A deux jours de son entrée en vigueur, les conditions d’application du cyberscore – un label pour informer le grand public du niveau de sécurisation des données des grandes plateformes – demeurent bien mystérieuses. L’arrêté censé fixer les critères qui seront pris en compte pour l’audit des plateformes n’a toujours pas été publié.
A compter du dimanche 1er octobre 2023, en vertu de la loi du 3 mars 2022, toute plateforme devra se doter d’un cyberscore présentant à ses utilisateurs les résultats d’un audit réalisé par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Ce score, présenté au moyen d' »un système d’information coloriel » à la manière du nutri-score pour les produits alimentaires, vise à informer le grand public du niveau de sécurisation des données offert par des services numériques à destination du grand public. Plus précisément, il s’agit de « la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ».
Les conditions d’applications toujours inconnues
La loi ne fixe pas les critères qui seront pris en compte durant l’audit. C’est un arrêté, pris conjointement par les ministres chargés du numérique et de la consommation, qui doit en préciser les contours. En tant que gardienne des libertés numériques, la Commission nationale de l’informatique et des libertés (Cnil) doit préalablement fournir son avis. Contactés par L’Usine Digitale, ni les ministères ni la Cnil ne nous a fourni le texte ni même donné sa date de publication.