Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

Après un aller-retour entre le Sénat et l’Assemblée et un passage en CMP, le projet de loi pour Sécuriser et réguler l’espace numérique (SREN) a été définitivement adopté cette semaine. On fait le tour des principales dispositions.

C’est le 10 mai 2023 que le projet de loi « visant à sécuriser et réguler l'espace numérique » était déposé au Sénat, par Bruno Le Maire, ministre de l'Économie, des Finances et de la Souveraineté industrielle et Numérique. Le gouvernement engageait une procédure accélérée.

Le texte est adopté, avec modifications, moins de deux mois plus tard par le Sénat (5 juillet 2023). Il est transféré dans la foulée à l’Assemblée nationale. Cette dernière le modifie et l’adopte le 17 octobre, entrainant un passage par la Commission mixte paritaire (CMP).

De multiples « inspirations », une « minutieuse » réécriture

Sept sénateurs et autant de députés se sont ainsi réunis pour « harmoniser les versions du texte, voté en des termes différents par les deux Chambres, et prendre en compte un certain nombre de remarques adressées à la France par la Commission européenne », précise LCP. Le texte a en effet « dû être minutieusement réécrit pour répondre aux exigences du droit européen », ajoute Le Monde.

L’accord trouvé fin mars par la CMP a été validé par le Sénat le 2 avril, puis par l’Assemblée nationale le 10 avril. Le texte est ainsi définitivement adopté. Pour suivre les différentes modifications du projet de loi, le Sénat propose un historique complet des différentes étapes.

Bien évidemment, le gouvernement se félicite pour cette adoption, tandis que La France Insoumise annonce un recours devant le Conseil constitutionnel. Les réactions sont nombreuses, notamment d’associations qui montent au créneau.

Mais de quoi s’agit-il exactement ? Selon le ministère de l’Économie, ce projet de loi était la résultante de plusieurs choses : les règlements européens DSA et DMA, « des travaux parlementaires sur l'exposition des mineurs aux contenus pornographiques et du rapport sur la souveraineté numérique », de consultations du Conseil national de la refondation et d’« initiatives prises pour réguler l'activité des influenceurs ».

« Protéger et outiller » : filtre anti-arnaque, bannissement des réseaux sociaux

Le gouvernement met en avant trois axes principaux. Le premier est de « protéger et outiller les citoyens français ». Il comporte deux éléments. Un filtre « anti-arnaque » contre les SMS ou mails frauduleux : « les Français recevront un message d’alerte lorsqu’ils s’apprêteront à se diriger vers un site malveillant après avoir reçu un SMS ou un courriel frauduleux ». Un décret doit venir apporter des précisions sur le dispositif.

Deuxième point : « exclure les cyberharceleurs des réseaux sociaux ». Emmanuel Macron voulait bannir les cyberharceleurs sur les réseaux sociaux sans passer par un juge, ce qui avait soulevé de nombreuses questions et une mise en garde de la Commission européenne par l’intermédiaire de Thierry Breton.

• • La Commission européenne avertit la France qu’elle ne peut pas aller au-delà de ses règlements

Dans son dernier point après l’adoption du texte cette semaine, Vie Publique revient sur les conditions : « le juge pourra prononcer à leur encontre une peine complémentaire de suspension ou "peine de bannissement" des réseaux sociaux pour six mois (voire un an en cas de récidive) ». Et pour le réseau social qui ne bloquerait pas le compte suspendu, l’amende pourrait être de 75 000 euros.

« Les parlementaires ont élargi cette peine à d'autres infractions (dérives sectaires, entraves à l'avortement, menaces contre les élus…) et permis qu'elle soit prononcée comme alternative aux poursuites », précise le site officiel.

Nouveau délit d'outrage en ligne, avec amende forfaitaire délictuelle

Vie Publique précise que ce volet du projet de loi a été complété : un « nouveau délit d'outrage en ligne est créé, réprimant la diffusion de contenus injurieux, discriminatoires ou harcelants », avec une amende forfaitaire délictuelle (AFD) de 300 euros. Cette mesure avait été « introduite par le Sénat puis supprimée par l’Assemblée nationale car jugée trop dangereuse », explique La Quadrature du Net. Elle est revenue lors de la CMP.

Vie Publique rappelle que cette AFD « permet de prononcer une sanction pénale en l'absence de procès. La décision est prise par un policier, un gendarme ou un agent public habilité qui constate une infraction ». Cette procédure ne fait pas du tout l’unanimité et la Défenseure des droits a même recommandé il y a un an « d'y mettre fin ». Elle faisait état de nombreuses réclamations et parlait d’« atteintes majeures aux droits et à l'égalité engendrées par la procédure de l'AFD ». La « difficulté de contester l'amende » est notamment mise en avant.

« Situation intimidante hostile ou offensante » : une notion subjective ?

Ce n’est pas tout. Au-delà de l’AFD, le délit d’outrage en ligne peut monter jusqu’à 3 750 euros et un an de prison. Tel qu’écrit dans le projet de loi, il concerne le fait « de diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

Interrogé par Médiapart, l’avocat Tewfik Bouzenoune (spécialisé en droit de la presse) explique que « la notion de “situation intimidante hostile ou offensante” renvoie au ressenti de la personne visée par les propos. Elle est très subjective. Or, en matière pénale, les infractions doivent être précisément rédigées pour éviter l’arbitraire ».

Deepfakes, stage de sensibilisation et information

Un « stage dédié à la sensibilisation au respect des personnes dans l’espace numérique » est mis en place pour les délits punis d'une peine de prison.

La publication de deepfakes « sera mieux réprimée » : « Est puni de deux ans d’emprisonnement et de 60 000 euros d’amende le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un montage à caractère sexuel réalisé avec les paroles ou l’image d’une personne, sans son consentement ». Il en est de même pour les contenus « généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement ».

Les collégiens devront être sensibilisés « aux dérives liées aux contenus générés par l'IA ». De leur côté, « les parents seront informés des dangers d'une exposition précoce et non encadrée des enfants aux écrans et des risques liés à internet ». Les étudiants seront sensibilisés aux « cyberviolences sexistes et sexuelles ».

Vie Publique précise que, « pour mieux se protéger contre la désinformation de médias étrangers frappés par des sanctions européennes (tels que Sputnik ou Russia Today France), l'Arcom pourra enjoindre à de nouveaux opérateurs de stopper sous 72 heures la diffusion sur internet d'une chaîne de "propagande" étrangère ».

L’Arcom pourra aussi « ordonner le blocage du site concerné et infliger une amende pouvant aller jusqu'à 4 % du chiffre d'affaires de l'opérateur ou 250 000 euros ». L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est d’ailleurs « désignée coordinateur pour les services numériques ».

Pornos : la « parade » de la France sur la vérification d’âge

Le deuxième axe est « protéger les plus jeunes des dangers d’Internet ». Le projet de loi prévoit désormais, après mise en demeure, la possibilité d’ordonner « le blocage, le déréférencement et des amendes dissuasives prononcées par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) […] à l'encontre des sites pornographiques qui ne vérifient pas l'âge de leurs utilisateurs ».

Vie Publique précise que ces sanctions se font « sous le contrôle a posteriori du juge administratif qui devra statuer rapidement. L'intervention du juge judiciaire, comme le prévoyait une loi du 30 juillet 2020, ne sera plus nécessaire à partir de 2024 ».

Il revient à l’Arcom de définir le référentiel fixant les exigences techniques minimales. Il « devra être publié dans les deux mois suivant la promulgation de la loi et les sites pornographies auront trois mois pour le respecter ». Elle vient à ce titre de publier une « Consultation publique sur le projet de référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l’âge mis en place pour l’accès à des contenus pornographiques en ligne ». Les contributions devront lui parvenir à l'Arcom au plus tard le 13 mai 2024.

Cela concerne les sites français et extra-européens… mais qu’en est-il des sites dans un autre pays de l’Union européenne ? Ils pourront aussi être concernés, « après désignation par arrêté ». Pourquoi une telle pirouette sémantique ?

La Quadrature du Net parle d’une « parade » de la France pour « s’affranchir des règles européennes qui s’imposent normalement à elle […] Autrement dit, puisque les plateformes européennes ne sont plus concernées par cette vérification d’âge, cette mesure ne rentre plus dans le champ du droit européen, et la Commission européenne n’a plus rien à dire ! Stupide, mais habile formalisme ». En effet, la France ne peut pas entrer en concurrence avec les textes européens : « le droit de l'Union européenne prime sur le droit national, y compris les dispositions constitutionnelles », rappelle Vie Publique.

Le retour du retrait en 24h (loi Avia, remember)

Autre mesure : « une peine d'un an d'emprisonnement et 250 000 euros d'amende pour les hébergeurs qui ne retirent pas les contenus pédopornographiques qui leur sont signalés par la police et la gendarmerie en moins de 24 heures ».

Là encore, la Quadrature du Net monte au créneau : « ce système de censure administrative en très peu de temps aura comme conséquence une automatisation de la censure : face aux sanctions monstrueuses en cas de non-retrait, et alors que les hébergeurs n’ont que très peu de temps pour agir, ils seront nécessairement poussés à ne pas contester la police et à censurer les contenus qu’on leur demande de retirer ».

L’association rappelle que « c’est d’ailleurs exactement ce mécanisme qu’avait censuré le Conseil constitutionnel en 2020 avec la loi Avia ». Les « sages du Palais-Royal » auront de nouveau l’occasion de s’exprimer sur le sujet.

• • Cyberhaine : la loi Avia largement censurée par le Conseil constitutionnel

À titre expérimental, la plateforme PHAROS (qui permet de signaler un contenu illicite sur Internet) pourra « ordonner le retrait sous 24 heures ou le blocage ou le déréférencement sans délai des images d'actes de torture ou de barbarie ».

Protéger les entreprises et collectivités, notamment sur le cloud

Le troisième axe vise à « protéger les entreprises et soutenir les collectivités ». Sur le cloud, « le projet de loi comporte plusieurs mesures : encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud (avoirs commerciaux), obligation pour les services cloud d'être interopérables… ». L’Arcep hérite de cette réglementation.

Là encore, les fournisseurs français et extra-européens sont concernés, ceux d'autres pays de l’Union doivent faire l’objet d’un arrêté. De nouveau une manière d’éviter les foudres de la Commission européenne, qui a déjà largement planché sur le sujet avec les règlements DSA et DMA.

« Identité numérique » pour tous en 2027

Enfin, signalons que le projet de loi prévoit que l’État propose, au 1ᵉʳ janvier 2027, à tous les Français, de « créer une identité numérique » gratuite. Ils pourront l’utiliser pour accéder « à tous les services publics locaux et nationaux ».

« L'identité numérique reste cependant facultative et les moyens pour atteindre l'objectif sont renvoyés à un rapport sur "les actions et les modifications législatives nécessaires pour mettre en œuvre cette généralisation" », précise la banque des territoires.

Le projet de loi indique enfin que « l’État met en place un service agrégeant l’accès à l’ensemble des services publics nationaux et locaux, y compris les organismes de sécurité sociale et les organismes chargés des droits et des prestations sociales, et sécurisant la communication efficace des données entre les administrations, les organismes et les collectivités territoriales. Ce service simplifie la réalisation par les utilisateurs de l’ensemble de leurs démarches administratives et sociales à partir d’une fédération d’identités reconnues pour ces usages. L’identité numérique régalienne, développée par le ministère de l’Intérieur, permet notamment l’accès à ce service ».