La loi SREN permet de « transposer » dans notre droit les règlements européens DSA (Voir les articles Règlement « Data Service Act » sur les services numériques ; Règlement DSA : Quels bénéfices/risques ? [1], DMA Règlement « Digital Market Act » sur les marchés numériques [2], et DGA Règlement « Data Governance Act » sur la gouvernance des données [3]), et de mieux lutter contre les infractions en ligne.
Tour d’horizon des 10 principales mesures adoptées :
1/La vérification d’âge pour les sites pornographiques et les réseaux sociaux.
Les éditeurs et les plateformes de partage de vidéos en ligne diffusant des contenus pornographiques doivent mettre en place un dispositif technique empêchant l’accès des mineurs [4].
Ce dispositif doit être établi par l’ARCOM sous la forme d’un référentiel. A défaut de le respecter, les éditeurs et plateformes pourront être sanctionnés pécuniairement. L’ARCOM pourra également ordonner le blocage de leur contenu par les fournisseurs d’accès, et leur déréférencement par les moteurs.
Afin de protéger les mineurs, l’ARCOM pourra en outre empêcher le téléchargement des applications permettant l’accès à un contenu pornographique [5].
L’ARCOM pourra enfin empêcher le téléchargement des applications permettant l’accès aux réseaux sociaux qui ne respecteraient pas le référentiel de vérification d’âge, et ce quel que soit le contenu [6].
2/La suppression des contenus pédopornographiques sous 24h.
La LSREN, toujours dans cet objectif de protection des mineurs en ligne, insère dans la LCEN une pénalisation du défaut de retrait de contenu pédopornographique [7].
Si un hébergeur reçoit une telle demande de retrait par une autorité administrative, il devra s’exécuter sous 24h. A défaut, il encourt une peine d’un an d’emprisonnement et de 250 000 euros d’amende.
3/Lutte contre la désinformation de médias étrangers.
La loi SREN prévoit que l’ARCOM peut mettre en demeure des opérateurs de retirer ou faire cesser la diffusion de contenus provenant de médias étrangers frappés par des sanctions européennes [8].
Cette mesure vise à lutter contre la diffusion de chaînes de propagande étrangère.
En cas de méconnaissance de l’obligation de retirer ou faire cesser la diffusion desdits contenus, l’ARCOM peut prononcer une sanction administrative allant jusqu’à 4% du chiffre d’affaires de l’opérateur ou en l’absence de chiffre d’affaires, 250 000 euros d’amende.
4/La peine de bannissement.
La LSREN prévoit une nouvelle peine complémentaire de bannissement insérée à l’article 131-35-1 du Code pénal [9]. Cette peine a pour objet de permettre au tribunal d’ordonner la suspension des comptes d’accès aux plateformes ayant permis l’infraction.
Parmi les infractions visées, on retrouve notamment celles relatives au harcèlement, à l’atteinte à la vie privée, au deepfake, à la diffamation et à l’injure aggravée, à la provocation etc.
La suspension est prononcée pour une durée maximale de six mois laquelle est portée à un an en cas de récidive. Il appartiendra alors à la plateforme de procéder au blocage des comptes, sous peine d’une amende pouvant allant jusqu’à 75 000 euros.
5/Les infractions de deepfake.
La loi SREN modifie l’infraction de montage prévue à l’article 226-8 du Code pénal afin de l’adapter au deepfake [10]. Les peines sont aggravées, à hauteur de deux ans d’emprisonnement et 45 000 euros d’amende si l’infraction est réalisée en utilisant un service de communication en ligne.
La loi SREN crée en outre une infraction de deepfake à caractère sexuel, réprimée d’une peine de deux ans d’emprisonnement et 60 000 euros d’amende [11]. Lorsque l’infraction est commise en ligne, la peine encourue est de trois ans d’emprisonnement et 75 000 euros d’amende.
6/Le filtre anti-arnaque.
La loi SREN prévoit un filtre anti-arnaque [12] pour les sites qui sont manifestement conçus pour obtenir frauduleusement les données d’une personne ou pour soutirer de l’argent au moyen d’une infraction [13].
L’autorité administrative informée de l’existence d’un tel site met en demeure son éditeur de cesser l’infraction, et notifie son adresse électronique aux fournisseurs de navigateurs internet.
Ces derniers devront alors, sans délai, afficher à l’adresse du site litigieux un message avertissant l’utilisateur du risque encouru. Si le site litigieux n’a pas de mentions légales, il pourra faire l’objet d’un blocage.
7/ La règlementation de l’informatique en nuage (le Cloud).
La loi SREN consacre un chapitre entier visant à réguler le marché de l’informatique en nuage [14].
Cette régulation vise à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (cloud), vis-à-vis des géants du numérique (notamment Microsoft, Google ou encore Amazon) qui s’imposent actuellement largement sur ce marché.
Il est notamment prévu à la charge de ces fournisseurs une limitation des frais de transfert de données et de changement de fournisseur, ainsi qu’une obligation d’information de leurs clients. La loi prévoit également une obligation d’interopérabilité des services cloud.
8/La règlementation des JONUM (jeux à objets numériques monétisables).
La loi SREN règlemente les jeux à objets numériques monétisables [15].
Il s’agit de jeux de hasard en ligne permettant de gagner, moyennant contrepartie financière, des éléments de jeu monétisables.
Ils ne pourront être autorisés par l’Autorité nationale des jeux que sous certaines conditions : joueurs majeurs, plafonnement des récompenses, prévention de la dépendance, des activités frauduleuses et criminelles.
9/La « Transposition » des règlements DSA, DMA et DGA.
La loi SREN « transpose » les Règlements européens DSA, DMA, DGA en désignant les autorités nationales qui seront chargées de contrôler leurs applications.
Dans le cadre du DSA.
L’ARCOM est désignée en tant que « coordinateur des services numériques » [16].
La DGCCRF est chargée du contrôle du respect par les fournisseurs de places de marchés, de leurs obligations relatives à leur interface, à la traçabilité des professionnels, et à l’information des consommateurs [17].
La CNIL pourra veiller au respect du droit des données personnelles par les fournisseurs de services intermédiaires [18].
Dans le cadre du DMA.
L’autorité nationale de la concurrence acquiert de nouveaux pouvoirs afin d’assurer, au niveau national, l’encadrement des contrôleurs de marchés
[19].
L’autorité de la concurrence et le ministère de l’économie pourront, s’ils sont mandatés par la Commission européenne, mener des auditions [20], effectuer des inspections [21] , soutenir ou mener une enquête de marché [22].
Dans le cadre du DGA.
L’ARCEP est désignée comme étant l’autorité compétente pour s’assurer du respect, par les services d’intermédiation de données, des obligations prévues par le DGA [23].
La CNIL est désignée en tant qu’autorité compétente pour prendre les mesures et prononcer les sanctions à l’encontre des organisations altruistes en matière de données qui ne respecteraient pas les exigences énoncées par le DGA [24].
10/La souveraineté numérique.
La loi SREN a pour objectif de renforcer la souveraineté numérique de l’Etat Français et des hébergeurs de donnée de santé vis-à-vis des législations des Etats tiers à l’Union européenne.
Elle fixe des obligations pour les administrations d’Etat et leurs opérateurs qui recourent pour le traitement de leurs « données d’une sensibilité particulière » à un prestataire privé fournissant un service d’informatique en nuage (cloud) [25].
S’il existe notamment un risque d’ordre public, ces administrations doivent veiller à ce que le prestataire mette en œuvre des critères de sécurité garantissant la protection des données contre tout accès non autorisé par des autorités d’Etats tiers à l’Union européenne.
La loi renforce en outre la règlementation de l’activité d’hébergement de donnée de santé en étendant l’obligation de certification à l’archivage électronique [26]. Elle prévoit enfin une meilleure protection des données de santé contre le risque d’accès non autorisé par des États tiers à l’Union européenne ou à l’Espace économique européen.
