Le code de la consommation a été modifié par une loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public.
Il prévoit désormais, en son article L. 111-7-3 qu’à compter du 1er janvier 2023, les plateformes les plus importantes devront faire apparaître sur leur site une certification de cybersécurité ou « cyberscore », sur le fondement d’une obligation d’information.
Cette innovation devrait permettre :
- Aux internautes d’évaluer rapidement le niveau de sécurisation de leurs données sur les sites et réseaux sociaux visités ;
- Aux plateformes d’investir davantage dans la sécurisation de leur fonctionnent.
En effet, les informations analysées dans le cadre du cyberscore portent sur le niveau de sécurité du site, mais aussi sur le niveau de sécurisation et sur la localisation des données, qui sont hébergées par l’opérateur visé par la certification ou par des prestataires tiers.
Quelles sont les plateformes visées par cette réforme ? Les plateformes concernées sont celles de l’article L. 111-7 du Code de la consommation, c’est-à-dire les plateformes répondant à la définition d’opérateur en ligne. Il s’agit donc de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne, reposant sur :
- Soit le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
- Soit la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.
Autrement dit, les plateformes visées sont les moteurs de recherche, les sites de petites annonces, les comparateurs et les marketplaces, dont l’activité dépasse un seuil dont l’évaluation est encore en cours.
Comment ces scores seront-ils attribués ? Ce sont des audits, réalisés par des prestataires qualifiés par l’ANSSI qui permettra de déterminer le score attribué aux plateformes. Concernant les critères visés, s’ils ne sont pas encore établis avec certitude, il est cependant possible de les anticiper :
- Sécurisation des données hébergées (anonymisation, chiffrement) ;
- Localisation des données hébergées ;
- Sécurisation de l’infrastructure de la plateforme elle-même.
Quelle forme prendre le cyberscore ? Selon le texte, « le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagnée d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ». Le visuel sera donc sur le même modèle que celui déjà utilisé pour le nutriscore.
Les acteurs concernés devront donc se renseigner sur ces nouvelles obligations et être attentifs à la définition des critères qui seront pris en compte.
