Projet de loi visant à sécuriser et à réguler l’espace numérique

Le projet de loi s'inspire notamment de trois rapports parlementaires sur l'industrie pornographique et sur la souveraineté numérique. 

Il a été modifié par le Parlement, qui a tenu compte, lors de la commission mixte paritaire, des deux avis circonstanciés adressés par la Commission européenne au gouvernement demandant que le projet de loi soit mis en conformité avec le droit européen. Le projet de loi, après son adoption par le Parlement, devra de nouveau être notifié à la Commission européenne. 

Protéger les enfants de la pornographie

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) devra établir un référentiel fixant les exigences techniques minimum auxquelles devront se conformer les systèmes de vérification d’âge des sites pornographiques, sous peine de lourdes amendes. Aucun contenu pornographique ne pourra être affiché sur l'écran du site, tant que le contrôle de l'âge de l'utilisateur n'est pas vérifié. Ce référentiel devra être publié dans les deux mois suivant la promulgation de la loi et les sites pornographies auront trois mois pour le respecter. 

L'Arcom pourra également, après mise en demeure, ordonner le blocage des sites pornographiques qui ne contrôlent pas l'âge de leurs utilisateurs et leur déréférencement des moteurs de recherche sous 48 heures, sous le contrôle a posteriori du juge administratif qui devra statuer rapidement. L'intervention du juge judiciaire, comme le prévoyait une loi du 30 juillet 2020, ne sera plus nécessaire à partir de 2024.

Ces nouvelles mesures visent les sites français et extra-européens. Toutefois après désignation par arrêté, des sites basés dans un autre pays européen pourront aussi être concernés.

En outre, les hébergeurs devront retirer dans les 24 heures les contenus pédopornographiques qui leur sont signalés par la police et la gendarmerie, sous peine d'un an de prison et 250 000 euros d’amende, voire plus en cas de manquement habituel.

Des dispositions ont été introduites par les parlementaires pour mieux protéger les femmes. Les producteurs de vidéos pornographiques devront systématiquement afficher un message d’avertissement avant et pendant la diffusion de contenus comportant la simulation d’un viol ou d'un inceste. Les actrices et acteurs ayant tourné des vidéos pornographiques pourront obtenir leur retrait sur internet, lorsque ces vidéos sont diffusées en violation des clauses de leur contrat. Conformément aux récentes recommandations du HCE, la plateforme PHAROS pourra, à titre expérimental, ordonner le retrait sous 24 heures ou le blocage ou le déréférencement sans délai des images d'actes de torture ou de barbarie.  

Contrer les arnaques, la haine et la désinformation

Le projet de loi prévoit la mise en place d'un filtre de cybersécurité anti-arnaque à destination du grand public. Un message d’alerte avertira les personnes lorsqu’après avoir reçu un SMS ou un courriel frauduleux, elles s’apprêtent à se diriger vers un site malveillant. Ce message renverra vers un site officiel de l’État. Le dispositif, qui doit être précisé par décret, vise à protéger les citoyens contre les tentatives d’accès frauduleux à leurs coordonnées personnelles ou bancaires. 

Le texte renforce, par ailleurs, les sanctions pour les personnes condamnées pour haine en ligne, cyber-harcèlement ou d'autres infractions graves (pédopornographie, proxénétisme...). Le juge pourra prononcer à leur encontre une peine complémentaire de suspension ou "peine de bannissement" des réseaux sociaux pour six mois (voire un an en cas de récidive). Le réseau social qui ne bloquerait pas le compte suspendu encourra une amende de 75 000 euros. Les parlementaires ont élargi cette peine à d'autres infractions (dérives sectaires, entraves à l'avortement, menaces contre les élus...) et permis qu'elle soit prononcée comme alternative aux poursuites.

Ce volet a été complété lors des débats au Parlement. Un nouveau délit d'outrage en ligne est créé, réprimant la diffusion de contenus injurieux, discriminatoires ou harcelants. Il sera passible d'une amende forfaitaire délictuelle de 300 euros, voire plus. Un "stage dédié à la sensibilisation au respect des personnes dans l’espace numérique" est institué pour les délits punis d'une peine de prison. La publication en ligne d’hypertrucages ou "deepfake"(vidéos, images et autres contenus, notamment à caractère sexuel, visant à nuire générés par intelligence artificielle - IA) sera mieux réprimée.

De plus, les collégiens devront être sensibilisés aux dérives liées aux contenus générés par l'IA. En début d'année scolaire, les parents seront informés des dangers d'une exposition précoce et non encadrée des enfants aux écrans et des risques liés à internet. Les étudiants devront être sensibilisés aux cyberviolences sexistes et sexuelles. Une réserve citoyenne du numérique, comme réserve thématique de la réserve civique, est instaurée.

De nouveaux articles prévoient que l’État se fixe l'objectif qu'en 2027 tous les Français puissent créer une identité numérique et qu'il permette, via une plateforme, l'accès des usagers à tous les services publics locaux et nationaux, à partir de cette identité. 

Pour mieux se protéger contre la désinformation de médias étrangers frappés par des sanctions européennes (tels que Sputnik ou Russia Today France), l'Arcom pourra enjoindre à de nouveaux opérateurs de stopper sous 72 heures la diffusion sur internet d'une chaîne de "propagande" étrangère. En cas d'inexécution, elle pourra ordonner le blocage du site concerné et infliger une amende pouvant aller jusqu'à 4% du chiffre d'affaires de l'opérateur ou 250 000 euros.

Le Cloud, les locations touristiques, les Jonum

Pour réduire la dépendance des entreprises aux fournisseurs d'informatique en nuage ou cloud, marché aujourd’hui concentré dans les mains de trois géants numériques américains (Amazon, Microsoft et Google), le projet de loi comporte plusieurs mesures : encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud (avoirs commerciaux), obligation pour les services cloud d'être interopérables...L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) sera chargée de cette réglementation.

Ces nouvelles mesures visent les fournisseurs de services cloud français et extra-européens. Toutefois après désignation par arrêté, des prestataires basés dans un autre pays européen pourront aussi être concernés.

Sur initiative des parlementaires, de nouvelles dispositions ont été ajoutées sur le stockage sur le cloud privé des données stratégiques et sensibles des administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, face aux risques que font peser les législations non-européennes.

Dans le but de mieux réguler les locations touristiques, un intermédiaire est créé entre les plateformes en ligne comme Airbnb et les communes. L'API meublés sera généralisée, afin de centraliser toutes les données nécessaires et faire respecter la réglementation limitant la location de résidences principales à 120 jours par an. Un système d'alerte est prévu. Un décret doit encore intervenir.

Alors que le gouvernement souhaitait légiférer par ordonnance sur les jeux numériques fondés sur les technologies émergentes du Web 3 (jeux à objets numériques monétisables- Jonum), les parlementaires ont introduit un cadre expérimental pour trois ans. Les Jonum, qui sont un nouveau type de jeux en ligne, à la croisée entre les jeux d’argent et de hasard et les jeux vidéo, seront encadrés, en raison des nombreux risques qu'ils représentent (addiction, blanchiment d'argent...). 

De nouveaux pouvoirs pour les autorités chargées du DSA et du DMA

Le projet de loi adapte le droit français pour que puissent s'appliquer le règlement sur les services numériques (Digital Services Act- DSA) et le règlement sur les marchés numériques (Digital Markets Act- DMA). Ces deux textes européens imposent aux géants du numérique de nouvelles obligations.

Au titre du DSA, l'Arcom est désignée en tant que "coordinateur des services numériques" en France. La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est désignée comme l’autorité chargée de contrôler le respect des obligations des fournisseurs de places de marché (market places). La Commission nationale de l'informatique et des libertés (Cnil) sera compétente pour vérifier le respect par les plateformes des limitations posées en matière de profilage publicitaire (interdiction pour les mineurs ou à partir de données sensibles).

S'agissant du DMA, l’Autorité de la concurrence et le ministère de l’économie pourront investiguer, recevoir des renseignements et coopérer avec la Commission européenne sur les pratiques des contrôleurs d’accès, dans le cadre du "réseau européen de concurrence".

L'adaptation du droit français au Data act est enfin traitée, avec de nouvelles compétences pour l’Arcep et la CNIL.

Un réseau national de coordination de la régulation des services numériques est institué. Composé de l’ensemble des autorités administratives compétentes (Arcom, Cnil, Arcep ...) et des principaux services de l’État (DGCCRF, PHAROS...), il sera chargé de partager des informations et de collaborer dans le champ des régulations du numérique.