Certification de cybersécurité des plateformes numériques (PPL)

Retour au dossier législatif

Assemblée nationale Sénat CMP

Travaux de commission

Extraits du rapport

Extraits des débats

Vidéo séance

✓ ✗ Surlignage

✓ ✗ Barré/souligné

Navigation rapide

Texte de la proposition de loi

Texte adopté par la commission du Sénat en première lecture

Texte adopté par le Sénat en première lecture

Texte adopté par la commission de l’Assemblée nationale en première lecture

Texte adopté par l’Assemblée nationale en première lecture

Texte définitif établi au Sénat

Texte promulgué

Icones réalisées par Dario Ferrando (www.flaticon.com)

Proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public

Loi n° 2022‑309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public

Article 1er	Article 1er	Article 1er	Article 1er	Article 1er	Article 1er	Article 1er
	Le code de la consommation est ainsi modifié : Amdt COM‑1	(Alinéa sans modification)	Le livre Ier du code de la consommation est ainsi modifié :	(Alinéa sans modification)	Le livre Ier du code de la consommation est ainsi modifié :	Le livre Ier du code de la consommation est ainsi modifié :	
Après le 3° du II de l’article L. 111‑7 du code de la consommation, il est inséré un 4° ainsi rédigé :	1° Après l’article L. 111‑7‑2 du code de la consommation, il est inséré un article L. 111‑7‑3 ainsi rédigé : Amdt COM‑1	1° Après l’article L. 111‑7‑2, il est inséré un article L. 111‑7‑3 ainsi rédigé :	1° (Alinéa sans modification)	1° (Alinéa sans modification)	1° Après l’article L. 111‑7‑2, il est inséré un article L. 111‑7‑3 ainsi rédigé :	1° Après l’article L. 111‑7‑2, il est inséré un article L. 111‑7‑3 ainsi rédigé :	
« 4° La sécurisation des données hébergées, par l’opérateur lui‑même ou ses prestataires. À cette fin, l’opérateur doit fournir un diagnostic de cybersécurité dont les indicateurs sont fixés par décret et effectué par des organismes dont la liste est établie par décret. Sa durée de validité est également fixée par décret. »	« Art. L. 111‑7‑3. – Les fournisseurs de services de communication au public en ligne informent les consommateurs quant à la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers. Amdt COM‑1	« Art. L. 111‑7‑3. – Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions, affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article. Amdts n° 4 , n° 6(s/amdt), n° 7(s/amdt)	« Art. L. 111‑7‑3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111‑7‑1 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques dont l’activité dépasse un ou plusieurs seuils définis par décret affichent une certification présentant un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article. » Amdt n° CE5	« Art. L. 111‑7‑3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111‑7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article. Amdts n° 8 , n° 13 , n° 3	« Art. L. 111‑7‑3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111‑7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article.	« Art. L. 111‑7‑3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111‑7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article.	
			« La certification mentionnée au premier alinéa du présent article est effectuée par des organismes habilités par l’autorité administrative compétente. Amdt n° CE6	« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information. Amdts n° 9 , n° 14	« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.	« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.	
	« À cette fin, ils fournissent un diagnostic de cybersécurité dont les indicateurs et la durée de validité sont fixés par arrêté et effectué par des organismes habilités par l’autorité administrative compétente. Les indicateurs sont réévalués à échéance régulière. Amdt COM‑1	« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité ainsi que les modalités de sa présentation. Amdts n° 4 , n° 6(s/amdt), n° 7(s/amdt)	« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par la certification prévue au même premier alinéa, ses conditions en matière de durée de validité ainsi que les modalités de sa présentation. Amdt n° CE7	« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation. Amdts n° 10 , n° 15	« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.	« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.	
	« Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et peut être accompagné d’une présentation ou d’une expression complémentaire au moyen de graphiques ou de symboles. Amdt COM‑1	« Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire au moyen d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier. » ; Amdts n° 4 , n° 6(s/amdt), n° 7(s/amdt)	« La certification est présentée au consommateur de façon lisible, claire et compréhensible et est accompagnée d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, la certification est présentée systématiquement à l’utilisateur sur la page permettant de s’authentifier. » ; Amdt n° CE8	« Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ; Amdts n° 11 , n° 16	« Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ;	« Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ;	
	« Le présent article ne s’applique qu’aux fournisseurs de services de communication au public en ligne dont l’activité en France dépasse un ou plusieurs seuils définis par décret »; Amdt COM‑1	(Alinéa supprimé)
	2° Au premier alinéa de l’article L. 131‑4, les mots : « à l’article L. 111‑7 et à l’article L. 111‑7‑2 » sont remplacés par les mots : « aux articles L. 111‑7, L. 111‑7‑2 et L. 111‑7‑3 ». Amdt COM‑1	2° (Alinéa sans modification)	2° Au premier alinéa de l’article L. 131‑4, les références : « à l’article L. 111‑7 et à l’article L. 111‑7‑2 » sont remplacées par les références : « aux articles L. 111‑7, L. 111‑7‑2 et L. 111‑7‑3 ».	2° (Non modifié)	2° Au premier alinéa de l’article L. 131‑4, les références : « à l’article L. 111‑7 et à l’article L. 111‑7‑2 » sont remplacées par les références : « aux articles L. 111‑7, L. 111‑7‑2 et L. 111‑7‑3 ».	2° Au premier alinéa de l’article L. 131‑4, les références : « à l’article L. 111‑7 et à l’article L. 111‑7‑2 » sont remplacées par les références : « aux articles L. 111‑7, L. 111‑7‑2 et L. 111‑7‑3 ».	

Article 2	Article 2	Article 2 (Supprimé) Amdt n° 5	Article 2 (Suppression maintenue)	Article 2 (Suppression conforme)
L’article L. 2111‑1 du code de la commande publique est complété par les mots : « , ainsi que les impératifs de cybersécurité ».	(Alinéa sans modification)

				Article 3 (nouveau) Amdts n° 12 , n° 17	Article 2	Article 2
				La présente loi entre en vigueur le 1er octobre 2023.	La présente loi entre en vigueur le 1er octobre 2023.	La présente loi entre en vigueur le 1er octobre 2023.
						La présente loi sera exécutée comme loi de l’État.
▫	▫	▫	▫	▫	▫	▫