Après un passage au Sénat, l’Assemblée nationale valide le principe d’un cyberscore pour les fournisseurs de service de communication au public en ligne.
L’Assemblée a approuvé vendredi dernier la proposition de loi présentée en fin d’année 2020 par le sénateur Laurent Lafon (UDI). Le texte a été approuvé vendredi 26 novembre par les députés, qui ont néanmoins modifié plusieurs aspects de la proposition initiale.
Les deux chambres devront donc dorénavant s’accorder sur une version commune avant que le texte ne soit promulgué par le gouvernement.
Le nutriscore de la cybersécurité
Le principe du cyberscore est de proposer, comme pour le nutriscore de l’industrie agroalimentaire, un indicateur coloré permettant d’indiquer le niveau de sécurisation des données.
La version du texte approuvée par l’Assemblée nationale introduit plusieurs modifications par rapport à celle présentée par le Sénat.
Ainsi, le cyberscore de l’Assemblée entend prendre en compte à la fois la sécurisation des données ainsi que leur localisation, un amendement proposé par le député Philippe Latombe (Modem), également auteur d’un rapport sur la promotion de la souveraineté nationale et européenne.
Un audit de l’Anssi
Seconde évolution apportée par les députés, le texte prévoit maintenant que le cyberscore sera lié à un audit réalisé « par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information ».
L’Anssi propose en effet une qualification à destination des prestataires d’audit, la qualification PASSI, et l’Assemblée nationale aimerait que ces prestataires soient chargés de l’audit de sécurité lié au cyberscore.
C’est une contrainte plus lourde que celle prévue par le texte du Sénat, qui avait finalement opté pour une autoévaluation des entreprises concernées par le projet et un contrôle a posteriori.
Une amende salée
L’Assemblée nationale compte sur une entrée en vigueur du texte pour le 1er octobre 2023. Les entreprises concernées par le projet de cyberscore mais qui refuseraient de l’afficher après cette date s’exposeront à une amende pouvant aller jusqu’à 375 000 euros.
Le texte doit maintenant être examiné en deuxième lecture par le Sénat, afin que les deux chambres du Parlement s’accordent sur une version commune.
De nombreux détails du texte restent encore à déterminer : ainsi, les entreprises qui seront tenues d’afficher ce cyberscore seront désignées par un ensemble de critères qui doivent être définis par décret. De la même manière, les critères pris en compte par l’audit seront fixés par un arrêté conjoint des ministres chargés du Numérique et de la Consommation.
