France : le Sénat adopte de façon définitive la proposition de mise en place d'une certification de cybersécurité des plateformes numériques grand public,

Le cyberscore entre en vigueur en 2023

Le 24 février 2022, le Sénat a voté de façon définitive (sans modification) en deuxième lecture la proposition de loi. Le texte avait été déposé par le sénateur Laurent Lafon et plusieurs de ses collègues le 15 juillet 2020. Il avait été adopté en première lecture, avec modifications, par le Sénat le 22 octobre 2020, puis par l'Assemblée nationale le 26 novembre 2021.


L’intégralité du compte-rendu de l’adoption définitive

Mme la présidente. - L'ordre du jour appelle la discussion en deuxième lecture de la proposition de loi, modifiée par l'Assemblée nationale en première lecture, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, à la demande du groupe UC.


M. Cédric O, secrétaire d'État, chargé de la transition numérique et des communications électroniques . - Les deux chambres ont enrichi et adopté en première lecture cette proposition de loi du sénateur Lafon, déposée le 15 juillet 2020.

La menace cyber va croissant, les attaquants redoublant d'imagination contre les citoyens, les entreprises, les administrations, les établissements de santé, sous diverses formes. Ces derniers mois, les tentatives d'arnaques au compte formation ont ainsi explosé.

Les risques sont cependant mieux connus, grâce à de vastes campagnes d'information. Nous avons adopté des réflexes d'hygiène numérique en matière de lutte contre le risque cyber.
Je salue le travail de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et des équipes de cybermalveillance.gouv.fr, qui luttent quotidiennement contre ces menaces.
La lutte contre ce phénomène appelle une réponse systémique européenne et un changement des usages.

C'est le sens des travaux engagés au niveau européen pour l'adaptation de notre cadre réglementaire, dans la droite ligne du Règlement général sur la protection des données (RGPD). Nous soutenons notamment une révision ambitieuse de la directive Network and Information Security (NIS).

Il faut également poursuivre l'information des consommateurs pour modifier les comportements. Cela a fonctionné en matière d'alimentation avec le Nutriscore et nous pouvons nous en inspirer. Les conditions générales d'utilisation contiennent de nombreuses informations pour un consommateur avisé, mais elles semblent peu exploitables pour le plus grand nombre. Nous devons aller vers plus de transparence. La cybersécurité souffre d'une image de science froide, seulement accessible aux initiés : il faut rendre le sujet plus accessible.

Je réitère le soutien du Gouvernement à cette proposition de loi, qui a quelque peu évolué depuis son dépôt, au gré d'aménagements constructifs. Il reviendra à l'exécutif de préciser plusieurs éléments ; nous nous y emploierons.

La direction prise est la bonne : plus grande information du consommateur, plus grande transparence de cette information. Les bases d'un cercle vertueux sont ainsi posées. (Applaudissements sur les travées du RDPI ; MM. Laurent Lafon et Pierre Louault applaudissent également.)

Mme Anne-Catherine Loisier, rapporteure de la commission des affaires économiques . - (Applaudissements sur les travées du groupe UC) La commission a adopté à l'unanimité ce texte de création d'un cyberscore visant à informer les consommateurs sur la sécurité des solutions numériques qu'ils utilisent. L'enjeu est de taille.

Le rapport Meurant-Cardon indique que 43 % des entreprises françaises ont connu un problème de cybersécurité en 2020, que 16 % des cyberattaques ont menacé la survie des entreprises concernées et que les attaques au rançongiciel ont été multipliées par quatre en un an.

Quant au rapport Babary-Gatel, il a montré que 30 % des collectivités territoriales en ont été victimes en 2020, mais que peu ont pris des mesures.

Entreprises et collectivités territoriales sont désormais mieux informées, mais l'information des consommateurs demeure insuffisante, à l'heure où nous utilisons de plus en plus de solutions numériques pour le travail et les loisirs, sans être toujours très précautionneux. Les attaques et incidents sont de plus en plus fréquents ; nos habitudes, elles, n'évoluent pas en conséquence.

L'article premier porte sur le périmètre du texte. Nous avions souhaité inclure les plateformes numériques les plus utilisées, ainsi que les logiciels de visioconférence. Finalement, l'Assemblée nationale a retenu la notion d'opérateurs, à laquelle les logiciels de messagerie instantanée et de visioconférence ont été ajoutés.

Un deuxième enjeu concerne la nature du dispositif ; le Sénat souhaitant qu'il ne soit ni trop coûteux ni trop contraignant pour les PME. Un équilibre a été trouvé avec un audit de cybersécurité réalisé par des prestataires agréés par l'ANSSI.

Enfin, le contenu de l'audit sera défini par arrêté ministériel. Il portera sur la sécurisation, mais aussi la localisation, des données ; nous y sommes favorables, car une localisation européenne offre des garanties supérieures de sécurité en matière juridique notamment.

Mais la localisation ne peut être le seul critère. Il convient également d'examiner les standards de stockage des données. La Commission européenne doit attester que le niveau de protection est le même dans tous les États membres. Une telle décision d'adéquation vis-à-vis des États-Unis a été récemment invalidée par la Cour de justice de l'Union européenne dans l'arrêt Privacy Shield. C'est crucial : des données peuvent se trouver sur des serveurs et dans des centres de données localisés dans l'Union européenne, mais hébergés par des logiciels de cloud américain... C'est la limite du label cloud de confiance.

Le dernier point concerne l'information du consommateur et la présentation du dispositif, qui devra être claire et lisible, avec un système de couleurs.
Nous avions supprimé l'article 2 relatif aux règles applicables à la commande publique et l'Assemblée nationale nous a suivis, ce qui permet de recentrer le texte sur l'information du consommateur.

Enfin, le délai d'entrée en vigueur est fixé au 1er octobre 2023, ce qui nous semble cohérent au regard du temps nécessaire à la conduite des audits.
Nous souhaitons être associés aux consultations qui précéderont l'élaboration des mesures réglementaires.

Ce texte a été soumis à la Commission européenne : ses remarques pourront être prises en compte dans le cadre des textes réglementaires.

Les modifications votées par l'Assemblée nationale vont dans le bon sens. Aussi, nous vous proposons d'adopter ce texte conforme. (Applaudissements sur les travées du groupe UC, au banc de la commission et sur quelques travées du groupe Les Républicains)

M. Ludovic Haye . - Ce début d'année constitue une nouvelle étape dans l'utilisation d'internet dont l'ONU veut garantir le droit. Mais il représente aussi une menace, économique et de sécurité. Souvenons-nous de la panne généralisée de Facebook, Instagram et WhatsApp le 4 octobre 2021, avec une perte d'un demi-million de dollars par heure...
Les cyberattaques ne cessent d'augmenter et le traçage des auteurs demeure difficile. En 2021, la liste des établissements de santé visés par des rançongiciels n'a cessé de s'allonger.
Les pouvoirs publics doivent se mobiliser davantage. Le Gouvernement s'est fixé des objectifs ambitieux et y consacrera 720 millions d'euros de financement public d'ici 2025, pour faire émerger trois licornes françaises et stimuler la recherche.

Le campus cyber inauguré le 15 février dernier rassemble des acteurs publics et des entreprises de la cybersécurité. Plus de 1 600 personnes devraient y travailler à terme : salariés d'entreprises, agents de l'ANSSI, policiers, gendarmes...

La cybersécurité constitue une priorité de la présidence française du Conseil de l'Union européenne (PFUE) ; je pense notamment à la révision ambitieuse de la directive NIS.
Cette proposition de loi concerne les opérateurs de plateformes, de messagerie et de visioconférence. Elle porte aussi sur la localisation et le stockage des données, avec un objectif de transparence. Au même titre que le nutriscore, le cyberscore permettra aux citoyens de savoir comment sont protégées leurs données personnelles.
Nous soutenons ce texte. (Applaudissements sur les travées du groupe UC et au banc de la commission)

M. Joël Guerriau . - (Applaudissements sur les travées du groupe INDEP ; M. Pierre Louault applaudit également.) Une part toujours plus importante de nos vies se déroule en ligne et la pandémie a renforcé ce phénomène. Les services se dématérialisent de plus en plus et le contact humain se réduit. Quelle entreprise peut se passer d'internet aujourd'hui ?
Cette évolution présente de nombreux avantages, mais n'est pas sans risques : les attaques se multiplient, paralysant entreprises, hôpitaux, particuliers. Dernier exemple en date, l'attaque contre Transavia, dont les données ont été piratées.

Nous devons protéger nos données. Le RGPD garantit une protection juridique, mais non technique. C'est à ce besoin que répond le présent texte.
Il s'agit d'évaluer le niveau technique de...