Publié le 25 novembre 2021 par : M. Naegelen, M. Latombe.
I. – À l’alinéa 3, substituer à la référence :
« L. 111‑7‑1 »
la référence :
« L. 111‑7 ».
II. – En conséquence, au même alinéa, substituer aux mots :
« affichent une certification présentant un diagnostic de cybersécurité »
les mots :
« réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article ».
L’article L. 111-7-1 du code de la consommation impose des obligations spécifiques aux opérateurs de plateformes en ligne dont l’activité dépasse un seuil de cinq millions de visiteurs uniques par mois, défini par l’article D111-15 du même code.
Ce seuil de 5 millions a été fixé, en 2017, pour des raisons différentes des objectifs poursuivis par le présent texte. Il s’agissait à l’époque d’obliger les opérateurs à respecter de bonnes pratiques d’information du consommateur, et non de leur imposer un cahier des charges précis et contraignant, comme cette proposition de loi le prévoit. En conséquence, le seuil de 5 millions ne saurait s’appliquer par extension automatique aux plateformes visées par l’obligation de cybersécurité, vu la complexité du dispositif proposé. Il convient dès lors de renvoyer à un décret la définition de ce seuil, de la même manière que pour les services de visioconférence.
Par ailleurs, le seul dispositif technique existant de recours à des organismes tiers susceptibles d’assurer les missions prévues par le texte, est celui d’un audit mené par des « prestataires d'audit de la sécurité des systèmes d'information », qualifiés par l’ANSSI dans les conditions prévues par le décret n° 2015-350 du 27 mars 2015. C’est pourquoi il est proposé de remplacer les termes de « certification » ou de « diagnostic » par celui d’ « audit ».
Aucun commentaire n'a encore été formulé sur cet amendement.