Mme la présidente. La parole est à M. Cyril Pellevat. (Applaudissements sur les travées du groupe Les Républicains. – M. Laurent Lafon applaudit également.)
M. Cyril Pellevat. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, la proposition de loi que nous examinons aujourd’hui en deuxième lecture vise à mettre en place un certificat de cybersécurité pour les plateformes grand public. Elle traite un sujet capital, eu égard à l’importance toujours plus grande du numérique dans notre société et à la massification de son utilisation.
Si le RGPD représente indéniablement une immense avancée en matière de protection des données, en ce qu’il limite leur utilisation par les entreprises ou l’administration et permet aux utilisateurs d’être mieux informés de leurs droits relatifs à ce qui est fait de ces données, encore faut-il que ces dernières soient correctement protégées face à des actes malveillants.
Chacun d’entre nous a récemment entendu parler d’attaques informatiques contre des administrations ou des entreprises. Pas plus tard que le mois dernier, l’une des plus grandes villes de mon département a subi une attaque, et ses services informatiques ont été paralysés pendant plusieurs semaines. Outre les collectivités locales, le secteur de la santé et les entreprises sont aussi particulièrement visés par de tels types d’attaques.
De nombreuses personnes sont conscientes de cette menace grandissante, et l’on s’attendrait à ce que tant les entités exposées à ce risque que les utilisateurs cherchent des solutions pour mieux protéger leurs données.
Cependant, une réelle prise de conscience ne semble pas avoir lieu, malgré le fait que tout le monde s’accorde pour considérer que les données sont précieuses et doivent être protégées.
Ainsi, si certaines entreprises, institutions et personnes sont bien évidemment vertueuses à ce sujet, nombre d’entre elles ont recours à des plateformes non sécurisées, qui ne garantissent ni une protection suffisante des données ni la confidentialité de ces dernières, ce qui les expose à de nombreux risques.
Cette prise de risque a pour principale cause le manque d’informations quant au niveau de cybersécurité et de protection des données des plateformes.
Par ailleurs, alors que certaines entreprises sont soumises à des obligations en matière de sécurité des données, il n’existe pas d’obligation de certification de sécurité pour les entreprises. L’utilisateur n’a donc pas les moyens de vérifier que ces obligations sont respectées.
Face à ce constat, il est indispensable que le législateur intervienne pour combler ces lacunes. Je remercie donc notre collègue Laurent Lafon de son initiative. Sa proposition de loi fixait deux objectifs : améliorer l’information des utilisateurs de plateformes en matière de cybersécurité et sécuriser les données des acteurs publics, en faisant de la cybersécurité un critère supplémentaire lors des procédures d’appels d’offres pour les marchés publics.
Le premier objectif se traduira par la mise en place d’un Cyber-score pour les plus grands acteurs du numérique, dans le but de mieux informer les consommateurs du niveau de sécurité des plateformes utilisées.
Je peux comprendre la raison qui a conduit le Gouvernement et la commission à supprimer l’obligation de certification a priori pour la remplacer par une autoévaluation des acteurs soumis au Cyber-score, suivi d’un contrôle de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) en lien avec l’Anssi. Mais je tiens à rappeler qu’il sera nécessaire de donner les moyens aux services de l’État de conduire ces contrôles. En effet, dans le cas contraire, l’objectif de cette loi ne pourra être atteint.
Par ailleurs, puisque ce dispositif est entièrement à construire, nous devons être attentifs aux indicateurs retenus pour déterminer le Cyber-score d’une plateforme, car ces derniers peuvent être multiples et n’ont pas tous la même portée et la même signification quant au niveau de sécurité.
En outre, si pour des raisons principalement techniques le second objectif n’a pas pu être atteint, j’insiste sur la nécessité de trouver d’autres solutions pour garantir la prise en compte des enjeux de cybersécurité par les acteurs publics. L’État doit montrer l’exemple en la matière, et faire en sorte que les données de nos concitoyens ne soient pas exposées à des risques évitables.
Plus largement, nous devons réfléchir à l’amélioration des pratiques des entreprises en matière de maîtrise de leurs données. Les données des entreprises ne sont pas visées par cette proposition de loi, or leur sécurisation est également essentielle. Différentes mesures peuvent être proposées, qu’il s’agisse de la formation des entreprises à la cybersécurité, ou encore, comme la commission l’avait proposé, de la mise en place d’un crédit d’impôt à la numérisation des entreprises prenant en compte les dépenses visant à assurer leur sécurité informatique.
Notre réflexion doit aller plus loin, car les enjeux liés à la cybersécurité et à la cybercriminalité ne feront que croître à mesure que notre société se numérisera.
Mon groupe et moi-même voterons donc pour cette proposition de loi qui représente indéniablement une avancée. Mais j’invite encore une fois à pousser plus loin notre réflexion sur les questions de cybersécurité et de cybercriminalité, qui représentent sans aucun doute l’un des plus grands défis que nous ayons à relever en matière de numérique. (Applaudissements sur les travées des groupes Les Républicains, UC et INDEP, ainsi qu’au banc des commissions.)
Mme la présidente. La parole est à M. Daniel Salmon.
M. Daniel Salmon. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, la problématique de l’exploitation des données personnelles par les plateformes numériques destinées au grand public est un sujet majeur.
Elle touche aux questions de la transparence et de l’information du consommateur internaute sur la sécurisation de ses données, ainsi qu’à la question de la souveraineté numérique tant en France qu’au niveau européen. En ce sens, nous remercions l’auteur de cette proposition de loi de mettre ce sujet si important en débat au Parlement.
Nous l’avions souligné lors de la première lecture : si l’évolution des technologies permet aujourd’hui une expansion du télétravail et peut simplifier les usages du quotidien, la cybersécurité est encore trop souvent sous-estimée.
Sur ces enjeux, nous devons continuer de sensibiliser les citoyens, les entreprises ainsi que les collectivités territoriales et les pouvoirs publics, qui sont eux aussi souvent vulnérables aux cyberattaques.
Nous devons rappeler que pratiquer le numérique, c’est aussi s’exposer à un certain nombre de risques. D’après l’Anssi, le nombre de cyberattaques a été multiplié par quatre en 2020. Face à ces actes, la question de la sécurité des systèmes est donc centrale.
Si de nombreux textes régissent déjà la cybersécurité – je pense bien sûr au RGPD ou, au niveau européen, au Cybersecurity Act –, cette proposition de loi nous fait faire un pas supplémentaire vers davantage de transparence et de droits pour les internautes, ce qui va bien évidemment dans le bon sens.
Nous soutenons ainsi la principale mesure de ce texte, la mise en place d’un Cyber-score, c’est-à-dire d’un diagnostic de cybersécurité lisible, clair et compréhensible par toutes et tous.
Je m’interroge néanmoins quelque peu sur la portée du texte. Si, à la suite de la navette parlementaire, le champ d’application du dispositif est étendu à tous les services numériques, notamment aux logiciels de visioconférence et de messagerie instantanée, ce champ est également limité aux services numériques les plus utilisés, selon des seuils définis par décret.
Renvoyer ainsi au pouvoir réglementaire l’établissement de la liste des plateformes concernées par cette obligation de communiquer les informations relatives à la sécurité des données hébergées risque de limiter la portée du dispositif. Pour garantir une réelle efficacité de la mesure, il faudra que le décret ajuste au mieux les mailles du filet, afin de ne pas exclure de nombreuses entreprises du champ d’application de la loi.
Si la commission et l’Assemblée nationale ont justifié cet aménagement pour éviter d’imposer « de trop fortes contraintes à de petites structures », nous pensons au contraire que les petites entreprises du numérique ont tout à gagner à faire valoir la fiabilité de leurs plateformes et à faire respecter une gestion responsable des données.
Concernant les apports adoptés par l’Assemblée nationale, nous saluons certaines dispositions. Le périmètre de l’article 1er a été élargi afin d’inclure les systèmes de messagerie instantanée, en plus des logiciels de visioconférence. L’audit devra être réalisé par des prestataires agréés par l’Agence nationale de la sécurité des systèmes d’information, et devra porter sur la sécurisation et la localisation des données.
Comme vous l’avez compris, nous regrettons toutefois que le texte renvoie des points essentiels au pouvoir réglementaire, et laisse à ce dernier une très ample marge d’appréciation concernant tant le périmètre d’application que le contenu de cet audit de cybersécurité. C’est pourquoi, comme l’a souligné Mme la rapporteure, le Parlement devra être vigilant dans les mois à venir sur l’élaboration de ces mesures.
En définitive, malgré ces quelques points non négligeables, avec cette proposition de loi, le Parlement pose une première pierre et apporte une contribution utile au renforcement de la protection des données de nos concitoyens. Nous voterons donc de nouveau en faveur de ce texte. (Applaudissements sur des travées du groupe UC et au banc des commissions.)
Mme la présidente. La parole est à M. Fabien Gay. (Applaudissements au banc des commissions.)
M. Fabien Gay. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, comme nous l’avions dit en première lecture, cette proposition de loi est bienvenue, car aujourd’hui aucune disposition ne garantit l’information du consommateur et de la consommatrice quant à la sécurité informatique de la solution numérique qu’il ou elle utilise. En ce sens, ce texte représente un pas supplémentaire vers davantage de transparence et de droits pour les internautes.
À l’ère où l’informatique, omniprésente, pénètre tout notre quotidien, la question de la sécurité des systèmes reste centrale. Il s’agit d’un enjeu essentiel tant pour l’économie que pour la démocratie. En effet, l’outil proposé permettra un accès plus facile aux problématiques et enjeux de la cybersécurité, ce qui est essentiel face à l’hégémonie des Gafam dans nos vies et au développement du groupe Meta.
Ce point est également essentiel, car nous assistons à une explosion du nombre des cyberattaques : les vols de données de santé se multiplient – citons par exemple les cyberattaques contre les centres hospitaliers de Dax, de Villefranche-sur-Saône ou le CHU de Rouen –, les données de nombreuses PME et TPE sont siphonnées et des collectivités locales sont également ciblées, en particulier durant les périodes électorales.
Dès lors, un travail de sensibilisation doit être mené auprès du grand public, mais également des PME et des TPE, ainsi que des collectivités territoriales.
Aussi, la mise en place d’un Cyber-score calqué sur le modèle du Nutri-score, qui concernera, outre les plateformes en ligne, les logiciels de visioconférence et les systèmes de messagerie instantanée, est une bonne chose.
Autre point positif : le système d’autoévaluation des entreprises concernées. Le principe d’une contrainte plus lourde a été adopté par l’Assemblée nationale et maintenu par la commission des affaires économiques du Sénat : il s’agit de l’audit de sécurité qui devra être réalisé par des prestataires agréés par l’Agence nationale de la sécurité des systèmes d’information et qui portera tant sur la sécurisation que sur la localisation des données. Les résultats de cet audit devront être présentés au consommateur, pour les informations relatives tant à la sécurisation qu’à la localisation des données hébergées.
Nous l’avions mentionné à plusieurs reprises, la localisation des données est importante : loin d’être un sous-critère de la sécurisation, elle en constitue un critère à part entière. En effet, même si elle n’est, au sein de cette proposition de loi, qu’un outil d’information des usagers, elle représente en réalité un enjeu majeur de souveraineté technologique. Environ 90 % de nos données sont hébergées aux États-Unis ; aux yeux du groupe CRCE, cela n’est pas normal et cela ne doit pas perdurer. Il faudra donc remédier au manque incroyable de data centers en France et en Europe. Nos données doivent être, à l’instar d’un certain nombre d’industries, relocalisées.
C’est pourquoi, même si la proposition de loi a un champ limité, il n’en demeure pas moins qu’elle pose de vraies questions et représente le premier jalon d’une prise de conscience collective et individuelle de l’importance de la sécurité numérique. Il faut maintenant que les citoyens s’en emparent et, pour cela, une campagne de communication sur l’intérêt de cet outil sera nécessaire, afin d’en faire un indicateur du quotidien.
Le groupe communiste républicain citoyen et écologiste votera donc ce texte en deuxième lecture. (Applaudissements sur les travées des groupes RDPI et UC, ainsi qu’au banc des commissions.)
Mme la présidente. La parole est à Mme Amel Gacquerre. (Applaudissements sur les travées du groupe UC, ainsi qu’au banc des commissions.)
Mme Amel Gacquerre. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, l’usage du numérique fait partie intégrante de notre quotidien. Que ce soit dans la sphère privée, dans la sphère professionnelle, dans la sphère économique ou dans la sphère publique, impossible aujourd’hui de s’en passer.
Évidemment, cette révolution numérique présente de nombreux effets positifs : gains de temps, services plus accessibles ou encore surcroît d’informations. Toutefois, si les possibilités de développement liées au numérique sont nombreuses, il est essentiel de ne pas perdre de vue que des risques existent et il est de notre devoir de législateur de nous en occuper aujourd’hui.
Les nouvelles technologies se sont invitées dans les foyers des particuliers, toutes générations confondues. Cela s’est bien évidemment accéléré avec la pandémie de covid-19 : il s’agissait en effet de trouver de nouveaux moyens de communication pour entretenir le lien social, s’informer, se divertir. Selon une étude récente, aujourd’hui, près de 50 % de la population mondiale utilise les réseaux sociaux.
Pourtant, malgré une médiatisation accrue des sujets liés à la cybersécurité ou aux malwares – ces fameux logiciels malveillants ciblant les particuliers et les entreprises –, la culture du numérique et la connaissance de ses dangers sont loin d’être ancrées chez nos concitoyens.
Du côté des entreprises et des institutions publiques, la situation est quelque peu différente. En effet, ces organisations se préoccupent de plus en plus de la sécurité informatique et de la cybersécurité. Les entreprises ont bien perçu les énormes risques économiques auxquelles elles peuvent être confrontées en étant piratées, espionnées ou sabotées. Dans le secteur public, 88 % des organisations ont subi au moins une cyberattaque ayant causé des dégâts au cours des deux dernières années. La prise de conscience des entreprises et des organisations publiques est essentielle, car les cyberattaques les visant présentent un risque réel pour le grand public, en mettant en péril les données personnelles de milliers de clients ou d’utilisateurs.
Ainsi, développer une pédagogie sur les risques numériques, rappeler que la cybersécurité est désormais l’affaire de tous, tout cela relève, en quelque sorte, d’un enjeu citoyen qui doit être au cœur de nos préoccupations.
En ce qui concerne les usagers, selon une enquête récente, 96 % des Français interrogés sur le sujet se disent conscients que l’usage des outils numériques comporte des risques. Pourtant, ils reconnaissent ne pas avoir intégré ces risques dans leurs usages. On constate ainsi une absence de méfiance du grand public, toujours plus nombreux à se rendre sur des sites internet, à utiliser des applications non vérifiées pour consulter des informations, à participer à des vidéoconférences ou encore à télécharger des contenus risqués.
Chacun confie, dans son quotidien, par un simple clic, plus ou moins volontairement, de nombreuses données personnelles qui sont ensuite stockées, utilisées, traitées et même vendues par les plateformes numériques qui les gèrent.
La sécurité de ces données est essentielle. Les usagers ont besoin de solutions simples et accessibles pour être informés des risques encourus et pour se protéger. Or, à ce jour, aucune disposition ne garantit l’information du consommateur quant à la sécurité informatique de la solution numérique qu’il utilise.
La proposition de loi que nous évoquons aujourd’hui porte sur ce point. Vous l’avez dit, elle vise à mettre en place une certification de cybersécurité des plateformes numériques par un Cyber-score, créé à l’image du Nutri-score utilisé pour les aliments et désormais totalement compris.
Pour garantir son efficacité auprès des usagers, cet outil doit être simple, lisible et compréhensible par tous. Un système d’information coloriel semble constituer la solution la plus adaptée. À charge maintenant pour l’Anssi de bien en définir les critères et surtout de les adapter aux évolutions des plateformes et des usages des particuliers.
L’enjeu est pour nous de construire un monde numérique plus sûr.
J’ajoute, pour aller plus loin, qu’il semble nécessaire d’aborder cette thématique au travers du prisme européen. L’échelle européenne semble judicieuse pour développer une meilleure protection. C’est pourquoi je souhaiterais savoir, monsieur le secrétaire d’État, quelles mesures vous comptez défendre en matière de souveraineté numérique européenne dans le cadre de la présidence française du Conseil de l’Union européenne.
Avant de conclure, je tiens à saluer la rapporteure, Anne-Catherine Loisier, pour son travail, ainsi que l’auteur du texte, Laurent Lafon, qui a déposé cette proposition de loi il y a plus d’un an et demi ! Eu égard à l’évolution extrêmement rapide du numérique, il est grand temps que ce texte soit adopté et mis en application.
C’est pourquoi, vous l’aurez compris, le groupe Union Centriste votera en faveur de cette proposition de loi, en soutenant le vote conforme proposé par la rapporteure. (Applaudissements sur les travées des groupes UC et Les Républicains, ainsi qu’au banc des commissions.)
Mme la présidente. La parole est à M. Jean-Claude Requier. (Applaudissements sur les travées du groupe UC, ainsi qu’au banc des commissions.)
M. Jean-Claude Requier. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, l’essentiel a déjà été dit sur cette proposition de loi. Aussi mon intervention sera-t-elle brève.
Nous examinons un texte adopté en première lecture il y a un an et demi, dans un climat déjà marqué par la lutte contre la pandémie. Cette proposition de loi s’inscrit dans la continuité d’une série de travaux réalisés au cours du quinquennat dans le domaine du numérique et des technologies de l’information : la proposition de loi visant à garantir le libre choix du consommateur dans le cyberespace, la question du statut des travailleurs des plateformes numériques ou encore la lutte contre l’illectronisme et l’inclusion numérique, thèmes d’une mission d’information créée sur l’initiative du groupe du RDSE.
La cybersécurité, enjeu de longue date et pourtant sous-estimé, est encore plus cruciale depuis la mise en œuvre des mesures de lutte contre la pandémie de covid-19 et le recours massif aux outils numériques dans le cadre du télétravail, des besoins courants ou encore des loisirs, sans parler de la montée générale des tensions nationales et internationales. On ne peut que regretter un certain retard français en matière de culture de cybersécurité, comme l’a rappelé récemment le directeur de l’Anssi devant la commission des affaires économiques.
La nécessité d’informer le public et de lui donner des outils concrets est donc réelle. Face aux risques de piratage ou de cyberattaque, nous sommes tous vulnérables : individus, consommateurs, mais aussi entreprises, institutions ou collectivités.
Dans ce contexte, force est de constater la volonté de la majorité du Sénat d’adopter définitivement la présente proposition de loi au moyen d’un vote conforme, comme la commission l’a fait la semaine dernière.
Le contenu de ce texte a quelque peu évolué depuis sa version initiale : inclusion des téléconférences dans le champ d’application de la certification, compétence explicite de l’Anssi pour qualifier les prestataires ou encore remplacement du diagnostic de cybersécurité par un « audit », selon la terminologie actuelle. Plus cruciale sans doute est l’inclusion de la localisation des données hébergées par les plateformes, qui est, nous le savons, un fort enjeu de sécurité et de souveraineté numériques.
Le Cyber-score mis à disposition du consommateur, sous une forme comparable à celle du Nutri-score, est un outil pédagogique s’inscrivant dans l’esprit du texte, lequel vise à toucher le grand public. Toutefois, ce score, comme son équivalent alimentaire, peut receler des situations hétérogènes.
Un enjeu majeur du texte – le périmètre des plateformes concernées par la certification – est toutefois renvoyé à un décret, qui définira un seuil de déclenchement. Souhaitons que ce seuil permette de viser les plateformes les plus répandues sans pour autant pénaliser les PME et les start-up.
Enfin, l’article 2 du texte, qui concernait initialement les appels d’offres dans le cadre de marchés publics a finalement été supprimé.
Ainsi, cette proposition de loi, pour utile qu’elle soit, n’est qu’un début, puisqu’elle nécessitera des mesures réglementaires, d’où une entrée en vigueur finalement repoussée au second semestre de 2023. Elle devra aussi trouver sa place dans le cadre européen défini par le règlement général européen sur la protection des données personnelles.
Notre groupe votera pour son adoption, comme il l’avait fait en première lecture, tout en gardant à l’esprit les défis à venir. (Applaudissements sur les travées du groupe UC, sur des travées des groupes Les Républicains et RDPI, ainsi qu’au banc des commissions.)
Mme la présidente. La parole est à M. Christian Redon-Sarrazy. (Applaudissements sur les travées du groupe SER, ainsi qu’au banc des commissions.)
M. Christian Redon-Sarrazy. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, nous examinons en deuxième lecture la proposition de loi visant à mettre en place une certification de la cybersécurité des plateformes numériques.
Au cours des dernières années, plusieurs affaires ont éclaboussé le monde de l’industrie numérique, avec d’importants faits de fuites et d’exploitation de données personnelles. Qu’elles appartiennent à des particuliers ou à des entreprises, les données stockées dans le cyberespace ont été la proie d’attaques qui se sont multipliées à un rythme quasi exponentiel au cours des dernières années, tandis que les solutions numériques proposées sont de plus en plus complexes, en raison d’algorithmes toujours plus puissants et toujours plus opaques.
Les acteurs de ce marché développent de nouveaux usages, fondés sur l’analyse de nos données personnelles, données qu’ils accumulent de plus en plus grâce au nombre croissant d’objets connectés présents autour de nous, parce que leur modèle économique repose sur elles ; on parle d’ailleurs maintenant de data lakes – lacs de données – et non plus de simples bases de données comme naguère.
La crise sanitaire que nous subissons et dont nous peinons à sortir a amplifié ce phénomène. En raison des confinements répétés que nous avons traversés, la dématérialisation de notre société a été accentuée, accélérée, alors que, dans le même temps, la relation de confiance entre les citoyens internautes et les géants de cette industrie s’est dégradée, sans que cela remette en cause l’hégémonie de ces acteurs.
En 2018, l’adoption du RGPD a contraint plateformes et éditeurs de services numériques à aller dans la bonne direction ; ce texte représente sans conteste une avancée majeure. Toutefois, il n’atteint pas tous ses objectifs et il présente des failles manifestes.
Les experts de ce domaine que j’ai entendus dans le cadre de mes travaux à la Commission supérieure du numérique et des postes (CSNP) ont exprimé leurs inquiétudes, en confirmant que cette situation était amenée à se dégrader dans les années à venir. Les cybercriminels se sont professionnalisés et industrialisés, et leur champ d’action s’est mondialisé. Leurs facultés de nuire se sont développées bien plus rapidement que la capacité de leurs victimes à se protéger.
Malheureusement, les événements tragiques qui se déroulent à l’Est, auxquels de nombreux collègues ont déjà fait référence – je m’associe d’ailleurs à ces derniers pour condamner ces attaques et exprimer mon soutien au peuple ukrainien –, nous montrent que les cyberattaques sont soit le préalable soit le complément à la déstabilisation d’un gouvernement.
Dans son avis du 29 avril 2021, la CSNP avait recommandé aux pouvoirs publics de développer une politique massive d’information et de sensibilisation de la population aux risques encourus dans l’espace numérique, à titre tant privé que professionnel, et de prendre les mesures et dispositions permettant de s’en prémunir.
Ces alertes rejoignent celles qui figuraient dans le rapport de la commission d’enquête sur la souveraineté numérique, présidée par notre collègue du groupe socialiste Franck Montaugé : « Dans un univers numérique marqué par une forte asymétrie entre, d’un côté, ceux qui contrôlent données et algorithmes et, de l’autre, ceux qui utilisent les plateformes, imposer le respect de ces droits et les rendre effectifs pour les particuliers reste encore concrètement à accomplir. »
Je me réjouis donc de voir le législateur se saisir de ce sujet. Nous devons être à la hauteur des enjeux que recouvre la question de la cybersécurité. La garantie de la protection de la vie privée de nos concitoyens est une des garanties clés de notre démocratie.
La mise en place d’un Cyber-score va dans le bon sens, sous réserve que l’État s’en saisisse pour sensibiliser massivement la population à ce sujet.
Veillons à ce que le développement et l’essor du numérique soient toujours synonymes de l’émancipation des femmes et des hommes et non de leur aliénation. Le groupe Socialiste, Écologiste et Républicain votera cette proposition de loi, car il partage l’état d’esprit de ses auteurs. Même si elle reste limitée, elle représente un premier pas dans la prise de conscience de l’importance de nos données numériques. (Applaudissements sur les travées des groupes SER et UC, ainsi qu’au banc des commissions. – Mme Laure Darcos applaudit également.)
Mme la présidente. La discussion générale est close.
Nous passons à la discussion du texte de la commission.
proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
Article 1er
(Non modifié)
Le livre Ier du code de la consommation est ainsi modifié :
1° Après l’article L. 111-7-2, il est inséré un article L. 111-7-3 ainsi rédigé :
« Art. L. 111-7-3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article.
« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.
« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.
« Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ;
2° Au premier alinéa de l’article L. 131-4, les références : « à l’article L. 111-7 et à l’article L. 111-7-2 » sont remplacées par les références : « aux articles L. 111-7, L. 111-7-2 et L. 111-7-3 ».