LA LOI NOVATRICE LAFON : L’ARSENAL DU « CYBER-SCORE ».

Afin d’établir une meilleure transparence et une certaine sécurité au sein des entreprises ainsi qu’un lien de confiance entre le consommateur et l’entreprise. Le « cyber-score » est une arme légale et destinée à assurer une lisibilité des entreprises quant à la protection des données personnelles et la cybersécurité des sites. L’hébergement est au centre des préoccupations, tout comme la souveraineté numérique de chaque site (cloud computing). Cet indice est donc révélateur de la sécurité qu’un site peut apporter à ses utilisateurs.

Le Sénat a définitivement adopté la proposition de loi du sénateur Laurent LAFON afin d’établir une certification de cybersécurité des plateformes numériques au sein desquelles les particuliers et consommateurs. Son entrée en vigueur est programmée pour le 1er octobre 2023, mais les menaces de cyber-attaques russes pourraient presser les opérateurs à réaliser un audit de sécurité très prochainement.

La loi relative au « cyber-score » a été adoptée dans un contexte qui vient confirmer la volonté du législateur de protéger les Français contre les risques d’attaques malveillantes et de piratages de grande ampleur. Le cyber-score fait échos à l’éponyme nutri-score. Le principe est le même : les sites internet se verront attribuer une note indicative inhérente au niveau de fiabilité de protection des données afin de permettre l’information de l’utilisateur au cours de sa navigation. Il y a presque 50 % des entreprises françaises qui auraient connu des difficultés de cybersécurité en 2021 et près de 30% des collectivités territoriales ont été victimes de ce nouveau mode opératoire. En France, la récente cyberattaque de la plateforme cyberdéfense de Orange groupe, a permis de divulguer des informations personnelles de clients. Ceci démontre aussi l’importance de communication de ce score afin d’être un argument de sécurité avant d’être purement marketing.
Cette nouvelle loi intègre un article L. 111-7-3 au Code de la consommation et introduit des obligations à l’égard de certains sites. Ainsi, l’obligation porte sur l’exigence de réaliser un diagnostic et la réalisation d’un audit de cybersécurité dans le prisme de l’accompagnement. Une deuxième obligation est le reflet des résultats de cet audit qui sont communiqués au public. La sécurisation des données est donc la clef de voute tout comme le niveau de sécurité du site ainsi que sur la localisation des données hébergées par ces plateformes. Cette obligation découle du principe de transparence de l’article 5 du RGPD.
En effet, afin de conclure un contrat il est essentiel d’en connaître les clauses et les obligations, un tel procédé permet de voir son jugement éclairé et de contracter en toute connaissance du traitement des données personnelles pour un utilisateurs. A partir du 1er octobre 2023, ces obligations sur le niveau de cybersécurité des plateformes doivent être présentées de manière lisible et précise pour les utilisateurs.