Les sénateurs ont adopté la proposition de loi du sénateur Laurent Lafont (UC) visant à mettre en place « une certification de cybersécurité des plateformes numériques destinée au grand public ».
À l’image du diagnostic énergétique, elle compte obliger les plateformes dépassant un seuil de connexion défini par décret à afficher « un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent ».
C’est un arrêté pris après avis de la CNIL qui viendrait fixer les critères.
« Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel », prévoit l’article 1er.
Et quand l’utilisation d’un site nécessite d’abord de s’enregistrer, le diagnostic serait présenté systématiquement à l’utilisateur dès la page d’authentification.
« La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi », avait insisté le sénateur centriste.
« Cette proposition de loi va dans la direction souhaitée par le Gouvernement » a exprimé Cédric O en séance. Le texte part maintenant à l’Assemblée nationale.
Commentaires (4)
#1
Cela ne fait-il pas doublon avec la RGPD où il y a une obligation de respecter l’état de l’art de la protection des données hébergées. Je vois mal un indicateur genre “données personnelles cryptée” au rouge et le site concerné ne rien y faire en contradiction avec la RGPD
#1.1
Comme bcp de choses ds le RGPD, cela laisse une très grande marge d’appréciation, et tant de “grandes” plateformes (ce que j’étendrais à bcp de plateformes hébergeant des données vraiment sensibles) devraient encore mettre les bouchées doubles là-dedans.
Du coup cette certif sera certainement plus concrèté et exigente. Je sais qu’il y a déjà des normes ISO en la matière par contre (27001⁄27002 et 27701)
#2
“Le diagnostic est présenté au consommateur de façon…”
La meilleure “cybersécurité” pour le “consommateur” a toujours été d’utiliser des pseudonymes et de ne jamais donner de vrais informations personnelles sur Internet
#3
C’est ça que l’état devrait encourager, mais il fait l’inverse en étant le complice zélé des violeurs de données personnelles