EXAMEN DES ARTICLES
Article 1er (non modifié)
Création d'une
certification de cybersécurité des plateformes numériques
destinée au grand public
Cet article vise à créer une certification de cybersécurité des plateformes numériques, des services de messagerie et des logiciels de visioconférence à destination du grand public.
La commission a adopté l'article 1 er sans modification.
I. Le dispositif initial - Un diagnostic de cybersécurité aux contours encore imprécis
L'article 1 er modifiait l'article L. 111-7 du Code de la consommation pour compléter les informations que les opérateurs de plateformes en ligne doivent fournir aux consommateurs de façon claire, loyale et transparente afin d'y inclure les informations relatives à la sécurisation des données hébergées.
À cette fin, les opérateurs doivent élaborer un « diagnostic de cybersécurité ». Un tel diagnostic s'apparenterait, selon l'exposé des motifs de la proposition de loi initiale, aux diagnostics de performance énergétique qui visent à informer les propriétaires, les locataires et les acheteurs sur la performance énergétique et environnementale des logements.
Toutefois, les contours et le contenu de ce diagnostic ne sont pas esquissés dans la proposition de loi , qui renvoie à un décret la détermination des indicateurs utilisés pour élaborer ce diagnostic, la liste des organismes habilités à le faire ainsi que sa durée de validité.
En application de l'article L. 131-4 du code de la consommation, tout manquement à ces dispositions serait passible d'une amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale, prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
II. La position du Sénat en première lecture - La mise en place d'un « Cyberscore » pour faciliter l'information des consommateurs
La commission constate que le risque pesant sur les usages numériques ne cesse de croître, mais que les utilisateurs sont souvent démunis face aux choix multiples qui s'offrent à eux en matière de services numériques, car ils ne bénéficient pas d'une information claire et facile d'accès sur ce sujet. Ils peuvent donc avoir recours, sans le savoir, à des solutions présentant des manques criants en matière de cybersécurité. C'est ainsi que des failles peuvent être exploitées par des acteurs malveillants.
Afin que le consommateur ne soit plus démuni, la commission a souhaité créer un « Nutriscore » de la cybersécurité des solutions numériques, autrement dit un « Cyberscore » .
Toutefois, ce dispositif reste largement à construire. La difficulté réside dans la définition des indicateurs pertinents , ceux-ci pouvant être différents en fonction de la solution numérique concernée. Parmi les indicateurs envisagés par la commission, il y a des indicateurs :
- de nature technique, comme le chiffrement de bout en bout pour les services numériques impliquant des communications ;
- de nature moins technique, comme le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel ou le nombre de failles logicielles mises à jour ;
- de nature juridique, comme l'existence d'une loi à portée extraterritoriale menaçant la protection des données à caractère personnel des utilisateurs.
La commission considère également qu'un équilibre devrait être trouvé entre les coûts de mise en place d'un tel dispositif et la nécessité de bien informer les consommateurs .
Au regard de ces premières considérations, la commission a adopté, en accord avec l'auteur de la proposition de loi et de son groupe politique, un amendement de la rapporteure proposant plusieurs ajustements susceptibles d'améliorer le dispositif d'un point de vue technique.
Sur le périmètre d'application du dispositif, la commission estime que la notion d'opérateurs de plateforme en ligne, au sens du code de la consommation, ne correspond pas entièrement à la volonté de départ ayant motivé cette proposition de loi. Selon l'exposé des motifs, l'objectif est d'intégrer plusieurs solutions numériques, dont les logiciels de visioconférence ou les services de stockage en ligne.
L'amendement de la rapporteure substitue la notion de « fournisseur de service de communication au public en ligne » au sens de l'article L. 32 du code des postes et des communications électroniques (CPCE) à celle « d'opérateurs de plateforme en ligne », notamment dans l'intention d'inclure les systèmes de visioconférence .
Sur la souplesse du dispositif, l'amendement de la rapporteure substitue également au décret définissant les indicateurs et la durée de validité du diagnostic un arrêté ministériel et prévoit une désignation des organismes habilités à réaliser un tel diagnostic par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) .
Sur l'information des consommateurs, l'amendement de la rapporteure précise que le diagnostic devra être présenté de façon intelligible pour le consommateur .
En séance publique, le Sénat a précisé les contours du dispositif de « Cyberscore » en adoptant :
- un amendement du Gouvernement pour préciser que seuls les opérateurs de plateforme en ligne les plus importants sont concernés par le dispositif, un décret devant définir les seuils au-delà desquels ces opérateurs sont concernés , dont un seuil de nombre de connexions ;
- un sous-amendement de la rapporteure pour substituer la notion de fournisseurs de service de communication au public en ligne à celle d'opérateurs de plateforme en ligne ;
- un sous-amendement de l'auteur de la proposition de loi pour rendre obligatoire la présentation du diagnostic de cybersécurité à l'aide d'un système d'information coloriel lors de la première connexion à chaque service concerné.
III. Les modifications apportées par l'Assemblée nationale - La précision de la délimitation du « Cyberscore »
En commission des affaires économiques, deux amendements du rapporteur ont été adoptés :
- un amendement pour préciser que seuls les opérateurs de plateforme en ligne qui ont au moins cinq millions de visiteurs uniques par mois sont concernés par ce nouveau régime d'information et pour intégrer explicitement les logiciels de visioconférence et les systèmes de messagerie instantanée dans le périmètre ;
- un amendement pour transformer le dispositif en véritable « certification de cybersécurité » délivrée par des organismes habilités par l'ANSSI.
En séance publique, la délimitation du dispositif et ses modalités d'application ont de nouveau été modifiées, avec l'adoption de plusieurs amendements du rapporteur identiques à ceux déposés par les députés membres du groupe majoritaire :
- un amendement pour finalement supprimer la référence au seuil de connexion et la nécessité d'avoir au moins cinq millions de visiteurs par mois, pour finalement renvoyer à un décret la définition des seuils d'activité au-delà desquels les entreprises seront concernées et pour finalement substituer la dénomination « d'audit » à celle de « certification » ;
- un amendement pour préciser que l'audit de cybersécurité sera réalisé par des prestataires agréés par l'ANSSI ;
- un amendement pour supprimer la présentation de l'audit lors de la première connexion à chaque service concerné mais maintenant le principe d'une information lisible, claire et compréhensible à l'aide d'un système coloriel.
En séance publique également, un amendement du rapporteur a été adopté contre l'avis du Gouvernement, précisant que l'audit de cybersécurité devra porter sur la sécurisation et la localisation des données hébergées .
IV. La position de la commission - L'adoption conforme du texte voté par l'Assemblée nationale
Sur le périmètre d'application, l'objectif principal du Sénat est d'avoir un dispositif qui, dans un premier temps, s'applique seulement aux plus grands acteurs et intègre les logiciels de visioconférence, dont l'utilisation s'est généralisée depuis le début de la crise sanitaire .
Après plusieurs modifications et de nombreuses hésitations du Gouvernement, c'est la notion d'opérateurs de plateforme en ligne qui a finalement été retenue par l'Assemblée nationale, mais les systèmes de messagerie instantanée et de visioconférence ont été explicitement inclus, conformément au souhait initial du Sénat.
Un décret d'application devra définir les seuils d'activité au-delà desquels les acteurs économiques seront concernés, dans la même logique que les dispositions adoptées par la commission des affaires économiques du Sénat.
Sur la nature et la dénomination du dispositif, l'objectif principal du Sénat est de permettre la création d'un dispositif d'information qui ne soit pas trop contraignant ou ni trop coûteux .
Il s'agit de trouver un équilibre entre réglementation et innovation et de ne pas pénaliser les TPE, les PME et les start-up innovantes en matière de services en ligne. Ainsi, la notion finalement retenue « d'audit de cybersécurité » se rapproche davantage de ce que la commission entendait par « diagnostic », au contraire de la notion de « certification ».
Sur le contenu de l'audit de cybersécurité, il doit toujours être déterminé par voie réglementaire .
La précision selon laquelle cet audit doit porter sur la sécurisation et la localisation des données est importante. En effet, la localisation permet de déterminer quel régime juridique est applicable. Une localisation au sein de l'Union européenne est la garantie de pouvoir bénéficier des protections permises par le droit de l'Union et le régime général de la protection des données (RGPD). C'est un enjeu de sécurité, mais aussi et surtout de souveraineté numérique.
La commission précise toutefois que la localisation ne peut pas être le seul critère utilisé pour apprécier les standards de sécurité de l'hébergement des données . Il y a des données qui sont hébergées de façon sécurisée en dehors de l'Union européenne, c'est pourquoi la Commission européenne peut par exemple prendre des décisions d'adéquation attestant que le niveau de protection des données dans un pays tiers est au moins équivalent à celui permis par le droit de l'Union. Une telle décision d'adéquation vis-à-vis des États-Unis a par exemple été invalidée par la Cour de justice de l'Union européenne.
C'est d'autant plus problématique que des données peuvent être stockées sur des serveurs et dans des centres de données situés dans l'Union européenne, mais hébergées par des logiciels de cloud américains. C'est toute la limite de la stratégie actuelle du Gouvernement et de son label « cloud de confiance », accordé alors que des entreprises utilisent des licences de logiciels américains.
La commission appelle à être vigilante sur ce point et à suivre avec attention l'élaboration de l'arrêté ministériel qui définira le contenu du futur audit de cybersécurité, car la localisation ne peut être le seul critère retenu de sécurisation des données .
Enfin, sur les modalités d'information aux consommateurs et de présentation du dispositif, les principales dispositions votées par le Sénat demeurent inchangées , permettant d'ouvrir la voie à la mise en place d'un véritable « Cyberscore ».
La commission a adopté cet article sans modification.
Article 3 (non
modifié)
Délai d'entrée en vigueur
Cet article vise à fixer un délai d'entrée en vigueur de la présente proposition de loi au 1 er octobre 2023.
La commission a adopté l'article 3 sans modification.
I. Le dispositif initial
Le dispositif initial ne prévoyait pas de délai d'entrée en vigueur de cette proposition de loi.
II. La position du Sénat en première lecture
Lors de l'examen en première lecture au Sénat, aucun délai d'entrée en vigueur de cette proposition de loi n'avait été prévu.
III. Les modifications apportées par l'Assemblée nationale
En séance, l'Assemblée nationale a adopté un amendement du rapporteur introduisant un délai d'entrée en vigueur de cette proposition de loi au 1 er octobre 2023.
IV. La position de la commission
Si ce délai semble lointain, la mise en place d'un audit de cybersécurité est inédite et technique. La définition du périmètre d'application et celle du contenu de l'audit de cybersécurité seront respectivement précisées par décret et par arrêté ministériel.
L'élaboration de ces mesures réglementaires nécessite des concertations. La commission considère qu'il est indispensable que les parlementaires, et plus particulièrement les sénateurs, car il s'agit d'une proposition de loi sénatoriale, soient associés à ces consultations afin que l'intention du législateur soit pleinement respectée.
Par ailleurs, la proposition de loi a été notifiée à la Commission européenne à l'issue de son examen en première lecture, conformément aux exigences de la directive européenne de 2015 relative aux services de la société de l'information.
Cette procédure de notification permet à la Commission européenne et aux autres États membres d'examiner, avant leur adoption, les règlements techniques que les États membres entendent adopter au niveau national concernant les produits et les services de la société de l'information.
Il s'agit de s'assurer que les textes envisagés sont compatibles avec la législation européenne et les principes qui s'appliquent au marché intérieur afin de détecter d'éventuels obstacles à la libre circulation au sein de ce marché.
Cette procédure permet également un dialogue entre les États membres pour identifier les besoins d'harmonisation des législations nationales au niveau de l'Union européenne (UE).
Dans l'éventualité où des observations seront formulées, le Gouvernement devant transmettre de telles informations au Parlement, les consultations liées à l'élaboration des mesures réglementaires d'application pourront permettre de prendre en compte les remarques de la Commission européenne et des autres États membres. La commission sera attentive à ce point.
La commission a adopté cet article sans modification.