Cyberscore : définition, fonctionnement et obligations légales
Le Cyberscore est une certification légale obligatoire instaurée par la loi n°2022-309.
- Note de A à E du vert (sécurisé) au rouge (passoire)
- Audit externe obligatoire par prestataire qualifié ANSSI
- Évalue sécurité des données, hébergement et lois étrangères
- Sept domaines clés analysés, score sur 1 000 points
- Destiné aux sites web grand public (e-commerce, réseaux sociaux)
Qu’est-ce que le Cyberscore ? Définition et objectif de la certification
- Certification légale obligatoire instaurée par la loi n° 2022-309 pour imposer une transparence minimale en cybersécurité aux sites web grand public.
- Visuel coloré type Nutriscore une échelle allant du vert (sécurisé) au rouge (passoire), permettant à l’internaute de comprendre en un coup d’œil le niveau de protection de ses données.
- Destiné aux sites web grand public plateformes e-commerce, réseaux sociaux, moteurs de recherche et messageries fréquentées par des utilisateurs non experts.
- Notation basée sur un audit externe indépendant seul un prestataire qualifié par l’ANSSI peut réaliser l’évaluation. Aucune auto-déclaration ni audit interne n’est acceptée.
- Évalue sécurité des données, hébergement et lois étrangères le score prend en compte les mesures de protection des informations personnelles, la localisation des serveurs et l’exposition aux législations de pays tiers.
Fonctionnement du Cyberscore : critères de notation et processus d’audit

Le Cyberscore attribue une note de A à E, du vert foncé au rouge vif, après un audit externe obligatoire. Seuls des prestataires qualifiés par l’ANSSI peuvent réaliser cette évaluation, excluant toute auto-évaluation interne.
L’audit examine sept domaines clés, chacun recevant sa propre lettre. La synthèse globale donne un score de maturité cyber sur 1 000 points. Les critères portent sur la sécurisation des données, l’hébergement local et l’exposition aux lois étrangères.
Un site bien noté affiche un visuel clair, comparable à un Nutriscore. L’internaute voit immédiatement si la plateforme est fiable (vert) ou risquée (rouge). Ce système pédagogique vise à rendre la cybersécurité transparente pour tous.
Comment se préparer au Cyberscore et obtenir une bonne note
Pour obtenir une note favorable, votre site doit impérativement passer par un audit externe indépendant réalisé par un prestataire qualifié par l’ANSSI. L’auto-évaluation interne n’est pas autorisée par la loi. Voici les actions concrètes à mettre en œuvre.
- Recourir à un prestataire qualifié ANSSI Seuls des auditeurs certifiés peuvent délivrer la notation officielle. Leur mission couvre l’ensemble des 7 domaines évalués, chacun recevant une note de A (vert foncé) à E (rouge).
- Sécuriser les données utilisateurs Mettez en place des mesures robustes de protection des informations personnelles. La notation prend directement en compte la conformité aux lois sur la protection des données et la manière dont vous traitez les failles de sécurité.
- Privilégier un hébergement local L’hébergement des données en France ou en Europe est un critère clé. Le Cyberscore vise à renforcer la souveraineté numérique et à limiter l’exposition aux lois étrangères extraterritoriales.
- Vérifier le protocole HTTPS Assurez-vous que votre site utilise une connexion sécurisée HTTPS sur l’intégralité de ses pages. C’est un prérequis technique fondamental pour éviter d’être directement classé dans les mauvaises notes.
- Anticiper avant l’entrée en vigueur Ne tardez pas à lancer le processus. Un manquement prolongé expose votre organisation à des sanctions financières allant jusqu’à 375 000 euros pour une personne morale et 75 000 euros pour une personne physique.
L’objectif est d’obtenir une note de synthèse élevée, sur une échelle de 0 à 1 000, traduisant une maturité cyber solide. Chaque mesure de sécurisation, de localisation des données ou de transparence améliore votre score final.
Acteurs concernés et sanctions en cas de non-respect du Cyberscore
Qui est visé par l’obligation légale ?
Le Cyberscore ne concerne pas l’ensemble du web français. La loi cible spécifiquement les grandes plateformes ayant une audience massive, en raison de l’impact potentiel de leur exposition sur la protection des données personnelles. Le critère principal pour être soumis à cette obligation est de dépasser le seuil de 5 millions de visiteurs uniques par mois. Cette règle vise les acteurs suivants :
- Grandes plateformes et réseaux sociaux : Facebook, X (Twitter), Instagram, TikTok, LinkedIn.
- Moteurs de recherche et messageries : Google Search, Bing, Gmail, Outlook, Yahoo Mail.
- Services de visioconférence : Zoom, Microsoft Teams, Google Meet.
- Sites dépassant 5 millions de visiteurs/mois : tout site e-commerce, média ou service en ligne atteignant ce seuil d’audience.
Cette obligation s’applique à toutes les entités opérant en France, qu’elles soient françaises ou étrangères. Les opérateurs modifiant le code de consommation (ex : agrégateurs de contenus) sont également concernés.
Sanctions encourues en cas de non-respect
Le législateur a prévu des sanctions financières dissuasives pour garantir l’application de la loi. Un manquement prolongé expose les contrevenants à des amendes sévères, calculées en fonction de la nature de l’entité :
- 75 000 euros d’amende maximum pour une personne physique (ex : dirigeant).
- 375 000 euros d’amende maximum pour une personne morale (ex : entreprise, association).
En plus de l’aspect financier, le fait d’afficher une note rouge (E) de manière prolongée constitue une infraction spécifique. Au-delà des amendes, le risque RSE et d’image de marque est considérable : un mauvais Cyberscore peut entraîner une perte de confiance massive des utilisateurs, et potentiellement une baisse du trafic organique. La DGCCRF et la CNIL sont impliquées dans le contrôle et le développement des critères de notation.
Origine législative du Cyberscore : contexte et parallèle avec le Nutriscore
L’idée du Cyberscore est née durant le premier confinement, après que l’affaire Zoom a révélé les failles de sécurité des plateformes étrangères. Déposée au Sénat le 15 juillet 2020 par le sénateur Laurent Lafon, la proposition de loi a été adoptée définitivement le 24 février 2022 avant d’être promulguée le 3 mars 2022 sous le numéro Loi n° 2022-309.
Ce label de confiance s’inspire directement du Nutriscore : il utilise le même visuel coloré, du vert (A) au rouge (E), pour offrir une lecture immédiate aux internautes. L’objectif est de garantir une transparence totale sur la sécurité des données et la localisation des hébergements, renforçant ainsi la souveraineté numérique française et européenne face aux géants du web.
FAQ – Questions fréquentes sur le Cyberscore
Que couvre exactement la loi Cyberscore ?
La loi Cyberscore impose aux plateformes en ligne d’afficher un score de cybersécurité visible par les utilisateurs. Elle couvre l’obligation de notifier les violations de données, de sécuriser les traitements et de respecter des standards techniques stricts pour protéger les données personnelles.
Comment est calculé le score cyber d’un site ?
Le score cyber d’un site est calculé à partir d’un audit automatisé qui évalue plusieurs indicateurs : gestion des mises à jour, configuration des certificats SSL, politique de mots de passe et résistance aux attaques courantes comme les injections SQL ou le cross-site scripting.
En quoi consistent les piliers de la cybersécurité liés au Cyberscore ?
Les piliers de la cybersécurité liés au Cyberscore sont la confidentialité, l’intégrité et la disponibilité des données. L’audit vérifie que le site empêche les accès non autorisés, garantit l’exactitude des informations et maintient un service accessible sans interruption.
Quelle est la différence entre le Cyberscore et une notation cyber classique ?
La différence majeure est que le Cyberscore est une obligation légale contraignante, tandis qu’une notation cyber classique est souvent volontaire et privée. Le Cyberscore impose un affichage public du résultat, un processus d’audit standardisé et des sanctions en cas de non-conformité.
