Les parlementaires français sont parvenus à un compromis obtenu de haute lutte mardi (26 mars) sur un projet de loi numérique, en acceptant d’atténuer les dispositions qui auraient autrement pu entrer en conflit avec les lois européennes, tout en inscrivant dans la loi des exigences de souveraineté dans le cloud.
Le projet de loi français sur le numérique (Sécuriser et réguler l’espace numérique, SREN) a reçu deux avis circonstanciés de la part de la Commission européenne, le 25 octobre 2023 et le 17 janvier, sur les textes adoptés par le Sénat et l’Assemblée nationale. Le processus législatif a ainsi été bloqué jusqu’à la mi-mars.
Mardi, sept députés et sept sénateurs sont parvenus à un accord entre les deux chambres, et ont décidé de se conformer au droit européen.
Le texte approuvé devrait être présenté au Sénat le 2 avril et à l’Assemblée nationale le 10 avril.
« La France est un leader sur les sujets numériques, notamment sur la loi influenceurs ou sur la loi SREN », a déclaré à Euractiv la députée Louise Morel (MoDem, Renew) qui a participé aux négociations. Elle a ajouté que les parlementaires français avaient fait un « bon travail » en intégrant les éléments fournis par la Commission.
Certains aspects de fermeté de la loi voulus par le gouvernement ont été atténués dans le texte de compromis, suite aux inquiétudes de la Commission qu’il y ait un conflit avec les lois de l’UE.
Contenus pornographiques
Les parlementaires ont modifié l’obligation pour les sites pornographiques d’avertir les utilisateurs avant qu’ils ne regardent une scène imitant une infraction pénale telle qu’un viol ou une agression sexuelle.
La Commission avait critiqué cette disposition, estimant qu’elle aurait poussé les plateformes pornographiques à exercer une surveillance de masse sur les contenus qu’elles hébergent, ce qui est interdit par le règlement sur la modération des contenus (Digital Services Act, DSA).
En outre, la Cour de justice de l’UE s’est prononcée contre une telle obligation générale pour les plateformes en novembre 2023.
Le texte de compromis stipule désormais qu’« à tout moment », les plateformes doivent afficher un message d’avertissement rappelant aux spectateurs que ce qu’ils regardent simule des comportements illégaux.
Sénateurs et députés ont également décidé de se conformer à la législation européenne en matière de compétences juridictionnelles, notamment en ce qui concerne la vérification de l’âge des utilisateurs sur les sites pornographiques.
Dans une version précédente du projet de loi, les exigences en matière de vérification de l’âge s’appliquaient à toutes les entreprises fournissant des services en France. Or, la législation européenne n’autorise pas les États membres à imposer des obligations générales aux entreprises domiciliées dans d’autres pays de l’UE que le leur.
Pour contourner le problème, le compromis prévoit que les exigences en matière de vérification de l’âge s’appliqueront aux entreprises ayant leur siège en France ou en dehors de l’UE.
Enfin, les parlementaires ont adapté une disposition relative au « droit à l’oubli », qui permet aux personnes qui ont tourné dans une vidéo pornographique publiée sans leur consentement de demander à ce qu’elle soit supprimée par les plateformes. Les détails concernant les exigences de notification et la détermination de l’illégalité ont été modifiés pour s’adapter au DSA.
Stratégie cloud
Dans les versions précédentes, les Sénateurs avaient proposé de mettre la circulaire « cloud au centre » dans la loi.
Cette circulaire demande aux administrations de l’État, ses opérateurs et ses groupements d’intérêt publiques à transférer leurs infrastructures IT de centres de données traditionnels vers des solutions basées sur le cloud.
Lors du transfert de ces systèmes dans le cloud, ces organisations publiques doivent s’assurer qu’elles sont protégées contre l’application extraterritoriale de lois étrangères. Cette disposition est censée se protéger vis-à-vis des lois américaines de surveillance, telles que la Foreign Intelligence Surveillance Act et le Cloud Act.
Dans la dernière version du projet de loi, la plupart des dispositions de la circulaire figureront dans la loi, tandis que les prestataires de services d’hébergement de données devront également se conformer aux exigences de la France en matière de cloud souverain lorsqu’ils traitent des données de santé.
Cette mesure est censée viser le Health Data Hub, qui gère les données de santé de millions de citoyens français sur le cloud Microsoft Azure.
La France tente d’inclure ses exigences nationales en termes de souveraineté dans le cloud au niveau de l’UE en calquant ses exigences dans le système de certification cloud européen EUCS, dont l’objectif est de créer des exigences souveraines cloud communes au niveau de l’UE. Cette démarche a suscité des critiques négatives de la part d’autres pays de l’UE, dont les Pays-Bas, qui considèrent qu’il s’agit d’une mesure protectionniste.
Prochaines étapes
Le compromis du projet de loi SREN énonce plusieurs autres exigences pour l’espace numérique.
Il transpose dans le droit français certaines des nouvelles lois européennes les plus importantes en matière de numérique. Il définit les pouvoirs conférés aux autorités nationales en vertu de règlement européen sur la concurrence en ligne, (Digital Markets Act, DMA), du règlement sur la modération des contenus, (Digital Services Act, DSA) et des règlements sur le partage des données.
En outre, un filtre anti-arnaque sera mis en place pour lutter contre les SMS frauduleux.
Les parlementaires ont décidé de réglementer les « jeux à objets numériques monétisables », à la frontière entre des jeux vidéo et des cryptoactifs.
Le compromis introduit également des sanctions spéciales pour les délits d’outrage en ligne, afin de punir les comportements discriminatoires, injurieux ou de harcèlement en ligne.
Le Conseil constitutionnel examinera probablement ces deux dernières dispositions avec attention. Il pourrait chercher à déterminer si la réglementation sur les jeux numériques monétisables crée des conditions de concurrence inégales avec les casinos en ligne. Il examinera également si le délit d’outrage en ligne est conforme au droit pénal français.
Le texte de compromis a encore un long chemin à parcourir, y compris un troisième examen par la Commission européenne.
La députée de l’opposition Ségolène Amiot (LFI, La Gauche) a déclaré à Euractiv que « la vérification de l’âge des utilisateurs pour accéder aux sites pornographiques est irréalisable techniquement et incompatible avec le droit à l’anonymat en ligne ».