Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public

Issue d’une proposition de loi déposée sur le bureau du Sénat le 15 juillet 2020, la loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public a été publiée au Journal officiel de la République française le 4 mars 2022.

Comme le souligne le rapport fait au nom de la commission des affaires économiques lors de l’examen du texte en première lecture au Sénat : "selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net. Cependant, on observe que cette prise de conscience n'amène pas forcément à un changement d'habitudes. Ainsi, de nombreux Français, y compris des organisations institutionnelles, se sont précipités, lors du confinement, sur les solutions de visioconférences les plus faciles à utiliser sans se préoccuper des risques quant à la confidentialité des échanges.

Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage, manipulation."


De plus, au-delà des cyberattaques, la question de savoir si les entreprises auxquelles les pouvoirs publics décident de recourir pour opérer certains de leurs services présentent des garanties suffisantes quant à la sécurité des données qu'elles traitent est régulièrement posée.

La loi du 3 mars 2022(1), crée un nouvel article L. 111-7-3 dans le code de la consommation qui oblige les opérateurs de plateformes en ligne et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, à réaliser à compter du 1er octobre 2023 un audit de cybersécurité, dont les résultats doivent être mis à la disposition des consommateurs. Pour chacune de ces deux catégories d’opérateurs, la fourniture d’un audit de cybersécurité s’imposera à condition que l’activité exercée dépasse un ou plusieurs seuils définis par décret.

Ces dispositions visent à obliger les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité afin de mieux les informer sur la sécurisation de leurs données et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers.

Cette obligation donne accès aux consommateurs, personnes physiques ou morales, à une information lisible, claire et compréhensible quant au niveau de sécurité des solutions numériques qu’ils utilisent, une sorte de “cyberscore“ des solutions numériques.

                                                

Ces diagnostics devront être effectués par des prestataires d'audit qualifiés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés, fixera les critères qui sont pris en compte par l'audit et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.

Afin de rendre cette obligation d’information contraignante, la loi du 3 mars 2022 précise que tout manquement est passible d'une amende administrative pouvant aller jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale. Celle-ci pourra être prononcée par l'autorité administrative chargée de la concurrence et de la consommation conformément aux dispositions du chapitre II du titre II du livre V du code de la consommation.
 
Notes
puce note (1) Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public
 
 
Informations légales | Données personnelles