UN "CYBERSCORE" POUR NOTER LA SÉCURITÉ DE VOS DONNÉES PERSONNELLES ?

8 décembre 2020

A, B, C, D, E…, il ne s’agit pas d’une récitation de l’alphabet mais de l’éventuel « cyberscore», inspiré du « nutriscore », que vous pourriez voir apparaître sur les grandes plateformes numériques qui comptent au moins cinq millions de visiteurs uniques par mois. Nous devons le projet de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques au sénateur Laurent Lafon, qui affirme dans l’un de ses tweets que « Les Français ont besoin d’une information claire et lisible sur le niveau de protection de leurs données personnelles en ligne ».

 

Qu’est-ce que la cybersécurité ?

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) définit la « cybersécurité » comme « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyber espace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».

 

La cybersécurité consiste donc, en grande partie, en la protection de données des différentes menaces auxquelles elles sont exposées, à savoir, les tentatives de hacking de la part d’acteurs malveillants (les black hats) ou du fait de prestataires qui ne fourniraient pas de garanties suffisantes pour la protection des données notamment par la présence de lois à portée extraterritoriale[1].

 

Des cyberattaques de plus en plus importantes

 

Force est de constater l’omniprésence croissante du numérique dans le quotidien des Français, notamment au regard de la crise sanitaire actuelle. Cette crise a eu pour effet d’augmenter l’utilisation d’outils de visioconférence (notamment dans le cadre du télétravail). C’est de cette utilisation massive de ces outils que le projet de loi a vu le jour.

 

Cette croissance de l’utilisation du numérique est indissociable de l’augmentation d’attaques cyber qui, en exploitant les failles de sécurité de différentes plateformes, mettent en danger les données à caractère personnel des utilisateurs. Ces attaques pourraient même, au-delà de menacer leurs données personnelles, avoir un impact sur leur vie, au sens littéral[2].

 

Ces cyberattaques sont souvent dues à la négligence des employés, d’où l’importance des sensibilisations à la cybersécurité et à la protection des données personnelles au sein d’une entreprise. Cependant, ce n’est pas toujours le cas. En effet, ces cyberattaques peuvent tout simplement provenir d’un défaut de sécurité dans le système d’information d’une entreprise, qui ne l’avait pas forcement remarqué. Ces failles concernent tant les PME que les GAFAM[3], et nul ne peut réellement les prévenir, même par la mise en place de pentests[4]. Pourtant, les utilisateurs ne sont que très peu informés sur ces failles puisque la plupart des lois existantes en matière de cybersécurité prévoient l’information de l’utilisateur seulement après la survenance d’une violation de leurs données personnelles. Ce projet de loi viserait donc à remédier à cette « lacune » en permettant, en amont, aux utilisateurs des plateformes numériques concernées, d’estimer les risques pesant sur leurs données personnelles.

 

Une information du consommateur sur la sécurité de ses données personnelles « lacunaire »

 

L’article 32 du Règlement Général sur la Protection des Données personnelles 2016/679 (ci-après le « RGPD ») impose aux responsables de traitement de mettre en place des mesures efficaces pour sécuriser les données traitées, par exemple, par le biais d’un chiffrement des données à caractère personnel ou encore de « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

 

Bien qu’il soit imposé aux responsables de traitement de fournir certaines informations (décliner son identité et ses coordonnées, déterminer les finalités du traitement, la durée de conservation des données,…), il n’existe aucune obligation d’informer en amont le consommateur des mesures de sécurité mises en place pour sécuriser ses données personnelles. Les obligations d’information ne concernent d’ailleurs que très rarement le consommateur. Il s’agit par exemple de l’article 34 du RGPD qui impose au responsable de traitement d’informer le consommateur lorsque ses données personnelles ont été violées, dû à un défaut de sécurité, uniquement lorsque l’une des conditions énumérées au même article est remplie. Il est à noter que l’information du consommateur s’effectue après que les dégâts ont eu lieu.

 

Enfin, dans le cadre du RGPD, de la directive NIS[5] ou plus récemment du Cybersecurity Act[6], bien que des certifications visibles par le consommateur en matière de protection des données personnelles soient recommandées, leur mise en place n’est nullement obligatoire et émane d’une démarche volontaire de l’entreprise concernée.

 

Ainsi, il n’existe pas d’obligation d’information du consommateur pour la sécurité de ses données personnelles en amont. Ce projet de loi a pour objectif de remédier à cette lacune en proposant « un visuel clair et compréhensible » de sorte que le consommateur puisse voir immédiatement « s’il fait face à un service sécurisé, moyennement sécurité ou pas sécurisé du tout ». Le diagnostic de cybersécurité devra être « présenté au consommateur de façon lisible, claire et compréhensible et [être] accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic [devra être] présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier »[7].

 

Cette nouvelle obligation d’information du consommateur irait de pair avec sa prise de conscience sur la protection de ses données personnelles. Bien que 90% des Français affirment que leurs données personnelles devraient être davantage protégées[8], nous n’observons pas de changement d’habitude de leur part dans leur utilisation d’outils numériques. Cela est peut-être dû au manque d’information quant aux risques pesant sur leurs données lorsqu’ils utilisent ces mêmes outils…

 

L’information qui leur est rapportée doit être claire, visible, et rapide à lire. Pour illustrer cette nécessité, préféreriez-vous passer 1 minute à refuser tous les cookies non nécessaires présents sur un site ou préféreriez-vous qu’un bouton « refuser tout »[9] vous soit proposé ? De même, préféreriez-vous devoir vous rendre sur différentes pages web d’une plateforme pour connaître quelles sont ses certifications (si elle en a), quelles sont les méthodes utilisées pour protéger vos données (si elles sont évoquées) ou préféreriez-vous disposer d’un visuel clair tel que le « nutriscore » pour savoir si la plateforme présente des risques ou non pour la sécurité de vos données personnelles ? La deuxième option est évidemment plus attrayante dans chacun des cas évoqués. Le consommateur doit être informé rapidement et ne doit pas se perdre dans une masse d’informations qu’il doit parfois lui-même rechercher, et qu’il ne comprend pas forcément. Ce « cyberscore » serait même l’occasion pour certains de s’intéresser davantage à la protection de leurs données et de choisir les outils utilisés en conséquence.

 

Le projet de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques

 

Ce projet de loi permettrait donc d’informer les consommateurs sur les risques auxquels sont exposés leurs données personnelles, avant même qu’ils ne s’inscrivent sur le site. Cette obligation d’information concernerait « Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret »[10]. Cette terminologie large prévue à l’article L. 32 du Code des postes et des communications électroniques permettrait « d’embrasser à la fois les sites internet, les logiciels et les applications, embarqués ou non, qu’ils soient à destination du public ou soient le support de correspondances privées ».

 

Pour la note « cyberscore » d’une plateforme numérique, les critères seront fixés par le concours de l’ANSSI par arrêté mais la commission des affaires économiques a donné quelques pistes de critères pouvant servir d’indicateurs. Il s’agirait de quatre critères tels que le nombre de condamnations par une autorité de contrôle en matière de protection des données personnelles (pratique du name and shame), le nombre de failles de sécurité recensées, l’existence d’une loi à portée extraterritoriale menaçant la protection de ces données ou encore « des indicateurs plus techniques comme le chiffrement des données à caractère personnel de bout en bout pour les services numériques impliquant des communications ». Ces critères sont-ils les meilleurs pour attribuer une note à une plateforme numérique, en particulier le critère se servant de la pratique du « name and shame » ?

 

Les risques pesant sur les données personnelles persisteront toujours car le risque zéro en la matière n’existe pas, des défauts de sécurité pourront toujours être exploitables par des personnes malintentionnées. Ce projet de loi peut poser certains questionnements. Par exemple, ce « cyberscore » ne conduirait-il pas à une inégalité entre les plateformes numériques disposant de très grands moyens pour maximiser leur cybersécurité et celles ne disposant que de très peu de moyens ?

 

Quoi qu’il en soit, avec ses défauts et ses qualités, ce projet de loi va dans la direction souhaitée par le Gouvernement comme exprimé par Cédric O[11].

 

Ysméa BERKOUS

[1] Voir par exemple, Cour de justice de l’Union européenne, Schrems II, C-311/18, 16 juillet 2020, à propos de l’annulation du Privacy Shield

[2] https://www.01net.com/actualites/morte-a-cause-d-un-ransomware-non-estime-le-procureur-2007372.html

[3] À ce propos, voir la faille de sécurité d’Apple et de Facebook permettant d’observer et d’écouter une personne qui n’a pas décroché à un appel FaceTime ou Messenger.

[4] Tests d’intrusion permettant de connaître les éventuelles failles de sécurité d’une entreprise.

[5] Directive Network and Information System Security, (UE) 2016/1148 du Parlement européen et du Conseil du 6 janvier 2016, relative aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne.

[6] Le règlement européen relatif à l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et à la certification de cybersécurité des technologies de l’information et des communications de 2019.

[7] Rapporteure Anne-Catherine LOISIER

[8] Selon un sondage de décembre 2019 par l’Institut IFOP réalisé pour le compte de la CNIL.

[9] À ce propos, voir les lignes directrices de la CNIL.

[10] Vraisemblablement, ceux dépassant cinq millions de visiteurs uniques par jour.

[11] Secrétaire d’État chargé de la Transition numérique et des Communications électroniques.