Cyberscore : trois mois de retard minimum avant son entrée en vigueur

Censé entrer en vigueur au 1er octobre 2023, l’affichage coloré du niveau de sécurité d’un site Internet attendra au moins jusqu’au 1er janvier 2024.

Aucun décret d’application de la loi de mars 2022 sur le cyberscore n’était publié au 1er octobre 2023, date théorique d’entrée en vigueur du texte, retardant de fait son application. Le cyberscore est un indicateur coloré évaluant le niveau de sécurisation des données d’un site Internet, allant de A à E, sur le modèle du nutriscore.

Malgré une consultation avec les professionnels du secteur au printemps 2023, la mise en œuvre de cette mesure s’avère manifestement plus complexe que prévu. Le ministère de l’Économie, des finances et de la souveraineté industrielle et numérique a rendu publics des projets d’arrêté et de décret d’application. Mais aucun n’a été publié au Journal officiel.

Le projet d’arrêté indique d’ailleurs une entrée en vigueur du texte au 1er janvier 2024 seulement. Il prévoit en outre une durée de validité du cyberscore d’un an. Il confie la réalisation des audits nécessaires pour son élaboration à des prestataires d’audit de la sécurité des systèmes d’information (Passi), qualifiés par l’Anssi.

Le projet de décret prévoit, quant à lui, de rendre le cyberscore obligatoire pour les sites comptant plus de 25 millions de visiteurs uniques par mois en France, à partir de 2024. Le seuil descendrait à 15 millions de visiteurs l’année suivante.