EXPOSÉ DES MOTIFS
Madame, Monsieur,
Plus que jamais, les outils numériques semblent indispensables. La crise du COVID-19 a considérablement accru leur usage, dans la vie professionnelle comme privée, et cette tendance devrait se poursuivre. Les avancées sont considérables, à l'image des plateformes de visio-conférence facilitant le télétravail dont les bienfaits sont nombreux.
Les risques augmentent toutefois de pair avec ces usages. La cybersécurité est aujourd'hui un enjeu majeur qui appelle une réponse à l'échelle de l'État, mais aussi à l'échelle individuelle. Il est crucial que chaque utilisateur soit conscient des risques qu'engendrent ses usages, et qu'il s'en prémunisse au maximum. Un tel souhait relève toutefois de la naïveté : il suppose un usage numérique mature ainsi que des connaissances techniques et une aisance qu'encore trop peu de citoyens possèdent.
L'exemple des outils de visioconférence est marquant : durant la crise sanitaire, beaucoup y ont eu recours, choisissant en urgence les plus utilisés, ou les plus simples, avant de se rendre compte quelques semaines plus tard que les données échangées y étaient vulnérables.
Il est primordial de rendre accessibles au plus grand nombre les enjeux abscons de cybersécurité. Sur le modèle du diagnostic de performance énergétique mis en place pour décrire clairement l'impact environnemental d'un logement à son acheteur, la présente proposition de loi a pour objet la mise en place d'un diagnostic de cybersécurité des plateformes numériques à destination du grand public.
Cette mesure s'inscrit dans la continuité du travail déjà réalisé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'Agence a en effet développé plusieurs certifications, en particulier les CSPN, certifications de sécurité de premier niveau, réalisées par des évaluateurs tiers. Cette proposition de loi vise à étendre ces certifications aux plateformes numériques utilisées par le grand public et à les rendre obligatoires. Cela implique de les faire réaliser par centres agréés et qu'un protocole de test pour les certifications - naturellement plus léger que ceux actuels, l'ANSSI ne procédant qu'à des certifications de haute qualité dont le délai peut être long - soit publié. Cette proposition s'inscrit également dans la démarche européenne ayant conduit à la mise en place de l'EU Cybersecurity Act qui doit permettre de définir à terme un cadre de certification européen.
L'article 1 er complète donc le code de la consommation en y ajoutant une obligation pour les opérateurs de plateforme numérique de communiquer les informations relatives à la sécurité des données hébergées par l'opérateur lui-même, ou l'un de ses prestataires, de cloud notamment.
La commission d'enquête du Sénat sur la souveraineté numérique a par ailleurs montré à juste titre l'importance d'adopter une réelle stratégie de maîtrise et de protection des données publiques. Cette préoccupation doit aujourd'hui être constante pour les acteurs publics. Les attaques quotidiennes contre leurs systèmes d'information menacent la continuité du service public et la sécurité des données de nos concitoyens. Il est donc nécessaire que chaque acteur public, quelle que soit sa taille, tienne compte de ces enjeux. L'article 2 rend ainsi cette préoccupation majeure incontournable lors des procédures d'appel d'offre pour les marchés publics. Un diagnostic de cybersécurité satisfaisant en fonction des enjeux du marché public pourra notamment être l'un des critères de choix.
La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi.