Quel est l'impact de la loi "cyberscore" sur les entreprises?

La loi du 3 mars 2022 prévoit la mise en place du cyberscore à fin 2023. Ce dispositif indiquera le niveau de cybersécurité d'un site web. Quelles conséquences sont à prévoir pour les entreprises ?

Quelle est cette loi et que dit-elle ?

La loi n°2022-309 du 3 mars 2022 "pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public"(1), autrement nommée Loi cyberscore ou encore Loi Lafon, est le nouvel avatar de la volonté française de mettre en place un cadre protecteur des données personnelles de ses citoyens(2).

Plus concrètement, elle a pour objectif de renforcer la protection des données en France en favorisant la visibilité des solutions en ligne sécurisées et responsables. Pour ce faire, elle crée un nouvel article L. 111-7-3 au sein du code de la consommation qui impose aux opérateurs de plateforme en ligne la réalisation d’un audit de cybersécurité portant sur la sécurisation et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation. Par ailleurs, elle implémente un label "Numérique Souveraineté France" (ou label NSF), potentielle source de valeur pour les entreprises qui œuvreront en faveur de la souveraineté numérique française(3).

Dans cet objectif, cette loi instaure deux nouveaux mécanismes complémentaires l’un de l’autre(4) sur le fondement d’une obligation d’information :

  • La réalisation d’un audit de cybersécurité par les plateformes ciblées par cette loi,
  • Faire apparaître à partir du 1er octobre 2023 sur les sites des plateformes ciblées par cette loi une certification de cybersécurité (ou cyberscore), résultat de cet audit.

La réalisation d’un audit de sécurité

Ces audits seront réalisés par des prestataires qualifiés(5) par l’Agence Nationale de Sécurité des systèmes d’Information (ANSSI). Ils permettront de déterminer le score attribué aux plateformes des opérateurs visés.

Pour ce qui est des critères pris en compte dans le cadre de ces audits, s’ils ne sont pas encore établis avec certitude(6), il est cependant possible de les anticiper :

  1. Sécurisation des données hébergées par l’opérateur visé par la certification ou par ses éventuels prestataires tiers (exemples : anonymisation, chiffrement, etc.),
  2. Localisation des données hébergées par l’opérateur visé par la certification ou par ses éventuels prestataires tiers,
  3. Le comportement et la réputation de l’opérateur en matière de protection des données (exemples : nombre de condamnations RGPD, nombre de failles logicielles mises à jour),
  4. Le contexte juridique de l’opérateur (exemple : l'existence d'une loi à portée extraterritoriale menaçant la protection des données personnelles des utilisateurs de l’opérateur),
  5. Sécurisation de l’infrastructure de la plateforme elle-même (niveau de sécurité du site notamment ),
  6. Le cyberscore.

Sous quelle forme devra être présenté ce cyberscore ? Il adoptera un visuel similaire à l’étiquette énergétique ou encore au nutriscore(7). Le choix d’un dispositif coloriel a pour but de rendre aisément compréhensibles pour les consommateurs et utilisateurs des plateformes les résultats de l’audit.

Quelles entités sont visées par cette réforme ?

Il s’agit des opérateurs de plateforme en ligne tels que définis à l’article L. 111-7 du Code de la consommation. Il s’agit donc de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne, reposant sur :

  • Soit le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;
  • Soit la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.

Autrement dit, les plateformes visées sont les moteurs de recherche, les sites de petites annonces, les plateformes de communication (comme WhatsApp) les comparateurs et les marketplaces, dont l’activité dépasse un seuil dont l’évaluation est encore en cours(8). Sur ce sujet, et même si le seuil pris en considération n’est pas encore définitif, le rapport de l’Assemblée nationale du 18 novembre 2021 ciblait notamment les plateformes qui reçoivent cinq millions de visiteurs uniques par mois, les services de messageries électroniques les plus utilisés ainsi que les services de visioconférence(9).

En résumé, il s’agit à l’heure actuelle des grands opérateurs du numérique à destination du public tels que les logiciels de visioconférences, les plateformes en ligne et les systèmes de messageries. A l’heure actuelle, les plus petites structures (start-up, PME, TPE...) ne sont pas concernées mais il n’est pas à exclure que le champ d’application soit étendu à terme.

Dans tous les cas, le périmètre des entités concernées sera explicité plus clairement à l’avenir : cette loi prévoit en effet qu’un décret listera les plateformes, réseaux sociaux et sites de visioconférence concernés.

Quel est l’impact potentiel de cette réforme (légal, financier, business et marketing) ?

L’angle légal

L’impact légal peut être assez aisément déterminé. En cas d’irrespect des obligations issues de cette réforme :

  • Les entreprises seront sujettes à une amende d’un montant pouvant atteindre jusqu’à 375 000 euros,
  • Les particuliers risqueront une amende pouvant atteindre 75 000 euros.

Ce sont des pénalités non négligeables, même si elles sont sans commune mesure avec les amendes encourues en cas de non-respect d’une norme telle que le RGPD. Cependant les unes n’excluent pas les autres et il y a fort à parier qu’un manquement au cyberscore pourrait aussi être corrélé à un manquement à des normes de protection des données personnelles.

L’angle financier

Dans un contexte où le monde de la Finance redéfinit la valeur en prenant en compte l’impact sociétal et écologique des investissements, il est important de noter que le cyberscore intégrera les normes RSE pour venir compléter les étiquettes environnementales, sociales et économiques. Autrement dit, le niveau de cybersécurité et de protection des données d’une entreprise va devenir l’un des critères de sa responsabilité sociétale.

A notre sens, le cyberscore peut potentiellement s’imposer comme un indicateur majeur de comparaison entre les entreprises, tant sur le plan financier que sur le plan commercial. 

L'angle commercial & marketing

La donnée et sa protection sont au cœur des préoccupations à l’heure actuelle. Le "nouvel or noir du 21e siècle" est une denrée convoitée, et sa protection est donc naturellement un sujet d’importance. Le cyberscore va permettre aux acteurs économiques de comprendre aisément le niveau de sécurisation octroyé à leurs données par des opérateurs en ligne ; et de comparer aisément sur ce plan les divers opérateurs en concurrence pour un service.

Notre sentiment est que ce critère va avoir un impact fort sur le choix des individus, surtout dans un contexte où les choix se font en ligne et où une solution alternative pourra être trouvée assez aisément via une recherche de quelques secondes sur un moteur de recherche. Il y a fort à parier que le cyberscore ait un impact commercial et marketing fort, d’autant plus que sa mise en place s’inscrit dans un contexte où la protection de la donnée est très médiatisée.

La nature de l’audit instauré par le cyberscore va aussi pousser les entreprises à opter pour des achats auprès de fournisseurs et de partenaires respectueux de la donnée. Les entreprises de B to B seront donc elles aussi impactées par cette réforme.

A l’instar du RGPD, le cyberscore est une norme contraignante et qui a un coût d’entrée (et de maintien) important. Il est évident que les opérateurs concernés vont devoir investir davantage dans la sécurisation de leurs outils afin de se conformer aux critères du cyberscore.

Cependant elle n’est que le reflet d’une volonté marquée de notre société et d’une demande des consommateurs : protéger la donnée personnelle des individus, assurer son respect par les entreprises.  C’est tout à l’honneur des acteurs économiques et politiques français de l’avoir compris et anticipé et d’en faire un atout technique et commercial en faveur des entreprises françaises qui sauront s’adapter à cette norme. Ainsi, la certification que prévoit ce texte répond aux attentes formulées par les acteurs économiques français du numérique. Ces derniers s’étaient exprimés sur la plateforme Mailo en juillet 2021 et avaient signé une tribune appelant à la création du label NSF dont l’objectif est de valoriser les entreprises qui œuvrent en faveur de la souveraineté numérique française(10).

Quels sont ses enjeux de court terme et les prochaines étapes durant la période de mise en place de la réforme ? Cette réforme, sans être de la même ampleur que celle du RGPD, présente de nombreuses similitudes avec elle du fait qu’elle ne se limite pas à un projet légal. C’est une réforme qui va impliquer les acteurs légaux et conformité de l’entreprises mais aussi ses acteurs produit, informatique et marketing.

A notre sens il est d’ores et déjà nécessaire de mettre en place une cellule de veille ad hac et d’anticiper sur l’audit et la recherche de solutions qui permettront d’être en conformité avec cette réforme au 1er octobre 2023. A l’instar de ce qui a pu être constaté avec la mise en place du RGPD, les retardataires sur la réforme cyberscore perdront un argument commercial et marketing de poids au moment où cette réforme sera sous les feux de la rampe et où les divers acteurs économiques souhaiteront être sécurisés par leurs partenaires sur cet aspect.

(1) Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public (1) - Légifrance (legifrance.gouv.fr).

(2) Dans la crise actuelle, les acteurs publics doivent encourager les citoyens à opter pour les solutions numériques souveraines ! (journaldunet.com).

(3) Résumé de la séance du Sénat du 20 octobre 2021.

(4) L’article L. 111-7-3 du Code de la Consommation prévoit désormais qu’à compter du 1er octobre 2023 les plateformes les plus importantes devront afficher ce cyberscore.

(5) via la qualification PASSI.

(6) Cette loi prévoit qu'un arrêté précisera les critères pris en compte par l'audit de sécurité.

(7) Selon le texte de loi, "le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagnée d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel".

(8) Un décret est attendu pour préciser les seuils, le périmètre et la durée de validité du cyberscore.

(9) Rapport de l’Assemblée nationale du 18 novembre 2021.

(10) Résumé de la séance du Sénat du 20 octobre 2021.