Porno, harcèlement en ligne, blocage de sites Web : la loi SREN votée par l'Assemblée nationale
De l'accès aux sites porno au bannissement des réseaux sociaux, le projet de loi visant à sécuriser et réguler l'espace numérique (SREN) est aussi ambitieux que controversé. Il doit notamment faire face à des difficultés techniques...
Voté par le Sénat en juillet dernier et s'inscrivant dans la continuité de la loi Avia de 2020, le projet de loi visant à "sécuriser et réguler l'espace numérique" (SREN) a été adopté en première lecture par l'Assemblée nationale ce mardi 18 octobre, après plusieurs semaines d'examen. Au terme des débats, il a reçu 360 votes pour (élus Renaissance, Les Républicains, Groupe Démocrate, Parti socialiste, Horizon), 77 voix contre (La France Insoumise, EELV), et 127 abstenions (Rassemblement National). Porté par Jean-Michel Barrot, ministre chargé du Numérique, le projet de loi SREN vise à faire plier les grandes plateformes face aux réglementations du Gouvernement. Il aborde notamment la mise en place d'un filtre anti-arnaque, le renforcement des sanctions contre les personnes condamnées pour cyberharcèlement, le renforcement du dispositif visant à faire respecter les limites d'âge en ligne pour l'accès aux sites pornographiques et de la sanction des plateformes en cas de non-retrait de contenus pédopornographiques en ligne. La loi Numérique entend également bloquer les médias de propagande sur Internet et renforcer le contrôle des locations touristiques pour lutter contre les abus commerciaux illégaux dans le secteur du cloud. Toutefois, certaines de ces mesures, qui touchent quelque 55 millions d'internautes français, posent problème, car elles sont soit difficiles à mettre en place, soit jugées autoritaires, empiétant sur la protection de la vie privée des internautes. Notons que le texte a suscité de fortes inquiétudes quant à la protection des libertés publiques, du côté du RN et de LFI, mais aussi de certains parlementaires de la majorité.
Loi SREN : un bannissement des réseaux sociaux difficile à réaliser
L'une des mesures phares du projet de loi SREN concerne le bannissement des réseaux sociaux des personnes commettant des infractions sur le Web, dans un contexte où des affaires de cyberharcèlement et de violences en ligne, en particulier envers des mineurs, défrayent la chronique. Ainsi, les auteurs à l'origine de publications et de messages malveillants ne pourraient plus accéder aux plateformes pour une durée allant de six mois à un an. Mais pour mettre cela en place, il faut d'abord trouver la bonne méthode pour lier des comptes sur les réseaux sociaux à une personne physique. Une méthode qui n'est pour l'instant pas précisée par le projet de loi.
Un amendement déposé par le député Renaissance Paul Midy proposait que la création de tout compte sur les réseaux sociaux soit obligatoirement adossée à une preuve d'identité, ce qui permettrait de facilement retrouver l'auteur d'une potentielle infraction. Cette mesure aurait été mise en application à travers la création d'une certification "personne physique", un code indéchiffrable pour le réseau social, mais qui permettrait à l'État de faire le lien avec une personne physique. "C'est le même principe qu'une plaque d'immatriculation", expliquait le député. Il aurait pu s'agir de l'outil France identité – désormais disponible pour tous –, qui dématérialise la carte d'identité. Mais cette option se heurtait à la loi française, car les citoyens ne sont pas obligés de disposer d'une carte d'identité, encore moins numérique. Aussi, si l'Assemblée a approuvé l'idée de donner accès à une "identité numérique" à tous les Français qui le souhaitent d'ici 2027, les internautes ne seront pas obligés d'en être détenteurs pour ouvrir un compte sur les réseaux sociaux.
Après les amendements anti-VPN, voilà les amendements pour booster "France identité numérique" sur les réseaux sociaux. "Le même principe quune plaque dimmatriculation", résume le député Renaissance Paul Midy ds Le Parisien, rapporteur général du #PJLRENhttps://t.co/hVq9fZoVkk pic.twitter.com/Ou73kAvvCi
— marc rees (@reesmarc) September 18, 2023
Des députés avaient auparavant déposé un amendement visant à "interdire à tout utilisateur d'un réseau social de publier, de commenter ou d'interagir en utilisant un réseau privé virtuel" en France afin de lever l'anonymat sur les réseaux sociaux, provoquant une panique et une levée de boucliers (voir notre article). Il a depuis fort heureusement été retiré, mais un autre amendement, déposé par trois élus Renaissance, s'attaquait lui aussi aux VPN. Il ambitionnait que les solutions des fournisseurs de VPN "ne permettent pas l'accès à un réseau Internet non soumis à la législation et [à] la réglementation française ou européenne". Une formulation très vague qui ressemble, comme le faisait remarquer le journaliste Marc Rees, au fameux Grand Firewall de Chine, le pare-feu qui interdit à la population l'accès à Meta, Instagram, X (anciennement Twitter) et de à de nombreuses autres grandes plateformes – et qui peut d'ailleurs justement être contourné par des VPN.
Le projet de loi SREN s'attaque également aux réseaux sociaux. En effet, il donne des devoirs de modération aux grandes plateformes de réseaux, sous peine de sanctions économiques, et sanctionnent les fauteurs de troubles. Ainsi, la publication sans consentement de deepfakes (article 4 bis) et d'hypertrucages à caractère sexuel, de même que la réalisation de chantage fait à l'aide d'un contenu à caractère sexuel sont désormais punis de plusieurs années de prisons et de lourdes amendes. On notre également la création d'une "peine de bannissement des réseaux sociaux" pour les cyberharceleurs, y compris pour des "provocations" à commettre certains délits.
Loi SREN : un blocage des sites pornos toujours aussi compliqué
L'autre grand cheval de bataille du projet de loi SREN concerne le respect des limites d'âge en ligne pour l'accès aux sites pornographiques. Il vise à autoriser l'Arcom à faire bloquer et de déférencer, sans décision judiciaire, tout site pornographique qui ne procéderait pas à une vérification d'âge pour toute connexion d'un internaute français. Il s'agit de renforcer ce contrôle, déjà obligatoire dans la loi, mais qui n'est en réalité pas appliqué. Si après expiration d'un délai de 15 jours suivant une mise en demeure de l'Arcom, le site n'est toujours pas en conformité, il s'exposera à une amende de 250 000 euros ou de 4 % du chiffre d'affaires mondial hors taxes. Les fournisseurs d'accès et fournisseurs d'hébergements auront 48 heures pour empêcher l'accès aux adresses fautives. Toutefois, l'article 1er du projet de loi précise que l'Autorité serait chargée d'imaginer une solution technique efficace et protectrice des données personnelles et de la faire appliquer aux plateformes. Une disposition qui se heurte à un problème technique, car un tel dispositif est très difficile à mettre en place.
Lors de son audition en commission à l'Assemblée nationale le 19 septembre, le ministre du Numérique Jean-Noël Barrot était revenu sur ce sujet, d'autant plus sensible que la CNIL a exclu toute solution consistant à transmettre une pièce d'identité aux sites pornographiques, afin de protéger la vie privée des internautes. "Ce que je souhaite, c'est qu'il puisse y avoir une palette d'outils, mais que les sites puissent proposer au moins une solution qui respecte un principe de tiers de confiance", avait-il assuré. Pour le moment, le système de double anonymat semble la meilleure solution (voir notre article). Le Gouvernement avait annoncé des premiers tests durant ce printemps mais, au vu du manque de nouvelles, cela doit être plus compliqué que prévu. "Nous avons veillé [...] à inviter des entreprises françaises à se lancer dans des expérimentations. Je ne dis pas que ça marche à plein tube, mais nous avons une liste d'entreprises qui expérimentent avec une liste de sites porno. Je suis confiant que ces expérimentations vont permettre de définir un modèle d'affaires qui permettront à ces solutions d'être soutenables" avait expliqué devant la commission le ministre du Numérique.
Toutefois, les associations de protection de l'enfance ne sont pas convaincues, en témoigne la lettre d'OPEN et de COFRADE adressée à Emmanuel Macron. En effet, le Royaume-Uni a adopté en 2017 des dispositions législatives similaires au projet de loi du gouvernement français. Six ans plus tard, suite à l'absence de consensus en matière d'efficacité ou de protection de la vie privée, il n'a toujours pas de texte réglementaire. Idem pour l'Australie qui, ayant opté pour la même stratégie législative, a aussi récemment annoncé avoir renoncé à établir un référentiel technique. De plus, aux yeux des associations, le fait de demander à l'Arcom de créer une référence technique aussi compliquée à mettre en œuvre permettrait aux sites pornographiques de se dédouaner en cas d'inefficacité.
C'est dans ce contexte que plusieurs amendements de députés ont été déposés en commission parlementaire. Il y a notamment celui de Louise Morel, membre du Mouvement démocrate, qui a été adopté le 19 septembre afin d'imposer aux sites diffusant de la pornographie "l'affichage d'un écran noir tant que l'âge de l'internaute n'a pas été vérifié". Celui-ci s'afficherait en toute circonstance, y compris sur les pages atteintes avec un lien précis, afin d'éviter aux mineurs d'accéder involontairement à des contenus qui ne sont pas adaptés à leur âge. Notons que cette mesure peut être facilement contournée par un VPN.
Loi SREN : des restrictions jugées abusives et autoritaires
D'autres propositions du projet de loi SREN posent également problème. C'est notamment le cas du filtre anti-arnaque, qui prendra la forme d'une notification censée dissuader les utilisateurs peu informés de continuer leur navigation lorsqu'ils cliquent sur des liens frauduleux (voir notre article). Le problème, c'est que pour que le filtre puisse fonctionner, les opérateurs télécoms devront créer une liste rouge des sites frauduleux. Une fois la liste établie, les navigateurs Web et les navigateurs d'applications devront empêcher l'accès aux adresses. Or, en juin, la CNIL, l'Arcep et l'Arcom ont tous les trois émis des réserves sur la mise en place technique et concrète des sanctions, évoquant un risque "de conduire à une restriction abusive des libertés de communication".
En effet, le Gouvernement voudrait créer des listes de blocage de noms de domaines intégrées aux navigateurs Web, comme Chrome, Mozilla Firefox ou Safari, et imposerait à ces derniers, par le biais de l'article 6, de mettre en œuvre ces blocages (voir notre article). Une mesure jugée liberticide, notamment pour Mozilla, qui en a fait son cheval de bataille – il a même lancé une pétition. Elle pourrait même conduire, selon la Quadrature du Net, à une possible généralisation du "contrôle d'identité en ligne".
Le texte propose aussi de réglementer le Cloud pour permettre davantage de concurrence parmi les fournisseurs d'infrastructure et de services informatiques, en plafonnant les frais de changement de fournisseur de services en nuage aux coûts directs supportés par le fournisseur, avec une tarification maximale qui devra être prochainement définie par un arrêté. Il propose également d'encadrer des jeux de hasard en ligne, en autorisant les adultes, pour une durée expérimentale de trois ans, à participer à des "Jeux à objets numériques monétisables" (Jonum), à la frontière entre jeux vidéo et jeux d'argent. Cette mesure est l'une des plus décriées du texte, et plusieurs députés espèrent la voir censurée par le Conseil constitutionnel, pointant une rupture d'égalité avec les casinos en ligne. "Le texte régularise une pratique pour laquelle on sait qu'il y a un risque d'addiction énorme", s'alarme par exemple le socialiste Hervé Saulignac.
Désormais, le projet de loi doit passer devant la commission mixte paritaire, au cours de laquelle sénateurs et députés tenteront de s'accorder sur une version commune. Plusieurs élus s'attendent à ce que les sénateurs durcissent le texte dans une version plus proche de celle qu'ils avaient eux-mêmes adoptée. De son côté, la France Insoumise se montre très inquiète et estime, comme le déclare la députée Ségolène Amiot, que le gouvernement installe "les outils pratiques d'un contrôle social de masse". , Au vu de la difficulté technique que représente la mise en place de telles mesures et de leur empiétement sur la confidentialité de la vie privée des internautes, on peut s'attendre à un passage devant le Conseil constitutionnel. Le projet de loi SREN pourrait alors connaître le même sort que la loi Avia, qui était elle aussi passée devant l'institution et avait connu une censure quasi totale.
Reste que les initiatives du Gouvernement sont sous la surveillance de la Commission européenne, qui a mis en garde à la mi-août la France sur la conformité au droit communautaire de deux initiatives législatives récentes, celle concernant les influenceurs et celle visant à instaurer une majorité numérique, en lui demandant de les abroger. Le but : éviter que la France n'ait une règlementation du numérique plus restrictive que celle de ses voisins pour ne pas briser l'unité européenne et le marché unique.