Ce vendredi, l’Assemblée nationale quasi unanime a approuvé en première lecture une proposition de loi portant sur la création d’un « cyberscore ». Il s’agirait d’un repère pour informer les utilisateurs d’outils numériques sur la sécurisation de leurs données.
Un « cyberscore » va bien faire son apparition
Le texte, initié au Sénat par l’Union centriste il y a plus d’un an, repart désormais pour la chambre haute afin d’être validé définitivement. « Nous ne pouvons pas faire preuve de naïveté, notre vie numérique comporte des risques », avait souligné Cédric O, le secrétaire d’État à la Transition numérique, devant les sénateurs.
L’idée est de compléter le code de la consommation en y ajoutant une obligation pour les opérateurs de communiquer les informations relatives à la sécurité des données hébergées par eux-mêmes ou leurs prestataires, de cloud notamment. Cela se traduira pour les utilisateurs par un visuel « cyberscore », à l’image du « nutriscore » pour les produits alimentaires. Cet audit sera effectué par des prestataires qualifiés par l’Autorité nationale de la sécurité des systèmes d’information (Anssi). L’entrée en vigueur est prévue au 1er octobre 2023.
Tout le monde n’est pas concerné
La question du périmètre d’application fait cependant débat. Les députés ont adopté un amendement renvoyant à un décret la fixation des opérateurs concernés. Les plus importants doivent être soumis à l’obligation, mais pas les petits acteurs pour lesquels ce serait trop lourd et coûteux, a estimé Christophe Naegelen (UDI), le rapporteur à l’Assemblée nationale. Contre l’avis du gouvernement, les députés ont aussi décidé que la localisation des données hébergées devait faire partie intégrante du diagnostic de cybersécurité.
« Il paraît essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme », dans le sens de l’affirmation d’une « souveraineté numérique », ont motivé les auteurs de l’amendement, Christophe Naegelen et Philippe Latombe (MoDem). Mais, a opposé en vain Cédric O, que les données soient « localisées sur le territoire ne protège pas » et peut donner un sentiment de « fausse sécurité ».
