Loi SREN : tout ce qui change en pratique pour le numérique en France
De l'accès aux sites pornographiques au bannissement sur les réseaux sociaux, la loi visant à sécuriser et à réguler l'espace numérique (SREN) a été promulguée. Certaines mesures ont toutefois été censurées par le Conseil Constitutionnel.
S'inscrivant dans la continuité de la loi Avia de 2020, la loi visant à "sécuriser et réguler l'espace numérique" (SREN) a enfin été promulguée dans le Journal officiel. Après avoir été définitivement adoptée par l'Assemblée nationale en avril dernier, après des mois de débats, avec 134 voix pour et 75 voix contre, notamment issues de la gauche et du RN, la France insoumise avait annoncé un recours devant le Conseil constitutionnel. Résultat : une des mesures les plus polémiques, le délit d'outrage en ligne pouvant être sanctionné d'une amende, a été censuré par les Sages.
Porté par Jean-Michel Barrot, ministre chargé du Numérique, la loi SREN vise à faire plier les grandes plateformes face aux réglementations du Gouvernement. Elle comprend notamment la mise en place d'un filtre anti-arnaque, le renforcement des sanctions contre les personnes condamnées pour cyberharcèlement, le renforcement du dispositif visant à faire respecter les limites d'âge en ligne pour l'accès aux sites pornographiques et de la sanction des plateformes en cas de non-retrait de contenus pédopornographiques en ligne. La secrétaire d’État chargée du numérique, Marina Ferrari, s'était réjouie de ce vote "attendu par des millions de nos concitoyens qui aspirent à évoluer dans une espace numérique plus sûr et plus protecteur".
La loi Numérique entend également bloquer les médias de propagande sur Internet et renforcer le contrôle des locations touristiques pour lutter contre les abus commerciaux illégaux dans le secteur du cloud. Toutefois, certaines de ces mesures, qui touchent quelque 55 millions d'internautes français, ont suscité de vives critiques, car elles sont soit difficiles à mettre en place, soit jugées autoritaires, empiétant sur la protection de la vie privée des internautes. Notons que, au moment du vote final par l'Assemblée national, le texte avait suscité de fortes inquiétudes quant à la protection des libertés publiques, du côté du RN et de LFI, mais aussi de certains parlementaires de la majorité. Après de nombreuses réécritures et un passage en commission paritaire mixte, le texte avait été quelque peu lissé, mais certaines mesures semblent toujours compliquées à mettre en place. Voici ce qui va changer en pratique.
Loi SREN : bannissement des réseaux sociaux et autres délits en ligne
L'une des mesures phares du projet de loi SREN concerne le bannissement des réseaux sociaux des personnes commettant des infractions sur le Web, dans un contexte où des affaires de cyberharcèlement et de violences en ligne, en particulier envers des mineurs, défrayent la chronique. Ainsi, les auteurs à l'origine de publications et de messages malveillants ne pourront plus accéder aux plateformes pour une durée allant de six mois à un an. Mais pour mettre cela en place, il faut d'abord trouver la bonne méthode pour lier des comptes sur les réseaux sociaux à une personne physique. Une méthode qui n'est pour l'instant pas précisée par le projet de loi.
Un amendement déposé par le député Renaissance Paul Midy l'année dernière proposait que la création de tout compte sur les réseaux sociaux soit obligatoirement adossée à une preuve d'identité, ce qui permettrait de facilement retrouver l'auteur d'une potentielle infraction. Cette mesure aurait été mise en application à travers la création d'une certification "personne physique", un code indéchiffrable pour le réseau social, mais qui permettrait à l'État de faire le lien avec une personne physique. "C'est le même principe qu'une plaque d'immatriculation", expliquait le député. Il aurait pu s'agir de l'outil France identité – désormais disponible pour tous –, qui dématérialise la carte d'identité. Mais cette option se heurtait à la loi française, car les citoyens ne sont pas obligés de disposer d'une carte d'identité, encore moins numérique.
Après les amendements anti-VPN, voilà les amendements pour booster "France identité numérique" sur les réseaux sociaux. "Le même principe quune plaque dimmatriculation", résume le député Renaissance Paul Midy ds Le Parisien, rapporteur général du #PJLRENhttps://t.co/hVq9fZoVkk pic.twitter.com/Ou73kAvvCi
— marc rees (@reesmarc) September 18, 2023
Des députés avaient auparavant déposé un amendement visant à "interdire à tout utilisateur d'un réseau social de publier, de commenter ou d'interagir en utilisant un réseau privé virtuel" en France afin de lever l'anonymat sur les réseaux sociaux, provoquant une panique et une levée de boucliers (voir notre article). Il avait heureusement été retiré, mais un autre amendement, déposé par trois élus Renaissance, s'attaquait lui aussi aux VPN. Il ambitionnait que les solutions des fournisseurs de VPN "ne permettent pas l'accès à un réseau Internet non soumis à la législation et [à] la réglementation française ou européenne". Une formulation très vague qui ressemble, comme le faisait remarquer le journaliste Marc Rees, au fameux Grand Firewall de Chine, le pare-feu qui interdit à la population l'accès à Meta, Instagram, X (anciennement Twitter) et de à de nombreuses autres grandes plateformes – et qui peut d'ailleurs justement être contourné par des VPN. Là aussi, l'amendement avait été débouté. Toutefois, avec la version définitive du texte, l'Arcom gagne le droit d'exiger des opérateurs l'arrêt de diffusion sur internet d'une chaîne de propagande étrangère frappée par des sanctions européennes – comme Sputnik ou RT France par exemple.
La loi SREN s'attaque également aux réseaux sociaux. En effet, elle donne des devoirs de modération aux grandes plateformes de réseaux, sous peine de sanctions économiques, et sanctionnent les fauteurs de troubles. Ainsi, la publication sans consentement de deepfakes (article 4 bis) et d'hypertrucages à caractère sexuel, de même que la réalisation de chantage fait à l'aide d'un contenu à caractère sexuel sont désormais punis de plusieurs années de prisons et de lourdes amendes. On notre également la création d'une "peine de bannissement des réseaux sociaux" de six mois – ou un an en cas de récidive –pour les cyberharceleurs, y compris pour des "provocations" à commettre certains délits. Cela concerne les condamnations pour haine en ligne, cyber-harcèlement, pédopornographie, proxénétisme, dérives sectaires, entraves à l'avortement, menaces contre les élus et autres infractions graves. Cette suspension des réseaux sociaux pourra être prononcée en plus de la peine normalement prévue pour ces infractions.
Loi SREN : un blocage des sites pornos toujours aussi compliqué
L'autre grand cheval de bataille de la loi SREN concerne le respect des limites d'âge en ligne pour l'accès aux sites pornographiques. Le projet de loi visait initialement à autoriser l'Arcom à faire bloquer et à déréférencer, sans décision judiciaire, tout site pornographique qui ne procéderait pas à une vérification d'âge pour toute connexion d'un internaute français. Un moyen de renforcer ce contrôle, déjà obligatoire dans la loi, mais qui n'est en réalité pas appliqué. Si après expiration d'un délai de 15 jours suivant une mise en demeure de l'Arcom, le site n'était toujours pas en conformité, il s'exposait à une amende de 250 000 euros ou de 4 % du chiffre d'affaires mondial hors taxes. Les fournisseurs d'accès et fournisseurs d'hébergements avaient 48 heures pour empêcher l'accès aux adresses fautives. Les ambitions ont toutefois été revues à la baisse, car la nouvelle version du texte limite considérablement la portée de la mesure. Si la loi prévoit bien que l'Arcom doit "élaborer un référentiel général fixant les exigences techniques auxquelles devront se conformer les systèmes de vérification d'âge des sites pornographiques, sous peine de lourdes amendes", la mesure ne concerne désormais plus que les plateformes établies en France – comme Jacquie et Michel – ou hors de l'Union européenne (voir notre article). Néanmoins, une disposition permet de désigner "par arrêté" les sites basés dans un autre pays européen, histoire de sauver la face.
Autre problème : l'article 1er de la loi précise que l'Autorité sera chargée d'imaginer une solution technique efficace et protectrice des données personnelles et de la faire appliquer aux plateformes. Une disposition qui se heurte à un problème technique, car un tel dispositif est très difficile à mettre en place. Le référentiel sera publié dans les deux mois suivant la promulgation de la loi, et les sites auront trois mois pour les respecter. De leur côté, les plateformes préféreraient que ces systèmes soient pris en charge directement par iOS et par Android. Mais alors, quelle serait la solution ? Lors de son audition en commission à l'Assemblée nationale le 19 septembre, le ministre du Numérique Jean-Noël Barrot était revenu sur ce sujet, d'autant plus sensible que la CNIL a exclu toute solution consistant à transmettre une pièce d'identité aux sites pornographiques, afin de protéger la vie privée des internautes. "Ce que je souhaite, c'est qu'il puisse y avoir une palette d'outils, mais que les sites puissent proposer au moins une solution qui respecte un principe de tiers de confiance", avait-il assuré. Pour le moment, le système de double anonymat semble la meilleure solution (voir notre article). Le Gouvernement avait annoncé des premiers tests durant ce printemps mais, au vu du manque de nouvelles, cela doit être plus compliqué que prévu. "Nous avons veillé [...] à inviter des entreprises françaises à se lancer dans des expérimentations. Je ne dis pas que ça marche à plein tube, mais nous avons une liste d'entreprises qui expérimentent avec une liste de sites porno. Je suis confiant que ces expérimentations vont permettre de définir un modèle d'affaires qui permettront à ces solutions d'être soutenables" avait expliqué devant la commission le ministre du Numérique.
Toutefois, les associations de protection de l'enfance ne sont pas convaincues, en témoigne la lettre d'OPEN et de COFRADE adressée à Emmanuel Macron. En effet, le Royaume-Uni a adopté en 2017 des dispositions législatives similaires au projet de loi du gouvernement français. Six ans plus tard, suite à l'absence de consensus en matière d'efficacité ou de protection de la vie privée, il n'a toujours pas de texte réglementaire. Idem pour l'Australie qui, ayant opté pour la même stratégie législative, a aussi récemment annoncé avoir renoncé à établir un référentiel technique. De plus, aux yeux des associations, le fait de demander à l'Arcom de créer une référence technique aussi compliquée à mettre en œuvre permettrait aux sites pornographiques de se dédouaner en cas d'inefficacité.
C'est dans ce contexte que plusieurs amendements de députés avaient été déposés en commission parlementaire, puis adoptés. Il y avait notamment celui de Louise Morel, membre du Mouvement démocrate, afin d'imposer aux sites diffusant de la pornographie "l'affichage d'un écran noir tant que l'âge de l'internaute n'a pas été vérifié". Celui-ci s'afficherait en toute circonstance, y compris sur les pages atteintes avec un lien précis, afin d'éviter aux mineurs d'accéder involontairement à des contenus qui ne sont pas adaptés à leur âge. Notons que cette mesure peut être facilement contournée par un VPN. Les producteurs de vidéos pornographiques devront également systématiquement afficher un message d'avertissement avant et pendant la diffusion de contenus comportant la simulation d'un viol ou d'un inceste.
Loi SREN : des restrictions jugées abusives et autoritaires
D'autres dispositions de la loi SREN posent également problème. C'est notamment le cas du filtre anti-arnaque, qui prendra la forme d'un message d'alerte qui avertira les personnes lorsqu'après avoir reçu un SMS ou un courriel frauduleux, elles s'apprêtent à se diriger vers un site malveillant (voir notre article). Ce message renverra vers un site officiel de l'État. Le problème, c'est que pour que le filtre puisse fonctionner, les opérateurs télécoms devront créer une liste rouge des sites frauduleux. Une fois la liste établie, les navigateurs Web et les navigateurs d'applications devront empêcher l'accès aux adresses. Or, en juin 2023, la CNIL, l'Arcep et l'Arcom avaient tous les trois émis des réserves sur la mise en place technique et concrète des sanctions, évoquant un risque "de conduire à une restriction abusive des libertés de communication".
Le Gouvernement voudrait créer des listes de blocage de noms de domaines intégrées aux navigateurs Web, comme Chrome, Mozilla Firefox ou Safari, et imposerait à ces derniers, par le biais de l'article 6, de mettre en œuvre ces blocages (voir notre article). Une mesure jugée liberticide, notamment pour Mozilla, qui en a fait son cheval de bataille – il a même lancé une pétition. Elle pourrait même conduire, selon la Quadrature du Net, à une possible généralisation du "contrôle d'identité en ligne". Aussi, la mise en œuvre de ce filtre doit être précisée par décret.
Le texte va également réglementer le Cloud pour permettre davantage de concurrence parmi les fournisseurs d'infrastructure et de services informatiques, en plafonnant les frais de changement de fournisseur de services en nuage aux coûts directs supportés par le fournisseur, avec une tarification maximale qui devra être prochainement définie par un arrêté. Il propose également d'encadrer des jeux de hasard en ligne, en autorisant les adultes, pour une durée expérimentale de trois ans, à participer à des "Jeux à objets numériques monétisables" (Jonum), à la frontière entre jeux vidéo et jeux d'argent. Cette mesure est l'une des plus décriées du texte, et plusieurs députés espéraient la voir censurée par le Conseil constitutionnel, pointant une rupture d'égalité avec les casinos en ligne. "Le texte régularise une pratique pour laquelle on sait qu'il y a un risque d'addiction énorme", s'alarmait par exemple le socialiste Hervé Saulignac. Sans succès.
Loi SREN : des articles censurés par le Conseil Constitutionnel
Le Conseil constitutionnel a pris soin de censurer la création d'un délit d'outrage en ligne, qui devait être passible d'une "amende forfaitaire délictuelle" de 300 euros, voir plus. Celui-ci devait permettre de sanctionner le fait de "diffuser en ligne tout contenu qui soit porte atteinte à la dignité d'une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante". Un "délit flou" qui "déroge (..) à la loi de 1881", s'alarmait l'association La Quadrature du net. De plus, il s'agissait "d'un délit extrêmement large puisque la notion de 'situation intimidante, hostile ou offensante' n'est nullement définie légalement et sera la porte ouverte aux interprétations larges". De son côté, le RN avait dénoncé dans un communiqué une mesure "abjecte" donnant le "pouvoir aux policiers de déterminer si tel ou tel propos tenus en ligne est délictuel".
Finalement, les Sages ont considéré que ce délit portait une "atteinte à l'exercice de la liberté d'expression et de communication qui n'est pas nécessaire, adaptée et proportionnée", notamment parce que la caractérisation de l'infraction dépendrait de "l'appréciation d'éléments subjectifs tenant à la perception de la victime".
Le Conseil constitutionnel a également censuré quatre "cavaliers législatifs", soit les amendements considérés comme ayant été ajoutés lors des débats et n'ayant pas de lien avec l'objet du projet de loi. C'est le cas de l'article prévoyant le création pour tous d'une "identité numérique" gratuite d'ici à 2027.
Reste que les initiatives du Gouvernement sont sous la surveillance de la Commission européenne, qui a mis en garde à la mi-août la France sur la conformité au droit communautaire de deux initiatives législatives récentes, celle concernant les influenceurs et celle visant à instaurer une majorité numérique, en lui demandant de les abroger. Le but : éviter que la France n'ait une règlementation du numérique plus restrictive que celle de ses voisins pour ne pas briser l'unité européenne et le marché unique.