Connexion
Abonnez-vous

« Sécuriser et réguler » le numérique : ce que contient le projet de loi

Et techniquement, ça se passe comment ?

« Sécuriser et réguler » le numérique : ce que contient le projet de loi

Le 11 mai 2023 à 12h39

Le 10 mai, le ministre délégué au numérique Jean-Noël Barrot présentait le projet de loi de régulation et de sécurisation de l’espace numérique en Conseil des ministres. Détail des principales évolutions envisagées. 

Un projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN), voilà ce qu’a présenté le ministre délégué au numérique Jean-Noël Barrot ce 10 mai en Conseil des ministres.

Le texte était attendu : il survient à la faveur de la transcription des règlements européens sur les marchés et sur les services numériques (DMA et DSA) dans le droit français et avait été annoncé par Elisabeth Borne le 26 avril. La première ministre déclarait alors vouloir « retranscrire à l’échelle numérique l’ordre public qui existe dans la vraie vie ». 

Censé favoriser la confiance des citoyens dans les mondes connectés, le projet rassemble une diversité de sujets déjà discutés au fil des mois passés. Les questions de filtres anti-arnaques et de blocage de sites pornographiques, par exemple, sont autant de promesses de campagne d’Emmanuel Macron. Les mesures prises pour soutenir la concurrence sur le marché du cloud, elles, traduisent plus directement les obligations du DMA.

Les règlements sur les marchés et les services numériques expliqués :

Le texte se nourrit aussi des différents rapports parlementaires rendus ces derniers mois, sur l’industrie pornographique (en septembre 2022) ou encore sur la souveraineté numérique (en juin 2021), ainsi que des travaux du Conseil national de la refondation.

Filtre anti-arnaque, cyberharcèlement : le gouvernement veut « protéger le citoyen »

Qu’on parle de fraudes, de sextorsion ou encore de cyberharcèlement, les risques numériques sont multiples et sont susceptibles de viser à peu près n’importe qui – les 30 - 49 ans tombent plus facilement dans le panneau des phishings, les seniors y perdent plus d’argent, les jeunes garçons sont plus victimes de sextorsion, les filles de cyberviolences

Pour s’attaquer à cette variété de problèmes, le gouvernement envisage plusieurs mesures. Il souhaite, d’abord, créer un « rempart contre les campagnes de faux SMS et de mails malveillants ». En cas de détection de campagne de phishing, l’État propose de déployer son filtre anti-arnaque, qui consisterait à déclencher l’affichage d’un message d’avertissement par les navigateurs, les fournisseurs d’accès à internet et/ou ceux de résolveurs DNS sur les écrans des utilisateurs qui s’apprêtent à accéder à un site frauduleux. En guise d’exemple, l'étude d’impact cite notamment le « bouclier anti-phishing » installé en Belgique.

Pour décider qui bloquer, le gouvernement compte s’appuyer sur une liste noire adaptée en temps réel par les différentes autorités cyber – Sous-direction de la lutte contre la cybercriminalité de la police nationale (OCLCTIC), commandement de la gendarmerie dans le cyberespace (COMCyberGEND), Autorité des marchés financiers (AMF), etc. Comme le souligne FranceInfo, la création d’une telle liste noire n’est pas infaillible puisque rien ne permet d’assurer que tout nouveau site frauduleux soit automatiquement repéré.

Choix étrange de communication, par ailleurs : une partie des journalistes présents à la conférence de presse de présentation du projet de loi ont reçu un faux SMS de phishing qui les renvoyait en réalité vers le dossier de presse du gouvernement – une manière, a déclaré le ministre, d’illustrer ce à quoi pourrait ressembler le fonctionnement du filtre. 

Dans sa logique de « sécurisation » des espaces numériques, le gouvernement projette aussi de créer une peine de « bannissement » contre les personnes jugées coupables de diffusion de pédopornographie, de proxénétisme, de négationnisme, d’images violentes ou encore de provocations à la haine. Une telle décision serait prononcée par un juge et permettrait de bannir le cyberdélinquant ou le cyberharceleur de six mois à un an en cas de récidive. 

But affiché par le ministre, qui décrit la mesure comme « dissuasive », « à l’image de l’interdiction de stade » : mettre fin « au sentiment d’impunité en ligne ».

En pratique, le gouvernement projette de faire signifier les condamnations ainsi prononcées « au fournisseur de service de plateforme en ligne concerné. À compter de cette signification et pendant l’exécution de la peine, celui-ci bloque le compte ayant fait l’objet de la suspension et met en œuvre des mesures permettant de procéder au blocage des autres comptes d’accès à son service éventuellement détenus par la personne condamnée et d’empêcher la création de nouveaux comptes par la personne condamnée. »

Il souhaite par ailleurs rendre le refus d’obtempérer du fournisseur punissable de 75 000 euros d’amende. 

Ce type de mesure est demandée par toutes sortes d’associations de défense des victimes de cyberviolences, françaises et internationales, qui considèrent souvent que les réseaux sociaux ne font pas assez pour défendre leurs utilisateurs – dans son rapport d’impact, le Conseil d’État souligne d’ailleurs l’opacité des réseaux sociaux sur les mesures prises contre les cyberharceleurs.

Cela dit, elle est techniquement complexe à mettre en place. Si l’option adoptée par le gouvernement est celle d’un blocage de l’adresse IP – qui avait déjà posé des problèmes pour la Hadopi –, rien n’empêchera la personne visée de passer par un VPN, ou simplement de passer sur son smartphone. Et sans cela, il est assez simple de se créer une nouvelle adresse mail pour rouvrir un compte sur le ou les réseaux bloqués.

Dernier volet du chapitre dédié à la protection des citoyens, le projet de loi se penche sur la question des jeux en ligne, notamment « fondés sur les technologies émergentes du Web3 ». Aucun détail technique pour le moment : le texte prévoit simplement la possibilité de prendre les mesures nécessaires pour « définir ou préciser […] le régime, les objectifs et les modalités de l’encadrement, de la régulation et du contrôle des jeux comportant l’achat, l’usage ou le gain d’objets numériques monétisables ».

Sites pornographiques et « protection des enfants »

Sujet emblématique – et très débattu –, la régulation de l’accès aux sites pornographiques prend une importance particulière dans le discours du gouvernement. Celui-ci calcule que « 2 millions d’enfants sont exposés, chaque mois, aux contenus pornographiques » faute de vérification d’âge par les sites hébergeant ce type de contenu. En 2018, une étude IFOP citée par le Sénat et l’Académie de Médecine constatait que la moitié des adolescents ont déjà vu un film pornographique à 15 ans et que l’âge de leur première exposition tendait à baisser. 

Le projet de loi entend donc renforcer les pouvoirs de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) en lui donnant la possibilité de bloquer « en quelques semaines » les sites qui ne vérifieraient pas l’âge des utilisateurs, sans la décision d’un juge. En pratique, elle pourra aviser puis mettre en demeure l’éditeur donnant accès aux contenus pornographiques de mettre en place des mesures pour en restreindre l’accès aux mineurs. 

En cas d’inexécution, l’Arcom « peut notifier aux fournisseurs de services d’accès à internet, par tout moyen propre à en établir la date de réception, les adresses électroniques des services de communication » concernés, « ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle et qui présentent les mêmes modalités d’accès ». Charge aux FAI d’empêcher l’accès à ces adresses dans les quarante-huit heures. Le cas échéant, les moteurs de recherche et les annuaires peuvent aussi être sommés de déréférencer les services. 

Par ailleurs, les hébergeurs devront retirer les contenus pédopornographiques sur injonction administrative, dans un délai de 24 heures. En cas de non-retrait de contenu suite à un signalement, le gouvernement prévoit de reproduire la peine existant déjà pour le non-retrait de contenus terroristes, donc de rendre l’inaction d’un hébergeur passible d’un an d’emprisonnement et de 250 000 euros d’amendes. 

Une procédure judiciaire est toujours en cours contre PornHub et quatre autres sites pornographies. Le verdict du tribunal sera rendu le 7 juillet. Mais comme le souligne l'experte en cybersécurité Corinne Hénin auprès de France Inter, les sites pornographiques sont loin d’être les seuls espaces où les mineurs accèdent à de la pornographie. Difficile de penser que le gouvernement se mette à répertorier tous les groupes Telegram ou les serveurs Discord où s’échange, aussi, ce type de contenu.

Cloud et « protection des entreprises »

Le dernier gros chapitre mis en avant par Jean-Noël Barrot est celui de l’encadrement du marché du cloud pour permettre aux entreprises françaises d’avoir accès à un marché réellement concurrentiel. En application de l’article 7 du Digital Markets Art et en prévision de certaines mesures susceptibles d’être encadrées par le Règlement sur les données (Data Act), le projet de loi prévoit notamment trois actions phares :

  • l’interdiction des « frais de sortie » (egress fees), coûts supplémentaires facturés par les fournisseurs de cloud lorsque leurs clients cherchent à déplacer les données ailleurs / hors de chez eux ;
  • l’encadrement des avoirs commerciaux que les fournisseurs de cloud proposent à leurs clients – et qui peut être perçu comme l’amorçage d’un « enfermement » de l’entreprise dans l’usage d’un type précis de technologie. La durée maximale de validité des avoirs et les conditions de leurs éventuels renouvellements doit encore être précisée ;
  • et l’obligation d’interopérabilité entre fournisseurs cloud et de portabilité des actifs numériques.

Fréquentes chez des géants comme Amazon ou Google, les deux premières pratiques et l’absence d’interopérabilité sont accusées de restreindre la probabilité que les clients changent de fournisseurs, quand bien même ils souhaiteraient souscrire à une offre d’informatique en nuage chez un fournisseur européen ou adopter une stratégie multicloud.

Des entités comme le Cigref (association des DSI des grands comptes et administration publiques françaises) ou le fournisseur Clever Cloud (par la voix de son directeur juridique Guillaume Champeau) saluent ces propositions. 

Certaines de ses mesures vont plus loin que les textes européens en vigueur, anticipant notamment des mesures encadrées par le Règlement sur la gouvernance des données (Data Act), qui entrera en application le 23 septembre 2023. Dans son avis rendu ce 11 mai, l’Autorité de la concurrence « attire l’attention du législateur sur le besoin de cohérence » et de bonne articulation entre le texte en cours de travail en France est le futur règlement européen. 

Enfin, le projet de loi donne à l’Arcep de nouvelles compétences pour assurer l’interopérabilité des services cloud. Sans surprise, il désigne aussi officiellement l’Arcom comme coordinateur des services numériques au sens fixé par le Digital Services Act, en coopération avec la Cnil et l’Autorité de la concurrence.

Le projet de loi doit désormais être débattu au Parlement.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Merci pour la vulgarisation; la stratégie numérique du gouvernement; on pourrait débattre sur chaque paragraphe :mad: , j’en resterai donc sur: rien de neuf sous le soleil et prendre un café.




l’interdiction des « frais de sortie » (egress fees),


Qu’est-ce donc ?

votre avatar

ah oui bonne question, j’ai rajouté une phrase de précision !

votre avatar

Merci :chinois:

votre avatar

Intéressant.
Dans le lots il y a effectivement des choses qui seraient bien utiles comme l’interopérabilité mais je ne crois pas une seconde que la majorité des mesures prévues pourront être appliquées.

votre avatar

En dehors de la partie Cloud, pas grand chose de réaliste.



La “peine de bannissement” des réseaux sociaux est ridicule car invérifiable. Le délire habituel du contrôle d’âge qui va être difficile à mettre en oeuvre sans piétiner la vie privée (comme pour le “bannissement” des réseaux sociaux). Le blocage prononcé sans juge, un grand classique.



Du “control freak” inapplicable, la routine.

votre avatar

Avez-vous une précision sur ce que sont ces « egress fees » maintenant interdits ? Parle-t-on du coût réseau de sortie (souvent exorbitant pour cette même raison anticoncurrentielle) ? Personne a ma connaissance ne pratique de coût de cession de service, à moins que le client se soit engagé a long terme (mais c’est le principe du contrat, il permet une sécurisation de l’investissement pour l’hébergeur). Ça me paraît bancale.



Aussi, question inter-operabilité. Le gouvernement ou la CNIL ont-ils fait des propositions en ce sens ? Un projet open-source dans ce sens est déjà mené pour certains réseaux sociaux et espace de travail en ligne américains (https://dtinit.org/).

votre avatar
votre avatar

SebGF a dit:


En dehors de la partie Cloud, pas grand chose de réaliste.



La “peine de bannissement” des réseaux sociaux est ridicule car invérifiable. Le délire habituel du contrôle d’âge qui va être difficile à mettre en oeuvre sans piétiner la vie privée (comme pour le “bannissement” des réseaux sociaux). Le blocage prononcé sans juge, un grand classique.



Du “control freak” inapplicable, la routine.


Assez d’accord, et même pour la partie cloud c’est bancal. Les contrats sont privés qui va aller vérifier que les avoirs infinis n’existent pas ? Les egress fees vont être renommés en autre chose (frais d’activation payable à la sortie comme pour les FAI :-/)

votre avatar

Oui en effet, la partie contractuelle avec les Cloud providers reste privée donc difficile de vérifier si la loi sera bien appliquée à moins de contrôles et audits réguliers…



Au final ça risque encore une fois d’emmerder nos acteurs locaux plus qu’autre chose.

votre avatar

“filtre anti-arnaque, qui consisterait à déclencher l’affichage d’un message d’avertissement…sur les écrans des utilisateurs”
Combattre une malveillance par une intrusion, quelle bonne idée.

votre avatar

SebGF a dit:


La “peine de bannissement” des réseaux sociaux est ridicule car invérifiable. Le délire habituel du contrôle d’âge qui va être difficile à mettre en oeuvre sans piétiner la vie privée (comme pour le “bannissement” des réseaux sociaux). Le blocage prononcé sans juge, un grand classique.


Et toujours avec le doute que une fois l’infra en place pour des raisons consensuelles (si toutefois ça marche), ils pourront toujours dans un second temps l’étendre pour d’autres raisons. C’est pas comme si c’était une première.



C’est pour ça que, pour moi, il faut se “mettre hors de porté” de ces gens. Utiliser d’autres serveurs DNS par exemple (dans un 1er temps) et des réseaux sociaux non basés en France.
On nous bassine avec la souveraineté, et en même temps ce qui est fait en france est de plus en plus délétère.

votre avatar

Pour le coup je doute que les réseaux sociaux ciblés par ces mesures soient basés en France.

votre avatar
votre avatar

Vu ce matin en effet. Outre le sur-blocage, pour moi le pire c’est le tracking de données personnelles envoyé aux USA par le Gouvernement français, donc illégal.

votre avatar

Sans compter que tu es tagué pour pedo-pornographie, c’est plutôt marrant.

votre avatar

Oui ce point est problématique car on ne sait pas combien de temps l’information est conservée (et j’avoue avoir laissé tomber de rechercher sur legifrance).



Par contre je reviens sur le côté US : AT Internet fait partie des services d’analytique reconnus par la CNIL comme étant exemptés du consentement au dépôt de cookies (même si là on est pas trop dans ce cas) et les infos que j’ai trouvées à leur sujet font état d’une infra entièrement en Europe. Après, je ne sais pas quel crédit donner à ce dernier point.



La question pourrait valoir le coup d’être posée à la CNIL.

votre avatar

SebGF a dit:


Pour le coup je doute que les réseaux sociaux ciblés par ces mesures soient basés en France.


Si ils n’ont pas au moins de représentation en France , qu’est-ce que ça peux faire alors ?

votre avatar

Facebook, Twitter et compagnie ont une antenne uniquement basée sur de la vente de pubs en France. Côté RGPD la clause de compétence géographique de la CNIL avait pu être utilisée car les antennes française se déclaraient comme responsables des traitements de données personnelles.



Par contre pour la partie “bannissement” (pour peu que ça ait une existence légale aujourd’hui, et donc une peine qui risquerait d’être à définir dans le code pénal surement), je sais pas comment ils feront effectivement.

votre avatar

Quand un gouvernement parle de la possibilité d’interdire sur le Net, la censure et l’arbitraire ne sont pas loin. 40 ans après les politiques français n’ont toujours pas compris comment cela fonctionne…

votre avatar

SebGF a dit:


Facebook, Twitter et compagnie ont une antenne uniquement basée sur de la vente de pubs en France.


Je pense que le gouvernement se gênera pas pour utiliser cette “présence” pour justifier des injonction de banissement. Après, l’effectivité de la demande dépends du rapport de force…




Côté RGPD la clause de compétence géographique de la CNIL avait pu être utilisée car les antennes française se déclaraient comme responsables des traitements de données personnelles.


Il me semble qu’ils essaient de faire de la RGPD une règle extra-territoriale , à la manière américaine: https://idfrights.org/le-rgpd-lextraterritorialite-est-bien-sa-marque-de-fabrique/ .
Après c’est toujours pareil : Si le zanzibar veux faire une loi extra-territoriale, il peux…. juste tlm s’en fout.



Ceci étant dit, je vois pas trop comment le bannissement peux s’appuyer sur la RGPD pour “profiter” de cette extraterritorialité.




Par contre pour la partie “bannissement” (pour peu que ça ait une existence légale aujourd’hui, et donc une peine qui risquerait d’être à définir dans le code pénal surement), je sais pas comment ils feront effectivement.


La question à mon avis concerne aussi les réseaux sociaux (et messageries) qui n’ont aucune présence effective ni aucun représentant en France : Signal, Telegram, Reddit, Tiktok et j’en passe.
=> La “seule” solution sera de demander aux FAI français de bloquer les sites (URL ou autre), car ces FAI sont les seuls qui peuvent être “utilisés” par le gouvernement français.
Pénible mais pas insurmontable…

votre avatar

Pour le point que je citais sur le RGPD, ce n’était pas la clause d’extraterritorialité de celui-ci mais celui de l’autorité compétente dans le cas d’un responsable présent dans l’UE.



Par défaut, l’autorité de régulation de l’Etat-membre où se situe le responsable du traitement est compétente pour instruire l’affaire. Dans le cas d’un Facebook ou Twitter, ça aurait du être la DPC Irlandaise. Sauf que comme ils déclaraient aussi les filiales françaises comme responsables, la CNIL était donc compétence pour traiter les violations.

votre avatar

La régulation étatique des sites consultables ou non consultables peut aussi avoir un “effet boomerang” en poussant beaucoup plus de gens que maintenant à s’intéresser à tous les moyens de chiffrement utiles à protéger la vie privée. Le blocage de Sci-Hub n’était sans doute pas de nature à populariser le DoH par exemple mais le blocage des principaux sites pornographiques, ce sera sans doute autre chose :-)

« Sécuriser et réguler » le numérique : ce que contient le projet de loi

  • Filtre anti-arnaque, cyberharcèlement : le gouvernement veut « protéger le citoyen »

  • Sites pornographiques et « protection des enfants »

  • Cloud et « protection des entreprises »

Fermer