L’obligation de certification de cybersécurité des plateformes

La loi n°2022-309 du 3 mars 2022 impose à certaines plateformes numériques une certification de cybersécurité. Ce texte doit entrer en vigueur dès le 1^er octobre 2023.

Un cadre de certification de cybersécurité

A l’instar du Cybersecurity Act mis en place au sein de l’Union Européenne, cette certification vise à protéger les données personnelles des utilisateurs desdites plateformes numériques en luttant contre les cyberattaques dont elles pourraient faire l’objet.

La loi n°2022-309 du 3 mars 2022 introduit dans le code de la consommation un nouvel article L.111-7-3. Cet article impose désormais à certaines plateformes numériques de fournir à ses utilisateurs un audit de cybersécurité.

Cet audit permettra de leur apporter un niveau d’information important sur la sécurisation de leurs données hébergées directement, ou par l’intermédiaire d’un sous-traitant, sur la plateforme numérique.

• Quelles sont les plateformes visées ?
• Qu’est-ce que la certification de cybersécurité ?
• Quelles sont les sanctions prévues en cas de non-respect de la loi ?

Quelles sont les plateformes visées ?

La fourniture d’un audit de cybersécurité s’impose:

• aux opérateurs de plateformes en ligne c’est-à-dire « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou service » (art. L. 111-7 du Code de la consommation). Sont donc concernés, mais pas uniquement, les :
  • moteurs de recherche (Google, Bing, etc.),
  • réseaux sociaux (Facebook, LinkedIn, etc.),
  • services de référencement avec ou sans mise en relation (TripAdvisor, Booking, etc.),
  • places de marché en ligne (eBay, Le Bon Coin, Amazon, Ventes Privées, etc.),
  • comparateurs de prix (Kelkoo, Opodo, etc.).
• aux fournisseurs de service de communication au public en ligne qui « fournissent les services permettant à leurs utilisateurs d’échanger des correspondances » (art. L32 du Code des postes et des communications électroniques). Sont donc concernés, mais pas uniquement, les :
  • services de visioconférence (Zoom, Teams, etc.),
  • messageries (Messenger, WhatsApp, etc.).

Ceci à condition toutefois que l’activité exercée par la plateforme concernée dépasse un ou plusieurs seuils de fréquentation définis par décret. Ce seuil fera l’objet d’un arrêté. Il pourrait s’élever à cinq millions de visiteurs uniques par mois. Un nombre aussi important s’expliquerait au regard du coût, tout aussi important, de la certification imposée.

Qu’est-ce que la certification de cybersécurité ?

Comparable au nutriscore que l’on retrouve sur les emballages alimentaires ou encore au score énergétique sur les appareils électroménagers, le cyberscore se présente sous la forme d’un diagramme coloré prenant en compte les différents niveaux de sécurité du site.

L’alinéa 4 du nouvel article L.111-7-3 du Code de la consommation précise en effet que :

• « Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».

Le cyberscore informe donc les utilisateurs des grandes plateformes numériques sur plusieurs points, le premier alinéa insistant notamment sur 3 points :

• • • la sécurisation des données hébergées ;
    • la localisation des données hébergées directement ou par l’intermédiaire d’un tiers, le sous-traitant ;
    • la sécurisation de la plateforme numérique elle-même.

Cela implique, conformément à l’alinéa 2 de article L.111-7-3 dans le Code de la consommation, de faire réaliser des certifications par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Quelles sont les sanctions prévues en cas de non-respect de la loi ?

La loi prévoit des sanctions importantes en cas de manquement par les plateformes numériques concernées à leurs nouvelles obligations.

Reprenant les dispositions prévues à l’article L. 131-4 du Code de la consommation, les plateformes numériques encourent une amende administrative dont le montant ne peut excéder 75.000 € pour une personne physique et 375.000 € pour une personne morale.

Cette loi permettra non seulement d’améliorer le niveau de sécurité des plateformes numériques mais également de rassurer les utilisateurs quant à l’utilisation encadrée qui est faite de leurs données. Il est donc particulièrement essentiel que le droit intervienne et continue à codifier les pratiques numériques des plateformes.

Alexandra Massaux
Tess Sedbon (élève avocate)
Lexing Technologies émergentes Contentieux