Le 3 mars 2022, la Loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public » a été adoptée, créant l’article L. 111-7-3 du Code de la consommation. Cet article oblige les plateformes numériques à réaliser un audit de cybersécurité évaluant la sécurisation et la localisation des données collectées. L’audit doit non seulement être indépendant, mais aussi effectué par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) garante des actions de cybersécurité en France.
Les plateformes numériques doivent dans les 3 mois après réception de l’audit afficher les résultats sous la forme d’un cyberscore coloré (à l’image du nutriscore). A noter également que l’audit n’est valable que 12 mois de sorte que l’affichage soit le plus actualisé possible.
Cette loi est assortie d’un décret d’application qui fixe le seuil de connexion unique mensuel afin de déterminer quelles plateformes numériques sont concernées par la publication de ce cyberscore. À l’heure de la publication de cet article (été 2023) le décret n’est pas encore adopté. Les discussions portent cependant sur un seuil à 25 millions de visiteurs uniques par mois (en France uniquement) pour 2024 ; seuil qui pourrait être abaissé à 15 millions de visiteurs uniques mensuels pour 2025.
Or, selon le classement effectué par la FEVAD au 2d semestre 2022, dans le monde du tourisme, on ne retrouve qu’une seule plateforme : Booking.com. Seule cette OTA dépasse le seuil des 15 millions de visiteurs uniques par mois en 2022, ce qui la met pour l’instant à l’abri de cette obligation jusqu’en 2025.
Fabienne Ardouin, Présidente de la Commission Enjeux numériques du GHR, est optimiste « Ce nouvel affichage est une bonne chose pour rendre les plateformes numériques plus transparentes concernant leurs actions de cybersécurité. Le seuil de connexion est encore en discussion. On imagine assez facilement qu’il puisse tomber à 5 millions de visiteurs mensuels pour faire aligner ces obligations de cyberscore avec les obligations de loyauté. » (Ndlr l’article L. 111-7-3 du même Code)