Loi SREN : renforcement des pouvoirs de l’ARCOM et de la CNIL au service de la protection des internautes
La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique a été adoptée pour se conformer aux nouveaux règlements européens en la matière et, ainsi, renforcer la protection des internautes. À ce titre, elle renforce les pouvoirs de l’ARCOM et de la CNIL sur de nombreux points. Bien que la loi soit louable, certaines de ses dispositions sont critiquables, restent silencieuses sur certains points ou soulèvent des questions au regard du droit européen.
Généralités. La structure de la loi SREN témoigne de la pluralité de ses objectifs : protection des mineurs en ligne et des citoyens, renforcer la confiance et la concurrence dans l’économie de la donnée ou encore renforcer la gouvernance de la régulation du numérique.
À titre non exhaustif, quelques mesures peuvent être citées. Les services de cloud sont encadrés puisque des normes sont imposées aux fournisseurs pour protéger les données hébergées ; des règles sont fixées en matière de locations touristiques grâce à la création d’un intermédiaire entre les plateformes en ligne et les communes chargées de faire respecter la réglementation, sur les jeux à objets numériques monétisables au regard du risque d’addiction ou encore contre la désinformation par des médias étrangers, ce qui apparaît très à propos notamment au regard de la Russie et de ses constantes ingérences en Europe et aux États-Unis, en particulier à l’occasion d’élections.
Les sanctions pénales encourues en cas de propos haineux, cyberharcèlement, pédopornographie et autres infractions graves sont renforcées grâce à la possibilité conférée au juge pénal, par l’article 131-35-1, I, du code pénal, de prononcer une peine complémentaire de bannissement des réseaux sociaux pour six mois, voire un an en cas de récidive, pour un certain nombre d’infractions exhaustivement listées. L’article 226-8 du code pénal est modifié pour viser spécifiquement les deepfakes par la mention d’un « contenu visuel ou sonore généré par un traitement algorithmique ». Les sanctions à l’égard des deepfakes sont également plus sévères lorsque ceux-ci présentent un caractère sexuel, grâce à l’article 226-8-1. Enfin, l’absence de retrait immédiat des contenus pédopornographiques dans les vingt-quatre heures suivant la demande en ce sens de l’ARCOM est pénalisée plus sévèrement par l’article 6-1-1.-I. de la loi du 21 juin 2004 (1 an d’emprisonnement et 250 000 € d’amende). Le retrait des contenus montrant de la torture ou des actes de barbarie peut également être exigé par l’autorité, « à titre expérimental, pour une durée de deux ans », les hébergeurs et fournisseurs de contenus pouvant recourir au juge administratif pour contester une telle demande, conformément à l’article 5 de la loi SREN.
S’agissant de l’adaptation du règlement relatif aux marchés numériques, dont l’objectif est de lutter contre les pratiques anticoncurrentielles des GAFAM et rééquilibrer leur place sur le marché européen au regard de leur domination actuelle, la loi SREN opère un certain nombre de changements importants grâce notamment à de nouvelles obligations mises à la charge des entreprises et responsables de services d’informatique.
Enfin, le délit d’outrage public créé a été censuré par le Conseil constitutionnel qui a estimé, à juste titre, qu’il portait une atteinte à la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée (Cons. const. 17 mai 2014, n° 2024-866 DC, consid. 69 et s., spéc. 79-80, Loi visant à sécuriser et à réguler l’espace numérique, AJDA 2024. 1048 
; D. 2024. 965, et les obs. ; Légipresse 2024. 273 et les obs. ), notamment en ce que sa caractérisation relevait d’une approche trop subjective de la part de la victime, ce qui fait « peser une incertitude sur la licéité des comportements réprimés » (ibid., consid. 78).
Pouvoirs de l’ARCOM et de la CNIL. En-dehors de ces généralités, la loi SREN se démarque par l’ampleur des pouvoirs conférés aux autorités nationales indépendantes. L’ARCOM (ex-CSA) constitue une autorité publique indépendante (API) tandis que la CNIL, instituée par la loi Informatique et libertés du 6 janvier 1978, est une autorité administrative indépendante (AAI) – la loi SREN confirme et renforce d’ailleurs cette qualité grâce à une modification de l’article 8 de la loi Informatique et libertés. La différence entre les deux réside dans le fait que la première dispose de la personnalité juridique contrairement à la seconde (Rép. dr. pén., v° Autorités administratives indépendantes, par A. Cappello, n° 7), mais elles sont toutes deux chargées de réguler des secteurs. En ce sens, la loi leur attribue un certain nombre de pouvoirs (ibid., n° 2 ; RGPD, art. 58, s’agissant de la CNIL en tant qu’autorité de contrôle), lesquels sont renforcés par la loi SREN (v. déjà à ce propos, J. Schwartz et R. Schlich, Loi SREN : de nouveaux pouvoirs pour la CNIL, Cah. dr. entr. 2024. 15) afin de protéger les individus dans l’espace numérique.
Protection des mineurs en ligne
La loi SREN renforce la protection des mineurs en ligne contre l’accès à des contenus pornographiques (v. sur cette question, H. Fulchiron [dir.], Le contrôle de l’accès à la pornographie en ligne, Dr. fam. 2023. 15), lutte poursuivie ardemment par le gouvernement depuis le début de l’année 2023 suite à un rapport parlementaire portant sur « L’enfer du décor » de la pornographie et à un autre de l’ARCOM sur La fréquentation des sites « adultes » par les mineurs (v. à ce propos, M. Musson, Le blocage de l’accès aux sites pornographiques demandé directement aux fournisseurs d’accès à internet, obs. ss. Civ. 1re, 18 oct. 2023, n° 22-18.926, D. 2024. 100 , note L. Plantinet ; JA 2023, n° 688, p. 10, obs. X. Delpech ; Légipresse 2023. 588 et les obs. ; ibid. 2024. 257, obs. N. Mallet-Poujol ; Dalloz IP/IT 2023. 550, obs. E. Rançon ; Dr. fam. 2023. Comm. 164, n° 8). Un premier niveau de protection existait déjà, puisque la loi pour la confiance dans l’économie numérique permettait d’agir en justice contre les hébergeurs, ou directement contre les fournisseurs d’accès à internet (Civ. 1re, 18 oct. 2023, n° 22-18.926, D. 2023. 1852 ; RLDI nov. 2023. 208, note E. Derieux ; CCE 2023. Comm. 90, obs. G. Loiseau, préc.), afin d’empêcher l’accès à des sites pornographiques en ligne aux mineurs. Toutefois, face au constat de l’ineffectivité des mesures mises en place et de la facilité déconcertante avec laquelle des mineurs pouvaient accéder à ces contenus – il suffit bien souvent de cocher une case déclarant être majeur, c’est-à-dire une déclaration sur l’honneur –, le gouvernement a souhaité renforcer la protection des mineurs et rendre effective l’interdiction pour eux d’accéder à des sites pornographiques. Quitte, selon les mots de Julie Groffe-Charrier, à ouvrir la boîte de Pandore (J. Groffe-Charrier, Contrôle de l’âge du public de contenus pornographiques : l’ouverture de la boîte de Pandore ?, CCE 2023. Étude 18).
La mesure phare de la loi SREN consiste en la reconnaissance au profit de l’ARCOM d’un pouvoir de blocage des sites pornographiques, sans qu’une décision de justice ne soit nécessaire, lorsque ceux-ci ne mettent pas en place des contrôles appropriés pour vérifier l’âge de l’internaute. La loi du 30 juillet 2020 reconnaissait déjà au président du CSA, à l’époque, la possibilité de mettre en demeure l’éditeur de prendre les mesures qui permettent d’empêcher l’accès des mineurs aux contenus et la Cour de cassation avait refusé de transmettre une question prioritaire de constitutionnalité concernant cette possibilité (Civ. 1re, 5 janv. 2023, n° 22-40.017, Dalloz actualité, 19 janv. 2023, obs. J. Groffe-Charrier ; D. 2023. 69 ; ibid. 1615, obs. P. Bonfils et A. Gouttenoire ; Dalloz IP/IT 2023. 603, obs. V. Younès-Fellous ; Légipresse 2023. 10 et les obs. ; ibid. 241, étude N. Mallet-Poujol ; ibid. 2024. 257, obs. N. Mallet-Poujol ; CCE 2023. Comm. 10, obs. A. Lepage). Toutefois, la différence réside dans le fait que seul le tribunal judiciaire était compétent pour bloquer l’accès aux sites ainsi que faire cesser son référencement dans les moteurs de recherche, sur saisine du président du CSA. Aujourd’hui, l’ARCOM peut, seule, bloquer cet accès.
Un premier problème se pose s’agissant de la licéité de ce pouvoir. Le projet de loi est rapidement entré dans le viseur de la Commission européenne concernant cette vérification de l’âge qui risque de faire doublon avec le Digital Services Act (DSA) comme l’avait expliqué le commissaire européen Thierry Breton (v. les extraits de la lettre adressée au gouvernement français, consultée par Contexte). Il ne s’agit d’ailleurs pas de la seule loi critiquée par l’exécutif européen : sont également concernées la loi sur la majorité numérique et la loi sur les influenceurs. Concernant le DSA, le dossier de notification est clos, mais la France risque toujours l’ouverture par la Commission d’une procédure d’infraction suite à ses avis circonstanciés. Par ailleurs, le 6 mars 2024 (CE 6 mars 2024, Société WebGroup Czech Republic et autres, n° 461193, Webgroup Czech Republic et autre (Sté), Lebon ; AJ fam. 2024. 181, obs. L. Mary ; Légipresse 2024. 142 et les obs. ; AJDA 2024. 722, obs. A. Goin et L. Cadin ; CCE 2024. Comm. 57, obs. E. Raschel ; CCE 2024. Alerte 162, Cabinet Racine), le Conseil d’État a saisi la Cour de justice de l’Union européenne de plusieurs questions préjudicielles sur le pouvoir de blocage conféré à l’ARCOM par la loi de 2020, au regard de la directive commerce électronique de 2000 et à l’aune de l’arrêt Google Ireland rendu par la Cour de justice le 9 novembre 2023. Le pouvoir de blocage conféré à l’ARCOM étant renforcé par la loi SREN, son incompatibilité avec le droit européen deviendrait d’autant plus plausible. Néanmoins, le législateur a trouvé une parade habile en restreignant cette obligation « aux éditeurs de service de communication au public en ligne et aux fournisseurs de services de plateforme de partage de vidéos établis en France ou hors de l’Union européenne » (LCEN, art. 10-2.-I). Cette limite n’empêche pas l’arrêt des reproches faits à l’encontre de cette loi au regard de la liberté d’expression avec, notamment, le risque d’une fin de l’anonymat en ligne mis en lumière (v. not., Projet de loi SREN : le Parlement s’accorde pour mettre au pas internet, La Quadrature du Net, 9 avr. 2024). Elle est d’ailleurs elle-même critiquable en ce qu’elle restreint considérablement le champ d’application territorial de cette mesure et, dès lors, l’effectivité de la protection des mineurs recherchée.
De manière générale, il est possible de s’interroger sur la légitimité de l’ARCOM en excluant toute intervention judiciaire a priori. Le ministre Jean-Noël Barrot a en effet parlé d’une volonté « d’aller beaucoup plus vite, en contournant la procédure juridique » (Sénat, séance du 4 juill. 2023, compte-rendu des débats). La Quadrature du Net s’inquiète à ce titre pour l’État de droit (Projet de loi SREN et accès au porno : identifier les internautes ne résoudra rien, 19 sept. 2023). Certes, l’objectif de protection des mineurs peut justifier des mesures attentatoires aux droits et libertés fondamentaux, mais l’exclusion du juge dans le processus initial apparaît dangereuse et peut laisser craindre un certain arbitraire de la part de l’ARCOM. La possibilité d’un contrôle juridictionnel a posteriori prévu par la loi SREN permet un certain rééquilibrage, mais reste tout de même le marqueur d’un recul de l’autorité judiciaire face aux AAI. Un autre garde-fou est également prévu, puisque ces mesures de blocage ne peuvent être « prononcées [que] pour une durée maximale de deux ans. Leur nécessité est réévaluée, d’office ou sur demande, au moins une fois par an », indique le nouvel article 10-1.-III, alinéa 5 de la LCEN.
Un second problème se pose concernant les moyens de vérification de l’âge des internautes, la loi de 2020 ayant estimé que la simple déclaration sur l’honneur était insuffisante en termes d’efficacité : elle a imposé aux hébergeurs de sites pornographiques de mettre en œuvre des mesures plus efficaces. L’article 1er de la loi SREN confie à l’ARCOM, après avis de la CNIL, le soin d’établir un « référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l’âge ». Elle l’autorise à mettre en demeure les éditeurs et fournisseurs de s’y conformer et, en cas de non-respect, de leur infliger une sanction pécuniaire dont le montant est strictement encadré (pour plus de détails, v. l’art. 10-II, al. 3 et 4 de la LCEN tel que modifié par la loi SREN) Une consultation publique sur le sujet a eu lieu en avril 2024 – d’autres avaient déjà été organisées précédemment à la suite de la loi de 2020 –, s’agissant des solutions envisageables afin de protéger les mineurs tout en respectant la vie privée des autres internautes (pièce d’identité, recours à un tiers de confiance). Il ressort du projet de référentiel publié le 11 avril 2024 par l’ARCOM suite à cette consultation publique que l’utilisation de la carte bancaire est proposée à titre temporaire (ARCOM, Consultation publique, avr. 2024, p. 21 s.), « soit sous forme de paiement de zéro euro, soit sur simple authentification ». Une telle solution est toutefois critiquable car il n’y a rien de plus facile pour un enfant que de voler la carte bancaire de l’un de ses parents pour accéder à de tels contenus – une photographie de celle-ci suffit même à lui permettre d’y accéder où il veut, quand il veut –, de même que l’utilisation d’un VPN permettant de modifier son adresse IP reste possible (J. Groffe-Charrier, Sécurisation et régulation de l’espace numérique : une loi et après ?, Le club des juristes, 18 avr. 2024). Il reste à voir l’effectivité de cette solution proposée aux hébergeurs pendant six mois à compter de la publication du projet de référentiel. L’une des possibilités serait de mobiliser le règlement européen sur l’identité numérique (Règl. [UE] 2024/1183 du 11 avr. 2024 concerne l’établissement du cadre européen relatif à une identité numérique) – aussi appelée règlement eIDAS 2.0 – grâce au portefeuille européen d’identité numérique, sécurisé et disponible depuis un mobile, qu’il crée.
Protection des internautes contre les contenus illicites
Le renforcement de la protection des internautes par la loi SREN s’inscrit dans la politique de modération des contenus sur le net mise en avant par le DSA, le mot d’ordre étant que tout ce qui est illicite hors ligne doit également l’être en ligne. À ce titre, l’article 14, II, de la loi de 2024 reconnaît à l’ARCOM un pouvoir de mise en demeure à l’encontre des éditeurs de services de communication au public en ligne et des fournisseurs de services d’hébergement, afin d’obtenir le retrait ou la cessation de la diffusion de contenus illicites. En effet, cette autorité est désignée en tant que « coordinateur des services numériques » en France conformément au DSA. En cas de méconnaissance de l’obligation de retrait, elle peut infliger une sanction pécuniaire pour un montant strictement encadré par la loi.
Protection des données personnelles
Conformément au DSA, chaque État doit désigner une autorité compétente pour assurer son application : l’article 59 de la loi SREN désigne, fort logiquement, la CNIL en cette qualité. Cette dernière est donc chargée de veiller au respect des obligations imposées par le règlement aux fournisseurs de plateformes en ligne qui ont leur établissement principal en France ou dont le représentant légal réside ou est établi en France. Elle dispose, à ce titre, de nombreux pouvoirs : enquête, sanction, engagement de poursuites, mise en demeure, rappel à l’ordre, injonction de mise en conformité, amende. En particulier, elle joue un rôle concernant la bonne application des dispositions du règlement européen en matière de publicité en ligne et d’interdiction de publicités fondées sur le profilage à destination des mineurs.
L’article 57 de la loi SREN confère à la CNIL le pouvoir de contrôler le respect des obligations imposées par le chapitre IV du Data Governance Act aux organisations altruistes en matière de données, c’est-à-dire celles qui mettent « à disposition du public des données de manière désintéressée » (J. Schwartz et R. Schlich, art. préc., n° 2). En effet, elle est érigée en autorité compétente pour l’application de ce chapitre par la loi Informatique et libertés. À ce titre, elle dispose également, en vertu de l’article 20-1, I, de la loi de 1978, de multiples pouvoirs : droit d’obtenir communication des documents nécessaires à l’accomplissement de sa mission ; droit de mettre en demeure une organisation de se conformer à ses obligations en cas de méconnaissance de celles-ci et, en l’absence de mise en conformité, droit de lui infliger une sanction pécuniaire, de lui faire perdre son label d’organisation altruiste en matière de données et de la radier du registre public national de ces organisations.
Légitimité globale des AAI et API
Les AAI et API ont été créées pour garantir davantage d’indépendance pour la protection des droits et libertés des citoyens (J. Chevallier, Réflexions sur l’institution des autorités administratives indépendantes, JCP 1986. I. 3254) et éviter une interférence de la part du pouvoir politique. Leur existence est donc objectivement louable. Toutefois, leur légitimité est remise en cause par une partie de la doctrine qui critique l’accumulation de leurs pouvoirs puisqu’elles édictent les normes et, dans le même temps, sanctionne les manquements à celles-ci (J.-P. Feldman, Les « autorités administratives indépendantes » sont-elles légitimes ? Sur les AAI en général et le Conseil supérieur de l’audiovisuel en particulier, D. 2010. 2852 ). La réduction du rôle du juge est également critiquée (M. Grandjean, Lutte contre les contenus illicites en ligne : plaidoyer en faveur d’un retour au juge, Légipresse 2024. 22 [1re partie] et ibid. 89 [2e partie]). Enfin, le professeur Ludovic Pailler souligne « la montée en puissance » de la CNIL en tant qu’autorité de contrôle chargée de la protection des données personnelles (L. Pailler, Un grain de SREN, D. 2024, à paraître). En effet, pour renforcer la protection des données personnelles, la loi SREN a modifié l’article 3, I, de la loi Informatique et libertés à la suite de la délibération de la CNIL dans l’affaire Lusha (CNIL, délib. n° SAN-2022-024 du 20 déc. 2022 concernant la société Lusha Systems Inc.) qui avait conclu à l’inapplicabilité du RGPD du fait que l’entreprise, responsable de traitement, n’était pas située dans l’Union européenne et en l’absence d’un suivi du comportement des personnes concernées situées sur le territoire de l’Union, conformément aux conditions fixées par l’article 3, § 2, b). Selon la loi SREN, par une interprétation large de la notion de « suivi », la loi Informatique et libertés est applicable aux traitements de données des personnes situées en France, quand bien même le responsable de traitement ne serait pas établi dans l’Union, dès lors que les traitements sont liés au suivi du comportement de ces personnes, le suivi s’entendant notamment de « la collecte de leurs données à caractère personnel en vue de leur rapprochement avec des données liées à leur activité en ligne ». Rappelant qu’il ne s’agit pas d’une juridiction et que sa mission n’est que de « surveiller » l’application du RGPD « sans que [ses] missions incluent son interprétation » (L. Pailler, art. préc.), l’auteur se montre critique quant à cette innovation de la loi SREN, car ce serait, selon lui, élever les délibérations de la CNIL au rang de droit positif.
Loi n° 2024-449 du 21 mai 2024, JO 22 mai
© Lefebvre Dalloz