Sécurisation et régulation de l’espace numérique : une loi et après ?
Le projet de loi visant à sécuriser et réguler l’espace numérique (dit SREN) a enfin été adopté le 10 avril 2024, au terme d’une longue procédure parlementaire. Un doute demeure cependant, ou plutôt deux difficultés : une difficulté à court terme d’abord, relative à une possible censure à venir du Conseil constitutionnel. Une difficulté à moyen et long terme ensuite, intrinsèque aux difficultés de mise en œuvre technique de certaines solutions proposées.
Par Julie Groffe-Charrier, Maître de conférences HDR à l’Université Paris-Saclay, membre du Cerdi
Quels sont les apports majeurs du texte ?
Le projet adopté est porteur de grandes ambitions, qui se dévoilent dès l’intitulé même de la loi. Cet objectif de sécurisation et de régulation de l’espace numérique est éminemment vaste, de sorte que les dispositions sont nombreuses et relatives à des domaines variés. De manière synthétique, le texte présente quatre grandes thématiques :
– la mise en place d’un système de vérification de l’âge pour accéder à des contenus pornographiques afin de protéger les jeunes ;
– la sanction de certains comportements en ligne : le texte crée un cadre juridique spécifique pour les deepfakes, les auteurs de ces publications encourant jusqu’à 2 ans d’emprisonnement et 45 000 euros d’amende. Une disposition est également consacrée aux deepfakes pornographiques, la peine étant alors portée à 3 ans d’emprisonnement et 75 000 euros d’amende. La loi alourdit aussi les sanctions pour certains délits tels que le cyberharcèlement, les propos haineux, etc., et crée une peine complémentaire de bannissement des réseaux ; le texte met aussi en place un filtre de sécurité pour lutter contre les arnaques en ligne, permettant d’avertir les personnes ayant reçu un message frauduleux que le site vers lequel celles-ci se dirigent est malveillant. Le texte consacre aussi un délit d’outrage en ligne (le comportement étant notamment sanctionné par une amende forfaitaire de 300 euros).
– l’encadrement renforcé de certaines activités en ligne : les services de cloud font désormais l’objet de dispositions dédiées. Le texte crée aussi de nouvelles règles particulières pour les plateformes de locations touristiques comme AirnBnb. Il consacre aussi un volet aux Jonum (jeux à objets numériques monétisables), identifiés comme à risque notamment d’addiction, en ce qu’ils se situent à la frontière des jeux d’argent et des jeux de hasard ;
– la mise en œuvre des règlements DMA et DSA : le texte français doit en effet se conformer au droit européen. À cet égard, le projet développe notamment la fonction de certaines autorités. Par exemple, l’ARCOM, désignée comme « coordinateur des services numériques », se voit reconnaître de nouvelles prérogatives (contrainte des opérateurs à mettre un terme à la diffusion de chaînes de propagande étrangères, blocage et déréférencement de sites pornographiques qui ne se conformeraient pas aux nouvelles exigences de vérification de l’âge, sous le contrôle du juge administratif, etc.).
Quel pourrait être le sort du texte ?
La loi doit encore franchir l’obstacle du Conseil constitutionnel, une saisine par des députés ayant d’ores et déjà été annoncée ; or, cet obstacle s’annonce de taille, à tout le moins pour certaines des dispositions. Le souvenir de la loi Avia est ici assez logiquement ravivé. Ainsi notamment de l’article qui envisage la création du délit d’outrage en ligne et qui pourrait se heurter frontalement à la liberté d’expression.
Quelle sera la faisabilité technique des dispositions prévues ?
Au-delà d’un risque réel de censure, le texte devra également passer l’épreuve de la mise en œuvre. Or, celle-ci pourrait s’avérer complexe. Le plus grand chantier sera celui de la vérification de l’âge pour les sites proposant des contenus pornographiques (ce qui ne se limite donc pas aux seuls sites pornographiques). L’objectif est évidemment louable, s’agissant d’un impératif de protection de la jeunesse. La faisabilité technique de ce blocage reste toutefois incertaine. Mission est confiée à l’ARCOM d’établir un référentiel technique (notifié à la Commission européenne ce lundi 15 avril) et une consultation publique vient d’être lancée sur ce sujet. Les solutions reposant sur l’utilisation d’une carte bancaire (lesquelles seront, pendant une période de six mois à compter de la publication de ce référentiel, considérées comme conformes aux caractéristiques techniques du référentiel) sont strictement conditionnées (mise en œuvre par un tiers indépendant du service, nécessité de prévention des risques d’hameçonnage, garantie de l’existence et de la validité de la carte, mise en œuvre de l’authentification forte, par exemple par le recours au protocole 3-D Secure), comme le relevait l’Informé il y a quelques jours.
La solution n’est toutefois pas optimale : d’une part, rien n’empêche les mineurs de procéder à l’emprunt d’une carte bancaire (voire de détenir leur propre carte). D’autre part et surtout, demeure l’obstacle central du recours à un VPN (ou à un DNS alternatif). Les jeunes sont très au fait de ce type d’outils qui permettent de masquer ou modifier une adresse IP. Le verrou technique ne jouera donc pas lorsque ces logiciels seront utilisés. Les sites concernés sont par ailleurs limités dans la dernière version du texte sous impulsion européenne, puisque seuls seront concernés ceux établis en France ou en dehors de l’Union européenne. Pour l’échelon intermédiaire donc (les sites non français mais européens), le texte n’aura pas vocation à jouer. Reste aussi l’obstacle européen : la Commission européenne, notifiée du texte, devra déterminer si celui-ci est, même dans sa version excluant les sites établis dans des pays européens, conforme à la norme européenne.
