Failles de sécurité, cyberattaques ou encore vol de données, l’utilisation d’internet est source de risques pour les personnes concernées. Les violations des données personnelles ne manquent pas. Ainsi, par exemple, l’Assurance Maladie a été dernièrement victime d’une attaque informatique qui a entrainé la violation des données de santé de 510 000 personnes[1]. De même, l’APHP a connu une fuite de données concernant 1,4 million de personnes testées contre la Covid-19[2].
Afin d’éviter de telles conséquences et de protéger les données des individus contre les risques de piratage, la règlementation sur la protection des données impose à tout organisme traitant des données personnelles de mettre en place des mesures techniques et organisationnelles[3]. Celles-ci doivent être adaptées au risque que peut présenter la collecte et le traitement de ces données. Elles doivent également surtout garantir une protection suffisante, notamment contre le traitement non autorisé ou illicite ou encore contre la perte et la destruction des données. En l’absence de mesures robustes, des attaques peuvent se produire et les personnes concernées peuvent s’exposer à des risques d’hameçonnage ou encore d’usurpation d’identité.
La cybersécurité constitue dès lors un enjeu majeur en matière de protection des données. Ceci est d’autant plus important avec le développement de l’intelligence artificielle et la multiplication des objets connectés permettant d’aspirer un grand nombre de données. Or, bien que des mesures adaptées soient définies, il n’est pas aussi aisé pour les utilisateurs de distinguer à l’heure actuelle entre les sites qui assurent une sécurisation élevée des données et ceux qui ne le fait pas. Tel est l’objectif de la loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public qui a été publiée au Journal officiel du 4 mars 2022.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 32.
Vers une meilleure transparence
Cette nouvelle loi intègre un article L. 111-7-3 au Code de la consommation et introduit des obligations que certains sites sont tenus de respecter. Une première obligation porte sur l’exigence de réaliser un diagnostic. Ainsi, certaines entreprises proposant des services en ligne doivent mener un audit de cybersécurité. Une deuxième obligation concerne les résultats de cet audit qui doivent être communiqués au public par les sites concernés. Cette information doit porter sur la sécurisation des données, le niveau de sécurité du site ainsi que sur la localisation des données hébergées par ces plateformes.
Cette obligation découle du principe de transparence de l’article 5 du RGPD. En effet, pour que l’utilisateur puisse s’assurer de la cybersécurité, il doit avoir accès à un certain nombre d’informations sur les risques potentiels. A partir du 1er octobre 2023, ces obligations sur le niveau de cybersécurité des plateformes doivent être présentées de manière lisible et claire. Comme pour toute information accessible au public, l’opérateur de la plateforme doit veiller à ce que le cyberscore soit compréhensible et à ce que l’objectif que cette certification entend atteindre soit assuré. Le texte présenté doit aussi être accompagné d’une illustration en couleur, à l’instar du nutriscore utilisé pour les produits alimentaires. Cette présentation visuelle vise à faciliter la prise de connaissance de l’information.
Un choix mieux informé
Communiquer sur la cybersécurité constitue un élément important en matière de protection des données. Une telle information a en effet une double utilité. D’une part, elle permet d’inciter les entreprises à respecter les règles applicables en la matière ; d’autre part, elle permet aux individus de distinguer entre les différentes plateformes selon le niveau de sécurité.
Cette obligation constitue dès lors un outil de comparaison qui offre aux utilisateurs un système d’évaluation des pratiques des plateformes en identifiant leur niveau de sécurité. Elle permet également de classer les sites et de faciliter la prise de décision quant au choix du site à privilégier, et par conséquent de décider en connaissance de cause quant à la communication ou pas des données.
Cette nouvelle obligation constitue le pendant de l’obligation générale de sécurité des systèmes d’information qui est imposée à tout organisme traitant des données. Elle vient s’ajouter aux certifications déjà existantes et délivrées par l’ANSSI permettant d’attester de la robustesse d’un produit[1]. En tant qu’utilisateur, ces certifications permettent de garantir que le produit concerné résiste aux attaques et que les fonctionnalités du produit offrent un niveau de sécurité élevé.
Bien qu’elle s’inscrit dans le cadre de ces différentes certifications, cette nouvelle obligation se présente comme une nouveauté en matière de protection des données personnelles. Elle se rapproche toutefois des règles déjà existantes dans d’autres domaines portant sur l’obligation d’affichage d’un score, tels que celui sur la performance énergétique ou encore les produits alimentaires. A titre d’exemple, un logo doit être affiché sur les produits alimentaires afin de permettre au consommateur de connaître la qualité nutritionnelle de ces produits. Ce score doit être présenté sous format de code couleurs et de lettres afin de permettre au consommateur de distinguer entre les produits d’un simple coup d’œil[2].
Quelles plateformes sont concernées ?
Cette obligation portant sur le cyberscore ne concerne pas tous les sites internet. Elle se limite à certains professionnels dont l’activité dépasse un seuil de connexion déterminé. Sont notamment concernés les professionnels proposant un service de communication au public en ligne qui repose sur le classement ou le référencement de contenus, de biens ou de services proposés par des tiers ou qui repose sur la mise en relation de partie en vue de la vente d’un bien ou d’un service, l’échange ou le partage d’un contenu, d’un bien ou d’un service. Il peut s’agir des plateformes e-commerce, des moteurs de recherche ou encore des réseaux sociaux, etc.
Il semble que, dans un premier temps, seules les grandes plateformes ou encore les entreprises les plus importantes sont tenues d’afficher cette information. Procéder par étape permettra certes aux entreprises de petite taille de se conformer aux obligations sur la sécurité.
Cette nouvelle exigence constitue ainsi une avancée en matière de protection des données personnelles. Elle s’inscrit également dans la démarche européenne ayant conduit à la mise en place du règlement européen relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications[1]. Face à la déferlante informationnelle sur internet, recourir à des moyens permettant de mettre en avant l’information pertinente est indispensable pour une protection optimale des données.
