Le projet de loi visant à sécuriser et réguler l’espace numérique présenté au Conseil des ministres le 10 mai 2023 adapte le droit interne au droit européen en matière de services et de marchés numériques. Il vise aussi à protéger les enfants, à lutter contre le cyber-harcèlement, la désinformation, les ingérences étrangères et les fraudes en ligne.
Le projet de loi adapte le droit français au règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (règlement sur les services numériques, « Digital Services Act » ou DSA) qui vise à responsabiliser les grandes plateformes en ligne et les grands moteurs de recherches pour qu’ils prennent les mesures de modération nécessaires à l’atténuation des risques de désinformation, à la lutte contre la diffusion de contenus illicites (haineux, pédopornographiques ou contrefaçons).
Le projet comporte en outre des dispositions pour adapter le droit français au règlement dit Digital Market Act ou DMA - Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique - qui complète et approfondit la directive e-commerce, tout en réaffirmant les principes clés de cette dernière qui sont la responsabilité limitée des hébergeurs, l’interdiction d’obligation générale de surveillance et le principe du pays d’origine évoqués supra, afin de renforcer la lutte contre la dissémination des contenus illicites, dangereux ou préjudiciables en ligne tout en évitant les atteintes injustifiées à la liberté d’expression.
En matière de protection de l’enfance, l’Autorité de régulation de la communication audiovisuelle (ARCOM) pourra sanctionner, après une mise en demeure, les éditeurs de sites à contenus pornographiques qui ne se conforment pas aux recommandations en matière de fiabilité du contrôle de l’âge des utilisateurs et du respect de leur vie privée. La sanction administrative encourue pourra aller jusqu’à 4% du chiffre d’affaires mondial.
Un des articles du projet prévoit de pénaliser le non-respect de la demande de retrait d’un contenu à caractère pédopornographique dans les vingt-quatre heures, la loi n° 2004-575 pour la confiance dans l’économie numérique permettant déjà à l’autorité administrative de demander aux fournisseurs d’accès à internet de procéder au blocage administratif ou au déréférencement du site proposant des contenus illicites. La sanction encourue serait alignée sur celle qu’encourt un hébergeur qui ne retirerait pas des contenus faisant l’apologie du terrorisme une heure après injonction, soit un an d’emprisonnement et 250 000 euros d’amende.
Le texte prévoit en outre des dispositions pour protéger les citoyens contre les vecteurs de propagande étrangère en ligne manifestement destinés à la désinformation et à l’ingérence. Plusieurs règlements européens ont interdit sur le territoire de l’UE une quinzaine de médias russes tels que les chaînes Russia Today ou Sputnik au moment de l’invasion de l’Ukraine par la Russie. Pour autant, jusqu’alors, aucune administration n’est dotée d’outils juridiques pour prendre des mesures permettant de faire cesser en France et dans l’immédiat la diffusion de contenus d’un média russe visé par des sanctions européennes, aussi bien sur un site Internet que par satellite ou par un distributeur de chaînes de télévision. C’est pourquoi le projet de loi prévoit de donner pouvoir à l’ARCOM de prononcer des injonctions à l’encontre des opérateurs de faire cesser la diffusion des contenus sanctionnés faire ou même par référé audiovisuel saisir le Conseil d’Etat pour qu’il ordonne toute mesure propre à faire cesser un manquement, au besoin assortie d’une astreinte. De plus, en ce qui concerne les opérateurs de communication au public en ligne, l’ARCOM pourra prononcer des sanctions pécuniaires.
Dans un objectif de lutte contre la haine en ligne et le cyber-harcèlement, est introduite une peine complémentaire de suspension du compte d’accès à un service de plateforme en ligne, pendant une durée maximale de six mois ou d’un an lorsque la personne concernée se trouve en état de récidive légale, dès lors que les utilisateurs ont déjà été condamnés pour des infractions de haine en ligne ou de cyber-harcèlement commises au moyen d’un service de plateforme en ligne.
Le principe de neutralité d’Internet, consacré en droit positif par le Règlement du 25 novembre 2015 « internet ouvert », garantit l’égalité de traitement des contenus sur Internet et donc leur libre circulation. Néanmoins, le principe ne fait pas obstacle à la mise en place de dispositifs législatifs de restriction d’accès à un service de communication au public en ligne, s’ils sont justifiés par un impératif de sauvegarde de l’ordre public, en particulier lorsqu’ils sont nécessaires pour protéger l’intégrité et la sécurité du réseau, par exemple en prévenant les cyberattaques qui se produisent par la diffusion de logiciels malveillants ou l’usurpation d’identité des utilisateurs finaux qui résulte de l’utilisation de logiciels espions.
Pour prévenir les actes de cyber-malveillance, en cas d’infraction, il s’agit, après une procédure contradictoire, d’inscrire sur une liste noire le site cyber-malveillant. Ce dispositif s’appuie sur les infractions mentionnées aux articles 226-4-1 (usurpation d’identité), 226-18 (collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite) et 323-1 (accès frauduleux à un système de traitement automatisé de données) du code pénal, ainsi qu’à l’article L. 163-4 (usage frauduleux de moyen de paiement) du code monétaire et financier, qui sont généralement retenues par le juge dans les affaires de hameçonnage.
S’agissant du marché de l’informatique en nuage ou marché du cloud - le cloud permet le stockage et l'accès à des systèmes informatiques et à des applications par le biais d'Internet, sans avoir un serveur physique pour stocker et accéder aux données - qui est très concentré en France car seuls trois fournisseurs dominants se le partagent, le projet de loi entend encadrer les pratiques commerciales restrictives afin de mettre fin à l’enfermement propriétaire et de renforcer la liberté de choix des entreprises utilisatrices. Les fournisseurs dominants imposent des frais de migration et de sortie très élevés, qui ne reflètent pas le coût réel nécessaire pour extraire et transférer les données, afin de dissuader leurs utilisateurs de migrer et de faire jouer la concurrence, aussi il apparait nécessaire d’interdire les frais de transferts pour des raisons d’ordre économique public et d’imposer des obligations d’interopérabilité à la charge des services d’informatique en nuage.
Le projet de loi prévoit d’instituer, auprès du Conseil d’Etat, d’une part, de la Cour de cassation, d’autre part, une autorité de contrôle des opérations de traitement de données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, respectivement par les juridictions administratives et par les juridictions judiciaires, car la règlementation européenne ne permet pas à la CNIL d’exercer une activité de contrôle sur les activités juridictionnelles.
Les nouveaux types de jeux en ligne fondés sur les technologies du « web3 » ne sont pas considérés comme des jeux d’argent et de hasard : le gouvernement est ainsi habilité à légiférer par ordonnance pour adopter un régime d’encadrement distinct de celui de la police des jeux, cohérent et mieux adapté aux particularités de ces nouveaux jeux, au besoin après une expérimentation, comme le recommande le Conseil d’Etat dans son avis sur le projet de loi.
Le projet de loi prévoit la mise en place d’une base de données nationale permettant de contrôler le respect du maximum de location de meublés de tourisme de 120 nuitées par an sur les plateformes de location.
Le projet de loi comprend les dispositions d’adaptations de plusieurs codes et lois au règlement (UE) 2022/868 du 30 mai 2022 portant la gouvernance européenne des données.
Le DSA, le DMA et le DGA seront appliqués par plusieurs acteurs de la régulation qui revêt plusieurs dimensions puisqu’elle touche l’ensemble des services numériques : l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), la Commission nationale de l'informatique et des libertés (CNIL) et l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), l’Autorité de la concurrence (ADLC) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).