Plateformes en ligne : la réalisation d'un audit de cybersécurité

Fiche pratique
INFOREG

La cybersécurité est au cœur des enjeux de la numérisation des entreprises. Dans ce contexte, la loi du 3 mars 2022 n°2022-309 instaure l’obligation de réaliser un audit de cybersécurité pour les grandes plateformes numériques à compter du 1 er octobre 2023.

Qu’est-ce que l’audit de cybersécurité ?

L’audit de cybersécurité porte sur la sécurisation et la localisation des données que les opérateurs de plateformes en ligne hébergent directement ou par l'intermédiaire d'un tiers, ainsi que sur leur propre sécurisation.

Qui est concerné par cette nouvelle obligation ?

Cette nouvelle obligation concerne les grandes plateformes numériques utilisées par le grand public dont l’activité exercée dépasse un ou plusieurs seuils qui seront définis par décret. 

Plus précisément, les grandes plateformes numériques sont définies comme : 

  • toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (moteurs de recherche, réseaux sociaux, etc.) ;
  • tout fournisseur de service de communication au public en ligne fournissant les services permettant à leurs utilisateurs d’échanger des correspondances et sont soumis, à ce titre, au respect du secret des correspondances. 

Quelles sont les obligations à respecter pour l’entreprise ?

Les entreprises concernées par cette nouvelle obligation devront : 

  • effectuer le diagnostic de cybersécurité par des prestataires d'audit qualifiés et agréés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ;

Un arrêté fixera les critères à prendre en compte pour l’audit en ce qui concerne les modalités de sa présentation et les conditions en matière de durée de validité.

  • présenter le résultat de l’audit de cybersécurité au consommateur de façon lisible, claire et compréhensible, accompagné d’un cyber score en couleurs prenant en compte les différents niveaux de sécurité du site. 

Quels intérêts présentent cet audit de cybersécurité ?

Cet audit de cybersécurité vise :

  • à mieux  informer les consommateurs sur la sécurité informatique de la solution numérique qu’ils utilisent ;
  • à permettre à l’entreprise de faire un bilan de sa protection contre les cyberattaques visant la protection des données personnelles hébergées.

Quelles sanctions pour l’entreprise en cas de non-respect de ses obligations ?

L’entreprise concernée par cet audit de cybersécurité et qui manque à ses obligations sera passible d’une amende administrative prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) dont le montant ne peut excéder :

  • 75 000 € pour une personne physique ;
  • 375 000 € pour une personne morale.

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Ce document a été rédigé par les juristes du réseau EEN pour apporter un soutien expert aux entreprises pour faire face à l'impact de la crise sanitaire liée au coronavirus.
 

Mis à jour le 22/04/2022
Cybersécurité
Les enjeux de sécurité économique et de cybersécurité

Dirigeants d’entreprise et entrepreneurs, aujourd’hui, à l’ère de la numérisation, l’information se présente généralement sous forme de données informatiques. La sécurité économique et la cybersécurité sont donc pour vous des sujets d’une importance capitale afin de protéger au mieux vos réseaux et systèmes d’informations.

Le Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.