Les opérateurs de grandes plateformes devront prochainement informer le grand public du niveau de sécurisation de leur site, à l’image du nutri-score pour les produits alimentaires. Cette obligation provient de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public. La Fevad a contribué à la réflexion sur la mise en œuvre de ce cyberscore, dans le cadre de la consultation menée par la Direction Générale des Entreprises.
Plus précisément, il s’agit pour les grandes plateformes de réaliser un audit de cybersécurité effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et de publier les résultats de cet audit de façon lisible au moyen d’un système d’information coloriel.
Cette obligation concerne les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du code de la consommation (et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques), dont l’activité dépasse un ou plusieurs seuils définis par décret. Le projet de décret vise le critère d’audience pour définir les grandes plateformes concernées et fixe le seuil à 25 millions de visiteurs uniques par mois en France pour l’année 2024 avant de capter plus d’acteurs en 2025 avec un seuil à 15 millions de visiteurs uniques par mois. Le champ d’application proposé est donc plus restreint que celui qui prévaut pour l’article L.111-7-1 du code de la consommation, qui fixe le seuil à 5 millions de visiteurs uniques par mois.
Le projet de décret précise que sont comptabilisées les connexions à un service, ou à une partie dissociable d’un service, dont l’objet principal est le périmètre d’activités des opérateurs de plateformes tel que défini à l’article L.111-7-I du code de la consommation :
- Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
- Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.
L’audit doit porter sur la sécurisation et la localisation des données que les opérateurs de plateformes hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation.
La date d’entrée en application de la loi est le 1er octobre 2023. Les projets de textes d’application envisagent un décalage de l’entrée en application du dispositif au 1er janvier 2024.
Différents critères sont proposés pour fonder le système de notation. Ces critères relèvent de diverses catégories, notamment : l’organisation et la gouvernance, la protection des données, le niveau d’externalisation, la sensibilisation aux risques cyber et à la lutte anti-fraude.
Le projet d’arrêté prévoit que l’audit a une durée de validité de 12 mois et que le cyberscore doit être affiché dans les 3 mois après désignation de la plateforme.
La Fevad a contribué à la consultation publique menée par Bercy sur la mise en place du cyberscore, clôturée au 15 avril. Vous pourrez retrouver le détail de notre position ci-dessous.
Désolé ce contenu est reservé aux adhérents
Si vous êtes adhérent vous pouvez y accéder simplement en vous connectant à votre compte MyFEVAD. Si vous n'êtes pas adhérent et que vous souhaitez obtenir des informations sur l'adhésion à la FEVAD, n'hésitez à nous contacter contact@fevad.com.