sûres. Ainsi, le 3 mars 2022, la loi Cyberscore, fut promulguée à l’Assemblée nationale.

Qu’est-ce que le Cyberscore ?

Que retenir ? Cette loi vient modifier le Code de la consommation en y ajoutant un article imposant à certaines plateformes de réaliser un audit de cybersécurité et de faire apparaître le résultat “de façon lisible, claire et compréhensible” sur les plateformes. L’objectif est d’informer les consommateurs sur le niveau de sécurité du site ainsi que sur la sécurisation et la localisation des données hébergées. L’initiateur du texte de loi, Laurent Lafond, le Président de la commission de la Culture et de l’Éducation du Sénat, décrit le Cyberscore comme “un outil qui permet de faire de la pédagogie à destination de tout un chacun qui n’a pas vocation à être spécialiste de la cybersécurité”. Même si la forme finale du Cyberscore n’a pas encore été communiquée, nous pouvons imaginer qu’elle sera similaire à d’autres scores du même acabit comme le Nutri-Score, destiné à informer le consommateur de la valeur nutritionnelle des produits alimentaires, ou encore les classes énergétiques DPE (Diagnostic de Performance Énergétique) présents sur nos appareils électroménagers et logements.

Pour le moment, aucune liste exhaustive n’a été communiquée pour déterminer les acteurs impactés par le Cyberscore. A priori, il sera appliqué aux opérateurs de plateforme en ligne comme les moteurs de recherche, les logiciels de messagerie ou encore les marketplaces. Si on se base sur le rapport de l’Assemblée nationale du 18 novembre 2021, on peut s’attendre à ce que la réglementation cible dans un premier temps les plateformes qui reçoivent au moins cinq millions de visiteurs uniques par mois, comme les services de messagerie électronique les plus utilisés et les services de visioconférence. De leur côté, les start-up et PME ne sont pas concernées pour le moment.

Quels impacts pour les entreprises ?

Concrètement quel est l’impact pour ces entreprises ? Première étape: faire apparaître leur Cyberscore au 1er octobre 2023 sur leurs plateformes. Ces scores seront déterminés au travers d’audits réalisés au préalable par des prestataires qualifiés par l’Agence nationale de la Sécurité des Systèmes d’Information (ANSSI). En cas de non-conformité, les acteurs concernés s’exposent à une amende pouvant aller jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale. Les différents opérateurs vont devoir s’organiser pour anticiper l’arrivée du Cyberscore en sécurisant leurs outils, et devront par la suite suivre les performances pour améliorer/conserver ce score. En effet, il ne faudrait pas sous-estimer l’impact direct du Cyberscore auprès des consommateurs. Si on en croit les chiffres du ministre Jean-Noël Barrot, chaque jour 500 nouvelles demandes d’assistance sont déclarées sur cybermalveillance.gouv.fr.

Les arnaques sont de plus en plus nombreuses, et donc les consommateurs plus vigilants. On peut ainsi imaginer qu’ils soient facilement influencés dans leurs choix par le Cyberscore. Qui n’a jamais eu de publicité pour une marque donnée alors qu’il en parlait la veille ? Certes les utilisateurs s’intéressent à leurs données personnelles et à leur utilisation, mais sont-ils prêts à changer leurs habitudes pour avoir des données plus sécurisées ? C’est la question qu’on peut se poser sur l’impact marketing du Cyberscore. En effet, si votre réseau social préféré est mal noté mais que tous vos contacts l’utilisent, quel serait votre choix ?

Ce score aura potentiellement un impact sur la décision du consommateur, mais on peut penser que la balance se fera plutôt du côté des entreprises elles-mêmes. En effet, avec la sensibilisation grandissante autour de la protection des données personnelles, le Cyberscore apparaît comme un argument commercial pour les entreprises. Pour elles, l’enjeu sera de pouvoir l’utiliser comme un indicateur positif, aussi bien pour faciliter le choix des consommateurs, que de façon générale pour veiller à sa bonne réputation. Ainsi, un score faible poussera les plateformes à améliorer leur politique de protection des données et agir positivement pour ne pas voir son image de marque entachée à terme.

Au-delà de ces impacts directs pour les entreprises et le consommateur, le Cyberscore s’inscrit dans une logique plus globale pour favoriser une intégration du numérique aux référentiels RSE. Grâce à une prise de conscience croissante, l’impact écologique et sociétal des entreprises est de plus en plus au centre des préoccupations pour les consommateurs. Dans cette logique, la Plateforme RSE préconise d’inclure « pour les entreprises concernées, dans leurs déclarations de performance extra-financière des indicateurs portant sur leurs politiques de protection des données ». C’est dans cette voie que s’inscrit le Cyberscore : faire de la protection des données des utilisateurs une norme RSE, et faire de la cybersécurité un critère de responsabilité sociétale.

Pour conclure, on voit ainsi que le Cyberscore pourrait avoir un impact fort, au-delà d’une simple réglementation. Les entreprises concernées vont devoir mettre en place des mesures visant à renforcer la sécurité de leurs outils pour pouvoir obtenir un score élevé et sécuriser également leur image de marque. Il est donc nécessaire que ces entreprises anticipent et s’interrogent dès aujourd’hui sur l’impact potentiel de cette réforme, attendu pour cette année 2023.