Qu'est-ce que l’obligation de certification de cybersécurité des plateformes ? Qu'est-ce que l’obligation de certification de cybersécurité des plateformes ?

Qu'est-ce que l’obligation de certification de cybersécurité des plateformes ?

La cybersécurité est l’appellation utilisée pour désigner la sécurité informatique. C’est l’ensemble des moyens de protection techniques et juridiques mis en œuvre pour les réseaux, les ordinateurs, les smartphones et autres appareils mobiles, les systèmes électroniques et les données contre les attaques malveillantes. 

L’évolution exponentielle du cyberespace engendre la multiplication de ces cyberattaques, ce qui impacte fortement la sécurité des utilisateurs.

La cybersécurité est indispensable pour lutter contre la cybercriminalité. La mise en place d’une réglementation stricte pour assurer la protection des individus sur les plateformes en ligne est un objectif majeur de l’Union européenne et de la France.

 

Que faut-il entendre par certification de cybersécurité des plateformes ?

Afin d’accroître la protection des utilisateurs et d’inciter les plateformes à être de plus en plus transparentes sur la manière dont ces dernières exploitent les données personnelles, le Parlement français a promulgué le 3 mars 2022 la loi n° 2022-309 mettant en place une certification de cybersécurité des plateformes numériques destinées au grand public.

Cette loi créée un nouvel article L111-7-3 au sein du Code de la consommation.

Cet article énonce que les opérateurs de plateformes en ligne dont l'activité dépasse un ou plusieurs seuils qui seront définis ultérieurement par décret, devront réaliser un audit de cybersécurité.

Les résultats de ces audits devront présenter la sécurisation et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation.

 

Quelles plateformes devront se conformer à cette nouvelle réglementation ?

L’article 1 de la loi n°2022-309 présente les différents types de plateformes qui devront se soumettre à cette nouvelle réglementation. 

Ce sont les opérateurs de plateforme mentionnés à l’article L 111-7 du Code de la consommation. Cet article énonce également une obligation d’information loyale, claire et transparente qui incombe aux opérateurs de plateforme en ligne envers les consommateurs.

Selon cet article, est qualifié d’opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 

  • Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers. Les réseaux sociaux, tels que Facebook, Instagram et Twitter rentre dans cette catégorie.
  • Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service. Les plateformes telles que Amazon, Leboncoin et AirBnb font quant à eux parties de cette catégorie. 

Sont également soumises à l’obligation prévue par la loi n°2022-309 les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l'article L. 32 du code des postes et des communications électroniques. WhatsApp et Messenger sont des plateformes qui rentrent dans cette catégorie.

 

Quelles formes devront prendre ces audits ?

L’audit mentionné par la loi mettant en place une certification de cybersécurité des plateformes numériques sera effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information, ce qui permettra d’assurer l’indépendance des experts qui réaliseront ces audits, afin de garantir la véracité des informations qui découleront de l’audit. L'ANSSI est présentée comme étant l'autorité nationale en matière de sécurité et de défense des systèmes d'information. 

Par ailleurs, cette agence connaît actuellement une transformation importante afin de mieux répondre aux cyberattaques perpétuées sur le territoire français. Son rôle dans la qualification des prestataires d’audit participe à la construction d’un « écosystème de cybersécurité » en France.

Cet audit doit certifier la sécurité de la plateforme, il doit être présenté au consommateur de façon lisible, claire et compréhensible. Il est également précisé que cet audit doit être complété par une présentation ou une expression réalisée au moyen d’un système d’information.

Ces conditions de forme sont semblables à celles du logo nutri-score, apposé sur les produits alimentaires pour en certifier la qualité. L’Assemblée nationale a par ailleurs décrit cette certification comme étant un « cyber-score ».

Il est également prévu qu’un prochain arrêté vienne fixer les critères qui devront être pris en compte par l’audit, ainsi que ces conditions en matière de durée de validité et les modalités de sa présentation. Cet arrêté sera pris conjointement par les ministres chargés du numérique et de la consommation, après avis de la Commission nationale de l'informatique et des libertés.

 

Quelles sont les sanctions encourues en cas de manquement à cette obligation ? 

L’article deux de la loi n°2022-309 prévoit l’entrée en vigueur de la présente loi au premier octobre 2023. 

Le point deux de l’article 1 de la loi n°2022-309 modifie l’article L131-4 du Code de la consommation en ajoutant la mention de l’article L111-7-3 du Code de la consommation. 

L’article L131-4 du Code de la consommation énonce le montant de l’amende prévu en cas de manquement aux articles L111-7, L111-7-2 et L111-7-3. 

Les plateformes numériques destinées au grand public qui dépassent les seuils prévus par le décret et qui ne réalise pas d’audit de cybersécurité encourent une amende de 75.000 € pour une personne physique et 375.000 € pour une personne morale.

 

 

Notre cabinet Avomedias, fondé sur le droit des nouvelles technologies de l’information et de la communication, peut vous accompagner et vous conseiller sur les nouveaux enjeux portés par la cybersécurité. 

Vous pouvez consulter notre article « Cabinet d’avocat en Cybersécurité » si vous souhaitez avoir plus d’informations la notion de cybersécurité et les différentes protections juridiques que vous pouvez utiliser pour vous protéger des cybermenaces. 

Vous pouvez également consulter notre article « Avocat en données personnelles et de votre mise en conformité RGPD » si vous souhaitez que notre cabinet vous accompagne pour aider votre entreprise à se mettre en conformité avec la réglementation en vigueur.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

contact@avomedias.law
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire
01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.