Le cyberscore, le nutri-score de la sécurité des données, entre officiellement en vigueur le 1er octobre 2023. Ce nouveau label oblige les entreprises du numérique à afficher un score correspondant au niveau de sécurité et de sécurisation des données personnelles de leurs utilisateurs.
Depuis la pandémie du COVID-19, l’utilisation du numérique a considérablement augmenté, grâce notamment à la généralisation du télétravail et des cours en ligne. Ainsi, la quasi-totalité des foyers français est aujourd’hui équipée de terminaux (téléphones, ordinateurs) et surtout connectée. Or, la hausse de l’utilisation d’Internet s’accompagne irrémédiablement d’un bond des attaques informatiques et des risques cyber. Pour faire face à ces nouveaux défis, l’Etat français a adopté une loi le 3 mars 2022 pour l’instauration d’un nutri-score de la sécurité des données.
Reprise des codes du Nutri-score
Baptisé cyberscore, ce label vise à évaluer la sécurité des données des utilisateurs sur les plateformes numériques. Il entre officiellement en vigueur le dimanche 1er octobre 2023. Avec lui, les services en ligne et les réseaux sociaux doivent désormais afficher un score correspondant au niveau de sécurité et de sécurisation des données personnelles de leurs utilisateurs. Cet indicateur visuel reprend les codes du Nutri-score. Il va de la lettre A à la lettre E, avec le A (vert) pour un site web sûr et le E (rouge) pour un site à risque. Les portails qui ne présenteront pas ce système de notation ou resteront longtemps dans le rouge s’exposent à des sanctions. Celles-ci vont de 75 000 à 375 000 euros.
Les grands acteurs numériques visés
Les entreprises concernées par le cyberscore sont les grandes plateformes numériques. A savoir les moteurs de recherche (Google, Bing), les réseaux sociaux (Facebook, X, Reddit, LinkedIn), les messageries instantanées (WhatsApp, Messager, Telegram), les applications de vidéoconférence (Zoom, Skype) et les marketplaces (Amazon, Vinted). Il y a aussi les sites de petites annonces ou encore les comparateurs. Tous ces acteurs du web devront garantir la sécurisation et la localisation des données qu’ils hébergent, directement ou via un tiers.
Un audit pour fixer la notation
Réalisé par un prestataire qualifié PASSI, un audit permettra d’établir cyberscore d’une entreprise. L’évaluation prend en compte diverses thématiques. Parmi lesquelles la protection des données, le niveau d’externalisation, le niveau d’exposition sur Internet, la connaissance et la maîtrise du service numérique ainsi que la mise en place de dispositif de traitement des incidents de sécurité. Pour obtenir un bon cyberscore, les plateformes numériques ont intérêt à cocher toutes ces cases.
Une contrainte supplémentaire pour les plateformes
Ce ne devrait pas être difficile pour la plupart d’entre elles car déjà soumises au règlement européen RGPD (Règlement Général sur la Protection des Données). Par ailleurs, elles sont confrontées au Digital Services Act (DSA), qui vise une plus grande transparence entre les plateformes en ligne et leurs utilisateurs en Europe. Le cyberscore se présente ainsi comme une contrainte supplémentaire pour les grands groupes du numérique.
Une navigation en connaissance des risques
En revanche, le dispositif constitue une couche supplémentaire de protection des données personnelles des internautes. Il leur permettra de connaitre les risques de naviguer sur tel ou tel site ou d’utiliser telle ou telle application. Mais il n’est pas sûr que cet outil provoque vraiment un désistement. Les grandes entreprises comme Facebook et Google ont déjà acquis une certaine notoriété. Elles continueront d’inspirer confiance alors qu’elles pompent illégalement les données personnelles depuis des années.