Sécurité des données numériques: les députés font un pas vers la création d’un «cyberscore»

429

L’Assemblée nationale quasi unanime a approuvé vendredi en première lecture une proposition de loi portant sur la création d’un «cyberscore», repère destiné à informer les utilisateurs d’outils numériques sur la sécurisation de leurs données. 

Le texte, initié au Sénat par l’Union centriste il y a plus d’un an, repart désormais pour la chambre haute afin d’être validé définitivement. 

«Nous ne pouvons pas faire preuve de naïveté, notre vie numérique comporte des risques», avait souligné devant les sénateurs le secrétaire d’Etat à la Transition numérique Cédric O. L’idée est de compléter le code de la consommation en y ajoutant une obligation pour les opérateurs de communiquer les informations relatives à la sécurité des données hébergées par eux-mêmes ou leurs prestataires, de cloud notamment. Cela se traduira pour les utilisateurs par un visuel «cyberscore», à l’image du «nutriscore» pour les produits alimentaires. Cet audit sera effectué par des prestataires qualifiés par l’autorité nationale de la sécurité des systèmes d’information (Anssi). L’entrée en vigueur est prévue au 1er octobre 2023. 

La question du périmètre d’application fait cependant débat. Les députés ont adopté un amendement renvoyant à un décret la fixation des opérateurs concernés. Les plus importants doivent être soumis à l’obligation, mais pas les petits acteurs pour lesquels ce serait trop lourd et coûteux, a estimé le rapporteur à l’Assemblée, Christophe Naegelen (UDI). Contre l’avis du gouvernement, les députés ont aussi décidé que la localisation des données hébergées devait faire partie intégrante du diagnostic de cybersécurité. «Il paraît essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme», dans le sens de l’affirmation d’une «souveraineté numérique», ont motivé les auteurs de l’amendement, Christophe Naegelen et Philippe Latombe (MoDem). Mais, a opposé en vain Cédric O, que les données soient «localisées sur le territoire ne protège pas» et peut donner un sentiment de «fausse sécurité».