Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 4 20 octobre 2020 |
AMENDEMENTprésenté par |
|
||||||||
Le Gouvernement ARTICLE 1ER |
I. – Alinéa 3
Rédiger ainsi cet alinéa :
« Art. L. 111-7-3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1 affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article. »
II. – Alinéa 4
Rédiger ainsi cet alinéa :
« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité, ainsi que les modalités de sa présentation. »
III. – Alinéa 5
Après le mot :
compréhensible
Supprimer la fin de cet alinéa.
IV. – Alinéa 6
Supprimer cet alinéa.
Objet
Le présent amendement propose de modifier, afin de l’améliorer, la rédaction de l’article 1er qui vise à rendre obligatoire pour les principaux opérateurs de plateformes en ligne la communication auprès de leurs utilisateurs d’un diagnostic de cybersécurité.
En premier lieu, cet amendement propose de recentrer le dispositif sur les principaux opérateurs de plateformes en ligne, mentionnés à l’article L.111-7-1 du code de la consommation. Concrètement, il s’agira des plateformes ayant au moins cinq millions de visiteurs uniques par mois. Ce seuil a été défini en application de la loi pour une République Numérique pour promouvoir des bonnes pratiques d’information des consommateurs. Il permet d’appréhender notamment les principales plateformes en ligne de notoriété mondiale.
En conséquence, il n’est pas nécessaire de prévoir à l’article 1er qu’un décret fixera un seuil pour définir le champ d’application du dispositif, qui sera en effet celui de l’article L.111-7-1 du code de la consommation.
Par ailleurs le présent amendement modifie et simplifie la rédaction de l’article 1er en prévoyant que les modalités du diagnostic de cybersécurité seront précisées par un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés. En pratique, ce projet d’arrêté sera élaboré avec le concours de l’agence nationale de la sécurité des systèmes d'information.
Enfin le présent amendement, en supprimant l’obligation de recourir à des organismes habilités, ouvre aux opérateurs la possibilité de procéder à une autoévaluation de leur système de protection des données.
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 6 21 octobre 2020 |
SOUS-AMENDEMENTà l'amendement n° 4 du Gouvernement présenté par |
|
||||||||
Mme LOISIER au nom de la commission des affaires économiques ARTICLE 1ER |
Amendement n° 4, alinéa 3
Remplacer les mots :
Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1
par les mots :
Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions,
Objet
Ce sous-amendement propose de revenir à une appréhension large du champ d'application du "cyberscore", permettant par exemple d'inclure les acteurs de services de visioconférence en ligne.
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 7 21 octobre 2020 |
SOUS-AMENDEMENTà l'amendement n° 4 du Gouvernement présenté par |
|
||||||||
M. LAFON ARTICLE 1ER |
Amendement n° 4, alinéas 8 à 10
Remplacer ces alinéas par huit alinéas ainsi rédigés :
1° Remplacer les mots :
peut être
par le mot :
est
2° Après le mot :
moyen
rédiger ainsi la fin de cet alinéa :
d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.
Objet
Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques. Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher.
Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au “Cyberscore”.
Le présent sous-amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : sans communication du Cyberscore sous la forme d'un système d'information coloriel, la force opérante du dispositif serait très nettement amoindrie.
Le sous-amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire. La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou places de marché dominants qui enregistrent peu de nouvelles inscriptions.
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 2 rect. 22 octobre 2020 |
AMENDEMENTprésenté par |
|
||||||||
MM. LE GLEUT, KERN, PARIGI et CUYPERS, Mmes JOSEPH et DEROMEDI, MM. FRASSA et Alain MARC, Mme CANAYER, MM. CHARON, MENONVILLE et WATTEBLED, Mme LOPEZ, MM. BONNE, MOUILLER et Henri LEROY, Mmes BONFANTI-DOSSAT et GRUNY, MM. BOUCHET, SEGOUIN, PANUNZI, GRAND, MILON, LONGEOT, CALVET, PIEDNOIR, RAPIN, DECOOL et Bernard FOURNIER, Mmes Laure DARCOS et RAIMOND-PAVERO, M. VOGEL, Mmes BOULAY-ESPÉRONNIER et DEROCHE, M. GUERRIAU, Mme LAVARDE et MM. SAVARY, BRISSON et BASCHER ARTICLE 1ER |
Alinéa 4
Rédiger ainsi cet alinéa :
« À cette fin, ils fournissent un diagnostic de cybersécurité effectué par un organisme tiers habilité par l’autorité administrative compétente, dont la durée de validité ne peut excéder un an. Un arrêté fixe, au moins une fois par an, les indicateurs de ce diagnostic.
Objet
Compte tenu de l’évolution permanente des risques en matière de cybersécurité, la certification des services en ligne doit être renouvelée régulièrement, le cas échéant en fonction d’indicateurs révisés.
Afin de renforcer le dispositif proposé, tout en laissant une marge de manœuvre suffisante au pouvoir réglementaire pour en définir les modalités, cet amendement vise donc :
- D’une part, à limiter dans la loi la durée de validité du certificat à un an maximum, le pouvoir réglementaire conservant la faculté de prévoir une durée inférieure, ou encore des modalités de renouvellement allégées ;
- D’autre part, à prévoir que la réévaluation périodique des indicateurs ait lieu elle aussi au moins une fois par an, afin d’éviter que ceux-ci ne deviennent obsolètes.
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 1 rect. bis 20 octobre 2020 |
AMENDEMENTprésenté par |
|
||||||||
Mme Sylvie ROBERT, M. CARDON, Mme ARTIGALAS, M. MONTAUGÉ, Mme BLATRIX CONTAT, MM. BOUAD, MERILLOU, MICHAU, PLA, REDON-SARRAZY, TISSOT et les membres du groupe Socialiste, Écologiste et Républicain ARTICLE 1ER |
Alinéa 4, première phrase
Après le mot :
arrêté
insérer les mots :
, pris après consultation de la commission nationale de l’informatique et des libertés,
Objet
Cet amendement prévoit que la CNIL est consultée sur les indicateurs qui serviront de base à l’établissement du « cyberscore ».
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 3 19 octobre 2020 |
AMENDEMENTprésenté par |
|
||||||||
M. LAFON ARTICLE 1ER |
Alinéa 5
1° Remplacer les mots :
peut être
par le mot :
est
2° Après le mot :
moyen
rédiger ainsi la fin de cet alinéa :
d’un système d’information coloriel ou de graphiques et symboles. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.
Objet
Dans l’esprit des travaux conduits par la rapporteure, cet amendement entend renforcer l’information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques.
Afin de donner aux Français une information transparente sur la qualité des services qu’ils utilisent quotidiennement, nous entendons donc donner une réelle effectivité au “Cyberscore”. En rendant aux consommateurs ces clés de lecture dont ils sont privés aujourd’hui, une dynamique incitant fortement les plateformes en lignes à renforcer la protection des données personnelles pourra s’enclencher.
Toutefois, pour y parvenir, nous devons garantir une réelle visibilité au “Cyberscore”.
Le présent amendement propose donc de rendre obligatoire la présentation du diagnostic sous la forme d’une expression complémentaire : si la communication du Cyberscore est facultative, la force opérante du dispositif en serait très nettement amoindrie.
L’amendement propose également de rendre plus contraignante la présentation du diagnostic : le Cyberscore doit figurer lors de chaque connexion au service, à l’image du Diagnostic de performance énergétique qui est présenté lors de chaque acquisition immobilière ou du Nutriscore qui est présenté lors de chaque achat d’un produit alimentaire. La question du mode d'affichage du Cyberscore est en effet décisive : relégué dans les abîmes des Conditions Générales d’Utilisation, le diagnostic de cybersécurité n’offrira pas de levier concret aux consommateurs pour faire évoluer leurs pratiques quotidiennes à la hauteur des inquiétudes qu’ils expriment sur la protection de leurs données. Borné à une simple mention lors de l’inscription au service, le Cyberscore ne s’appliquerait pas de facto à l'ensemble des services en ligne dont le taux de pénétration dans la population est déjà très important, en particulier les réseaux sociaux ou marketplaces dominants qui enregistrent peu de nouvelles inscriptions.
Enfin, toujours à l’image des Diagnostics de performance énergétique pour les logements ou du Nutriscore pour les produits alimentaires, nous proposons que le “Cyberscore” puisse logiquement être présenté sous la forme d’un système d’information coloriel, recommandé par une équipe de chercheurs de l'Inserm et de l'Inra.
Direction de la séance |
Proposition de loi Certification de cybersécurité des plateformes numériques (1ère lecture) (n° 39 , 38 ) |
N° 5 20 octobre 2020 |
AMENDEMENTprésenté par |
|
||||||||
Le Gouvernement ARTICLE 2 |
Supprimer cet article.
Objet
L’article proposé a pour conséquence d’imposer une obligation de prendre en compte les impératifs de cybersécurité dans la définition du besoin, pour l’ensemble des marchés publics.
La modification de l’article L. 2111-1 proposée est inappropriée puisqu’elle porte sur l’ensemble des marchés quel que soit l’objet du marché. Or, à la différence du critère du développement durable, qui est susceptible de concerner tous les marchés, le critère de la cybersécurité ne pourrait porter que sur les achats de prestations informatiques. Le principe fondamental d’égalité devant la commande publique imposant de ne formuler les exigences en termes d’expression des besoins, de critères de choix et de clauses d’exécution qu’en lien avec l’objet du marché, et dans la mesure où cette proposition porte sur tous les marchés, elle aurait pour conséquence d’imposer une exigence contrevenant au principe d’égalité.
Par ailleurs, cette modification n’est pas utile, puisque l’état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ; l’article R.2152-7 du code de la commande publique précise en effet qu’il est possible de prendre en compte la valeur technique d’une offre dans le choix des critères d’attribution. Il est donc légitime d’utiliser un critère portant sur la sécurité pour juger de la qualité technique d’une offre, dans le cadre d’un marché portant sur des prestations informatiques.
Au surplus, une telle modification du code de la commande publique est insusceptible de remplir l’objectif qui lui est assigné et qui consiste à améliorer la cybersécurité des systèmes d’information utilisées par les personnes publiques. De fait, la proposition aurait pour conséquence d’imposer à tous les acheteurs de définir leurs besoins en prenant en compte la cybersécurité mais sans leur donner les moyens et les compétences leur permettant de le faire ; les acheteurs ont conscience du fait que leurs systèmes d’information doivent être sûrs, mais ils n’ont généralement pas les compétences pour s’assurer que l’offre qu’ils examinent leur permet d’atteindre un niveau satisfaisant de sécurité. Plus que par une modification de la réglementation des marchés publics, la sensibilisation des acheteurs sur les questions de cybersécurité passe par des actions de formation et d’accompagnement dans la rédaction des clauses particulières des marchés.