Le Sénat vient d’adopter une proposition de loi pour mettre en oeuvre un ‘CyberScore’ de sécurité informatique à destination du grand public. Ce nouveau système d’étiquetage affichera le niveau de protection des services numériques, de manière plus lisible que les conditions générales d’utilisation actuelles. Sa mise en application est prévue pour le 1er octobre 2023.
Moteurs de recherche, réseaux sociaux et leurs messageries, logiciels de visioconférence, places de marché en ligne… Tous sont potentiellement concernés et seront tenus de réaliser un audit de cybersécurité quant à « la sécurisation et la localisation des données qu’ils hébergent directement ou par l’intermédiaire d’un tiers » et sur « leur propre sécurisation ». Cette procédure devra être menée par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Le CyberScore devrait s’articuler avec le label SecNumCloud délivré par l’Anssi. A l’image du NutriScore sur les paquets de produits alimentaires, le résultat sera visible d’un coup d’œil, c’est à dire de « façon lisible et compréhensible », accompagné d’une « présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
Pour éviter trop de lourdeurs, un décret précisera les seuils de soumission à cette nouvelle obligation. Après avis de la Commission nationale de l’informatique et des libertés (la Cnil), un arrêté ministériel fixera les critères d’évaluation de l’audit, ses conditions de validité et ses modalités de présentation. Parmi les critères d’évaluation, il est notamment question de la localisation des données, du régime juridique applicable en matière de protection de ces données, de l’usage du chiffrement de bout en bout, ou encore du nombre de condamnations par une autorité chargée de la protection des données à caractère personnel, telle que la Cnil.