Titre : Loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
État :
- Date d’adoption : 3 mars 2022
- Date d’entrée en vigueur : prévue le 1er octobre 2023 (le projet d’arrêté prévoit un report au 1er janvier 2024)
- Décret et arrêté en attente.
Lien : https://www.legifrance.gouv.fr/eli/loi/2022/3/3/2022-309/jo/texte
Objectifs : Obligations d’affichage par les grandes plateformes des résultats d’un audit de cybersécurité réalisé par des prestataires qualifiées par l’ANSSI, sur le modèle du « nutriscore » ou diagnostic énergétique. Les consommateurs pourront ainsi connaître le niveau de cybersécurité des plateformes utilisées.
Entreprises concernées : Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du code de la consommation dépassant certains seuils (décret en attente). Le projet de décret fixe les seuils suivants :
- Pour 2024 : 25 millions de visiteurs uniques par mois en France
- Pour 2025 : 15 millions de visiteurs uniques par mois en France
Critères : Le projet d’arrêté propose des critères d’audit et indique que les audits devront être réalisés par des prestataires d’audit de la sécurité des systèmes d’informations (PASSI) qualifiés par l’ANSSI. Les critères portent sur les catégories suivantes :
- Organisation et gouvernance,
- Protection des données,
- Connaissance et maîtrise du service numérique,
- Niveau d’externalisation,
- Niveau d’exposition sur internet,
- Dispositif de traitement des incidents de sécurité,
- Audits du service numérique étudié,
- Sensibilisation aux risques cyber et lutte anti-fraude,
- Développement sécurisé.
Références :
- Assemblée nationale, Dossier législatif
- Consultation publique jusqu’au 15 avril sur le projet de décret et d’arrêté