Discussion :

[Bill Fassinou]

Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
destinées au grand public

Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.

Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.

En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.

Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».

Comment le cyberscore pourrait-il fonctionner ?

Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.

« Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.

Comment le cyberscore pourrait-il être présenté aux internautes ?

Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.

« L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».

Quelles sont les plateformes visées et quels critères seront évalués ?

Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

« On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.

Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.

Que risquent les plateformes qui trichent et y aura-t-il des amendes ?

À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.

« En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.

Source : Le Sénat, La proposition de loi (PDF)

tweet ici

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc

[defZero]

Quel est votre avis sur le sujet ?

OK, mais à une seule condition, c'est que l'Etat mette à disposition les outils pour valider les plateformes, sinon ils fraudaient les prévenir que l'autoévaluation, ça n'as jamais marché dans aucunes industries, autant pi**er dans un violon pour espérer jouer la 5eme de Beethoven .

Déjà qu'avec le RGPD ça devient bien soûlant là ça donne vraiment plus envie de faire du web (juridiquement parlant).

[mh-cbon]

C'est vraiment agaçant cette propension à prétendre protéger les citoyens alors qu'on organise la collecte, la vente et le traitement de leurs données personnelle. Cette langue fourchée. Cette saloperie quotidienne.

Par ailleurs, quand je lis "La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score.",
je lis surtout "La loi vise à permettre aux gros acteurs bien friqués de payer des boites de sécurité certifiantes pendant que les autres petits seront lésés face à leurs incapacités à fournir le même niveau d'information aux utilisateurs"

#révolte

[frenchlover2]

Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement

[defZero]

@frenchlover2, , j'ai bien rigolé, merci.

Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?

[tanaka59]

Bonsoir,

France : la loi sur la certification de cybersécurité des plateformes numériques est adoptée

Quel est votre avis sur le sujet ?

L'idée de fond est louable. Encore une fois plusieurs incohérences ...

> l'état se défausse . Qui fera les contrôles du coup ? Une entreprise privée qui va bidonner les chiffres et éjecter les petits commerçants avec peu de trafic ?
> mettre un "autoscore" . La encore c'est d'un ridicule ... Facebook ou Orange peuvent fonctionner correctement donc score de 5/A. Le site du service publique (pourtant d’intérêt publique) plante . On lui met un E/1 car très mauvais site ? Ne pas reproduire la problématique de notation des avis des hôtels et restaux avec les faux avis ...

Pour que le score fonctionne on a besoin de 4 canaux marchands chacun à 25% de la note :
> avis consommateur/utilisateur
> avis d'un organisme officiel sur la fiabilité du site/service et du respect du rpdg
> cabinet d'audit indépendant
> autoévaluation

On compile les chiffres via 4 sources différentes et la pas de triche ou alors difficile de triche sur un quart de note ... Histoire de limiter la fraude.

Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement

Qu'une instance internationale prenne la main sur le dossier est fondamentalement nécessaire . A la limite l'OMC ... le problème comme d'habitude c'est l'emprise des usa sur le sujet ... On a bien des partenariats entre l'AFNOR et des autorités de "normalisation" aux Kenya, Japon, Corée du Sud, UE ... mais les USA n'aiment pas le "normalisme" à la française ...

L'union internationale des postes et télécoms par exemple a difficilement la main mise sur ces normes.

Il y aussi l’adaptabilité des normes à différents marchés ... Ne pas oublié qu'il y a plusieurs bloc dans le monde : La Chine, L'Inde et des pays satellites, l'Asie Pacifique+Océanie, L'UE, les pays russophones, le moyens Orient , l'Afrique, l'Amérique du Nord et l’Amérique latine. Déjà que des blocs de pays ne s'aiment pas entre eux, je vois difficilement comment réussir à faire percer des autorités de régulation ou de "contrôle". Certains n'en voudront pas quand d'autres voudront pas main mise dessus.

Donc je reste assez septique sur la chose.

Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?

Parler de l'ONU et OTAN c'est pour illustrer son propos comme l'OMC, l'UNICEF, l'UNESCO, l'UPU, FMI ...

En gros "inventer" une espèce d'instance internationale.

[ManPaq]

Pour faire simple: cnil.fr : la-protection-des-donnees-dans-le-monde
A: membres de l'UE
B: pays adéquats
C: adéquation partielle
D: autorité indépendante et loi
E: législation
F: pas de loi

[Patrick Ruiz]

France : l’Assemblée nationale adopte la proposition de loi de mise en place d’une certification de cybersécurité des plateformes numériques grand public
Le "cyberscore" entre en vigueur dès 2023

La proposition de loi crée un "cyberscore" afin que les internautes puissent évaluer la sécurisation de leurs données sur les sites et réseaux sociaux qu'ils fréquentent, à l'image du Nutri-score pour les produits alimentaires. L’idée de la mise en place d’un cyberscore remonte au quatrième trimestre de l’année précédente. À l’époque, elle suscitait des questionnements quant à son efficacité. Motif : le cyberscore devait reposer sur une autoévaluation des plateformes numériques. L’adoption de la proposition de loi par l’Assemblée nationale prévoit des modifications, dont une relative à ce point.

« Les informations du cyberscore seront tirées d'un audit de sécurité qu'ils [les plateformes numériques grand public] devront réaliser. Les députés ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) », indique le texte.

Un amendement additionnel prévoit que « la localisation des données hébergées fasse partie intégrante du diagnostic de cybersécurité des fournisseurs de services de communication au public en ligne. » Et d’ajouter « en effet, au-delà de la sécurisation des données, il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme. »

Cette modification de la proposition de loi fait suite à l’annulation par la Cour de justice de l’UE de l’accord de transfert des données personnelles entre l’UE et les USA. Le texte de cet amendement lui-même souligne à ce propos qu’il va dans le sens de faire du cyberscore un outil au service de la souveraineté numérique de la France.

La proposition de loi qui attend désormais une deuxième lecture du Sénat cible de façon générale les plateformes en ligne qui proposent « un service de communication au public en ligne ». Ainsi Google, WhatsApp, Zoom, Skype, Bing et autres Messenger sont concernés. Le texte reste très général. Un décret apportera des précisions sur les plateformes, réseaux sociaux et sites de visioconférences concernés (en fonction de l'importance de leur activité). Un arrêté précisera les critères pris en compte par le diagnostic de sécurité.

Source : Vie publique

Et vous ?

Que pensez-vous de ce système de notation des sites à l’intention des internautes ? Quels inconvénients entrevoyez-vous ?

Voir aussi :

La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc

[rbolan]

Je me demande quel score pourrait avoir Doctolib ? Et le Health Data Hub ?

Et la nouvelle plateforme monespacesanté.fr !

[seedbarrett]

Je me demande quel score pourrait avoir Doctolib ?

Score de A, parce que tout comme la poste, si tu vends des données privées c'est pas un manquement de sécurité mais une fonctionnalité

[Jules34]

Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
destinées au grand public
Et vous ?

Quel est votre avis sur le sujet ?

J'ai envie de dire super un nouveau bullshit job ! Apposer des certificats bidon à tout les mecs qui auront pignon sur rue sur le net pour que les autres aient l'air louche alors que tout le monde aura le même environnement logiciel/technique. De toute façon quand ils disent:

Les députés ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) »

Ca veut dire

Les copains on va filer du blé à mes potoss

Comme HADOPI, comme les autres projet du genre, le cloud souverain, c'est juste de l'argent jeté par les fenêtres.

[escartefigue]

Bonjour,

J'ai envie de dire super un nouveau bullshit job ! Apposer des certificats bidon à tout les mecs qui auront pignon sur rue sur le net pour que les autres aient l'air louche alors que tout le monde aura le même environnement logiciel/technique.

Avoir le même environnement technique et les mêmes logiciels est une chose, avoir les mêmes protocoles de sécurité en est une autre.

Comme toute proposition de loi, elle sera largement amendée, puis fera (peut-être) l'objet d'un décret d'application.
À partir de là, on pourra formuler des critiques sous réserve d'avoir lu cette loi... plusieurs fois, histoire d'en digérer le contenu le plus souvent indigeste !

[Invité]

C'est horriblement moche vraiment les bureaucrates ne savent plus quoi inventer

[tanaka59]

Bonsoir,

Que pensez-vous de ce système de notation des sites à l’intention des internautes ?

Cela va favoriser les gros sites aux détriments des petits ... E-nautia, Mailo ou encore Laposte.net vont se prendre un C/D quand des Google et Facebook vont se prendre A/B ... "ou comment flinguer les boites françaises", vu que tout est fait en dépit du bon sens dans pays ...

Quels inconvénients entrevoyez-vous ?

Que les boites françaises se prennent des scores inférieurs aux boites US ... Pourtant d'un point de vu sécurité il est plus intéressant d'avoir confiance en laposte.net que gmail.com ... L'un est français, l'autre non.

Affligeant

[Patrick Ruiz]

France : le Sénat adopte de façon définitive la proposition de mise en place d’une certification de cybersécurité des plateformes numériques grand public
Le cyberscore entre en vigueur en 2023

Le 24 février 2022, le Sénat a voté de façon définitive (sans modification) en deuxième lecture la proposition de loi. Le texte avait été déposé par le sénateur Laurent Lafon et plusieurs de ses collègues le 15 juillet 2020. Il avait été adopté en première lecture, avec modifications, par le Sénat le 22 octobre 2020, puis par l'Assemblée nationale le 26 novembre 2021.

L’intégralité du compte-rendu de l’adoption définitive

Mme la présidente. - L'ordre du jour appelle la discussion en deuxième lecture de la proposition de loi, modifiée par l'Assemblée nationale en première lecture, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, à la demande du groupe UC.

Discussion générale

M. Cédric O, secrétaire d'État, chargé de la transition numérique et des communications électroniques . - Les deux chambres ont enrichi et adopté en première lecture cette proposition de loi du sénateur Lafon, déposée le 15 juillet 2020.

La menace cyber va croissant, les attaquants redoublant d'imagination contre les citoyens, les entreprises, les administrations, les établissements de santé, sous diverses formes. Ces derniers mois, les tentatives d'arnaques au compte formation ont ainsi explosé.

Les risques sont cependant mieux connus, grâce à de vastes campagnes d'information. Nous avons adopté des réflexes d'hygiène numérique en matière de lutte contre le risque cyber.
Je salue le travail de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et des équipes de cybermalveillance.gouv.fr, qui luttent quotidiennement contre ces menaces.
La lutte contre ce phénomène appelle une réponse systémique européenne et un changement des usages.

C'est le sens des travaux engagés au niveau européen pour l'adaptation de notre cadre réglementaire, dans la droite ligne du Règlement général sur la protection des données (RGPD). Nous soutenons notamment une révision ambitieuse de la directive Network and Information Security (NIS).

Il faut également poursuivre l'information des consommateurs pour modifier les comportements. Cela a fonctionné en matière d'alimentation avec le Nutriscore et nous pouvons nous en inspirer. Les conditions générales d'utilisation contiennent de nombreuses informations pour un consommateur avisé, mais elles semblent peu exploitables pour le plus grand nombre. Nous devons aller vers plus de transparence. La cybersécurité souffre d'une image de science froide, seulement accessible aux initiés : il faut rendre le sujet plus accessible.

Je réitère le soutien du Gouvernement à cette proposition de loi, qui a quelque peu évolué depuis son dépôt, au gré d'aménagements constructifs. Il reviendra à l'exécutif de préciser plusieurs éléments ; nous nous y emploierons.

La direction prise est la bonne : plus grande information du consommateur, plus grande transparence de cette information. Les bases d'un cercle vertueux sont ainsi posées. (Applaudissements sur les travées du RDPI ; MM. Laurent Lafon et Pierre Louault applaudissent également.)

Mme Anne-Catherine Loisier, rapporteure de la commission des affaires économiques . - (Applaudissements sur les travées du groupe UC) La commission a adopté à l'unanimité ce texte de création d'un cyberscore visant à informer les consommateurs sur la sécurité des solutions numériques qu'ils utilisent. L'enjeu est de taille.

Le rapport Meurant-Cardon indique que 43 % des entreprises françaises ont connu un problème de cybersécurité en 2020, que 16 % des cyberattaques ont menacé la survie des entreprises concernées et que les attaques au rançongiciel ont été multipliées par quatre en un an.

Quant au rapport Babary-Gatel, il a montré que 30 % des collectivités territoriales en ont été victimes en 2020, mais que peu ont pris des mesures.

Entreprises et collectivités territoriales sont désormais mieux informées, mais l'information des consommateurs demeure insuffisante, à l'heure où nous utilisons de plus en plus de solutions numériques pour le travail et les loisirs, sans être toujours très précautionneux. Les attaques et incidents sont de plus en plus fréquents ; nos habitudes, elles, n'évoluent pas en conséquence.

L'article premier porte sur le périmètre du texte. Nous avions souhaité inclure les plateformes numériques les plus utilisées, ainsi que les logiciels de visioconférence. Finalement, l'Assemblée nationale a retenu la notion d'opérateurs, à laquelle les logiciels de messagerie instantanée et de visioconférence ont été ajoutés.

Un deuxième enjeu concerne la nature du dispositif ; le Sénat souhaitant qu'il ne soit ni trop coûteux ni trop contraignant pour les PME. Un équilibre a été trouvé avec un audit de cybersécurité réalisé par des prestataires agréés par l'ANSSI.

Enfin, le contenu de l'audit sera défini par arrêté ministériel. Il portera sur la sécurisation, mais aussi la localisation, des données ; nous y sommes favorables, car une localisation européenne offre des garanties supérieures de sécurité en matière juridique notamment.

Mais la localisation ne peut être le seul critère. Il convient également d'examiner les standards de stockage des données. La Commission européenne doit attester que le niveau de protection est le même dans tous les États membres. Une telle décision d'adéquation vis-à-vis des États-Unis a été récemment invalidée par la Cour de justice de l'Union européenne dans l'arrêt Privacy Shield. C'est crucial : des données peuvent se trouver sur des serveurs et dans des centres de données localisés dans l'Union européenne, mais hébergés par des logiciels de cloud américain... C'est la limite du label cloud de confiance.

Le dernier point concerne l'information du consommateur et la présentation du dispositif, qui devra être claire et lisible, avec un système de couleurs.
Nous avions supprimé l'article 2 relatif aux règles applicables à la commande publique et l'Assemblée nationale nous a suivis, ce qui permet de recentrer le texte sur l'information du consommateur.

Enfin, le délai d'entrée en vigueur est fixé au 1er octobre 2023, ce qui nous semble cohérent au regard du temps nécessaire à la conduite des audits.
Nous souhaitons être associés aux consultations qui précéderont l'élaboration des mesures réglementaires.

Ce texte a été soumis à la Commission européenne : ses remarques pourront être prises en compte dans le cadre des textes réglementaires.

Les modifications votées par l'Assemblée nationale vont dans le bon sens. Aussi, nous vous proposons d'adopter ce texte conforme. (Applaudissements sur les travées du groupe UC, au banc de la commission et sur quelques travées du groupe Les Républicains)

M. Ludovic Haye . - Ce début d'année constitue une nouvelle étape dans l'utilisation d'internet dont l'ONU veut garantir le droit. Mais il représente aussi une menace, économique et de sécurité. Souvenons-nous de la panne généralisée de Facebook, Instagram et WhatsApp le 4 octobre 2021, avec une perte d'un demi-million de dollars par heure...
Les cyberattaques ne cessent d'augmenter et le traçage des auteurs demeure difficile. En 2021, la liste des établissements de santé visés par des rançongiciels n'a cessé de s'allonger.
Les pouvoirs publics doivent se mobiliser davantage. Le Gouvernement s'est fixé des objectifs ambitieux et y consacrera 720 millions d'euros de financement public d'ici 2025, pour faire émerger trois licornes françaises et stimuler la recherche.

Le campus cyber inauguré le 15 février dernier rassemble des acteurs publics et des entreprises de la cybersécurité. Plus de 1 600 personnes devraient y travailler à terme : salariés d'entreprises, agents de l'ANSSI, policiers, gendarmes...

La cybersécurité constitue une priorité de la présidence française du Conseil de l'Union européenne (PFUE) ; je pense notamment à la révision ambitieuse de la directive NIS.
Cette proposition de loi concerne les opérateurs de plateformes, de messagerie et de visioconférence. Elle porte aussi sur la localisation et le stockage des données, avec un objectif de transparence. Au même titre que le nutriscore, le cyberscore permettra aux citoyens de savoir comment sont protégées leurs données personnelles.
Nous soutenons ce texte. (Applaudissements sur les travées du groupe UC et au banc de la commission)

M. Joël Guerriau . - (Applaudissements sur les travées du groupe INDEP ; M. Pierre Louault applaudit également.) Une part toujours plus importante de nos vies se déroule en ligne et la pandémie a renforcé ce phénomène. Les services se dématérialisent de plus en plus et le contact humain se réduit. Quelle entreprise peut se passer d'internet aujourd'hui ?
Cette évolution présente de nombreux avantages, mais n'est pas sans risques : les attaques se multiplient, paralysant entreprises, hôpitaux, particuliers. Dernier exemple en date, l'attaque contre Transavia, dont les données ont été piratées.

Nous devons protéger nos données. Le RGPD garantit une protection juridique, mais non technique. C'est à ce besoin que répond le présent texte.
Il s'agit d'évaluer le niveau technique de cybersécurité des sites auxquels nous avons recours, grâce à un audit qui permettra d'éclairer le consommateur. L'ANSSI a un rôle d'expertise, mais aussi de pédagogie à jouer. Faisons des entreprises les acteurs de leur propre sécurité en ligne. Il s'agit d'une étape cruciale : la faille de sécurité se situe souvent entre la chaise et le clavier ; nos concitoyens doivent devenir plus exigeants.

Dans cette perspective, ce texte représente un réel progrès. Notre souveraineté est aussi numérique : nos données seront d'autant mieux protégées qu'elles seront hébergées sur notre sol et soumises à nos tribunaux, en dépit de la mainmise américaine.
Ce texte renforce la sécurité de nos compatriotes ; notre groupe votera en faveur de son adoption. (Applaudissements sur les travées des groupes INDEP et UC, ainsi qu'au banc de la commission)

M. Cyril Pellevat . - Cette proposition de loi créant un certificat de sécurité pour les plateformes grand public traite d'un sujet capital. Si le RGPD est une immense avancée en matière de protection des données, encore faut-il que les utilisateurs soient protégés des actes malveillants. Pas plus tard que le mois dernier, une grande ville de Haute-Savoie a vu ses services informatiques paralysés pendant plusieurs semaines. Un grand nombre de personnes sont conscientes de cette menace grandissante, mais cette prise de conscience demeure insuffisante. Nombre d'entreprises ont recours à des plateformes non sécurisées qui les exposent à des risques. C'est le manque d'information qui est en cause, d'autant qu'il n'existe aucune obligation de certification.

Le législateur se devait de combler ces lacunes. Je remercie Laurent Lafon pour son initiative qui améliorera l'information des utilisateurs de plateformes et sécurisera les services des acteurs publics via la mise en place d'un cyberscore. Si je peux comprendre pourquoi le Gouvernement et la commission ont supprimé l'obligation de certification, lui substituant une auto-évaluation des acteurs, il sera nécessaire de donner des moyens de contrôle aux services de l'État.

J'insiste sur la nécessité de garantir la prise en compte des enjeux de cybersécurité par les acteurs publics : l'État doit montrer l'exemple. Nous devons aussi améliorer les pratiques des entreprises : un crédit d'impôt à la numérisation des entreprises pourrait être un outil pertinent.
Mon groupe votera pour cette proposition de loi qui représente indéniablement une avancée, mais j'invite à pousser plus loin la réflexion. (Applaudissements sur les travées des groupes Les Républicains et UC ; M. Franck Menonville applaudit également.)

M. Daniel Salmon . - La problématique de l'exploitation des données personnelles par les plateformes est un sujet majeur. Elle touche aux questions de transparence et de souveraineté numérique. Nous saluons donc cette initiative.

Si l'évolution des technologies favorise une expansion bienvenue du télétravail, la cybersécurité est trop sous-estimée. Nous devons continuer de sensibiliser citoyens, entreprises, collectivités territoriales et pouvoirs publics, qui sont vulnérables aux cyberattaques.

D'après l'ANSSI, le nombre de cyberattaques a été multiplié par quatre en 2020 ; la question de la sécurité des systèmes est donc primordiale. Cette proposition de loi est un pas supplémentaire vers plus de transparence et de droits pour les internautes, après le RGPD et le Cybersecurity Act.

Nous soutenons la mise en place d'un cyberscore, clair et compréhensible.

Je m'interroge néanmoins sur la portée du texte, limitée aux services numériques les plus utilisés selon un seuil fixé par décret. Pour garantir une réelle efficacité, ce décret devra s'ajuster au mieux à la réalité des entreprises. Si la commission et l'Assemblée nationale ont justifié cet aménagement par la nécessité de ne pas contraindre exagérément les petites entreprises, celles-ci ont au contraire tout à gagner d'un dispositif renforcé.

Nous saluons l'élargissement du périmètre de l'article premier aux systèmes de messagerie instantanée, l'agrément des prestataires par l'ANSSI ainsi que la prise en compte de la localisation des données.

Nous regrettons cependant que le texte renvoie des points essentiels au pouvoir réglementaire, lui laissant une très large marge d'appréciation : le Parlement devra demeurer vigilant.
Une première pierre est posée avec cette contribution au renforcement de la sécurité des données de nos concitoyens. Nous voterons pour. (Applaudissements sur les travées du groupe UC et au banc de la commission)

M. Fabien Gay . - (Applaudissements au banc de la commission) Cette proposition de loi est bienvenue. Aucune disposition ne garantit l'information du consommateur quant à la sécurité de la solution numérique qu'il utilise. C'est donc une avancée vers plus de transparence et plus de droits pour les internautes.

C'est essentiel pour l'économie, mais aussi pour la démocratie ; les enjeux de cybersécurité doivent être rendus plus transparents face à l'hégémonie des Gafam.

Les cyberattaques se multiplient contre les établissements de santé - à Dax, Villefranche-sur-Saône ou Rouen -, les PME, les collectivités territoriales ; un travail de sensibilisation doit donc être entrepris.

Aussi la mise en place d'un cyberscore, sur le modèle du nutriscore, est-elle une bonne chose.

Autre point positif : le système d'auto-évaluation des entreprises concernées. Une contrainte plus lourde a été retenue par l'Assemblée nationale : un audit de sécurité devra être réalisé par un prestataire agréé par l'ANSSI et aura trait non seulement à la sécurité, mais à la localisation des données, qui n'est pas, tant s'en faut, un sous-critère. Cette localisation est en effet un enjeu de souveraineté technologique majeur. Il est anormal que 90 % de nos données soient hébergées aux États-Unis. Nous devons remédier au manque incroyable de data centers en Europe et relocaliser nos données comme nous relocalisons notre industrie.

C'est pourquoi, malgré un champ limité, cette proposition de loi pose un jalon utile dans une prise de conscience collective. Une campagne de communication sur l'intérêt de cet outil sera nécessaire. Nous voterons pour cette proposition de loi. (Applaudissements au banc de la commission ; MM. Ludovic Haye et Laurent Lafon applaudissent également.)
Mme Amel Gacquerre . - (Applaudissements sur les travées du groupe UC et au banc de la commission) L'usage du numérique fait partie de notre quotidien, dans la sphère privée, professionnelle ou publique : impossible de faire sans. Cette révolution est porteuse de nombreuses opportunités.

Des risques existent néanmoins ; notre devoir de législateur est de nous en préoccuper. La pandémie a accéléré la numérisation de nos usages, y compris l'entretien du lien social. Près de 50 % de la population mondiale utilise aujourd'hui les réseaux sociaux et malgré une médiatisation croissante des malwares, la culture du numérique et de ses dangers est loin d'être ancrée. Du côté des entreprises et des administrations, on se préoccupe de plus en plus des enjeux de cybersécurité, porteurs de risques économiques : pas moins de 88 % des organisations du secteur public ont subi au moins une cyberattaque ayant causé des dégâts au cours des deux dernières années.

Les risques sont réels aussi pour le grand public. Faire de la pédagogie, rappeler que la cybersécurité est l'affaire de tous, est un enjeu citoyen. Si 96 % des Français se disent conscients des risques que leur fait courir l'usage du numérique, ils reconnaissent ne pas l'avoir intégré à leurs usages. La méfiance est pourtant de mise dès qu'il s'agit de télécharger des contenus ou de participer à une visioconférence. La sécurité des données est essentielle ; les usagers ont besoin de solutions simples et accessibles, or aucune disposition ne garantit aujourd'hui l'information du consommateur.

La proposition de loi vise à mettre en place une certification de sécurité pour les plateformes numériques, sur le modèle du Nutriscore. Cet outil doit être simple et lisible ; un système d'information coloriel semble donc le plus adapté. L'enjeu est de construire un monde numérique plus sûr.
Cette problématique doit être abordée à l'échelle européenne. Monsieur le secrétaire d'État, quelles mesures comptez-vous défendre en matière de sécurité numérique dans le cadre de la PFUE ?

Je salue la rapporteure Loisier, ainsi que Laurent Lafon qui a déposé ce texte il y a plus d'un an et demi. Il est grand temps que cette proposition de loi soit votée et mise en oeuvre ; le groupe UC votera pour. (Applaudissements sur les travées du groupe UC et au banc de la commission ; M. Laurent Somon applaudit également.)

M. Jean-Claude Requier . - (Applaudissements au banc de la commission ; M. Pierre Louault applaudit également.) Ce texte s'inscrit dans une série de travaux réalisés sur le numérique, comme la proposition de loi sur le libre choix du consommateur dans le cyberespace, celle relative au statut des travailleurs des plateformes numériques, ou encore la mission d'information sur la lutte contre l'illectronisme créée à l'initiative de mon groupe.

La cybersécurité est un enjeu de longue date, dont la pandémie a renforcé la prégnance. On déplore un retard français en matière de culture de cybersécurité, comme l'a rappelé récemment le directeur de l'ANSSI. Face aux risques de cyberattaques, nous sommes tous vulnérables. La majorité du Sénat s'est donc montrée favorable à l'adoption de la proposition de loi par un vote conforme.

Le contenu du texte a quelque peu évolué par rapport à sa version initiale - inclusion des services de messagerie instantanée, compétence de l'ANSSI à l'égard des prestataires, inclusion de la localisation des données parmi les critères de sécurité. La création du cyberscore, outil pédagogique, est une bonne chose, même si, comme son équivalent alimentaire, le Nutriscore, il peut cacher des situations hétéroclites. Le renvoi à des seuils à définir par décret doit nous inciter à la vigilance. Cette proposition de loi, pour utile qu'elle soit, n'est qu'un début : son entrée en vigueur ne se fera qu'au second semestre 2023.

Notre groupe votera pour son adoption tout en gardant à l'esprit les défis à venir. (Applaudissements sur les travées du groupe UC, sur quelques travées du groupe Les Républicains et au banc de la commission ; M. Ludovic Haye applaudit également.)

M. Christian Redon-Sarrazy . - (Applaudissements sur les travées du groupe SER et au banc de la commission) Ces dernières années, plusieurs affaires ont secoué le monde de l'industrie numérique. Le stockage des données dans le cyberespace nous expose à des attaques qui se sont multipliées à un rythme exponentiel. Les acteurs de ce marché développent de nouveaux usages basés sur le calcul algorithmique, encouragés par un modèle économique complexe : on parle désormais de data lakes - lacs de données - et non plus de bases de données. La crise a amplifié ce phénomène ; la dématérialisation de notre société s'est amplifiée, tandis que la relation de confiance se dégradait entre citoyens et géants du numérique.

En 2018, le RGPD a constitué une avancée majeure, avec toutefois des failles manifestes. Devant la Commission supérieure du numérique et des postes, les experts ont fait part de leurs inquiétudes : les cybercriminels se sont professionnalisés et mondialisés ; leur capacité à nuire s'est développée plus rapidement que notre capacité à nous protéger. Les événements tragiques à l'Est - que je condamne, en apportant mon soutien au peuple ukrainien - montrent que les cyberattaques sont soit le préalable soit le complément de tentatives de stabilisation de gouvernements.

Il faut lancer une campagne de sensibilisation massive sur les risques encourus dans l'espace numérique, comme l'a montré la commission d'enquête sur la souveraineté numérique présidée par Franck Montaugé : dans un univers numérique marqué par une forte asymétrie entre ceux qui contrôlent les algorithmes et ceux qui utilisent les plateformes, il reste encore beaucoup à faire pour garantir le respect des droits des particuliers. C'est essentiel dans notre démocratie.

La mise en place du cyberscore sensibilisera massivement la population. Veillons à ce que l'essor du numérique soit source d'émancipation et non d'aliénation.
Le groupe SER votera cette proposition de loi qui marque un premier pas dans notre prise de conscience collective. (Applaudissements sur les travées du groupe SER et sur quelques travées des groupes Les Républicains et UC, ainsi qu'au banc de la commission)

La discussion générale est close.

Discussion des articles

L'article premier est adopté, ainsi que l'article 3.

Intervention sur l'ensemble

M. Laurent Lafon . - Je remercie le ministre pour sa coopération très utile. La rapporteure a considérablement enrichi ce texte. Je la remercie très sincèrement, ainsi que la présidente de la commission des affaires économiques, qui a permis l'examen selon la procédure de législation en commission pour qu'il soit adopté rapidement.
Cette proposition de loi est une étape. Elle sort la question de la cybersécurité du cercle des spécialistes. Elle sensibilise les uns et les autres. La cybersécurité est aussi un enjeu économique : en soutenant cette proposition de loi, nous soutenons les entreprises françaises qui travaillent dans ce secteur.
Espérons que l'état d'esprit de coopération qui a présidé à l'examen du texte perdure dans la rédaction du décret. Continuons à travailler ensemble. (Applaudissements au banc de la commission)

La proposition de loi est définitivement adoptée et n’attend plus que sa promulgation.

[rbolan]

Si je comprend bien c'est l'ANSII qui mènera les audits ? et qui développera le cahier des charges ?

[Jules34]

France : le Sénat adopte de façon définitive la proposition de mise en place d’une certification de cybersécurité des plateformes numériques grand public
Le cyberscore entre en vigueur en 2023


La proposition de loi vise à mettre en place une certification de sécurité pour les plateformes numériques, sur le modèle du Nutriscore. Cet outil doit être simple et lisible ; un système d'information coloriel semble donc le plus adapté. L'enjeu est de construire un monde numérique plus sûr.
Cette problématique doit être abordée à l'échelle européenne. Monsieur le secrétaire d'État, quelles mesures comptez-vous défendre en matière de sécurité numérique dans le cadre de la PFUE ?

C'est vrai que le nutriscore a changé nos vie, merci. Bullshitjob.

[KnifeOnlyI]

C'est vrai que le nutriscore a changé nos vie, merci. Bullshitjob.

Le nutriscore n'a pas vocation a impacter la vie de qui que ce soit si il n'en n'a pas envie.
Mais maintenant les gens ont un outil de plus pour savoir ce qu'ils mangent.
Regarder un nutriscore (ou autre outil) est plus simple que de regarder la composition pour 100g derrière la boite.

[Invité]

Bonsoir

France : le Sénat adopte de façon définitive la proposition de mise en place d’une certification de cybersécurité des plateformes numériques grand public

Le cyberscore entre en vigueur en 2023

Un ânerie de plus votre cyberscore ... A l'image du nutriscore ou des produits régionaux / AOP / sous label sont classés E ... Un produit industriel se retrouve mieux noté que le truc artisanal qu'on va manger 1/2 fois par mois.

En gros on dit au consommateur "c'est artisanal c'est censé être [...] mais on considére que c'est de la merde " ... drôle de conception des choses

Les sites associatifs ou des petits professionnels vendant sur internet vont se faire dégager , avec un tel truc ?

Cela favorisera la marketplace des petits professionnels sur les grosses plateformes (Amazon, Alibaba, Cdiscount ... ) ... Au lieu de petits VADistes.