Information relative à la sécurité et la localisation des données hébergées par les plateformes
loi n° 2022-309 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (parue au Journal officiel n° 53 du 4 mars 2022).

Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
La cybersécurité est un enjeu majeur de notre souveraineté numérique. L’Agence nationale de la sécurité des systèmes d’information (Anssi) définit la cybersécurité de façon technique, comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ». Il s’agit donc de préserver de diverses menaces techniques les données professionnelles et à caractère personnel stockées et les services qui leur sont associés. Le règlement 2016/679 relatif à la protection des données à caractère personnel (RGPD) impose aux responsables de traitement d’assurer la sécurité des données (art 32). Le responsable de traitement est libre d’adopter des mesures techniques et organisationnelles pour garantir la sécurité des données traitées en fonction des risques identifiés, notamment par une analyse d’impact sur la protection des données personnelles (AIDP). Le RGPD n’impose pas de certification. Une certification est imposée pour l’hébergement des données de santé par un hébergeur certifié conformément aux dispositions de l’article L 1111-8 du Code de la Santé publique (certification HDS, référentiel de l’ANS). Cette obligation de sécurité est également imposée à certaines plateformes (places de marché, moteurs de recherche, services cloud) par le droit européen de la cybersécurité, lequel prévoit également, à terme, des certifications harmonisées de cybersécurité. Le droit des communications électroniques impose, enfin, à certains services en ligne des obligations de sécurité. En ce qui concerne les marchés publics, aucune disposition dans le code de la commande publique n’impose à l’acheteur public de prendre en compte la cybersécurité des solutions proposées. Cela ne doit cependant pas empêcher les acheteurs publics de prendre en compte les impératifs qui y sont liés lors de l’achat de fournitures ou de services à travers les marchés publics. Il en résulte que de manière générale, une certification sur la sécurité et la localisation des données traitées, reste une démarche volontaire de l’entreprise concernée.
Sur le modèle du diagnostic de performance énergétique mis en place pour décrire clairement l’impact environnemental d’un logement à son acheteur, la loi n°2022-309 du 3 mars 2022 pour objet la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public. La loi a introduit un nouvel article L 111-7-3 du Code de la consommation visant à créer une certification de cybersécurité des plateformes numériques, des services de messagerie et des logiciels de visioconférence à destination du grand public.
Champ d’application
La loi vise « Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6o quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret ».
L’obligation d’audit de sécurité est imposée aux opérateurs de plateforme en ligne, logiciels de visioconférence, systèmes de messagerie instantanée. La difficulté résidera sans doute dans la définition, par voie réglementaire, des seuils au-delà desquels les opérateurs de plateformes en ligne et les entreprises seront concernés. Il s’agit de trouver un équilibre entre innovation et réglementation.
Audit de cybersécurité
Le dispositif est une véritable «Audit de cybersécurité » délivrée par des organismes habilités par l’ANSSI. L’audit de cybersécurité devra être réalisé par des prestataires agréés par l’Anssi et portera sur la sécurisation et la localisation des données. Le contenu de cet audit de cybersécurité, qui sera défini par arrêté ministériel. Le critère de localisation des données est important, car déterminant le régime juridique applicable en matière de protection des données et participant de l’affirmation d’une plus grande souveraineté numérique. La difficulté résidera dans la définition des autres indicateurs pertinents pour réaliser cet audit. Des critères techniques pourraient être retenus, comme le chiffrement de bout en bout pour les services numériques impliquant des communications.
La loi renvoie à un arrêté conjoint des Ministres chargés du numérique et de la consommation, pris après avis de la CNIL, pour déterminer, des indicateurs utilisés pour élaborer cet audit, la liste des organismes habilités à le faire ainsi que sa durée de validité.
Les modalités d’information des consommateurs.
La présentation du diagnostic de cybersécurité à l’aide d’un système d’information coloriel lors de la première connexion à chaque service concerné a été supprimé au cours des travaux parlementaires. Seul le principe d’une information lisible, claire et compréhensive est maintenu. Sénat a opté pour un système coloriel qui s’inspire de la présentation du Nutriscore. Cette proposition a été maintenue par l’Assemblée nationale.
Sanction
En application de l’article L. 131-4 du code de la consommation, tout manquement à ces dispositions serait passible d’une amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale, prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Entrée en vigueur
La loi entrera en vigueur le 1er octobre 2023.