II. UNE MEILLEURE INFORMATION DES CONSOMMATEURS EST INDISPENSABLE POUR RENOUER AVEC LA CONFIANCE DANS LE NUMÉRIQUE
Afin que les consommateurs et les acheteurs publics prennent davantage en compte les impératifs liés à la cybersécurité, la proposition de loi initiale :
• oblige les plus grands acteurs du numérique à fournir aux consommateurs un diagnostic de cybersécurité afin de mieux les informer sur la sécurisation de leurs données ( article 1 er ) ;
• prévoyait que la nature et l'étendue des besoins à satisfaire par un marché public soient déterminés en prenant en compte « les impératifs de cybersécurité » ( article 2 ).
A. LA COMMISSION A SOUHAITÉ METTRE EN PLACE UN VÉRITABLE « CYBERSCORE » DES SOLUTIONS NUMÉRIQUES
Alors que le risque pesant sur les usages numériques ne cesse de croître, les utilisateurs sont souvent démunis face aux choix multiples qui s'offrent à eux en matière de services numériques car ils ne bénéficient pas d'une information claire et facile d'accès sur ce sujet. Ils peuvent donc avoir recours, sans le savoir, à des solutions présentant des manques criants en matière de cybersécurité. C'est ainsi que des failles peuvent être exploitées par des acteurs malveillants.
Il est donc nécessaire de créer un « nutriscore » de la cybersécurité des solutions numériques, autrement dit « un cyberscore » . Un tel dispositif bénéficierait directement aux consommateurs, mais également indirectement aux petites structures telles que des associations, des TPE et collectivités rurales en renforçant leur niveau d'information sur les solutions grand public qu'ils sont susceptibles d'utiliser.
La délimitation du périmètre d'application est le premier enjeu pour la mise en oeuvre d'un tel dispositif . La commission des affaires économiques du Sénat avait élargi le périmètre initial, limité aux opérateurs de plateforme en ligne, pour y intégrer les logiciels de visioconférence. Conformément à cette volonté, l'Assemblée nationale a précisé la rédaction pour inclure de tels logiciels et les systèmes de messagerie instantanée dans le champ d'application du dispositif.
La difficulté résidera sans doute dans la définition, par voie réglementaire, des seuils au-delà desquels les opérateurs de plateformes en ligne et les entreprises seront concernés. La commission souhaite que, dans un premier temps, seuls les acteurs numériques les plus importants soient concernés, afin de ne pas décourager l'innovation des plus petites entreprises proposant des services en ligne. Il s'agit de trouver un équilibre entre innovation et réglementation.
Le deuxième enjeu pour la mise en oeuvre d'un tel dispositif concerne sa dénomination et sa nature . Au Sénat, la notion de diagnostic de cybersécurité avait été retenue, l'objectif étant que le dispositif ne soit pas trop contraignant ni trop coûteux pour les opérateurs économiques. À l'Assemblée nationale, c'est finalement la notion d' audit de cybersécurité qui a été choisie. Cet audit devra être réalisé par des prestataires agréés par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et portera sur la sécurisation et la localisation des données .
Le troisième enjeu concerne le contenu de cet audit de cybersécurité, qui sera défini par arrêté ministériel . Si le critère de localisation des données ajouté par l'Assemblée nationale est important, car déterminant le régime juridique applicable en matière de protection des données et participant de l'affirmation d'une plus grande souveraineté numérique, cela ne peut pas être le seul critère pris en compte pour déterminer la sécurité de l'hébergement des données.
La difficulté résidera dans la définition des autres indicateurs pertinents pour réaliser cet audit. La commission estime que des critères techniques pourraient être retenus, comme le chiffrement de bout en bout pour les services numériques impliquant des communications. D'autres critères, moins techniques, pourraient également être envisagés comme le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel ou le nombre de failles mises à jour. L'existence d'une loi à portée extraterritoriale pourrait aussi être prise en compte.
Enfin, le dernier enjeu concerne les modalités d'information des consommateurs . Au Sénat, il a été précisé que le dispositif devait être présenté de façon lisible, claire et compréhensible à l'aide d'un système coloriel. L'Assemblée nationale a maintenu l'ensemble de ces dispositions.