Le CyberScore doit entrer en vigueur en 2023. Le texte de loi qui organise ce barème semblable au NutriScore est encore en cours d'examen au Parlement. Que faut-il en retenir ?

Qu’est-ce que c’est, le CyberScore ?

Le CyberScore est le surnom donné au projet porté par une proposition de loi en cours de discussion. Il s’agit de la proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public. Il s’agit en fait d’établir un barème simple, pour que les internautes puissent comprendre en un coup d’œil le degré de sécurisation informatique des sites qu’ils fréquentent.

Le concept est à rapprocher du NutriScore que l’on trouve sur de plus en plus de produits alimentaires. Le public est libre de toujours acheter des paquets ayant la plus mauvaise note, mais il ne peut plus vraiment prétexter l’ignorance. Bien que le NutriScore n’offre pas une solution parfaite, cela permet aussi de synthétiser d’un coup les nombreuses données nutritives, sans avoir à tout décortiquer ligne par ligne.

Pour éviter une auto-évaluation par les sites, le texte prévoit aujourd’hui de mettre dans la boucle des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Selon le sénateur Laurent Lafon, à l’origine du texte, un CyberScore pourrait à terme inciter les plateformes à améliorer leurs pratiques, pour bénéficier d’une meilleure notation.

À quoi ressemble le CyberScore ?

Le CyberScore devrait adopter un look semblable au barème en vigueur avec le NutriScore. Le texte de loi demande à ce que le résultat de l’audit soit présenté « de façon lisible, claire et compréhensible et [soit] accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ». En clair, un code couleur, avec probablement des notes.

Qui sera concerné par le CyberScore ?

La loi dit cibler les opérateurs de plateformes en ligne qui proposent « un service de communication au public en ligne ». Dans des termes un peu plus explicites, sont potentiellement concernés des services de visioconférence, des messageries ou encore des moteurs de recherche. En clair, des entreprises comme Google, WhatsApp, Zoom, Skype, Bing ou Messenger.

Pour éviter de ratisser trop large, il est prévu de ne retenir que les plateformes « dont l’activité dépasse un ou plusieurs seuils », dont celui du trafic. Les seuils devront faire l’objet d’une publication dédiée, à travers un futur décret. Le CyberScore concernera les opérateurs qui effectuent eux-mêmes l’hébergement des données, mais aussi ceux qui font appel à un tiers.

De fait, le public sera aussi concerné par le CyberScore, car le dispositif vise avant tout à leur délivrer une information rapidement compréhensible sur le niveau de prestation de telle ou telle plateforme. Libre à lui ensuite d’en tenir compte ou pas. Il n’est pas certain, toutefois, qu’une mauvaise note soit dissuasive. D’autres considérations entrent en ligne de compte et peuvent être plus prioritaires — rejoindre un réseau social mal noté, mais que tous vos amis utilisent par exemple.

Quels sont les critères du CyberScore ?

En l’état actuel du débat parlementaire, la loi ne détaille pas les critères d’évaluation pour établir le CyberScore de telle ou telle entreprise. Cette liste doit être établie dans un arrêté ultérieur, pris par le gouvernement — par les ministres chargés du numérique et de la consommation. Ces éléments seront éclairés par un avis de la Commission nationale de l’informatique et des libertés (Cnil).

Les critères vont se focaliser sur deux aspects : la sécurité des données, mais aussi leur localisation, c’est-à-dire l’endroit où elles sont hébergées. Le lieu géographique du stockage est devenu un enjeu, dont l’ampleur a crû au rythme du développement de l’usage du cloud. En effet, les géants de la tech sont surtout américains et, de ce fait, leur nationalité soulève des questions juridiques sur la protection des données.

Il est indiqué dans le texte que la durée de validité du CyberScore devrait être limitée dans le temps, de sorte que les plateformes concernées soient contraintes de se plier régulièrement à de nouveaux audits. On comprend pourquoi : il s’agit notamment de vérifier si le niveau de sécurité des plateformes n’a pas baissé. Les critères du CyberScore pourraient aussi évoluer dans le temps.

Quand entre en vigueur le CyberScore ?

La proposition de loi est en cours d’examen au Parlement. Le texte a été adopté en première lecture au Sénat le 22 octobre 2020 et par l’Assemblée nationale le 26 novembre 2021. Son parcours législatif n’est pas terminé : le texte repart maintenant à la chambre haute, pour une seconde lecture, d’abord en commission, puis en séance. Le même programme est prévu pour la chambre basse.

Le texte adopté fin novembre inclut un article qui fixe l’entrée en vigueur de la loi au 1er octobre 2023. Une échéance lointaine, qui laisse du temps pour préparer les critères d’évaluation du CyberScore, mais aussi de la marge pour effectuer les évaluations. Ce sursis doit aussi servir aux plateformes pour effectuer d’éventuels ajustements, si elles souhaitent remonter dans le classement.

