« Sécuriser et réguler » le numérique : ce que contient le projet de loi

Le 10 mai, le ministre délégué au numérique Jean-Noël Barrot présentait le projet de loi de régulation et de sécurisation de l’espace numérique en Conseil des ministres. Détail des principales évolutions envisagées. 

Un projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN), voilà ce qu’a présenté le ministre délégué au numérique Jean-Noël Barrot ce 10 mai en Conseil des ministres.

Le texte était attendu : il survient à la faveur de la transcription des règlements européens sur les marchés et sur les services numériques (DMA et DSA) dans le droit français et avait été annoncé par Elisabeth Borne le 26 avril. La première ministre déclarait alors vouloir « retranscrire à l’échelle numérique l’ordre public qui existe dans la vraie vie ». 

Censé favoriser la confiance des citoyens dans les mondes connectés, le projet rassemble une diversité de sujets déjà discutés au fil des mois passés. Les questions de filtres anti-arnaques et de blocage de sites pornographiques, par exemple, sont autant de promesses de campagne d’Emmanuel Macron. Les mesures prises pour soutenir la concurrence sur le marché du cloud, elles, traduisent plus directement les obligations du DMA.

Les règlements sur les marchés et les services numériques expliqués :

• Comment le Digital Markets Act va-t-il se mettre en place ?
• Que va changer le Digital Markets Act en pratique ?
• Que change le Digital Services Act en pratique ?

Le texte se nourrit aussi des différents rapports parlementaires rendus ces derniers mois, sur l’industrie pornographique (en septembre 2022) ou encore sur la souveraineté numérique (en juin 2021), ainsi que des travaux du Conseil national de la refondation.

• « Porno : l’enfer du décor » : télécharger le rapport de la délégation aux droits des femmes

• Le rapport parlementaire sur la souveraineté du numérique

Filtre anti-arnaque, cyberharcèlement : le gouvernement veut « protéger le citoyen »

Qu’on parle de fraudes, de sextorsion ou encore de cyberharcèlement, les risques numériques sont multiples et sont susceptibles de viser à peu près n’importe qui – les 30-49 ans tombent plus facilement dans le panneau des phishings, les seniors y perdent plus d’argent, les jeunes garçons sont plus victimes de sextorsion, les filles de cyberviolences…

Pour s’attaquer à cette variété de problèmes, le gouvernement envisage plusieurs mesures. Il souhaite, d’abord, créer un « rempart contre les campagnes de faux SMS et de mails malveillants ». En cas de détection de campagne de phishing, l’État propose de déployer son filtre anti-arnaque, qui consisterait à déclencher l’affichage d’un message d’avertissement par les navigateurs, les fournisseurs d’accès à internet et/ou ceux de résolveurs DNS sur les écrans des utilisateurs qui s’apprêtent à accéder à un site frauduleux. En guise d’exemple, l'étude d’impact cite notamment le « bouclier anti-phishing » installé en Belgique.

• Filtre « anti-arnaques » d’Emmanuel Macron : optionnel pour les internautes, obligatoire pour les FAI

Pour décider qui bloquer, le gouvernement compte s’appuyer sur une liste noire adaptée en temps réel par les différentes autorités cyber – Sous-direction de la lutte contre la cybercriminalité de la police nationale (OCLCTIC), commandement de la gendarmerie dans le cyberespace (COMCyberGEND), Autorité des marchés financiers (AMF), etc. Comme le souligne FranceInfo, la création d’une telle liste noire n’est pas infaillible puisque rien ne permet d’assurer que tout nouveau site frauduleux soit automatiquement repéré.

Choix étrange de communication, par ailleurs : une partie des journalistes présents à la conférence de presse de présentation du projet de loi ont reçu un faux SMS de phishing qui les renvoyait en réalité vers le dossier de presse du gouvernement – une manière, a déclaré le ministre, d’illustrer ce à quoi pourrait ressembler le fonctionnement du filtre. 

Dans sa logique de « sécurisation » des espaces numériques, le gouvernement projette aussi de créer une peine de « bannissement » contre les personnes jugées coupables de diffusion de pédopornographie, de proxénétisme, de négationnisme, d’images violentes ou encore de provocations à la haine. Une telle décision serait prononcée par un juge et permettrait de bannir le cyberdélinquant ou le cyberharceleur de six mois à un an en cas de récidive. 

But affiché par le ministre, qui décrit la mesure comme « dissuasive », « à l’image de l’interdiction de stade » : mettre fin « au sentiment d’impunité en ligne ».

En pratique, le gouvernement projette de faire signifier les condamnations ainsi prononcées « au fournisseur de service de plateforme en ligne concerné. À compter de cette signification et pendant l’exécution de la peine, celui-ci bloque le compte ayant fait l’objet de la suspension et met en œuvre des mesures permettant de procéder au blocage des autres comptes d’accès à son service éventuellement détenus par la personne condamnée et d’empêcher la création de nouveaux comptes par la personne condamnée. »

Il souhaite par ailleurs rendre le refus d’obtempérer du fournisseur punissable de 75 000 euros d’amende. 

Ce type de mesure est demandée par toutes sortes d’associations de défense des victimes de cyberviolences, françaises et internationales, qui considèrent souvent que les réseaux sociaux ne font pas assez pour défendre leurs utilisateurs – dans son rapport d’impact, le Conseil d’État souligne d’ailleurs l’opacité des réseaux sociaux sur les mesures prises contre les cyberharceleurs.

Cela dit, elle est techniquement complexe à mettre en place. Si l’option adoptée par le gouvernement est celle d’un blocage de l’adresse IP – qui avait déjà posé des problèmes pour la Hadopi –, rien n’empêchera la personne visée de passer par un VPN, ou simplement de passer sur son smartphone. Et sans cela, il est assez simple de se créer une nouvelle adresse mail pour rouvrir un compte sur le ou les réseaux bloqués.

Dernier volet du chapitre dédié à la protection des citoyens, le projet de loi se penche sur la question des jeux en ligne, notamment « fondés sur les technologies émergentes du Web3 ». Aucun détail technique pour le moment : le texte prévoit simplement la possibilité de prendre les mesures nécessaires pour « définir ou préciser […] le régime, les objectifs et les modalités de l’encadrement, de la régulation et du contrôle des jeux comportant l’achat, l’usage ou le gain d’objets numériques monétisables ».

Sites pornographiques et « protection des enfants »

Sujet emblématique – et très débattu –, la régulation de l’accès aux sites pornographiques prend une importance particulière dans le discours du gouvernement. Celui-ci calcule que « 2 millions d’enfants sont exposés, chaque mois, aux contenus pornographiques » faute de vérification d’âge par les sites hébergeant ce type de contenu. En 2018, une étude IFOP citée par le Sénat et l’Académie de Médecine constatait que la moitié des adolescents ont déjà vu un film pornographique à 15 ans et que l’âge de leur première exposition tendait à baisser. 

Le projet de loi entend donc renforcer les pouvoirs de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) en lui donnant la possibilité de bloquer « en quelques semaines » les sites qui ne vérifieraient pas l’âge des utilisateurs, sans la décision d’un juge. En pratique, elle pourra aviser puis mettre en demeure l’éditeur donnant accès aux contenus pornographiques de mettre en place des mesures pour en restreindre l’accès aux mineurs. 

En cas d’inexécution, l’Arcom « peut notifier aux fournisseurs de services d’accès à internet, par tout moyen propre à en établir la date de réception, les adresses électroniques des services de communication » concernés, « ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle et qui présentent les mêmes modalités d’accès ». Charge aux FAI d’empêcher l’accès à ces adresses dans les quarante-huit heures. Le cas échéant, les moteurs de recherche et les annuaires peuvent aussi être sommés de déréférencer les services. 

Par ailleurs, les hébergeurs devront retirer les contenus pédopornographiques sur injonction administrative, dans un délai de 24 heures. En cas de non-retrait de contenu suite à un signalement, le gouvernement prévoit de reproduire la peine existant déjà pour le non-retrait de contenus terroristes, donc de rendre l’inaction d’un hébergeur passible d’un an d’emprisonnement et de 250 000 euros d’amendes. 

Une procédure judiciaire est toujours en cours contre PornHub et quatre autres sites pornographies. Le verdict du tribunal sera rendu le 7 juillet. Mais comme le souligne l'experte en cybersécurité Corinne Hénin auprès de France Inter, les sites pornographiques sont loin d’être les seuls espaces où les mineurs accèdent à de la pornographie. Difficile de penser que le gouvernement se mette à répertorier tous les groupes Telegram ou les serveurs Discord où s’échange, aussi, ce type de contenu.

Cloud et « protection des entreprises »

Le dernier gros chapitre mis en avant par Jean-Noël Barrot est celui de l’encadrement du marché du cloud pour permettre aux entreprises françaises d’avoir accès à un marché réellement concurrentiel. En application de l’article 7 du Digital Markets Art et en prévision de certaines mesures susceptibles d’être encadrées par le Règlement sur les données (Data Act), le projet de loi prévoit notamment trois actions phares :

• l’interdiction des « frais de sortie » (egress fees), coûts supplémentaires facturés par les fournisseurs de cloud lorsque leurs clients cherchent à déplacer les données ailleurs / hors de chez eux ;
• l’encadrement des avoirs commerciaux que les fournisseurs de cloud proposent à leurs clients – et qui peut être perçu comme l’amorçage d’un « enfermement » de l’entreprise dans l’usage d’un type précis de technologie. La durée maximale de validité des avoirs et les conditions de leurs éventuels renouvellements doit encore être précisée ;
• et l’obligation d’interopérabilité entre fournisseurs cloud et de portabilité des actifs numériques.

Fréquentes chez des géants comme Amazon ou Google, les deux premières pratiques et l’absence d’interopérabilité sont accusées de restreindre la probabilité que les clients changent de fournisseurs, quand bien même ils souhaiteraient souscrire à une offre d’informatique en nuage chez un fournisseur européen ou adopter une stratégie multicloud.

Des entités comme le Cigref (association des DSI des grands comptes et administration publiques françaises) ou le fournisseur Clever Cloud (par la voix de son directeur juridique Guillaume Champeau) saluent ces propositions. 

Certaines de ses mesures vont plus loin que les textes européens en vigueur, anticipant notamment des mesures encadrées par le Règlement sur la gouvernance des données (Data Act), qui entrera en application le 23 septembre 2023. Dans son avis rendu ce 11 mai, l’Autorité de la concurrence « attire l’attention du législateur sur le besoin de cohérence » et de bonne articulation entre le texte en cours de travail en France est le futur règlement européen. 

• Data Act : la Commission européenne dévoile son projet de règlement sur les données

Enfin, le projet de loi donne à l’Arcep de nouvelles compétences pour assurer l’interopérabilité des services cloud. Sans surprise, il désigne aussi officiellement l’Arcom comme coordinateur des services numériques au sens fixé par le Digital Services Act, en coopération avec la Cnil et l’Autorité de la concurrence.

Le projet de loi doit désormais être débattu au Parlement.