Pourquoi transposer au cyber le nutri-score des produits alimentaires ?
Quels sont les acteurs numériques concernés ?
Quels sont les facteurs de conformité utilisés pour générer ce score ?
Une idée simple qui ne sera néanmoins pas facile à mettre en œuvre.
Informer le consommateur sur la sécurité de ses données : la confiance résulte du contrôle.
Les utilisateurs des plateformes, s’ils ont bien conscience que leurs données son monétisées dès leurs premiers clics, se sentent toutefois captifs et impuissants face aux géants du numérique. Aujourd’hui, le législateur décide de leur imposer la transparence sur la cybersécurité de ces données qui est devenue un facteur essentiel de confiance et de fiabilité. La sécurité des données renvoie à 4 notions : leur confidentialité, la préservation de leur intégrité, l’accessibilité des données et la résilience du système d’information.
Actuellement, les fournisseurs de services numériques sont soumis à une obligation générale de sécurité (loi du 26 février 2018, article 32 du RGPD [1]).
Il s’agit des places de marché en ligne, des moteurs de recherche et des services de cloud. Ils doivent déjà délivrer aux utilisateurs une information loyale, claire et transparente sur les conditions générales d’utilisation du service, les modalités de référencement, de classement ou de déréférencement des offres mises en ligne.
Protéger les citoyens dans l’espace numérique avec un cyberscore.
Pour vérifier le respect de ces obligations légales, il faudrait lire très attentivement la Politique de confidentialité de la plateforme et ses conditions générales d’utilisation. Cela serait bien sûr fastidieux, incompréhensible pour le citoyen lambda et en outre ne permettrait pas de connaître la réalité de la sécurité offerte aux données que seul un audit des systèmes d’information pourrait établir.
Le dispositif législatif a pour but de rendre lisibles ces informations grâce à un système d’étiquetage simplifié avec un système d’information coloriel couramment utilisé par les consommateurs. Le cyberscore offrira une information compréhensible qui est en fait le reflet d’un audit de cybersécurité.
Pour renforcer la confiance des utilisateurs, les plateformes en ligne devront afficher ce cyberscore à partir du 1er octobre 2023 (article 111-7-3 du Code de la consommation).
La loi Lafon concerne les plateformes dont l’activité dépasse un ou plusieurs seuils à définir par décret : sont concernés les moteurs de recherche, les réseaux sociaux, les fournisseurs de services de communication interpersonnelle comme WhatsApp et Messenger, les logiciels de visioconférence, les sites de petites annonces, les comparateurs et les marketplace (v. la notion d’ « opérateur de plateforme en ligne » art. L111-7 du Code de la consommation).
L’obligation de réaliser un audit de cybersécurité.
La méthodologie du dispositif sera précisée par un arrêté des ministres chargés du numérique et de la consommation après avis de la Commission Nationale Informatique et Libertés (CNIL). Il clarifiera les critères d’évaluation de l’audit, ses conditions de validité et ses modalités de présentation qui ont fait l’objet de débats animés au Parlement.
L’hypothèse d’une autoévaluation a ainsi été écartée par l’Assemblée nationale. Le cyberscore résultera d’une évaluation par un prestataire d’audit qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La saisine de la CNIL permettra d’intégrer à l’audit des facteurs de conformité avec la loi Informatique et Libertés.
Cet audit portera sur les données qu’ils hébergent directement ou par l’intermédiaire d’un tiers et vise :
la sécurisation des données : recours au chiffrement, à l’anonymisation, etc…
la localisation de l’hébergement : un facteur particulièrement critique puisque 90% des données françaises seraient hébergées sur des serveurs états-uniens,
et leur propre sécurisation.
Le contenu des critères d’évaluation n’étant pas encore adopté, des pistes sont envisagées telles que l’usage du chiffrement de bout en bout, le nombre de condamnations par une autorité de contrôle des données, ou encore le nombre de failles mises à jour (proposition de madame Anne-Catherine Loisier au Sénat).
Pour évaluer leur niveau de cybersécurité, les plateformes peuvent d’ores et déjà faire un auto-diagnostic, par exemple avec un test de pénétration [2] qui consiste à analyser l’infrastructure d’un réseau informatique pour simuler l’attaque d’un utilisateur mal intentionné ou d’un logiciel malveillant (appelé malware).
La sécurité numérique s’impose aussi pour les fabricants d’objets connectés. Ici, c’est la Commission européenne qui en fait une condition de conformité des produits sur le marché intérieur.
La cybersécurité des objets connectés.
Les dispositifs connectés font partie de la vie courante des citoyens les fonctionnent grâce à un accès à nos données à caractère personnel combinées aux réseaux de télécommunications. La crise sanitaire à fortement amplifié l’utilisation des équipements radio électriques à des fins professionnelles autant que personnelles. Or, des études européennes récentes ont identifié que de nombreux objets connectés posent des risques en termes de cybersécurité : des jouets qui espionnent des conversations d’enfants, des données à caractère personnel non cryptées stockées sur le dispositif, des fraudes de paiement, etc…
En octobre 2021, la Commission européenne a adopté un acte délégué dans le cadre de la directive sur les équipements radioélectriques [3] visant à améliorer la cybersécurité des objets connectés : montres, trackers de fitness, jouets connectés. Les consommateurs sont loin d’imaginer les cyber menaces générées par les défauts de protection de ces dispositifs numériques qu’il s’agisse d’atteintes à la vie privée, aux données à caractère personnel mais aussi de fraude financière.
Les fabricants devront intégrer la cybersécurité dès la conception et la production de leurs produits. Cela créé un standard européen commun de cybersécurité des produits et services circulant sur le marché intérieur et permet de renforcer la résilience du réseau en pêchant que ces divers objets ne deviennent des vecteurs d’attaque.
La protection des droits des enfants est un élément essentiel de cette législation puisque les fabricants devront mettre en place de nouvelles mesures pour empêcher un accès non autorisé ou la transmission de données à caractère personnel. Les dispositifs et produits devront aussi comporter des fonctionnalités pour minimiser le risque de fraude lors de paiements électroniques, par exemple en assurant un meilleur contrôle de l’authentification de l’utilisateur.
Ce dispositif qui est entré en vigueur fin 2021 prévoit une période de transition de 30 mois pendant lesquels les fabricants doivent commencer à se mettre en conformité avec les nouvelles exigences légales. Ce délai permet à l’industrie d’adapter ses produits avant que ces obligations ne leur soient opposables en 2024.
La Commission soutient les efforts des fabricants dans leur mise en conformité en demandant aux organisations européennes de normalisation de développer des normes pertinentes. Alternativement, les fabricants devront aussi être en mesure de prouver la conformité de leurs produits à travers leur évaluation par des organismes tiers identifiés.