II. MIEUX INFORMER POUR RENOUER AVEC LA CONFIANCE DANS LE NUMÉRIQUE
Afin que les consommateurs et les acheteurs publics prennent davantage en compte les impératifs liés à la cybersécurité, la proposition de loi :
oblige les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité afin de mieux informer ceux-ci sur la sécurisation de leurs données ( article 1 er ) ;
prévoit que la nature et l'étendue des besoins à satisfaire par un marché public soient déterminés en prenant en compte « les impératifs de cybersécurité » ( article 2 ).
La commission partage pleinement les objectifs poursuivis par la proposition de loi. Elle estime qu'il convient de poursuivre la réflexion sur les meilleures modalités d'y répondre et qu'il serait également pertinent de renforcer l'information dont disposent les entreprises.
A. METTRE EN PLACE UN « CYBERSCORE » DES SOLUTIONS NUMÉRIQUES (ARTICLE 1ER).
Le risque pesant sur les usages numériques ne cesse de croître et les utilisateurs sont souvent démunis face aux choix multiples qui s'offrent à eux en matière de services numériques car ils ne bénéficient pas d'une information claire et facile d'accès sur ce sujet. Ils peuvent donc avoir recours, sans le savoir, à des solutions présentant des manques criants en matière de cybersécurité. C'est ainsi que des failles peuvent être exploitées par des acteurs malveillants pour aspirer nos données personnelles et les réutiliser.
Afin que le consommateur ne soit plus démuni, il convient de créer un « nutriscore » de la cybersécurité des solutions numériques, autrement dit « un cyberscore » . C'est ce que propose l'article 1 er . Un tel dispositif bénéficierait également indirectement aux petites structures associations, TPE, collectivités rurales en renforçant leur niveau d'information sur les solutions grand public qu'ils sont susceptibles d'utiliser. Ce dispositif reste très largement à construire, c'est pourquoi la proposition de loi renvoie à des textes d'application.
La difficulté résidera sans doute dans la définition des indicateurs pertinents. On peut, par exemple, penser au chiffrement de bout en bout pour les services numériques impliquant des communications. On peut également imaginer des critères de nature moins technique et se rapprochant de la logique de « name and shame », comme le nombre de condamnations par une autorité en charge de la protection des données personnelles ou le nombre de failles mises à jour. On peut, encore, imaginer des critères se rapprochant d'une logique de « loi de blocage », en prenant en compte l'existence d'une loi à portée extraterritoriale menaçant les données personnelles.
De plus, on peut s'interroger sur la question de savoir s'il ne serait pas davantage pertinent de ne viser que les données personnelles plutôt que l'ensemble des données.
Un équilibre devrait quoi qu'il en soit être trouvé entre les coûts que ce type d'audit serait susceptible d'engendrer et la nécessité de bien informer le consommateur.
En accord avec l'auteur de la proposition de loi et de son groupe politique, la commission a adopté, à l'initiative de la rapporteure, un amendement ( COM-1 ) proposant plusieurs ajustements qu'elle estime susceptibles d'améliorer le dispositif d'un point de vue technique. Il s'agit notamment de ne soumettre que les plus grands acteurs à ce régime d'information, afin d'assurer un équilibre entre innovation et réglementation.