Connexion

Inscription

Le projet de loi visant à réguler l’espace numérique : l’essentiel 

·

·

LegalPlanet > Numérique > Le projet de loi visant à réguler l’espace numérique : l’essentiel 

Le projet de loi visant à réguler l’espace numérique : l’essentiel 

,

Les volets d’intervention 

Le projet de loi visant à sécuriser et réguler l’espace numérique (procédure d’adoption accélérée) encadre les points suivants : 

  • La Protection des mineurs en ligne
  • La Protection des citoyens dans l’environnement numérique
  • Renforcer la confiance et la concurrence dans l’économie de la donnée
  • Encadrer les objets de jeu numériques monétisables
  • Renforcer la gouvernance de la régulation du numérique
  • Contrôle des opérations des traitement de données des juridictions 

La mise en conformité au droit européen

Le projet de loi s’inscrit dans le projet de constitution d’un marché unique du numérique européen en prévoyant les mesures nécessaires à l’adaptation du droit national et à la mise en œuvre de trois règlements européens : le règlement (UE) n° 2002/1925 du 14 septembre 2022 sur les services et marchés numériques (dit DMA  qui entre en application le 2 mai 2023 ) ; le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques, dit DSA qui entre en application le 17 février 2024, et le règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données, dit DGA  qui entre en application le 24 septembre 2023. 

Le projet tient compte, en outre, par anticipation, de certaines dispositions du projet de règlement européen fixant des règles harmonisées pour l’équité des accès aux données et de leur utilisation, dit Data Act, en cours de négociation. Il comprend, enfin, diverses dispositions destinées à protéger les utilisateurs, notamment mineurs, de la diffusion de contenus illicites à divers titres.

Nouvelles compétences et pouvoirs de sanction de l’ARCOM 

Le projet de loi donne à l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) la compétence d’élaborer un référentiel général de sécurité relatif aux exigences techniques auxquelles doivent répondre les systèmes de vérification de l’âge mis en place pour l’accès à des sites comportant des contenus pornographiques pour s’assurer que les utilisateurs souhaitant accéder à un contenu pornographique édité par un service de communication au public en ligne sont majeurs. 

Les sanctions pécuniaires prévues en cas de manquement à ces prescriptions techniques – au plus 75 000 euros ou 1 % du chiffre d’affaires mondial hors taxes réalisé, le plus élevé des deux montants étant retenu, ce maximum étant porté à 150 000 euros ou 2 % du chiffre d’affaires mondial hors en cas de réitération du manquement – ont été validées par l’avis du Conseil d’Etat rendu sur le projet de loi.  

L’article 23 de la loi n° 2020-936 du 30 juillet 2020 permet au président de l’ARCOM, après une mise en demeure restée sans effet adressée à un éditeur de service de communication au public en ligne permettant à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, de saisir le président du tribunal judiciaire de Paris aux fins d’ordonner à cet éditeur de mettre fin à l’accès au service. Le président de l’ARCOM peut, en outre, demander au même tribunal de faire cesser le référencement du service de communication en ligne par un moteur de recherche ou un annuaire. 

Le projet de loi modifie cet article pour renforcer les pouvoirs d’intervention de l’ARCOM. Il prévoit qu’après demande de son président de prendre toute mesure pour empêcher l’accès des mineurs au contenu incriminé restée infructueuse, l’ARCOM peut, en lieu et place du tribunal judiciaire de Paris, décider de contraindre à un blocage d’accès au service de communication au public en ligne concerné. 

A cette fin, l’ARCOM notifie aux fournisseurs de services d’accès les adresses électroniques des services de communication en ligne ayant fait l’objet de l’envoi de lettres d’observation. Les fournisseurs de services d’accès doivent alors empêcher l’accès à ces adresses dans un délai de quarante-huit heures. 

Une notification peut également être effectuée auprès des moteurs de recherche ou des annuaires qui disposent d’un délai de cinq jours pour faire cesser le référencement du service de communication en ligne. En cas de manquement à ces obligations l’ARCOM peut, dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986, prononcer une sanction pécuniaire.

Suppression des contenus illicites 

Le projet de loi étend les compétences de l’ARCOM pour la mise en œuvre des mesures restrictives européennes visant les médias, notamment les interdictions de diffusion à de nouveaux opérateurs, d’une part, aux éditeurs et distributeurs de services de communication audiovisuelle, aux opérateurs de réseaux satellitaires et à leurs prestataires techniques sur le fondement des dispositions de l’article 42-10 de la loi n° 86 1067 du 30 septembre 1986 relative à la liberté de communication et, d’autre part, aux services de communication au public en ligne sur le fondement du nouvel article 11 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique .

La modification apportée à l’article 42-10 de la loi du 30 septembre 1986 et la création, dans un article 11 nouveau de la loi du 21 juin 2004, d’un mécanisme largement inspiré de celui existant à l’article 6-1 de la même loi pour les contenus qui contreviennent aux articles 227-23 et 421-2-5 du code pénal ne se heurtent à aucun obstacle d’ordre constitutionnel ou conventionnel, notamment au regard de la liberté d’expression et de communication.

Suspension d’un compte d’accès à un service de plateforme en ligne 

Le projet de loi prévoit la possibilité de prononcer, pour une durée maximale de six mois portée à un an en cas de récidive légale, une peine complémentaire de suspension d’un compte d’accès à un service de plateforme en ligne en cas de condamnation pour des infractions constitutives de cyber-harcèlement, d’atteintes à la dignité des personnes et des mineurs, de provocation ou d’apologie d’actes de terrorisme et pour les délits de presse les plus graves, lorsque ce compte a été utilisé pour commettre ces infractions. Il prévoit, en outre, une amende de 75 000 euros à l’encontre du fournisseur du service de plateforme en ligne concerné qui ne procède pas au blocage du compte d’accès suspendu. 

Sécurisation de l’internet 

Afin de protéger les utilisateurs contre diverses infractions susceptibles de leur causer des préjudices, notamment financiers – usurpation d’identité, utilisation de données à caractère personnel à des fins malveillantes, collectes de données à caractère personnel par des moyens frauduleux, déloyaux ou illicites, pénétration illicite dans un système informatique, fourniture en ligne de moyens de contrefaçon de moyens de paiement -, le projet de loi introduit un dispositif nouveau dans la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. 

Il prévoit que l’autorité administrative notifie, dans un premier temps, l’adresse électronique d’un service de communications au public en ligne dont elle constate qu’il est manifestement conçu pour commettre l’un de ces délits aux fournisseurs de logiciels de navigation aux fins d’afficher, pendant sept jours, un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. 

Dans un deuxième temps, l’autorité administrative enjoint, sous peine de sanctions, aux fournisseurs d’accès à internet, aux fournisseurs de systèmes de résolution de noms de domaine et aux fournisseurs de logiciels de navigation de mettre en place, en outre, un procédé de nature à empêcher l’utilisateur d’accéder à cette adresse. Cette autorité demande au service de communications au public en ligne ses observations. Ces mesures, sont soumises au contrôle d’une personnalité qualifiée.

L’économie stratégique du Cloud 

Le projet de loi vise à lutter contre certaines pratiques commerciales sur le marché des services d’informatique en nuage rendant les entreprises captives des fournisseurs qui dominent ce marché. 

Il encadre, en premier lieu, la pratique des offres gratuites aux entreprises utilisatrices des avoirs d’informatique en nuage, notamment leur durée de validité et les conditions de leur renouvellement et interdit la facturation des frais de transfert de données vers les infrastructures de l’entreprise utilisatrice ou vers des fournisseurs tiers. 

Le projet de loi impose, en deuxième lieu, aux fournisseurs de services d’informatique en nuage d’assurer les conditions de l’interopérabilité de leurs services et de la portabilité des données avec des offres tierces. 

Il oblige, en troisième lieu, ces mêmes fournisseurs à mettre gratuitement à la disposition des utilisateurs les interfaces de programmation d’application nécessaires à la mise en œuvre de l’interopérabilité. 

Enfin, le contrôle du dispositif est confié à l’Autorité de régulation des communications électroniques, des postes de la distribution de la presse (ARCEP) qui détermine les conditions de l’interopérabilité par la détermination de normes techniques standardisées communément reconnues.

A noter que les sanctions pécuniaires prévues pour les infractions à ces mêmes dispositions au nouvel article L. 442-12 du code de commerce, de 200 000 euros pour une personne physique et d’un million d’euros pour une personne morale ou, en cas de récidive, respectivement de 400 000 et de deux millions d’euros, lesquelles sont prévues pour chaque contrat conclu en méconnaissance des prescriptions mentionnées ci-dessus, ont été validées par l’Avis du Conseil d’Etat sur le projet de loi. 

Les services d’informatique en nuage sont des services de la société de l’information au sens de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique. L’article 3, paragraphe 2 de cette directive dispose que : « Les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l’information en provenance d’un autre État membre.(…) » 

Aux termes du i de l’article 2 de la même directive: « i) Le domaine coordonné a trait à des exigences que le prestataire doit satisfaire et qui concernent : / l’accès à l’activité d’un service de la société de l’information, telles que les exigences en matière de qualification, d’autorisation ou de notification, (…)/ l’exercice de l’activité d’un service de la société de l’information, telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service, y compris en matière de publicité et de contrat, ou sur la responsabilité du prestataire.(…) »

Les dispositions encadrant les conditions d’octroi des avoirs informatiques et celles prohibant les frais exigés au titre du transfert de données ne relèvent pas du champ du « domaine coordonné » de la directive et notamment pas de la qualité ou du contenu du service. 

Si les exigences en termes d’interopérabilité des services et de portabilité des données, qui sont relatives à l’activité de services de la société de l’information, sont, en revanche, susceptibles d’entrer dans ce champ, le Conseil d’Etat observe que ces mesures ont avant tout pour objet de favoriser la libre circulation des services en garantissant la capacité de reproduire ou de redéployer des services à fonctionnalités égales d’un fournisseur d’informatique en nuage à un autre et, par suite, de maintenir la liberté de choix des utilisateurs.

Les jeux numériques monétisables

Le Titre II du Livre III du code de la sécurité intérieure prévoit un régime de prohibition des jeux d’argent et de hasard assorti d’exceptions strictement encadrées, aux fins de prévenir les risques d’atteinte à l’ordre public et à l’ordre social, notamment en matière de protection de la santé et des mineurs.

Face à l’essor d’un nouveau type de jeu en ligne intégrant les technologies dites « Web 3.0 » telles que la chaîne de blocs (« blockchain ») et les jetons non-fongibles (« Non Fungible Token » ou NFT), le projet de loi définit une nouvelle catégorie de « jeux à objets numériques monétisables », dont il autorise l’exploitation tout en prévoyant que ces jeux ne sont pas considérés comme des jeux d’argent et de hasard pour l’application des différents textes portant réglementation de la police des jeux. 

Il habilite, en conséquence, le Gouvernement à prendre par ordonnance toute mesure relevant du domaine de la loi permettant de définir un régime d’encadrement et de contrôle ad hoc des entreprises commercialisant ce type de jeux et des places de marchés secondaires où sont susceptibles d’être achetés et vendus les objets numériques monétisables qu’ils créent.

Revenus des meublés touristiques 

Le projet de loi simplifie la transmission aux communes des données recueillies par les plateformes en ligne sur les meublés de tourisme. 

Les communes qui ont mis en œuvre la procédure d’enregistrement mentionnée au III de l’article L. 324-1-1 du code de tourisme ont la possibilité, jusqu’au 31 décembre de l’année suivant celle au cours de laquelle un meublé de tourisme a été mis en location, de demander la transmission des données de nature à leur permettre de contrôler le respect par les plateformes numériques de leurs obligations. 

Le projet de loi prévoit qu’elles adresseront désormais leur demande à une « autorité désignée par décret », à laquelle les plateformes numériques seront tenues de transmettre ces données de manière électronique.

Traitement des données personnelles des décisions de justice 

Le projet de loi prévoit d’instituer, auprès du Conseil d’Etat, d’une part, de la Cour de cassation, d’autre part, une autorité de contrôle des opérations de traitement de données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, respectivement par les juridictions administratives et par les juridictions judiciaires. 

En effet, si le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et la directive (UE) 2016/680 du Parlement européen et du Conseil s’appliquent aux traitements de données effectués par les juridictions, ils prévoient que l’exercice de l’activité de l’autorité de contrôle, en France la CNIL, ne doit pas s’étendre aux activités juridictionnelles. 

A cette fin, comme l’a confirmé un arrêt de la CJUE (Décision C-245/20 du 24 mars 2022), une autorité de contrôle spécifique doit être créée au sein des juridictions afin de préserver leur indépendance dans l’exercice de leur fonction juridictionnelle.

Le projet de loi crée une telle autorité auprès de la Cour de cassation, pour la totalité des juridictions judiciaires, ce qui, conformément à la directive (UE) 2016/680 (article 52 et considérant 80), comprend le Parquet près chacune d’elles, précision que le Conseil d’Etat estime utile d’apporter dans le projet de loi. Auprès du Conseil d’Etat, cette autorité n’aura compétence, aux termes d’une saisine rectificative, que pour les juridictions administratives autres que la Cour des comptes et les autres juridictions régies par le code des juridictions financières, ces dernières étant soumises à une autorité de contrôle dédiée, instituée auprès de la Cour des comptes. 

De même, le Conseil d’Etat approuve le choix du Gouvernement, résultant d’une saisine rectificative présentée devant l’assemblée générale du Conseil d’Etat, de placer la formation disciplinaire du Conseil supérieur de la magistrature sous le contrôle de l’autorité instituée auprès de la Cour de cassation. 

Mise en conformité avec les European Acts (DSA / DGA)

Le projet de loi adapte le  droit national aux règlements « DSA » et « DGA ». L’ARCOM devient coordinateur des services numériques pour la France.

Conformément à l’article 49, paragraphe 1 du règlement « DSA », le projet de loi désigne trois « autorités compétentes » pour appliquer les dispositions de ce règlement et fait de l’ARCOM le coordinateur des services numériques pour la France. Ces dispositions répondent aux exigences du règlement européen en organisant les relations entre les autorités nationales responsables et leur participation aux travaux du comité européen pour les services numériques. 

Elles précisent également les conditions dans lesquelles l’ARCOM exerce ses nouvelles missions d’autorité compétente et de coordinateur des services numériques et le régime des sanctions applicables conformément à l’article 52 du règlement européen. 

Les nouveaux pouvoirs de la DGCCRF

De nouvelles dispositions habilitent, en particulier, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGGCRF) à contrôler les fournisseurs de places de marché en ligne au regard de leurs obligations prévues par le règlement « DSA ». 

Un régime de sanction est prévu en cas de manquement à ces obligations. Le projet de loi confie au juge, seul, le soin de prononcer des injonctions de mise en conformité, le cas échéant assorties d’astreintes, à l’égard de ces fournisseurs. 

Le projet de loi fait ainsi usage de la faculté ouverte aux Etats membres par l’article 51-2 du règlement « DSA » de demander à une autorité judiciaire d’ordonner la cessation des infractions. Le Gouvernement entend ainsi sécuriser les conditions de mise en œuvre de ce pouvoir de police administrative au regard des exigences d’indépendance des autorités de contrôle nationales prévues par ce règlement. 

Lutte contre la haine en ligne 

Les articles 11, 13 et 14 de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information soumettent les opérateurs de plateforme en ligne dont l’activité dépasse cinq millions de connexions sur le territoire français à plusieurs obligations au titre de la lutte contre la diffusion de fausses informations. 

L’article 58 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication prévoit que l’ARCOM peut adresser des recommandations en la matière à ces opérateurs, assure le suivi de leurs obligations au titre de la lutte contre la désinformation et publie un bilan périodique de l’application de ces mesures et de leur effectivité sur la base d’information recueillies auprès des opérateurs en faisant usage de ses pouvoirs d’enquête prévus à l’article 19 de la loi.

Le règlement « DSA » soumet les très grandes plateformes et les très grands moteurs de recherche à des obligations d’atténuation des risques systémiques intégrant la désinformation et permet à ces acteurs d’adhérer au code de conduite européen sur la désinformation contenant des engagements précis en la matière. 

Le respect de ces obligations et de ces engagements est contrôlé par la Commission européenne. 

Le projet de loi tire ainsi les conséquences de ce régime européen de lutte contre la désinformation et de la compétence exclusive de la Commission sur ce point en abrogeant les articles 11, 13 et 14 de la loi du 22 septembre 2018 et la mission de suivi de l’Autorité de régulation de la communication audiovisuelle et numérique, tout en maintenant l’exigence de la publication périodique par l’Autorité d’un bilan sur l’effectivité des mesures prises au titre de la désinformation, ainsi que les pouvoirs d’enquête dont elle dispose à cette fin.

Lutte contre la manipulation de l’information 

Le projet de loi prévoit l’abrogation de l’article L. 163-1 du code électoral, introduit dans ce code par la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information. 

Cet article instaure, pendant les trois mois précédant le premier jour du mois d’élections générales et jusqu’à la date du tour de scrutin où celles-ci sont acquises, des obligations de transparence applicables aux plus grands opérateurs de plateforme en ligne en matière de contenus d’information se rattachant à un débat d’intérêt général. 

Ces informations figurent dans un registre mis à la disposition du public par voie électronique, dans un format ouvert, et régulièrement mis à jour au cours de la période précédant le scrutin. 

Ces obligations de transparence sont étendues aux élections sénatoriales (par le renvoi figurant à l’article L. 306 du code électoral) et européennes (par le renvoi figurant à l’article 14-2 de la loi n° 77 729 du 7 juillet 1977 relative à l’élection des représentants au Parlement européen), aux opérations référendaires (par le renvoi figurant à l’article L. 558-46 du code électoral) et à l’élection du Président de la République (en application de l’article 3, ayant valeur organique, de la loi n° 62-1292 du 6 novembre 1962). 

Les réserves de l’Autorité de la concurrence 

L’Autorité de la concurrence a formulé plusieurs recommandations clefs sur le projet de loi. 

Afin de limiter d’éventuelles distorsions temporaires ainsi que des coûts d’adaptation irrécupérables, le régime transitoire devrait autant que possible s’aligner sur les dispositions qui prendront effet lors de l’entrée en vigueur du Data Act.

Sur l’encadrement des frais de transfert et des avoirs d’informatique en nuage, l’Autorité estime ainsi que la définition de service d’informatique en nuage pourrait être clarifiée afin de prendre en compte la distinction entre l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS).

Il en est de même en ce qui concerne la notion d’ avoir d’informatique en nuage telle que présentée dans le projet de loi, qui devrait être clarifiée afin, d’une part, d’englober la réalité des programmes et crédits offerts par les fournisseurs et, d’autre part, d’éviter d’éventuelles stratégies de contournement de la loi qui se fonderaient sur des imprécisions de périmètre juridique.

L’Autorité note que les crédits cloud peuvent être appréhendés sous l’angle du droit de la concurrence ou des pratiques restrictives de concurrence.

Si une régulation des crédits cloud est retenue, l’Autorité recommande de faire une distinction entre les crédits cloud offerts sous forme de test ou d’essai gratuits limités à une durée de quelques mois et les crédits cloud proposés sous forme de programmes d’accompagnement des entreprises, qui ont une valeur et une durée substantiellement plus élevées.

L’Autorité relève que le renvoi au décret pour la fixation de la durée et des conditions de reconduction des avoirs ne lui permet pas, dans le cadre de cet avis, d’en analyser les aspects concurrentiels. Toutefois, elle recommande de fixer la durée des crédits cloud sous forme de programmes d’accompagnement et les conditions de reconduction de ces avoirs après consultation des parties prenantes (clients et fournisseurs).

En particulier, les conditions de reconduction des avoirs nécessitent d’être précisées et devraient à tout le moins permettre aux fournisseurs de continuer à proposer des offres de test ou d’essai gratuits tout en limitant les capacités de reconduction des programmes d’accompagnement.

L’Autorité insiste également sur l’attention particulière que devra porter le législateur à la question de l’articulation de l’encadrement des frais de transfert au niveau national avec les dispositions du Data Act portant sur ce sujet.

L’Autorité estime, comme le Gouvernement, que les egress fees sont susceptibles d’avoir des effets anticoncurrentiels liés au risque de verrouillage de la clientèle, en rendant plus difficile la migration des services de cloud vers un autre fournisseur ou de recourir à plusieurs fournisseurs à la fois.

Toutefois, le projet de loi devrait refléter le projet de règlement sur les données et prévoir a minima l’application d’une période de transition dans la suppression progressive de ces frais.

L’Autorité formule enfin une recommandation concernant l’article 8 du projet de loi relatif aux obligations d’interopérabilité des services d’informatique en nuage.

Elle préconise notamment de préciser certaines notions dans l’article de loi comme celles d’interopérabilité et de portabilité, de s’assurer de leur cohérence avec le futur Data Act, et invite à concentrer l’action du régulateur sur les services IaaS.

L’Autorité partage le constat du Gouvernement d’un fonctionnement du marché qui ne permet pas actuellement aux clients de recourir facilement à des offres tierces d’informatique en nuage. Le futur règlement sur les données comprendra vraisemblablement des mesures ciblées visant à améliorer l’interopérabilité et la portabilité dans le secteur et il conviendrait, à la fois pour des raisons d’efficacité et pour éviter le risque de contrariété de la loi française et des dépenses inutiles pour les entreprises françaises, d’attendre son adoption. Par ailleurs, des précisions importantes concernant les obligations de portabilité et d’interopérabilité, la mise en place de standards et de spécifications techniques ouvertes ou le contenu d’offres de référence sont renvoyées à des décrets ce qui ne permet pas, dans le cadre de cet avis, d’en analyser les aspects concurrentiels.

Dès lors, l’Autorité recommande de :

– préciser les notions centrales dans  l’article de loi et s’assurer qu’elles sont cohérentes avec le futur règlement sur les données ;

– inviter l’Arcep à concentrer ses travaux sur les services IaaS, plus homogènes, ce qui permettrait, compte tenu du temps imparti, de garantir une meilleure proportionnalité par rapport à des obligations communes à l’ensemble de services ;

– s’assurer que les missions et pouvoirs de l’Arcep respectent les limites fixées par le futur règlement.

  • LegalPlanet: Bienvenue, je suis votre assistant juridique

Réflexion en cours .... ...
Chat Icon