Sécurité des données numériques: un «cyberscore» pourrait voir le jour afin de mieux informer les utilisateurs

27

Le Sénat a voté jeudi à l’unanimité le principe d’un «cyberscore», un repère destiné à informer les utilisateurs d’outils numériques sur la sécurisation de leurs données, comme le fait le visuel «nutriscore» pour les produits alimentaires. La proposition de loi de Laurent Lafon, nouveau président de la commission de la Culture, était examinée en première lecture dans le cadre d’une niche centriste. Elle doit maintenant être inscrite à l’ordre du jour de l’Assemblée nationale.

Le texte «va dans la direction que souhaite le gouvernement», a affirmé le secrétaire d’État chargé de la Transition numérique, Cédric O. «Nous ne pouvons pas faire preuve de naïveté, notre vie numérique comporte des risques», a-t-il souligné, rappelant, qu’outre cet aspect d’information du consommateur, la France et l’Union européenne travaillent à apporter «une réponse systémique» aux questions de cybersécurité et de protection des données.

Laurent Lafon a déposé sa proposition de loi à la sortie du confinement, au vu de l’usage considérablement accru des outils numériques durant cette période, telles les plateformes de visioconférence. Comme l’a relevé la rapporteure Anne-Catherine Loisier (centriste), «de nombreux textes régissent déjà la cybersécurité, à commencer par le RGPD (règlement général de protection des données), qui impose d’utiliser des systèmes d’information suffisamment sécurisés». Mais, pour Mme Loisier, il y a un «vrai manque» en termes d’information du consommateur.

L’idée est donc de compléter le code de la consommation en y ajoutant une obligation pour les opérateurs de communiquer les informations relatives à la sécurité des données hébergées par eux-mêmes ou leurs prestataires, de cloud notamment. Avec l’objectif d’arriver à «un visuel clair et compréhensible», a précisé M. Lafon, sur le modèle du «nutriscore». Les indicateurs seraient fixés par arrêté, avec le concours de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

La question du périmètre d’application fait cependant débat. Dans le texte initial, M. Lafon mentionnait les «plateformes numériques». Les sénateurs ont étendu le champ d’application «aux fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret». Ce qui inclut par exemple les services de visioconférence. Cédric O, qui avait souhaité par voie d’amendement «recentrer le dispositif sur les principaux opérateurs de plateformes en ligne», a reconnu que cette formulation ne concernait «pas assez d’entreprises», formulant le voeu que le débat puisse se poursuivre dans la navette parlementaire.

Le Sénat a accédé à la demande du gouvernement de supprimer pour les opérateurs l’obligation de recourir à des organismes habilités, leur ouvrant la possibilité de procéder à une autoévaluation de leur système de protection des données. L’ensemble des groupes politiques a approuvé le texte comme «une première pierre» vers plus de transparence, même si la plupart auraient souhaité aller plus loin.