I. – Alinéa 3

Rédiger ainsi cet alinéa :

« Art. L. 111-7-3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1 affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article. »

II. – Alinéa 4

Rédiger ainsi cet alinéa :

« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité, ainsi que les modalités de sa présentation. »

III. – Alinéa 5

Après le mot :

compréhensible

Supprimer la fin de cet alinéa.

IV. – Alinéa 6

Supprimer cet alinéa.

Le présent amendement propose de modifier, afin de l’améliorer, la rédaction de l’article 1^er qui vise à rendre obligatoire pour les principaux opérateurs de plateformes en ligne la communication auprès de leurs utilisateurs d’un diagnostic de cybersécurité.

En premier lieu, cet amendement propose de recentrer le dispositif sur les principaux opérateurs de plateformes en ligne, mentionnés à l’article L.111-7-1 du code de la consommation. Concrètement, il s’agira des plateformes ayant au moins cinq millions de visiteurs uniques par mois. Ce seuil a été défini en application de la loi pour une République Numérique pour promouvoir des bonnes pratiques d’information des consommateurs. Il permet d’appréhender notamment les principales plateformes en ligne de notoriété mondiale.

En conséquence, il n’est pas nécessaire de prévoir à l’article 1^er qu’un décret fixera un seuil pour définir le champ d’application du dispositif, qui sera en effet celui de l’article L.111-7-1 du code de la consommation.

Par ailleurs le présent amendement modifie et simplifie la rédaction de l’article 1^er en prévoyant que les modalités du diagnostic de cybersécurité seront précisées par un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés. En pratique, ce projet d’arrêté sera élaboré avec le concours de l’agence nationale de la sécurité des systèmes d'information.

Enfin le présent amendement, en supprimant l’obligation de recourir à des organismes habilités, ouvre aux opérateurs la possibilité de procéder à une autoévaluation de leur système de protection des données.

Amendement n° 4, alinéa 3

Remplacer les mots :

Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1

par les mots :

Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions,

Ce sous-amendement propose de revenir à une appréhension large du champ d'application du "cyberscore", permettant par exemple d'inclure les acteurs de services de visioconférence en ligne.

Amendement n° 4, alinéas 8 à 10

Remplacer ces alinéas par huit alinéas ainsi rédigés :

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.

Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques. Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher. 

Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au  “Cyberscore”. 

Le présent sous-amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : sans communication du Cyberscore sous la forme d'un système d'information coloriel, la force opérante du dispositif serait très nettement amoindrie. 

Le sous-amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire.  La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou places de marché dominants qui enregistrent peu de nouvelles inscriptions.

Alinéa 4

Rédiger ainsi cet alinéa :

« À cette fin, ils fournissent un diagnostic de cybersécurité effectué par un organisme tiers habilité par l’autorité administrative compétente, dont la durée de validité ne peut excéder un an. Un arrêté fixe, au moins une fois par an, les indicateurs de ce diagnostic.

Alinéa 4, première phrase

Après le mot :

arrêté

insérer les mots :

, pris après consultation de la commission nationale de l’informatique et des libertés,

Cet amendement prévoit que la CNIL est consultée sur les indicateurs qui serviront de base à l’établissement du « cyberscore ».

Alinéa 5

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d’un système d’information coloriel ou de graphiques et symboles. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.

Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques. 

Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher. 

Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au  “Cyberscore”. 

Le présent amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : si la communication du Cyberscore est facultative, la force opérante du dispositif en serait très nettement amoindrie. 

L’amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire.  La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou marketplaces dominants qui enregistrent peu de nouvelles inscriptions. 

Enfin, toujours à l’image des Diagnostics de performance énergétique pour les logements ou du Nutriscore pour les produits alimentaires, nous proposons que le “Cyberscore” puisse logiquement être présenté sous la forme d’un système d’information coloriel, recommandé par une équipe de chercheurs de l'Inserm et de l'Inra.

Supprimer cet article.

L’article proposé a pour conséquence d’imposer une obligation de prendre en compte les impératifs de cybersécurité dans la définition du besoin, pour l’ensemble des marchés publics.

La modification de l’article L. 2111-1 proposée est inappropriée puisqu’elle porte sur l’ensemble des marchés quel que soit l’objet du marché. Or, à la différence du critère du développement durable, qui  est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques. Le principe fondamental d’égalité devant la commande publique imposant de ne formuler les exigences en termes d’expression des besoins, de critères de choix et de clauses d’exécution qu’en lien avec l’objet du marché, et dans la mesure où cette proposition porte sur tous les marchés, elle aurait pour conséquence d’imposer une exigence contrevenant au principe d’égalité.

Par ailleurs, cette modification n’est pas utile, puisque l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ; l’article R.2152-7 du code de la commande publique précise en effet qu’il est possible de prendre en compte la valeur technique d’une offre dans le choix des critères d’attribution. Il est donc légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques.

Au surplus, une telle modification du code de la commande publique est insusceptible de remplir l’objectif qui lui est assigné et qui consiste à améliorer la cybersécurité des systèmes d’information utilisées par les personnes publiques. De fait, la proposition aurait pour conséquence d’imposer à tous les acheteurs de définir leurs besoins en prenant en compte la cybersécurité mais sans leur donner les moyens et les compétences leur permettant de le faire ; les acheteurs ont conscience du fait que leurs systèmes d’information doivent être sûrs, mais ils n’ont généralement pas les compétences pour s’assurer que l’offre qu’ils examinent leur permet d’atteindre un niveau satisfaisant de sécurité. Plus que par une modification de la réglementation des marchés publics, la sensibilisation des acheteurs sur les questions de cybersécurité passe par des actions de formation et d’accompagnement dans la rédaction des clauses particulières des marchés.