Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 1 rect. bis

20 octobre 2020


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

Mme Sylvie ROBERT, M. CARDON, Mme ARTIGALAS, M. MONTAUGÉ, Mme BLATRIX CONTAT, MM. BOUAD, MERILLOU, MICHAU, PLA, REDON-SARRAZY, TISSOT

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 1ER


Alinéa 4, première phrase

Après le mot :

arrêté

insérer les mots :

, pris après consultation de la commission nationale de l’informatique et des libertés,

Objet

Cet amendement prévoit que la CNIL est consultée sur les indicateurs qui serviront de base à l’établissement du « cyberscore ».



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 2 rect.

22 octobre 2020


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Tombé

MM. LE GLEUT, KERN, PARIGI et CUYPERS, Mmes JOSEPH et DEROMEDI, MM. FRASSA et Alain MARC, Mme CANAYER, MM. CHARON, MENONVILLE et WATTEBLED, Mme LOPEZ, MM. BONNE, MOUILLER et Henri LEROY, Mmes BONFANTI-DOSSAT et GRUNY, MM. BOUCHET, SEGOUIN, PANUNZI, GRAND, MILON, LONGEOT, CALVET, PIEDNOIR, RAPIN, DECOOL et Bernard FOURNIER, Mmes Laure DARCOS et RAIMOND-PAVERO, M. VOGEL, Mmes BOULAY-ESPÉRONNIER et DEROCHE, M. GUERRIAU, Mme LAVARDE et MM. SAVARY, BRISSON et BASCHER


ARTICLE 1ER


Alinéa 4

Rédiger ainsi cet alinéa :

« À cette fin, ils fournissent un diagnostic de cybersécurité effectué par un organisme tiers habilité par l’autorité administrative compétente, dont la durée de validité ne peut excéder un an. Un arrêté fixe, au moins une fois par an, les indicateurs de ce diagnostic.

Objet

Compte tenu de l’évolution permanente des risques en matière de cybersécurité, la certification des services en ligne doit être renouvelée régulièrement, le cas échéant en fonction d’indicateurs révisés.

Afin de renforcer le dispositif proposé, tout en laissant une marge de manœuvre suffisante au pouvoir réglementaire pour en définir les modalités, cet amendement vise donc :

- D’une part, à limiter dans la loi la durée de validité du certificat à un an maximum, le pouvoir réglementaire conservant la faculté de prévoir une durée inférieure, ou encore des modalités de renouvellement allégées ;

- D’autre part, à prévoir que la réévaluation périodique des indicateurs ait lieu elle aussi au moins une fois par an, afin d’éviter que ceux-ci ne deviennent obsolètes.



NB :La présente rectification porte sur la liste des signataires.
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 3

19 octobre 2020


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Tombé

M. LAFON


ARTICLE 1ER


Alinéa 5

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d’un système d’information coloriel ou de graphiques et symboles. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.

Objet

Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques. 

Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher. 

Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au  “Cyberscore”. 

Le présent amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : si la communication du Cyberscore est facultative, la force opérante du dispositif en serait très nettement amoindrie. 

L’amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire.  La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou marketplaces dominants qui enregistrent peu de nouvelles inscriptions. 

Enfin, toujours à l’image des Diagnostics de performance énergétique pour les logements ou du Nutriscore pour les produits alimentaires, nous proposons que le “Cyberscore” puisse logiquement être présenté sous la forme d’un système d’information coloriel, recommandé par une équipe de chercheurs de l'Inserm et de l'Inra.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 4

20 octobre 2020


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


I. – Alinéa 3

Rédiger ainsi cet alinéa :

« Art. L. 111-7-3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1 affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article. »

II. – Alinéa 4

Rédiger ainsi cet alinéa :

« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité, ainsi que les modalités de sa présentation. »

III. – Alinéa 5

Après le mot :

compréhensible

Supprimer la fin de cet alinéa.

IV. – Alinéa 6

Supprimer cet alinéa.

Objet

Le présent amendement propose de modifier, afin de l’améliorer, la rédaction de l’article 1er qui vise à rendre obligatoire pour les principaux opérateurs de plateformes en ligne la communication auprès de leurs utilisateurs d’un diagnostic de cybersécurité.

En premier lieu, cet amendement propose de recentrer le dispositif sur les principaux opérateurs de plateformes en ligne, mentionnés à l’article L.111-7-1 du code de la consommation. Concrètement, il s’agira des plateformes ayant au moins cinq millions de visiteurs uniques par mois. Ce seuil a été défini en application de la loi pour une République Numérique pour promouvoir des bonnes pratiques d’information des consommateurs. Il permet d’appréhender notamment les principales plateformes en ligne de notoriété mondiale.

En conséquence, il n’est pas nécessaire de prévoir à l’article 1er qu’un décret fixera un seuil pour définir le champ d’application du dispositif, qui sera en effet celui de l’article L.111-7-1 du code de la consommation.

Par ailleurs le présent amendement modifie et simplifie la rédaction de l’article 1er en prévoyant que les modalités du diagnostic de cybersécurité seront précisées par un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés. En pratique, ce projet d’arrêté sera élaboré avec le concours de l’agence nationale de la sécurité des systèmes d'information.

Enfin le présent amendement, en supprimant l’obligation de recourir à des organismes habilités, ouvre aux opérateurs la possibilité de procéder à une autoévaluation de leur système de protection des données.






Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 5

20 octobre 2020


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 2


Supprimer cet article.

Objet

L’article proposé a pour conséquence d’imposer une obligation de prendre en compte les impératifs de cybersécurité dans la définition du besoin, pour l’ensemble des marchés publics.

La modification de l’article L. 2111-1 proposée est inappropriée puisqu’elle porte sur l’ensemble des marchés quel que soit l’objet du marché. Or, à la différence du critère du développement durable, qui  est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques. Le principe fondamental d’égalité devant la commande publique imposant de ne formuler les exigences en termes d’expression des besoins, de critères de choix et de clauses d’exécution qu’en lien avec l’objet du marché, et dans la mesure où cette proposition porte sur tous les marchés, elle aurait pour conséquence d’imposer une exigence contrevenant au principe d’égalité.

Par ailleurs, cette modification n’est pas utile, puisque l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ; l’article R.2152-7 du code de la commande publique précise en effet qu’il est possible de prendre en compte la valeur technique d’une offre dans le choix des critères d’attribution. Il est donc légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques.

Au surplus, une telle modification du code de la commande publique est insusceptible de remplir l’objectif qui lui est assigné et qui consiste à améliorer la cybersécurité des systèmes d’information utilisées par les personnes publiques. De fait, la proposition aurait pour conséquence d’imposer à tous les acheteurs de définir leurs besoins en prenant en compte la cybersécurité mais sans leur donner les moyens et les compétences leur permettant de le faire ; les acheteurs ont conscience du fait que leurs systèmes d’information doivent être sûrs, mais ils n’ont généralement pas les compétences pour s’assurer que l’offre qu’ils examinent leur permet d’atteindre un niveau satisfaisant de sécurité. Plus que par une modification de la réglementation des marchés publics, la sensibilisation des acheteurs sur les questions de cybersécurité passe par des actions de formation et d’accompagnement dans la rédaction des clauses particulières des marchés.






Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 6

21 octobre 2020


 

SOUS-AMENDEMENT

à l'amendement n° 4 du Gouvernement

présenté par

C Favorable
G Sagesse du Sénat
Adopté

Mme LOISIER

au nom de la commission des affaires économiques


ARTICLE 1ER


Amendement n° 4, alinéa 3

Remplacer les mots :

Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1

par les mots :

Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions,

Objet

Ce sous-amendement propose de revenir à une appréhension large du champ d'application du "cyberscore", permettant par exemple d'inclure les acteurs de services de visioconférence en ligne.






Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(1ère lecture)

(n° 39 , 38 )

N° 7

21 octobre 2020


 

SOUS-AMENDEMENT

à l'amendement n° 4 du Gouvernement

présenté par

C Favorable
G Défavorable
Adopté

M. LAFON


ARTICLE 1ER


Amendement n° 4, alinéas 8 à 10

Remplacer ces alinéas par huit alinéas ainsi rédigés :

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.

Objet

Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques. Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher. 

Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au  “Cyberscore”. 

Le présent sous-amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : sans communication du Cyberscore sous la forme d'un système d'information coloriel, la force opérante du dispositif serait très nettement amoindrie. 

Le sous-amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire.  La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou places de marché dominants qui enregistrent peu de nouvelles inscriptions.






Logo : Sénat français

Direction de la séance

Proposition de loi

Certification de cybersécurité des plateformes numériques

(n° 39 , 38 )

N° 8

22 octobre 2020




Cet amendement a été retiré avant séance.