Avec des tours de passe-passe

Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

Par Sébastien Gavois

Le 12 Avril 2024 à 10:59
Droit
11 min 23

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Après un aller-retour entre le Sénat et l’Assemblée et un passage en CMP, le projet de loi pour Sécuriser et réguler l’espace numérique (SREN) a été définitivement adopté cette semaine. On fait le tour des principales dispositions.

C’est le 10 mai 2023 que le projet de loi « visant à sécuriser et réguler l'espace numérique » était déposé au Sénat, par Bruno Le Maire, ministre de l'Économie, des Finances et de la Souveraineté industrielle et Numérique. Le gouvernement engageait une procédure accélérée.

Le texte est adopté, avec modifications, moins de deux mois plus tard par le Sénat (5 juillet 2023). Il est transféré dans la foulée à l’Assemblée nationale. Cette dernière le modifie et l’adopte le 17 octobre, entrainant un passage par la Commission mixte paritaire (CMP).

De multiples « inspirations », une « minutieuse » réécriture

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Sommaire de l'article

Introduction

De multiples « inspirations », une « minutieuse » réécriture

« Protéger et outiller » : filtre anti-arnaque, bannissement des réseaux sociaux

Nouveau délit d’outrage en ligne, avec amende forfaitaire délictuelle

« Situation intimidante hostile ou offensante » : une notion subjective ?

Deepfakes, stage de sensibilisation et information

Pornos : la « parade » de la France sur la vérification d’âge

Le retour du retrait en 24h (loi Avia, remember)

Protéger les entreprises et collectivités, notamment sur le cloud

« Identité numérique » pour tous en 2027

Commentaires (23)


Mimoza Abonné
Le 12/04/2024 à 11h58
Concernant l’identité numérique, ont-ils prévu de pouvoir se passer de Google/Apple ? Car actuellement, pour FranceConnect+, le seul prestataire proposé est LaPoste (pourquoi pas), mais le soucis c’est que ce dernier IMPOSE l’utilisation d’une application smartphone pour faire les démarches.

Donc sans prise de conscience de ce problème, dans quleques temps, pour être «Français» un compte Google/Apple sera obligatoire :frown:
hypo Abonné
Le 12/04/2024 à 12h33
Tu veux dire "pour être Français img" ?:pastaper:
JNSON Abonné
Le 12/04/2024 à 13h04
@Mimoza : L'application "France Identité" sera probablement proposée en plus d'"Identité Numérique" sur France Connect +. Pour l'instant la version "stable" ne le propose pas, mais la version de "test" (non proposée à tout le monde) permet de certifier son identité à la mairie, via les données biométriques contenues sur sa carte d'identité. Une fois cela en place (si ça aboutit), il sera possible de s'identifier avec France Connect + comme avec l'application "Identité Numérique". D'après ce que j'ai compris, "France Identité" a une politique plus autonome, car 1. elle est développée par l'Etat et non par La Poste, 2. Elle fonctionne très bien sans avoir besoin d'un compte Google ni sans passer par "Play Store" (pour l'instant en tout cas) et 3. Elle est notée 9/10 par Exodus Privacy contre 5/10 pour "Identité Numerique". En revanche, pour "France Identité", il faut avoir le dernier format de carte d'identité pour qu'elle fonctionne.
Modifié le 12/04/2024 à 13h05

Historique des modifications :

Posté le 12/04/2024 à 13h04


L'application "France Identité" sera probablement proposée en plus d'"Identité Numérique" sur France Connect +. Pour l'instant la version "stable" ne le propose pas, mais la version de "test" (non proposée à tout le monde) permet de certifier son identité à la mairie, via les données biométriques contenues sur sa carte d'identité. Une fois cela en place (si ça aboutit), il sera possible de s'identifier avec France Connect + comme avec l'application "Identité Numérique". D'après ce que j'ai compris, "France Identité" a une politique plus autonome, car 1. elle est développée par l'Etat et non par La Poste, 2. Elle fonctionne très bien sans avoir besoin d'un compte Google ni sans passer par "Play Store" (pour l'instant en tout cas) et 3. Elle est notée 9/10 par Exodus Privacy contre 5/10 pour "Identité Numerique". En revanche, pour "France Identité", il faut avoir le dernier format de carte d'identité pour qu'elle fonctionne.

Soriatane Abonné
Le 12/04/2024 à 16h04

JNSON

@Mimoza : L'application "France Identité" sera probablement proposée en plus d'"Identité Numérique" sur France Connect +. Pour l'instant la version "stable" ne le propose pas, mais la version de "test" (non proposée à tout le monde) permet de certifier son identité à la mairie, via les données biométriques contenues sur sa carte d'identité. Une fois cela en place (si ça aboutit), il sera possible de s'identifier avec France Connect + comme avec l'application "Identité Numérique". D'après ce que j'ai compris, "France Identité" a une politique plus autonome, car 1. elle est développée par l'Etat et non par La Poste, 2. Elle fonctionne très bien sans avoir besoin d'un compte Google ni sans passer par "Play Store" (pour l'instant en tout cas) et 3. Elle est notée 9/10 par Exodus Privacy contre 5/10 pour "Identité Numerique". En revanche, pour "France Identité", il faut avoir le dernier format de carte d'identité pour qu'elle fonctionne.
Mais on n'a pas le code source de l'application France identité, il me semble et l'APK n'est pas directement téléchargeable.
Au vu des commentaires, l'application a encore des défauts et ne fonctionne pas sur tous les téléphones.
JNSON Abonné
Le 12/04/2024 à 16h25

Soriatane

Mais on n'a pas le code source de l'application France identité, il me semble et l'APK n'est pas directement téléchargeable.
Au vu des commentaires, l'application a encore des défauts et ne fonctionne pas sur tous les téléphones.
C'est vrai que je n'avais pas pensé au côté open source du code. Vous avez raison de le préciser. Cela dit, comme Android fonctionne comme un conteneur d'applications qui les isole, ça me pose moins de problèmes habituellement tant que la source est relativement fiable, et même si j'admets volontiers que ce n'est en rien une garantie d'une absence exploitation d'une faille du téléphone. Après, une application, ça s'audite, y compris quand le code source est fermé, y compris en monitorant ce qui entre et sort de l'application ou en désassemblant le code. Et une app comme celle ci sera à mon avis auditée à un moment où à un autre, mais je peux me tromper d'autant qu'il peut y avoir des contraintes légales. De plus, Je viens de regarder, "Identité Numérique" ne propose pas non plus son code source. Quand on a plus ou moins pas le choix (ce qui est mon cas), je préfère du coup encore France Identité (même si rien n'est définitif). Concernant le téléchargement de l'APK, je suis sûr qu'il est possible de récupérer l'APK d'une façon ou d'une autre, même si j'avoue qu'il aurait été mieux de pouvoir le récupérer de manière officielle. Toutefois, ce dernier est disponible sur plusieurs "magasin d'application".
Raromatai Abonné
Le 12/04/2024 à 20h45

JNSON

C'est vrai que je n'avais pas pensé au côté open source du code. Vous avez raison de le préciser. Cela dit, comme Android fonctionne comme un conteneur d'applications qui les isole, ça me pose moins de problèmes habituellement tant que la source est relativement fiable, et même si j'admets volontiers que ce n'est en rien une garantie d'une absence exploitation d'une faille du téléphone. Après, une application, ça s'audite, y compris quand le code source est fermé, y compris en monitorant ce qui entre et sort de l'application ou en désassemblant le code. Et une app comme celle ci sera à mon avis auditée à un moment où à un autre, mais je peux me tromper d'autant qu'il peut y avoir des contraintes légales. De plus, Je viens de regarder, "Identité Numérique" ne propose pas non plus son code source. Quand on a plus ou moins pas le choix (ce qui est mon cas), je préfère du coup encore France Identité (même si rien n'est définitif). Concernant le téléchargement de l'APK, je suis sûr qu'il est possible de récupérer l'APK d'une façon ou d'une autre, même si j'avoue qu'il aurait été mieux de pouvoir le récupérer de manière officielle. Toutefois, ce dernier est disponible sur plusieurs "magasin d'application".
Que l'application soit disponible sur F-DROID ou autre ne change rien au coeur de l'affaire : sans bidouiller, il n'est pas possible de l'installer sur un téléphone doté d'une version libre d'Androïd (c'est sans doute le même problème qu'avec bon nombre d'applications bancaire qui vérifient que l'OS est "sécurisé", c'est à dire un androïd "officiel" et si je dis "sans doute" c'est parce qu'en fait on n'en sait rien, à part "Androïd 8 minimum", aucune spécification n'est donnée par cette application, ce qui fait parti du problème !).
JNSON Abonné
Le 12/04/2024 à 21h23

Raromatai

Que l'application soit disponible sur F-DROID ou autre ne change rien au coeur de l'affaire : sans bidouiller, il n'est pas possible de l'installer sur un téléphone doté d'une version libre d'Androïd (c'est sans doute le même problème qu'avec bon nombre d'applications bancaire qui vérifient que l'OS est "sécurisé", c'est à dire un androïd "officiel" et si je dis "sans doute" c'est parce qu'en fait on n'en sait rien, à part "Androïd 8 minimum", aucune spécification n'est donnée par cette application, ce qui fait parti du problème !).
Qu'est qu'une distribution libre d'Android selon vous ? Lineage OS ? E/OS ?
Mimoza Abonné
Le 13/04/2024 à 00h24

JNSON

Qu'est qu'une distribution libre d'Android selon vous ? Lineage OS ? E/OS ?
Perso, j’aime bien avoir le plein controle de mon matériel … donc mon tel est rooté. Es-ce accepté ?
JNSON Abonné
Le 13/04/2024 à 12h06

Mimoza

Perso, j’aime bien avoir le plein controle de mon matériel … donc mon tel est rooté. Es-ce accepté ?
Je ne sais pas @mimoza. Je ne root pas mon téléphone.
Raromatai Abonné
Le 13/04/2024 à 10h09

JNSON

Qu'est qu'une distribution libre d'Android selon vous ? Lineage OS ? E/OS ?
N'importe quelle distribution dont le code est basée sur une version open source d'Android et qui est elle-même open source. Sauf erreur, Lineage OS et /e/OS remplissent ces deux critères. GraphenOS également.
JNSON Abonné
Le 13/04/2024 à 12h05

Raromatai

N'importe quelle distribution dont le code est basée sur une version open source d'Android et qui est elle-même open source. Sauf erreur, Lineage OS et /e/OS remplissent ces deux critères. GraphenOS également.
Ok. Dans ce cas, l'app fonctionne sur AppLounge de E/OS, mais peut être qu'il faut avoir un téléphone qui soit officiellement compatible E/OS.
Modifié le 13/04/2024 à 12h28

Historique des modifications :

Posté le 13/04/2024 à 12h05


Ok. Dans ce cas, l'app fonctionne sur AppLounge de E/OS.

Posté le 13/04/2024 à 12h14


Ok. Dans ce cas, l'app fonctionne sur AppLounge de E/OS, mais peut être qu'il faut avoir un téléphonique qui soit officiellement compatible E/OS.

Raromatai Abonné
Le 13/04/2024 à 17h43

JNSON

Ok. Dans ce cas, l'app fonctionne sur AppLounge de E/OS, mais peut être qu'il faut avoir un téléphone qui soit officiellement compatible E/OS.
Malheureusement non, mon téléphone est compatible /e/OS (y compris par leur installateur) mais l'application refuse de fonctionner ("puce non sécurisée", je cite de mémoire) et je ne suis pas le seul à être dans ce cas (il y a un fil dédié sur le forum de /e/OS). Pour d'autres, ça coince à d'autres étapes.
On en revient au reproche initial : il n'y a aucune clarté sur les pré requis.
JNSON Abonné
Le 13/04/2024 à 18h03

Raromatai

Malheureusement non, mon téléphone est compatible /e/OS (y compris par leur installateur) mais l'application refuse de fonctionner ("puce non sécurisée", je cite de mémoire) et je ne suis pas le seul à être dans ce cas (il y a un fil dédié sur le forum de /e/OS). Pour d'autres, ça coince à d'autres étapes.
On en revient au reproche initial : il n'y a aucune clarté sur les pré requis.
Ok. Sur le miens (FairPhone 4), cela fonctionne.
Modifié le 13/04/2024 à 18h04

Historique des modifications :

Posté le 13/04/2024 à 18h03


Ok. Sur le miens (FairPhone), cela fonctionne.

Raromatai Abonné
Le 13/04/2024 à 21h12

JNSON

Ok. Sur le miens (FairPhone 4), cela fonctionne.
Tant mieux et c'est encourageant. Vous utilisez Magisk (par exemple pour une application bancaire) ou cela marche "nativement" ?
JNSON Abonné
Le 13/04/2024 à 21h22

Raromatai

Tant mieux et c'est encourageant. Vous utilisez Magisk (par exemple pour une application bancaire) ou cela marche "nativement" ?
Ça fonctionne nativement depuis l'installation de AppLounge.
Soriatane Abonné
Le 14/04/2024 à 17h01

Raromatai

Que l'application soit disponible sur F-DROID ou autre ne change rien au coeur de l'affaire : sans bidouiller, il n'est pas possible de l'installer sur un téléphone doté d'une version libre d'Androïd (c'est sans doute le même problème qu'avec bon nombre d'applications bancaire qui vérifient que l'OS est "sécurisé", c'est à dire un androïd "officiel" et si je dis "sans doute" c'est parce qu'en fait on n'en sait rien, à part "Androïd 8 minimum", aucune spécification n'est donnée par cette application, ce qui fait parti du problème !).
Dans ce fil du forum communautaire, un intervenant a réussit à faire fonctionner l'application avec son Fairphone 3 sous /e/ OS
https://community.e.foundation/t/impossible-de-me-connecter-a-lapplication-france-identite/55620/3

Et là, un autre avec son Fairphone 4 (avec /e/ OS, je suppose).

Donc, il semble possible de l'installer et de l'utiliser avec une version libre d'Android.
ragoutoutou Abonné
Le 12/04/2024 à 13h51
Je rêve où cette imbécilité d'imposer aux navigateurs d'afficher des messages d'avertissement sur injonction est toujours présente dans le texte?
mrintrepide Abonné
Le 12/04/2024 à 14h38
Bientôt : Firefox French Édition
Ou alors l'installation automatique d'une extension si l'on a une IP publique française ou un système paramétré sur France ?
gg40 Abonné
Le 12/04/2024 à 14h49
Il semble bien.
En plus des clients mail ?

Comme d'hab, le législateur n'en a rien faire de la faisabilité technique.
Patch Abonné
Le 12/04/2024 à 15h44

gg40

Il semble bien.
En plus des clients mail ?

Comme d'hab, le législateur n'en a rien faire de la faisabilité technique.
L'informatique, c'est magique. Il suffit de claquer des doigts pour faire ce qu'on veut avec!
Bloptimus Abonné
Le 12/04/2024 à 17h09
Beaucoup de choses mais bien peu qui semblent vraiment pertinentes... Un accès "propre" semble bien incompatible avec les libertés individuelles selon le législateur...
fred42 Abonné
Le 13/04/2024 à 17h20
Cela concerne les sites français et extra-européens… mais qu’en est-il des sites dans un autre pays de l’Union européenne ? Ils pourront aussi être concernés, « après désignation par arrêté ».


C'est lamentable et ça ne fera que retarder et multiplier (pour chaque site de l'UE hors France désigné par arrêté) les fessées de la Commission.

J'ai été lire le texte voté et voilà comment ça va se passer (lire l'Art. 10‑2 créé).

Cela se passe dans le cadre de la directive 2000/31/CE sur le commerce électronique, dans le cadre des paragraphes 4 et 5 de l'article 3
4. Les États membres peuvent prendre, à l'égard d'un service donné de la société de l'information, des mesures qui dérogent au paragraphe 2 si les conditions suivantes sont remplies:

a) les mesures doivent être:

i) nécessaires pour une des raisons suivantes:

- l'ordre public, en particulier la prévention, les investigations, la détection et les poursuites en matière pénale, notamment la protection des mineurs et la lutte contre l'incitation à la haine pour des raisons de race, de sexe, de religion ou de nationalité et contre les atteintes à la dignité de la personne humaine,


La protection des mineurs permet de passer outre la règle générale si :
b) l'État membre a préalablement et sans préjudice de la procédure judiciaire, y compris la procédure préliminaire et les actes accomplis dans le cadre d'une enquête pénale:

- demandé à l'État membre visé au paragraphe 1 de prendre des mesures et ce dernier n'en a pas pris ou elles n'ont pas été suffisantes,

- notifié à la Commission et à l'État membre visé au paragraphe 1 son intention de prendre de telles mesures.


ou en cas d'urgence,
5. Les États membres peuvent, en cas d'urgence, déroger aux conditions prévues au paragraphe 4, point b). Dans ce cas, les mesures sont notifiées dans les plus brefs délais à la Commission et à l'État membre visé au paragraphe 1, en indiquant les raisons pour lesquelles l'État membre estime qu'il y a urgence.


Et tout ça pour arriver à :
6. Sans préjudice de la faculté pour l'État membre de prendre et d'appliquer les mesures en question, la Commission doit examiner dans les plus brefs délais la compatibilité des mesures notifiées avec le droit communautaire; lorsqu'elle parvient à la conclusion que la mesure est incompatible avec le droit communautaire, la Commission demande à l'État membre concerné de s'abstenir de prendre les mesures envisagées ou de mettre fin d'urgence aux mesures en question


Et c'est là que vont arriver les fessées :sm: puisque la Commission a déjà critiqué (rejeté ?) les mesures que voulait prendre la France dans sa loi quand celle-ci lui a été notifiée.
J'ai tendance à penser que la France passera au 5. en invoquant l'urgence, mais je peux me tromper. :D

Je n'arrive toujours pas à comprendre pourquoi on fait de nouvelles lois alors que le Code pénal interdit déjà la diffusion du porno (entre autres) aux mineurs. Il suffit de poursuivre au pénal les éditeurs de porno pour résoudre le problème.
Modifié le 13/04/2024 à 17h25

Historique des modifications :

Posté le 13/04/2024 à 17h20


Cela concerne les sites français et extra-européens… mais qu’en est-il des sites dans un autre pays de l’Union européenne ? Ils pourront aussi être concernés, « après désignation par arrêté ».


C'est lamentable et ça ne fera que retarder et multiplier (pour chaque site de l'UE hors France désigné par arrêté) les fessées de la Commission.

J'ai été lire le texte voté et voilà comment ça va se passer (lire l'Art. 10‑2 créé).

Cela se passe dans le cadre de la directive 2000/31/CE sur le commerce électronique, dans le cadre des paragraphes 4 et 5 de l'article 3
4. Les États membres peuvent prendre, à l'égard d'un service donné de la société de l'information, des mesures qui dérogent au paragraphe 2 si les conditions suivantes sont remplies:
a) les mesures doivent être:

i) nécessaires pour une des raisons suivantes:
- l'ordre public, en particulier la prévention, les investigations, la détection et les poursuites en matière pénale, notamment la protection des mineurs et la lutte contre l'incitation à la haine pour des raisons de race, de sexe, de religion ou de nationalité et contre les atteintes à la dignité de la personne humaine,


La protection des mineurs permet de passer outre la règle générale si :
b) l'État membre a préalablement et sans préjudice de la procédure judiciaire, y compris la procédure préliminaire et les actes accomplis dans le cadre d'une enquête pénale:
- demandé à l'État membre visé au paragraphe 1 de prendre des mesures et ce dernier n'en a pas pris ou elles n'ont pas été suffisantes,
- notifié à la Commission et à l'État membre visé au paragraphe 1 son intention de prendre de telles mesures.

5. Les États membres peuvent, en cas d'urgence, déroger aux conditions prévues au paragraphe 4, point b). Dans ce cas, les mesures sont notifiées dans les plus brefs délais à la Commission et à l'État membre visé au paragraphe 1, en indiquant les raisons pour lesquelles l'État membre estime qu'il y a urgence.


Et tout ça pour arriver à :
6. Sans préjudice de la faculté pour l'État membre de prendre et d'appliquer les mesures en question, la Commission doit examiner dans les plus brefs délais la compatibilité des mesures notifiées avec le droit communautaire; lorsqu'elle parvient à la conclusion que la mesure est incompatible avec le droit communautaire, la Commission demande à l'État membre concerné de s'abstenir de prendre les mesures envisagées ou de mettre fin d'urgence aux mesures en question


Et c'est là que vont arriver les fessées :sm: puisque la Commission a déjà critiqué (rejeté ?) les mesures que voulait prendre la France dans sa loi quand celle-ci lui a été notifiée.
J'ai tendance à penser que la France passera au 5. en invoquant l'urgence, mais je peux me tromper. :D

Je n'arrive toujours pas à comprendre pourquoi on fait de nouvelles lois alors que le Code pénal interdit déjà la diffusion du porno (entre autres) aux mineurs. Il suffit de poursuivre au pénal les éditeurs de porno pour résoudre le problème.

Posté le 13/04/2024 à 17h23


Cela concerne les sites français et extra-européens… mais qu’en est-il des sites dans un autre pays de l’Union européenne ? Ils pourront aussi être concernés, « après désignation par arrêté ».


C'est lamentable et ça ne fera que retarder et multiplier (pour chaque site de l'UE hors France désigné par arrêté) les fessées de la Commission.

J'ai été lire le texte voté et voilà comment ça va se passer (lire l'Art. 10‑2 créé).

Cela se passe dans le cadre de la directive 2000/31/CE sur le commerce électronique, dans le cadre des paragraphes 4 et 5 de l'article 3
4. Les États membres peuvent prendre, à l'égard d'un service donné de la société de l'information, des mesures qui dérogent au paragraphe 2 si les conditions suivantes sont remplies:

a) les mesures doivent être:

i) nécessaires pour une des raisons suivantes:

- l'ordre public, en particulier la prévention, les investigations, la détection et les poursuites en matière pénale, notamment la protection des mineurs et la lutte contre l'incitation à la haine pour des raisons de race, de sexe, de religion ou de nationalité et contre les atteintes à la dignité de la personne humaine,


La protection des mineurs permet de passer outre la règle générale si :
b) l'État membre a préalablement et sans préjudice de la procédure judiciaire, y compris la procédure préliminaire et les actes accomplis dans le cadre d'une enquête pénale:

- demandé à l'État membre visé au paragraphe 1 de prendre des mesures et ce dernier n'en a pas pris ou elles n'ont pas été suffisantes,

- notifié à la Commission et à l'État membre visé au paragraphe 1 son intention de prendre de telles mesures.

5. Les États membres peuvent, en cas d'urgence, déroger aux conditions prévues au paragraphe 4, point b). Dans ce cas, les mesures sont notifiées dans les plus brefs délais à la Commission et à l'État membre visé au paragraphe 1, en indiquant les raisons pour lesquelles l'État membre estime qu'il y a urgence.


Et tout ça pour arriver à :
6. Sans préjudice de la faculté pour l'État membre de prendre et d'appliquer les mesures en question, la Commission doit examiner dans les plus brefs délais la compatibilité des mesures notifiées avec le droit communautaire; lorsqu'elle parvient à la conclusion que la mesure est incompatible avec le droit communautaire, la Commission demande à l'État membre concerné de s'abstenir de prendre les mesures envisagées ou de mettre fin d'urgence aux mesures en question


Et c'est là que vont arriver les fessées :sm: puisque la Commission a déjà critiqué (rejeté ?) les mesures que voulait prendre la France dans sa loi quand celle-ci lui a été notifiée.
J'ai tendance à penser que la France passera au 5. en invoquant l'urgence, mais je peux me tromper. :D

Je n'arrive toujours pas à comprendre pourquoi on fait de nouvelles lois alors que le Code pénal interdit déjà la diffusion du porno (entre autres) aux mineurs. Il suffit de poursuivre au pénal les éditeurs de porno pour résoudre le problème.

Geologic Abonné
Le 14/04/2024 à 14h13
On devrait, definir
Fermer