CONTACT

Promulgation de la loi SREN visant à sécuriser et réguler l’espace numérique

26 juin 2024 | Derriennic Associés|

Définitivement adoptée par l’Assemblée nationale le 10 avril 2024, la foisonnante loi de sécurisation et régulation de l’espace numérique (ci-après, loi « SREN » ou « LSREN ») a été promulguée le 21 mai 2024 et publiée au Journal Officiel le 22 mai 2024, après une censure partielle du Conseil constitutionnel.

Cette loi a notamment pour objet d’adapter le droit français aux dispositions des derniers règlements européens sur le numérique dont le DSA (« Digital Services Act ») sur les services numériques, le DMA (« Digital Markets Act ») sur les marchés numériques, DGA (« Data Governance Act ») sur la gouvernance des données.

La loi SREN introduit des dispositions concernant :

  • La protection des mineurs contre les contenus à caractère pornographique (1) ;
  • L’obligation de suppression sous 24 heures des contenus pédopornographiques par certains opérateurs (2) ;
  • L’obligation de retrait de contenu émanant de personnes visées par des sanctions au sens de l’article 215 TFUE (3) ;
  • La création d’une infraction de « DeepFake » (4) ;
  • La création d’une peine complémentaire de « bannissement » des réseaux sociaux (5) ;
  • La création de circonstances aggravantes à l’infraction de chantage (6) ;
  • La création d’un « filtre anti-arnaque » (7) ;
  • La règlementation de l’informatique en nuage (8) ;
  • La règlementation des JONUM à titre expérimental (9) ;
  • L’adaptation du droit national aux textes européens (DSA, DMA, DGA) et la désignation des autorités de contrôle (10).
  1. La protection des mineurs contre les contenus à caractère pornographique

La loi SREN introduit par son article 1 une obligation au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [1] (ci-après « LCEN ») selon laquelle les éditeurs de service de communication au public en ligne ou les plateformes de partage de vidéos, au sens de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, fournissant des contenus pornographiques devront mettre en place un dispositif technique conforme à un référentiel de vérification d’âge, établi et publié par l’ARCOM, visant à empêcher l’accès à ces contenus aux mineurs.

Après mise en demeure de l’ARCOM restée infructueuse pendant 1 mois et rendue publique, l’éditeur de service de de communication au public en ligne ou le fournisseur de service permettent l’accès à un contenu pornographique, qui ne se sera pas conformé au référentiel pourra être sanctionné pécuniairement jusqu’à 150 000 euros ou 2% du chiffre d’affaires mondial hors taxes.

  1. Une obligation de suppression sous 24 heures des contenus pédopornographiques

Les articles 4 à 6 de la loi SREN prévoient également des obligations à la charge des « fournisseurs de service d’hébergement ». Ils doivent désormais supprimer toute représentation de mineur(s) présentant un caractère pornographique dans le court délai de 24 heures à compter de la réception d’une demande de retrait d’un contenu à caractère pédopornographique adressée par l’ARCOM. En cas de non-respect de cette obligation, la peine est portée à un an d’emprisonnement et de 250 000 euros d’amende.

La référence à la notion de fournisseurs de « services d’hébergement » est permise par l’adaptation de la LCEN au droit européen et, plus particulièrement, au DSA à laquelle la loi SREN fait appel. Sont ainsi visés par cette nouvelle obligation les fournisseurs de services d’hébergement qui fournissent un « service intermédiaires » de la société de l’information « consistant à stocker des informations fournies par un destinataire du service à sa demande[2]

  1. Obligation de retrait de contenu émanant de personnes visées par des sanctions au sens de l’article 215 TFUE

L’article 14 de la LSREN modifie également la LCEN pour introduire en son article 11.-I. une obligation pour les éditeurs de services de communication au public en ligne ainsi que pour les fournisseurs de services d’hébergement de retirer les contenus ou de faire cesser la diffusion des contenus émis par des personnes faisant l’objet de sanction européennes (tels que les média russes Sputnik ou Russia Today)sous 72 heures en cas de mise en demeure de l’ARCOM.

Cette disposition a pour objectif affiché de protéger les citoyens dans l’environnement numérique vis-à-vis des risques présentés notamment « par la propagation de contenus de médias menant des actions de propagande visés par des sanctions européennes au titre de la sécurité commune[3] ». En cas de méconnaissance de cette obligation, l’ARCOM pourra prononcer une sanction pécuniaire pouvant aller jusqu’à 4% du chiffre d’affaires mondial de ces opérateurs ou 250 000 euros en l’absence de chiffre d’affaires.

  1. La création d’une infraction de « DeepFake »

S’agissant de la prévention des nouveaux risques liés au développement de l’intelligence artificielle, la loi SREN introduit également au sein du Code pénal, à la suite de l’infraction de montage, une infraction visant à la répression des « deepfakes » définis comme un « contenu visuel ou sonore généré par un traitement algorithmique et représentant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention » (article 15, loi SREN). La diffusion de deepfakes est donc désormais pénalement sanctionnée d’une peine pouvant aller jusqu’à deux ans d’emprisonnement et 45 000 euros d’amende (article 226-8 du Code pénal). Cette peine est portée à 2 ans d’emprisonnement et 60 000 euros d’amende dès lors que le deepfake comporte un caractère sexuel (article 226-8-1 du Code pénal).

  1. Création d’une peine complémentaire de « bannissement » des réseaux sociaux

Pour cette infraction ainsi que pour celles relevant du harcèlement, de la diffamation, ou encore, de l’atteinte à la vie privée, la loi créée une peine complémentaire consistant en la possibilité de supprimer l’accès au service en ligne (réseau social généralement) ayant été utilisé pour commettre l’infraction (article 131-35-1 du Code pénal). L’auteur condamné pourrait donc se trouver privé de son / ses réseaux sociaux, pendant une durée pouvant aller jusqu’à 1 an en cas de récidive légale. Le fait pour le fournisseur (de service de réseaux sociaux en ligne) de ne pas procéder au blocage des comptes faisant l’objet d’une suspension est puni de 75 000 euros d’amende.

  1. Création de circonstances aggravantes à l’infraction de chantage

De plus, le chantage en tant qu’infraction pénale, s’il est exercé par un service de communication au public en ligne au moyen d’images ou vidéos à caractère sexuel ou en vue d’obtenir ces images ou vidéos, constitue désormais une circonstance aggravante, de sorte que la peine peut être portée jusqu’à sept ans d’emprisonnement et 100 000 euros d’amende (article 312-10 du Code pénal).

  1. Création d’un « filtre anti-arnaque »

Dans l’optique de lutter contre la prolifération des nouvelles arnaques faites au moyen d’un service de communication en ligne, la loi SREN consacre la création un « filtre anti-arnaque ». Ce dernier prendra la forme de la publication par les fournisseurs de navigateurs internet au sens du 11 de l’article 2 du DMA[4], sur demande de l’autorité de contrôle, d’un message (« clair, lisible, unique et compréhensible » renvoyant vers un site internet officiel) avertissant l’utilisateur que le site litigieux est manifestement conçu pour réaliser des opérations illicites telles qu’une collecte de données personnelles frauduleuses ou une escroquerie Parallèlement à cela, l’autorité de contrôle pourra mettre en demeure la personne dont l’activité est d’éditer le service de communication au public en ligne en cause, lorsque cette dernière est identifiable, de cesser les opérations constituant l’infraction constatée. Si cette personne n’est pas identifiée dans les 5 jours, l’autorité enjoindre aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine de prendre sans délai toute mesure utile destinée à empêcher l’accès à l’adresse de ce service pour une durée maximale de trois mois.

  1. La règlementation de l’ « informatique en nuage » (« Cloud »).

La désignation de l’autorité compétente susmentionnée ainsi que le contenu et les modalités de présentation des messages d’avertissement seront précisées par un décret en Conseil d’Etat, pris après avis de la CNIL.

Dans la droite lignée du Data Act[5] – entré en vigueur le 11 janvier 2024 – la loi SREN consacre son titre III à la règlementation de l’informatique en nuage (le « cloud »).

La SREN créée un article L442-12 au sein du Code de commerce en vue d’intégrer dans les pratiques commerciales déloyales, le fait pour un fournisseur de services d’informatique en nuage de n’octroyer que pour une durée illimitée un avoir d’informatique en nuage à une personne exerçant des activités de production, de distribution ou de services.

L’article ajoute que l’octroi d’un avoir d’informatique en nuage ne peut être assorti d’une condition d’exclusivité, de quelque nature que ce soit, du bénéficiaire vis-à-vis du fournisseur de cet avoir. Un décret en Conseil d’Etat précisera les modalités d’application de l’article, notamment les différents types d’avoirs d’informatique en nuage. Il définira pour chacun d’eux une durée de validité maximale, qui ne pourra excéder un an, y compris si l’octroi de cet avoir est renouvelé.

Interdiction de la facturation de frais de transfert de données ou de changement de fournisseur non fondés sur des coûts. L’article 27 de la LSREN anticipe sur les obligations du Data Act en imposant dès l’entrée en vigueur de cette dernière la suppression des frais de changement de fournisseur ou de transfert de données prévus au sein des contrats conclus entre une fournisseur cloud et ses clients, dans le cadre d’un changement de fournisseur simple ou  « multicloud ».

Un montant maximal de ces frais sera fixé par un arrêté du ministre chargé du numérique sur proposition de l’ARCOM.

Obligation d’information.  Une information claire et compréhensible devra être communiquée, « notamment avant la signature du contrat », par les fournisseurs cloud à leurs clients sur ces frais de transfert de données et de changement de fournisseur.

Interopérabilité et transparence. La loi SREN introduit enfin des exigences liées à l’interopérabilité des services cloud, qui prendra notamment la forme :

  • D’une interopérabilité du service cloud avec les services du client ainsi que les services similaires fournis par d’autres fournisseurs de services d’informatique en nuage ;
  • D’une exigence de portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers un service similaire d’un autre fournisseur ;
  • D’une mise à disposition gratuite d’API permettant les modalités de l’interopérabilité ci-dessus décrites.

Les fournisseurs cloud seront également tenus d’une obligation de transparence sur leur site internet.

Le cabinet DERRIENNIC est à votre disposition afin de mettre à jour vos contrats notamment SaaS à ces nombreuses exigences nouvelles et complexes, ainsi que pour vous accompagner dans leur négociation.

  1. La règlementation des JONUM à titre expérimental

La loi SREN règlemente aussi à titre expérimental les jeux à objets numériques monétisables (« JONUM ») au sein de son titre IV. Il s’agit de jeux de hasard en ligne où les joueurs majeurs consentent un « sacrifice financier » en vue de l’obtention d’objets numériques monétisables (article 40 de la loi SREN).Un décret devra déterminer les règles spécifiques applicables à l’organisation de ces jeux et les entreprises de jeu à objets numériques monétisables devront s’assurer de l’intégrité, de la fiabilité et de la transparence des opérations de jeu et de la protection des mineurs. Elles veilleront également à interdire le jeu aux mineurs et à prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.

  1. Adaptation du droit national aux textes européens (DSA, DMA, DGA) et désignation des autorités de contrôle
  • Création d’une infraction pénale de non-respect de leurs obligations au titre du DSA par les fournisseurs de place de marché

Au sens de l’article 25 du DSA, les fournisseurs de plateformes en ligne ne peuvent concevoir, organiser ou exploiter leurs interfaces en ligne de façon à tromper ou à manipuler les destinataires de leur service ou de toute autre façon propre à altérer ou à entraver substantiellement la capacité de ces destinataires à prendre des décisions libres et éclairées.

Le non-respect de ces obligations relatives à la conception et l’organisation des interfaces en ligne sont désormais pénalement répréhensibles, ainsi que celles prévues aux articles 30 à 32 du DSA, relatives à la traçabilité (DSA, article 30), à la conception de l’interface (DSA, article 31) et au droit à l’information des consommateurs (DSA, article 32).

La loi SREN ajoute justement une disposition au sein du Code de la consommation qui puni de deux ans d’emprisonnement et de 300 000 euros d’amende, ou d’une amende pouvant être portée jusqu’à 6% du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent pour un fournisseur de place de marché en ligne, le non-respect de ces dispositions.

  • L’attribution des différents rôles prévus par les textes européens aux autorités de contrôle compétentes
  • La CNIL, devient compétente pour prendre les mesures et prononcer les sanctions à l’encontre des organisations altruistes règlementées par le DGA, ainsi que pour leur enregistrement, en matière de données reconnues qui ne respectent pas les exigences énoncées (article 54 et 57 modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) ;
  • L’ARCOM est, en plus de ses attributions déjà évoquées, également investie, à titre expérimental pendant une durée de deux ans, du pouvoir de demander à l’éditeur d’un service de communication au public en ligne et/ou un hébergeur de retirer des contenus en ligne faisant apparaître des images de tortures ou d’actes de barbarie. Elle en informe alors simultanément les FAI (article 5).
  • L’article 53 de la loi SREN modifie le code de commerce pour attribuer à l’Autorité de la concurrence, au ministre de l’Économie ainsi qu’à la DGCCRF le rôle d’autorité de contrôle de l’application du DMA.

Pour en savoir plus sur les problématiques, liées aux modifications législatives opérées par cette loi, contactez nos avocats spécialisés en droit du digital.

[1] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164

[2] Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), Art. 3, g), iii.

[3] Exposé des motifs : https://www.senat.fr/leg/exposes-des-motifs/pjl22-593-expose.html

[4] « Digital Market Act », Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 décembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).

[5] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données).