Ainsi que nous le soulevions dans un précédent article, le contexte actuel de confinement et de crise (sanitaire, économique,…) a conduit nombre d’entreprises à organiser le travail à distance de leurs collaborateurs, ce dont il résulte un risque d’autant plus important en matière de sécurité des données à caractère personnel.
C’est dans ce contexte que des sénateurs ont déposé une proposition de loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public », ayant vocation à créer un nouvel article L.111-7-3 du Code de la consommation, laquelle a été adoptée en première lecture par le Sénat le 22 octobre 2020.
Quel est l’objet de ce texte ?
Cette proposition de loi a pour objet de créer une sorte de « nutriscore » de la cybersécurité des solutions numériques, autrement dit « un cyberscore », ayant vocation à imposer nouvelle obligation d’information des consommateurs à la charge des fournisseurs de services de communication au public en ligne.
Ainsi que l’a relevé la commission des affaires économiques, si le Règlement 2016/679 du 27 avril 2016 sur la protection des données (dit « RGPD ») impose aux responsables de traitement et aux sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, ce texte ne prévoit toutefois pas d’informer sur la cybersécurité des solutions proposées par un prestataire de solutions numériques, d’où l’opportunité de prévoir un texte spécifique à cet effet.
Selon les termes de ce texte en cours de discussion, les fournisseurs de services de communication au public en ligne concernés devront, après auto-évaluation de leurs pratiques, afficher un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers (cf. prestataires de « cloud » notamment). Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés (ou « Cnil »), devra fixer les critères qui sont pris en compte par le diagnostic précité, ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.
Le rapport de la commission des affaires économiques a d’ores et déjà donné quelques pistes de critères qui pourraient servir d’indicateurs, à savoir :
- le nombre de condamnations par une autorité de contrôle en matière de protection des données à caractère personnel ;
- le nombre de failles de sécurité recensées ;
- l’existence d’une loi à portée extraterritoriale « menaçant » la protection des données à caractère personnel ;
- des indicateurs plus techniques comme le chiffrement des données de bout en bout pour les services numériques impliquant des communications.
Cette proposition de loi précise également que le diagnostic devra être « présenté au consommateur de façon lisible, claire et compréhensible et [être] accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic [devra être] présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier ».
Qui serait concerné par cette nouvelle obligation d’information ?
Le texte avait initialement vocation à ne s’appliquer qu’aux opérateurs de plateforme en ligne au sens de l’article L.111-7 du Code de la consommation mais son périmètre a été étendu à tous les fournisseurs de services de communication au public en ligne (ce qui inclut notamment tous les services numériques tels que les sites internet, les logiciels en ligne et autres applications, mais aussi les logiciels de visioconférences). Il limite toutefois le champ d’application du dispositif aux services numériques les plus utilisés, dont l’activité dépasse un ou plusieurs seuils, dont un seuil de nombre de connexions, qui devront être définis par décret.
* *
*
Cette proposition de loi a désormais été transmise à l’Assemblée Nationale pour discussion et vote.
AGIL’IT ne manquera pas bien entendu pas de vous tenir informés des évolutions en la matière et se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques en qualité de services de communication au public en ligne au regard de la réglementation applicable, et notamment du droit de la consommation et de la protection des données à caractère personnel.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate