«C’est un projet de texte de combat.» Jean-Noël Barrot, ministre de la transition numérique et des télécommunications, veut frapper fort avec son «projet de loi visant à sécuriser et réguler l’espace numérique» présenté le 10 mai en conseil des ministres. Le texte est riche, sinon touffu. Il touche à la protection des mineurs contre le cyberharcèlement ou la pornographie, mais aussi à la réglementation des meublés de tourisme ou encore aux sites diffusant des médias interdits. Deux sujets concernent le secteur financier : la lutte contre les arnaques en ligne et l’encadrement des frais de transfert entre fournisseurs de cloud.

Les arnaques en ligne se multiplient, utilisant souvent des campagnes massives de faux e-mails ou de faux SMS pour leurrer les citoyens et leur faire partager des données personnelles, y compris des données de connexion à leurs comptes bancaires. Selon Jean-Noël Barrot, 18 millions de Français ont été victimes de cybercriminalité l’année dernière, et la moitié d’entre eux a perdu de l’argent. Ce projet de loi a l’ambition de créer «un nouveau service public de cybersécurité pour tous».

Filtre anti-arnaques

L’article 6 notamment prévoit la constitution d’une base de données mutualisée des sites malveillants, à partir des sites déjà identifiés par les autorités administratives comme Cybermalveillance.gouv.fr, la DGCCRF (direction de la consommation, de la concurrence et de la répression des fraudes), l’AMF (Autorité des marchés financiers), l’Anssi (Agence nationale de la sécurité des systèmes d’information), le ComCyberGend (Commandement de la gendarmerie dans le cyberespace) ou l’OCLTCIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), son pendant côté police nationale. Réunir toutes ces connaissances dans un lieu unique dès qu’une arnaque est connue devrait faciliter la diffusion de l’alerte et leur blocage rapide.

Le projet de loi prévoit de doter l’autorité administrative responsable (qui reste à définir) du pouvoir de notification auprès de ces sites cybermalveillants, et instaure une procédure contradictoire pour que les sites mis en cause puissent se défendre. Cette administration pourra également enjoindre aux fournisseurs d’accès à internet et éditeurs de navigateurs de rediriger les internautes vers une page présentant un message d’avertissement à visée dissuasive. Un filtre anti-arnaque qui couperait l’herbe sous le pied des malfaiteurs, si tous les acteurs jouent le jeu.

Migration facilitée

Deuxième sujet, abordé dans l’article 7 : l’encadrement des frais de transfert et des crédits informatiques dans le cloud. Ces frais sont fréquemment appliqués par les fournisseurs de cloud lorsqu’une entreprise demande à transférer ses données vers un autre hébergement, ils peuvent être excessifs rendant l’opération trop chère et l’entreprise captive de son fournisseur actuel. De même, les crédits informatiques attribués par les fournisseurs de cloud à leurs clients, pour stimuler leur consommation de services, peuvent aussi devenir un piège. Ils seront encadrés par une durée de validité maximum. De plus, l’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) se verra attribuer une nouvelle compétence, celle d’établir des standards techniques destinés à favoriser l’interopérabilité entre fournisseurs de cloud.

Ce projet de loi arrive alors qu’une règlementation européenne, le Data Governance Act, est en cours de discussion sur le même sujet. Le gouvernement français estime urgent d’intervenir pour empêcher le blocage du marché du cloud déjà verrouillé à 71% par les trois grands fournisseurs américains (AWS, Microsoft Azure et Google Cloud Platform). Et ce d’autant plus que le Data Governance Act n’entrera en application au mieux qu’en 2026.

Pour le ministère de la Transition numérique, «l’enjeu économique du cloud est majeur car ce marché croît de 20% par an et une entreprise sur deux devrait encore migrer vers le cloud. Il est important de contrer les pratiques anticoncurrentielles des hyperscalers et de stimuler les autres acteurs européens ou français dont la part de marché est en déclin.» Le texte serait déjà conforme au Data Governance Act et sera abrogé quand ce dernier entrera en vigueur. La France, à son niveau, entend «libérer les entreprises de leur joug numérique» et favoriser une réelle concurrence dans le cloud.