Analyse du projet de loi visant à sécuriser et réguler l'espace numérique

Loi visant à sécuriser et réguler l'espace numérique

Adopté au Sénat à l'unanimité, le projet de loi visant à "sécuriser et réguler l'espace numérique" (SREN) est un sacré morceau : au fil de ses centaines de renvois vers plus d'une quinzaine de codes et règlements différents (dont nous vous épargnons l'inventaire), son analyse par le justiciable se révèle particulièrement ardue et ne l'est sans doute pas moins pour les parlementaires en charge de son examen. Dans son avis, rendu public par le Gouvernement, le Conseil d’État ne prend sur le sujet pas beaucoup de pincettes :

Le Conseil d’État ne peut que regretter les délais particulièrement resserrés dans lesquels ce projet de loi lui a été soumis, le dépôt exceptionnellement tardif de l’étude d’impact ainsi que le nombre des modifications apportées par le Gouvernement au texte durant son examen, au regard notamment de l'importance de certaines mesures qu'il contient et alors qu'il ne présente, par lui-même, aucun caractère d'urgence justifiant de telles conditions de saisine.
Il résulte, en outre, de ce calendrier que les instances dont la consultation était obligatoire, si elles ont toutes été effectivement consultées, ont été dans l'obligation de se prononcer dans des délais très réduits et que le Conseil d’État n’a pu prendre connaissance des avis ainsi rendus que très peu de temps avant de rendre le sien. Le Conseil d’État souligne que l’ensemble de ces circonstances n’est pas de nature à permettre de garantir pleinement la sécurité juridique, légitimement attendue par le Gouvernement, de l’examen du projet de loi qui lui est soumis.

Le texte est dense, balaie très large et est propulsé par le Gouvernement, qui a enclenché la procédure accélérée en vue d'une adoption dès les prochaines semaines. Il couvre de très nombreux aspects du numérique, de la protection des mineurs à la création de nouveaux délits, nouveaux pouvoirs pour des autorités extra-judiciaires, nouvelles sanctions, en passant par le marché du Cloud, des jeux de hasard monétisables ou encore des plateformes de type Airbnb. Comme d'habitude, nous vous en proposons une analyse.

La pornographie, objet de toutes les attentions

Le projet de loi tend, sur la pornographie, à couvrir quatre problèmes différents. D'abord la sanction des sites qui n'empêcheraient pas efficacement leur accès par des mineurs, puis la lutte contre la pédopornographie, l'encadrement des contenus simulant des crimes et délits et, enfin, l'utilisation de deepfakes ou de montages de l'image d'une personne dans un contenu à caractère sexuel. Dans ces quatre cas, c'est systématiquement l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM - fusion du CSA et de la HADOPI) qui est aux commandes et se trouve dotée de nouveaux pouvoirs.

La vérification de l'âge des mineurs, plus que jamais d'actualité

Pour la prévention de l'accès des mineurs à des sites pornographiques, l'ARCOM se voit attribuer, dès l'article premier, un pouvoir normatif :

L’Autorité de régulation de la communication audiovisuelle et numérique veille à ce que les contenus pornographiques mis à la disposition du public par un service de communication au public en ligne ne puissent pas être accessibles aux mineurs et, en conséquence, à ce que les personnes dont l’activité est d’éditer un tel service de communication au public en ligne vérifient préalablement l’âge de leurs utilisateurs.

Elle établit et publie à cette fin [dans un délai de six mois après la promulgation de la présente loi], après avis de la Commission nationale de l’informatique et des libertés, un référentiel déterminant les caractéristiques techniques applicables aux systèmes de vérification de l’âge mis en place pour l’accès aux services de communication au public en ligne qui mettent à la disposition du public des contenus pornographiques, en matière de fiabilité du contrôle de l’âge des utilisateurs et de respect de leur vie privée.

Si jusqu'ici elle ne pouvait qu'adresser des "recommandations", la conformité à ce nouveau référentiel sera obligatoire, sous peine de sanctions pécuniaires après mise en demeure. Il conviendra donc que les sites pornographiques s'y conforment, tout en respectant le droit à la vie privée de leurs utilisateurs. D'autres pays tels l'Australie ou le Royaume-Uni viennent de renoncer à trouver une solution technique qui concilie ces deux impératifs après des mois de batailles juridiques et législatives et nous avons hâte de voir si l'Autorité sera en mesure de proposer une solution technique ou si elle se contentera de rester vague sur les moyens. La piste d'un tiers de confiance qui opèrerait en double-anonymat est actuellement la plus envisagée.

L'article 2 évoque les sanctions contre les plateformes récalcitrantes, qui diffèrent selon que le site a un système de vérification d'âge non-conforme, ou qu'il en est dépourvu (ou se contente d'une simple déclaration de majorité, considérée par le texte comme une absence de vérification). Les peines encourues peuvent aller de 75 000 euros ou 1 % du chiffre d'affaires mondial hors taxes annuel dans le premier cas à 250 000 euros ou 4 % du CA dans le second. Dans un cas comme dans l'autre, c'est systématiquement le nombre le plus élevé des deux qui est retenu.

Enfin l'ARCOM acquiert encore une nouvelle corde à son arc en pouvant, en sus, adresser une injonction aux fournisseurs d'accès à internet (FAI) et aux fournisseurs de système de résolution des noms de domaine (résolveurs DNS) afin de leur faire bloquer sous 48h l'accès au site incriminé (désormais sans contrôle d'un juge, à l'instar de ce que prévoit la LPM 2024-2030 pour l'ANSSI). Les utilisateurs qui s'y rendront seront alors redirigés vers le site de l'ARCOM où sera affiché un message expliquant les raisons du blocage. L'Autorité sera également en mesure de demander le déréférencement du site des moteurs de recherche et des annuaires. Idem pour les "boutiques d'applications logicielles" qui auront 48h pour empêcher le téléchargement d'une application qui permettrait à des mineurs d'accéder à de la pornographie. Il est possible que ce soient des applications comme Discord, Signal ou Telegram qui soient visées par cette dernière disposition. Reste, pour le moment, à voir si un distributeur finira vraiment par être bloqué un jour car un procès, intenté contre les principaux sites pornographiques consultés en France, ne cesse de se voir repoussé.

La lutte contre la pédopornographie

Dans son article 3, la loi entend imposer le retrait d'un contenu à caractère pornographique représentant un mineur dans un délai de 24h. C'est ici l'hébergeur, directement saisi par l'autorité administrative, qui doit procéder à son retrait et qui est tenu, sauf si le secret est requis pour les besoins d'une enquête ou de poursuites, de prévenir l'éditeur du site de la demande de retrait formulée par l'administration.

L'hébergeur qui ne se conformerait pas à l'injonction de retrait dans les délais se rendrait passible d'une peine d'emprisonnement et d'amende et peut même se voir interdit de pratiquer à l'avenir le métier de fournisseur de services d'hébergement pendant une période pouvant aller jusqu' 5 ans.

Les productions à caractère sexuel contenant des simulations de crimes et délits

Les personnes dont l’activité est d’éditer un service de communication au public en ligne mettant à disposition du public des contenus pornographiques affichent, avant tout accès à un contenu simulant la commission d’un crime ou d’un délit mentionné au deuxième alinéa du présent article, un message avertissant l’utilisateur du caractère illégal des comportements ainsi représentés. Ce message est clair, lisible, unique et compréhensible. [...]

La commission simulée d’un crime ou d’un délit est appréciée en fonction du titre du contenu ainsi que des mots-clés, expressions ou autres entrées renvoyant vers ledit contenu.

Le texte présenté dans les articles 4 A, 4 B, et 4 est limpide. Si aucun message d'avertissement clair, lisible, unique et compréhensible n'accompagne un contenu présentant une agression sexuelle fictive, celui-ci est alors illégal. Dans ce cas ou dans celui d'une plateforme qui ne retirerait pas "promptement" un contenu à caractère pornographique dont l'une des personnes représentées fait état d'un problème de cession de droits, l'ARCOM pourra, toujours sans contrôle judiciaire, mettre en demeure les hébergeurs, les FAI, les résolveurs DNS, les moteurs de recherche et les annuaires afin de faire retirer ou empêcher tout accès au contenu concerné.

Les montages et deepfakes à caractère sexuel

Nous y reviendrons plus avant : l'un des objectifs de ce projet de loi est de lutter contre le cyberharcèlement. Ainsi son article 5 ter interdit-il strictement, même en précisant de façon claire et évidente qu'il s'agit d'un montage, d'utiliser l'image ou la voix d'une personne sans son consentement, pour du contenu à caractère sexuel. Le droit à la parodie ne trouve pas à s'appliquer ici et tout montage, fût-il manuel ou une création algorithmique, est prohibé, sauf consentement exprès de l'intéressé(e). Les contrevenants s'exposent à des sanctions lourdes, à encore plus forte raison si leurs œuvres sont publiées en ligne :

Est puni de deux ans d’emprisonnement et de 60 000 euros d’amende le fait de publier, sans son consentement, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne, et présentant un caractère sexuel. Est assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de publier, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement, et présentant un caractère sexuel.

Ces peines sont portées à trois ans d’emprisonnement et à 75 000 euros d’amende lorsque la publication du montage ou du contenu généré par un traitement algorithmique a été réalisée en utilisant un service de communication au public en ligne.

Pour les montages qui ne contiennent aucun caractère sexuel, s'il est évident qu'il s'agit d'une parodie ou s'il en est expressément fait mention, tout va bien. Dans le cas contraire : prison, amende, et majoration si le contenu est diffusé en ligne (article 4 bis).

Une nouvelle peine et un nouveau délit

Le bannissement des réseaux sociaux et plateformes de vidéos

Les auteurs d'infractions constitutives de cyberharcèlement, d’atteintes à la dignité des personnes et des mineurs, de provocation ou d’apologie d’actes de terrorisme, les délits de presse les plus grave, et les menaces et intimidations contre les élus pourront désormais, en complément des sanctions actuellement en vigueur, trouver leurs accès à une ou plusieurs plateformes suspendus par la Justice pour une durée de six mois, portée à un an en cas de récidive. Ainsi l'article 5 précise :

Le prononcé de la peine complémentaire [...] et la dénomination du compte d’accès ayant été utilisé pour commettre l’infraction sont signifiés aux fournisseurs de services concernés. [...] Ces derniers procèdent au blocage du ou des comptes faisant l’objet d’une suspension et mettent en œuvre, [...] des mesures permettant de procéder au blocage des autres comptes d’accès à leur service éventuellement détenus par la personne condamnée et d’empêcher la création de nouveaux comptes par la même personne.

Il appartiendra donc à un service notifié de suspendre le compte concerné, pendant la durée de la peine, mais aussi d'employer des moyens pour empêcher l'internaute de se créer un nouveau compte. Techniquement, cela ne sera certainement pas simple à réaliser, le blocage d'une adresse IP étant susceptible de toucher d'autres utilisateurs que le condamné, notamment au sein de son foyer, de son lieu de travail, mais aussi des tiers (rares sont les abonnés internet en IP fixe) et ne permettent pas utilement d'empêcher son accès à l'aide d'un VPN ou d'un proxy. Encore une fois, nous attendons avec impatience de connaître les précisions techniques qui devront être mises en œuvre.

Le délit d'outrage en ligne

Ce nouveau délit est créé par l'article 5 bis :

Est puni de 3 750 euros d’amende et d’un an d’emprisonnement le fait [hors exceptions] de diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante.

L'amende est portée à 7 500 euros si le délit est commis par une personne qui abuse de son autorité, commis sur un mineur, commis sur une personne vulnérable, commis en groupe, commis en raison de l'identité ou l'orientation sexuelle (supposées) de la victime, ou en cas de récidive.

Ce délit d'outrage en ligne expose également à deux types de peines complémentaires : d'une part le bannissement des plateformes évoqué plus haut et, d'autre part, l'obligation de participer à un stage pouvant durer jusqu'à un mois. Ce peut être un stage de citoyenneté, tendant à l'apprentissage des valeurs de la République et des devoirs du citoyen, un stage de responsabilisation pour la prévention et la lutte contre les violences au sein du couple et sexistes, un stage de sensibilisation à la lutte contre l'achat d'actes sexuels ou encore un stage de lutte contre le sexisme et de sensibilisation à l'égalité entre les femmes et les hommes. Ces stages font déjà partie du quantum de peines complémentaires en vigueur et ne sont pas spécifiques au délit d'outrage en ligne.

Le filtre anti-arnaques, bête noire des fournisseurs de navigateurs internet

L'article 6 présente un filtre anti-arnaques basé sur une liste noire tenue par l'administration. Si un agent spécialement désigné et habilité constate qu'un service en ligne réalise des infractions, l'autorité le met en demeure de cesser les opérations concernées et, simultanément, adresse aux fournisseurs de navigateurs internet une injonction pour qu'ils mettent en place, sans délai, une mesure conservatoire :

[Le fournisseur de navigateur internet] prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d’accéder au site internet officiel du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cybermalveillance.

Le projet va cependant plus loin car, si l'éditeur n'est pas rentré dans les clous dans le délai de 7 jours (sauf recours, suspensif), l'administration peut alors enjoindre directement aux fournisseurs de navigateurs internet (ainsi qu'aux résolveurs DNS, FAI et moteurs de recherche) de procéder au blocage du site concerné et de rediriger les internautes vers un site de l'autorité administrative.

Il s'agirait de la première loi au monde à imposer directement aux navigateurs le blocage d'un site. Ce pied dans la porte n'est pas du goût de tout le monde, notamment de Mozilla qui, dans un billet de blog, expose ses nombreuses craintes et en particulier celle que des Gouvernements autoritaires s’engouffrent dans la brèche. La fondation, propriétaire de Firefox, est à l'origine d'une pétition tendant à faire supprimer ce recours aux navigateurs.

Là encore, il nous tarde de connaître les détails techniques qui seront retenus car, outre la question juridique qui est loin d'être anodine, nous voyons peu comment les myriades de forks de Firefox, maintenus parfois par un seul développeur, pourraient être notifiés, capables d'intervenir dans les délais ou condamnés par la justice française en cas de non-exécution de l'injonction. Le blocage par les navigateurs permettrait de pallier le problème de contournement des mesures de blocage par les utilisateurs de VPN ou de DNS non fournis par les FAI, mais les conséquences d'une telle loi semblent difficiles à mesurer tant ses implications sont grandes.

Le marché du Cloud, un enjeu de souveraineté

Depuis plusieurs années, le Gouvernement s'attache à promouvoir des solutions de Cloud de confiance pour des raisons de souveraineté nationale ou européenne. L'agence nationale de la sécurité des systèmes d'information (ANSSI) tient, par exemple, une liste de services certifiés (accessibles en page 14 de ce PDF) et le présent projet de loi comporte un grand nombre de mesures tendant à permettre aux internautes de choisir librement leur solution d'informatique en nuage.

Ces mesures sont articulées autour de trois principes : la lutte contre les pratiques déloyales, l'interopérabilité et la portabilité des données. Elles s'accompagnent d'un renforcement des pouvoirs de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et s'étalent des articles 7 à 13.

En matière de pratiques déloyales et anticoncurrentielles, il est question d'interdire aux opérateurs de solutions cloud de facturer à leurs clients des frais de transfert de données vers d'autres infrastructures, locales ou concurrentes, sauf coûts réels directement liés à ce changement et communiqués de façon transparente. De même, il est également "interdit à toute personne de subordonner la vente d’un produit ou service à la conclusion concomitante d’un contrat de fourniture de services d’informatique en nuage dès lors que celle-ci constitue une pratique commerciale déloyale", ou encore d'offrir des crédits ou services pour une durée supérieure à un an, ce qui serait susceptible d'empêcher le départ d'un utilisateur.

Les fournisseurs de services Cloud sont, en outre, tenus au respect de trois exigences considérées comme essentielles :

• D'interopérabilité, dans des conditions sécurisées, avec les services de l’utilisateur ou avec ceux fournis par d’autres fournisseurs d’informatique en nuage pour le même type de fonctionnalités ;
• De portabilité des actifs numériques, dans des conditions sécurisées, vers les services de l’utilisateur ou vers ceux fournis par d’autres fournisseurs d’informatique en nuage couvrant le même type de fonctionnalité ;
• De mise à disposition gratuite aux utilisateurs et aux fournisseurs de services tiers désignés par ces utilisateurs, à la fois, d’interfaces de programmation d’applications nécessaires à la mise en œuvre de l’interopérabilité et de la portabilité et d’informations suffisamment détaillées sur le service d’informatique en nuage concerné pour permettre aux utilisateurs ou aux services de fournisseurs tiers de communiquer avec ce service.

L'ARCEP devra préciser les règles et modalités de ces interopérabilités et portabilités et veiller à leur bonne articulation avec les autres États membres de l'Union Européenne (UE). Elle sera pourvue de nouveaux pouvoirs d'enquête et de sanction ainsi que d'accès à certaines données.

Les autorités publiques ayant recours à des solutions cloud privées devront s'assurer que le prestataire est établi sur le territoire de l'UE, y compris la grande majorité de ses actionnaires et de son conseil d'administration. Enfin, les opérateurs d'informatique en nuage devront mentionner obligatoirement sur leur site l'emplacement physique des serveurs, l'existence d'un risque d'accès gouvernemental aux données et devront donner une description des mesures techniques, juridiques et organisationnelles adoptées afin d’empêcher l’accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’UE ou le droit national de l’État membre concerné.

Expérimentation sur les jeux numériques monétisables

Les jeux à objet numérique (JONUM), reposant sur la blockchain et des tokens (fongibles ou NFT) ayant une valeur marchande ont le vent en poupe, notamment chez les jeunes adultes. Le fait de jouer peut faire gagner des éléments du jeu qu'il est ensuite possible de revendre. Ces éléments monnayables étant obtenus avec une part d'aléatoire, ils s'apparentent aux jeux d'argent et de hasard et attirent de plus en plus de joueurs, susceptibles de développer des pathologies comme des addictions ou des problèmes sociaux. Mme Falque-Pierrotin, présidente de l'Agence nationale des jeux et ancienne présidente de la CNIL demande aux parlementaires d'encadrer ces JONUM pour que soient protégés les plus vulnérables sans brider leur développement économique.

Dans l'article 15 de sa version sénatoriale, le projet de loi ébauche à leur endroit quelques principes qui seront certainement éclairés par son examen au Palais Bourbon :

Les entreprises de jeux à objets numériques monétisables s’assurent de l’intégrité, de la fiabilité, de la transparence des opérations de jeu et de la protection des mineurs. Elles veillent à prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.

Comment devront-elles s'y prendre ? C'est une question à laquelle la Chambre Haute du Parlement ne répond pas, comme à l'essentiel des considérations techniques. Comme souvent, si le projet va à son terme, il reviendra sans doute au Conseil d’État de prendre un décret d'application, à moins que les députés, peut-être plus au fait de cette question, débroussaillent davantage le sujet.

Accès aux données des plateformes de locations meublées touristiques

Afin de permettre aux communes, dont les plus touristiques dépendent notamment de la collecte de taxes de séjour, de se prémunir contre la fraude, le champ de données auquel elles peuvent avoir accès est élargi par l'article 17, qui précise désormais que les plateformes de mise en relation entre loueurs et logeurs de meublés touristiques doivent transmettre ces données par voie électronique selon des modalités particulières. Un organisme unique est chargé de collecter ces données et de les transmettre aux communes qui en feront la demande.

Jusqu'à lors, elles devaient batailler auprès de chaque plateforme pour obtenir des données qui n'étaient pas présentées de la même façon et se prêtaient peu à leur traitement. La plateforme américaine Airbnb a été condamnée en juin dernier à payer, en plus de verser les sommes dues, une amende de 30 000 euros pour n'avoir pas reversé aux communes de l'île d'Oléron les taxes de séjour des années 2020 et 2021. En janvier, c'était la plateforme Booking qui avait été condamnée pour les mêmes motifs.

Avec cette centralisation, les plateformes enverront systématiquement les informations légales à un organisme unique qui sera en mesure de les traiter et d'éventuellement les transmettre en bon ordre. Cet organisme sera désigné par décret en Conseil d'État, qui déterminera également la fréquence et les modalités techniques de la transmission des données.

Mise en conformité du droit national avec le DMA et le DSA

Les articles suivants, jusqu'au 35^ème inclus, achèvent de mettre en conformité le droit national avec le Digital Markets Act (DMA) et le Digital Services Act (DSA). Il s'agit principalement de simples modifications de plume des textes en vigueur, mais certaines emportent tout de même quelque substance. Pour rappel (ou pour information), le DMA ne concerne que les GAFAM + ByteDance (Tiktok) et vise à limiter leurs abus de position dominante (interdiction d'utiliser les données de leur marketplace pour mettre en avant leurs propres produits ou d'imposer leur navigateur internet lors de l'installation d'un système d'exploitation ainsi qu'obligation d'informer la Commission européenne de tout projet de fusion ou d'acquisition). De son côté, le DSA touche des plateformes un peu plus nombreuses et variées (FAI, hébergeurs, places de marché...) et s'attaque principalement à la diffusion de contenus illicites (incitations à la haine, vente de produits illicites, etc.) pour harmoniser les pratiques et législations nationales entre les Etats membres.

Si la présente analyse est déjà dense, celles du DMA et du DSA le seraient encore davantage et feront peut-être l'objet de futurs dossiers.

Et ensuite ?

Avec l'arrivée de l'automne, l'ouverture de la nouvelle session parlementaire approche et l'activité législative reprend. Ce projet de loi qui a quitté le Sénat sera examiné à partir de la semaine prochaine par une commission spéciale de l'Assemblée Nationale, avant d'être discuté et sans doute amendé dans l'hémicycle. Nous ne manquerons pas de revenir vous parler de cette loi au cours des débats. En attendant, ces 11 et 12 septembre seront auditionnés au Palais Bourbon le directeur général de l'ANSSI, la CNIL puis le Conseil national du numérique (CNN) dans le cadre d’une mission d’information sur les défis de l’intelligence artificielle générative en matière de protection des données personnelles et d’utilisation du contenu généré.

Sources : Avis du Conseil d’État, Projet adopté par le Sénat