Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    France : la loi sur la certification de cybersécurité des plateformes numériques est adoptée
    Les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques
    destinées au grand public

    Un “cyberscore” peut-il permettre d’évaluer convenablement la sûreté des plateformes numériques ? Le Sénat vient de faire un effort en ce sens en adoptant la semaine dernière la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score. Elle cible surtout les plateformes numériques très fréquentées, mais le seuil n’est pas encore fixé.

    Proposé par Laurent Lafon, sénateur UDI et président de la commission de la Culture, le cyberscore consiste en un système de notation du niveau de protection des informations du public sur les plateformes en ligne. Elle a été proposée afin de doter l’État d’un moyen lui permettant d’indiquer aux consommateurs quelles plateformes gardent bien leurs données en ligne. Lors d’une première lecture le jeudi 22 octobre, le Sénat a voté à l'unanimité la loi et elle fait maintenant route vers l’Assemblée nationale. La proposition de Lafon est inspirée de concepts déjà existants dans d’autres domaines.

    En effet, le cyberscore est à l’image du “nutriscore”, le visuel destiné aux produits alimentaires, mais aussi du DPE (diagnostic de performance énergétique). Selon les explications de Lafon et du secrétaire d'État en charge du Numérique Cédric O, le cyberscore viendrait compléter d’autres dispositifs existants protégeant la vie privée des internautes. Il y a notamment le RGPD censé protéger les utilisateurs en ligne, de même que le code de la consommation. Il s’agirait donc de compléter ces textes avec la mise en place d’une sorte de certification de cybersécurité.


    Le sénateur a indiqué qu’il s’agit avant tout d’un outil d’information pour le consommateur comme le nutriscore et selon les informations disponibles sur le sujet, c’est l’ANSSI qui se chargera de mettre en place les critères de la certification. « Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er. En outre, Cédric O a déclaré que « le texte va dans la direction souhaitée par le gouvernement ».

    Comment le cyberscore pourrait-il fonctionner ?

    Le sénateur Lafon a expliqué que le cyberscore, tel que voté par le Sénat, repose sur un système d'autoévaluation, non sur des scores délivrés par une autorité indépendante, comme imaginé initialement. S'agit-il de la bonne approche à adopter pour un tel système ? Cela n’offre-t-il pas la possibilité aux plateformes de mentir sur leur cyberscore réel ? Lafon a déclaré que cela fait en effet partie des éléments du dialogue avec le gouvernement. « Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante », a-t-il déclaré.

    « Le gouvernement nous a dit que si l'on allait dans cette direction, cela serait difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation. On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence », a-t-il précisé.

    Comment le cyberscore pourrait-il être présenté aux internautes ?

    Selon le sénateur, par exemple, dans le cas des sites qui nécessitent un enregistrement avant de donner l’accès à l’internaute, le diagnostic lui sera systématiquement présenté dès la page d’authentification. « La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », a insisté le sénateur centriste. Il a ajouté que la crise que nous vivons actuellement l’a beaucoup encouragé à faire cette proposition de loi.

    « L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées », a déclaré le sénateur à Next Impact. « Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs ».

    Quelles sont les plateformes visées et quels critères seront évalués ?

    Initialement, la loi mentionnait uniquement les “plateformes numériques”, mais les sénateurs ont étendu le champ d'application “aux fournisseurs de services de communication au public en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis par décret”, y compris les services de visioconférence tels que Zoom, Google Meet, etc., et les moteurs de recherche. Par ailleurs, les sénateurs prévoient que les critères pour déterminer la note finale seront fixés par arrêté, avec le concours de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

    « On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence », a déclaré le sénateur Lafon. On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier le Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes.

    Selon lui, l’on pourrait aussi imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL. « L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme », a expliqué Lafon.

    Que risquent les plateformes qui trichent et y aura-t-il des amendes ?

    À la question de savoir ce que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2, Lafon a déclaré que c’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation. Selon lui, c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. « Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante », a-t-il ajouté. Au sujet des amendes, il a déclaré que cela dépendra de la forme du dispositif final.

    « En l'état actuel des travaux, le cyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF », avertit-il.

    Source : Le Sénat, La proposition de loi (PDF)

    tweet ici

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    La France va demander à l'UE d'adopter son règlement sur la cryptomonnaie, qui permet aux émetteurs et traders de faire une demande de certification

    Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

    Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables

    Taxe GAFA : la France accuse les USA de chercher à bloquer les discussions à l'OCDE "même si le travail technique est terminé" et convie l'Europe à se préparer à adopter une taxe à l'échelle du bloc
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Quel est votre avis sur le sujet ?

    OK, mais à une seule condition, c'est que l'Etat mette à disposition les outils pour valider les plateformes, sinon ils fraudaient les prévenir que l'autoévaluation, ça n'as jamais marché dans aucunes industries, autant pi**er dans un violon pour espérer jouer la 5eme de Beethoven .

    Déjà qu'avec le RGPD ça devient bien soûlant là ça donne vraiment plus envie de faire du web (juridiquement parlant).

  3. #3
    Membre extrêmement actif
    C'est vraiment agaçant cette propension à prétendre protéger les citoyens alors qu'on organise la collecte, la vente et le traitement de leurs données personnelle. Cette langue fourchée. Cette saloperie quotidienne.

    Par ailleurs, quand je lis "La loi vise à avertir le public du sérieux et des efforts que les plateformes en ligne déploient pour protéger leurs données en leur attribuant un score.",
    je lis surtout "La loi vise à permettre aux gros acteurs bien friqués de payer des boites de sécurité certifiantes pendant que les autres petits seront lésés face à leurs incapacités à fournir le même niveau d'information aux utilisateurs"

    #révolte

  4. #4
    Membre régulier
    Y'as pas de règlement dans le monde du numérique partout dans le monde
    Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
    Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
    Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
    Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
    Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
    Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement

  5. #5
    Membre extrêmement actif
    @frenchlover2, , j'ai bien rigolé, merci.

    Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
    L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?

  6. #6
    Membre expert
    Bonsoir,

    France : la loi sur la certification de cybersécurité des plateformes numériques est adoptée

    Quel est votre avis sur le sujet ?
    L'idée de fond est louable. Encore une fois plusieurs incohérences ...

    > l'état se défausse . Qui fera les contrôles du coup ? Une entreprise privée qui va bidonner les chiffres et éjecter les petits commerçants avec peu de trafic ?
    > mettre un "autoscore" . La encore c'est d'un ridicule ... Facebook ou Orange peuvent fonctionner correctement donc score de 5/A. Le site du service publique (pourtant d’intérêt publique) plante . On lui met un E/1 car très mauvais site ? Ne pas reproduire la problématique de notation des avis des hôtels et restaux avec les faux avis ...

    Pour que le score fonctionne on a besoin de 4 canaux marchands chacun à 25% de la note :
    > avis consommateur/utilisateur
    > avis d'un organisme officiel sur la fiabilité du site/service et du respect du rpdg
    > cabinet d'audit indépendant
    > autoévaluation

    On compile les chiffres via 4 sources différentes et la pas de triche ou alors difficile de triche sur un quart de note ... Histoire de limiter la fraude.

    Citation Envoyé par frenchlover2
    Il faudra que les nations unies et l'OTAN s'unissent pour mettre au point des loi et des normes qui seront imposer aux entreprise des tic partout dans le monde , afin de permettre aux entreprise de pouvoir se concurrencer quelque soit leur pays d'origine ou l'emplacement du marche ciblé , si chaque pays commence a adopter une technologie 100% locale en ira directement vers la dictature économique et numérique , et en plus ça va entraver le développement technologique et économique en empéchant la libre circulation des innovations technologique entres les différents nations
    Si on instaure des normes et des loi internationale des société comme Thalès , daylimotion peuvent percer partout dans le monde et concurrencer des plateforme tel que YouTube sur leur propre sol (USA)
    Ça donnera aussi l'avantage aux entreprise comme SAP de percer ailleurs dans le monde qu'en Allemagne
    Mettant un terme a cette chamaillade , vraiment c'est scandaleux de voir un conflit entre la Chine et les USA a cause de tiktok , ce genre de conflit mettra fin a l'innovation et le développement humains et technologique
    Vous mettez la CNIL au devant de la scène , avec une vision nationaliste dictatoriale alors que vous oublier , que vous étés dans l'air de la mondialisation , de cette façon vous avez écraser le parlement européen , les alliance économique entre l'Union européen et les autres alliance de par le monde y compris les USA
    Pour résumer le tout la CNIL est un organisme qui veut imposer la dictature du numerique afin de mettre les citoyens français sous le contrôle d'une technologie du gouvernement français ou chaque citoyen sera noté secrètement selon son comportement
    Qu'une instance internationale prenne la main sur le dossier est fondamentalement nécessaire . A la limite l'OMC ... le problème comme d'habitude c'est l'emprise des usa sur le sujet ... On a bien des partenariats entre l'AFNOR et des autorités de "normalisation" aux Kenya, Japon, Corée du Sud, UE ... mais les USA n'aiment pas le "normalisme" à la française ...

    L'union internationale des postes et télécoms par exemple a difficilement la main mise sur ces normes.

    Il y aussi l’adaptabilité des normes à différents marchés ... Ne pas oublié qu'il y a plusieurs bloc dans le monde : La Chine, L'Inde et des pays satellites, l'Asie Pacifique+Océanie, L'UE, les pays russophones, le moyens Orient , l'Afrique, l'Amérique du Nord et l’Amérique latine. Déjà que des blocs de pays ne s'aiment pas entre eux, je vois difficilement comment réussir à faire percer des autorités de régulation ou de "contrôle". Certains n'en voudront pas quand d'autres voudront pas main mise dessus.

    Donc je reste assez septique sur la chose.

    Citation Envoyé par defZero
    Sans relever les autres incohérences, depuis quand L'ONU et l'OTAN font des lois ou des normes ? L'information m'aurais échappé ?
    L'OMC à la limite pour fixer un cadre commercialement contraignant, mais franchement l'ONU et l'OTAN ça sort d'où ?
    Parler de l'ONU et OTAN c'est pour illustrer son propos comme l'OMC, l'UNICEF, l'UNESCO, l'UPU, FMI ...

    En gros "inventer" une espèce d'instance internationale.

  7. #7
    Membre habitué
    kis
    Pour faire simple: cnil.fr : la-protection-des-donnees-dans-le-monde
    A: membres de l'UE
    B: pays adéquats
    C: adéquation partielle
    D: autorité indépendante et loi
    E: législation
    F: pas de loi

###raw>template_hook.ano_emploi###