INFO ZDNET. On a peut-être enfin un début de réponse sur l’enlisement du cyberscore. Souvenez-vous, à la manière du nutriscore, cet indicateur devait permettre aux internautes de jauger de A à E le niveau de sécurisation des données d’un site. Censé être devenu obligatoire au 1er octobre 2023, la disposition poussée par le sénateur Laurent Lafon (UDI) n’a pour le moment pas encore été mise concrètement en œuvre.
Un récent rapport d’information du Sénat, sur le bilan annuel de l’application des lois, suggère une piste d’explication.
La sénatrice Sylvie Vermeillet (Union centriste) y rapporte en effet des informations obtenues par la commission des affaires économiques du Sénat. Selon cette instance, l’interruption du processus de publication des textes d’application s’expliquerait en fait « par la crainte que la mise en œuvre de cette loi puisse défavoriser les plateformes françaises et européennes vis-à-vis des plateformes américaines, bien plus puissantes ».
Appliquer ou abroger
Quoiqu’il en soit, pour la sénatrice, il est désormais nécessaire que le gouvernement s’explique « clairement sur cette question ». Pour soit « enfin appliquée » la loi, ou au contraire l’abroger « s’il était clairement avéré que ses effets seraient contre productifs ». Actuellement, la loi est « entièrement inapplicable » faute de publication du décret déterminant son périmètre d’application.
De même, l’arrêté ministériel fixant le contenu de l’audit de cybersécurité n’a pas été publié.
Ces projets de décret et d’arrêté avaient pourtant bien « été mis en ligne et soumis à consultation publique jusqu’au 15 avril 2023 ». Mais contrairement à ce qui avait été annoncé, les résultats de cette consultation publique n’ont pas été publiés, tance la sénatrice Vermeillet.
Mesures progressives
Un mutisme remarqué. L’Usine digitale avait ainsi signalé la mystérieuse disparition du projet de décret, qui prévoyait un seuil de 25 millions de visiteurs uniques mensuels pour la réalisation de l’audit. Ce seuil devait ensuite être progressivement abaissé à 15 millions de visiteurs d’ici le 1er janvier 2025.
Quant au projet d’arrêté, il prévoyait, rappelle la sénatrice, « plusieurs critères d’audit élaborés par l’Anssi ». Ces derniers tournaient notamment autour de l’organisation, du niveau d’exposition sur Internet, du dispositif de traitement des incidents de sécurité ou encore de la lutte anti-fraude.
A l’époque, les pouvoirs publics tablaient sur un audit se basant uniquement sur des informations ouvertes, « librement accessibles et de manière non intrusive par le prestataire ». Ils avaient également fixé à 12 mois la durée de validité du cyberscore. Encore faut-il qu’il voit le jour…