N° 1674

______

ASSEMBLÉE   NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

SEIZIÈME LÉGISLATURE

 

Enregistré à la Présidence de l'Assemblée nationale le 21 septembre 2023.

RAPPORT

FAIT

AU NOM DE LA COMMISSION SPÉCIALE ([1])  CHARGÉE D’EXAMINER
LE PROJET DE LOI, ADOPTÉ PAR LE SÉNAT APRÈS ENGAGEMENT DE LA PROCÉDURE ACCÉLÉRÉE,

 

 

visant à sécuriser et réguler l’espace numérique

M. Paul MIDY,

Rapporteur général,

 

et

 

Mmes Mireille CLAPOT, Anne LE HÉNANFF,
M. Denis MASSÉGLIA, Mme Louise MOREL,
Rapporteurs thématiques

——

 Voir les numéros :

Sénat :  593, 777, 778 et T.A. 156 (2022‑2023).

 Assemblée nationale :  1514 rect.

La commission spéciale est composée de :

M. Luc Lamirault, président ;

M. Mounir Belhamiti, M. Laurent Esquenet-Goxes, M. Victor Habert-Dassault, Mme Estelle Youssouffa, vice‑présidents ;

Mme Céline Calvez, M. Alexandre Portier, M. Robin Reda, M. Hervé Saulignac, secrétaires ;

M. Paul Midy, rapporteur général ;

Mme Mireille Clapot, Mme Anne Le Hénanff, M. Denis Masséglia, Mme Louise Morel, rapporteurs thématiques ;

Mme Ségolène Amiot, Mme Bénédicte Auzanot, M. Erwan Balanant, M. Philippe Ballard, Mme Lisa Belluco, M. Éric Bothorel, M. Ian Boucard, M. Idir Boumertit, Mme Soumya Bourouaha, Mme Agnès Carel, M. Pierre Cazeneuve, Mme Émilie Chandler, M. André Chassaigne, Mme Clara Chassaniol, Mme Sophia Chikirou, Mme Fabienne Colboc, M. Jean-François Coulomme, M. Laurent Croizier, Mme Christelle D'Intorni, M. Arthur Delaporte, Mme Virginie Duby-Muller, Mme Christine Engrand, M. Frédéric Falcon, Mme Estelle Folest, M. Jean-Jacques Gaultier, M. Philippe Gosselin, M. Guillaume Gouffier Valente, Mme Géraldine Grangier, Mme Marie Guévenoux, M. Jordan Guitton, Mme Emeline K/Bidi, Mme Marietta Karamanli, M. Andy Kerbrat, M. Philippe Latombe, Mme Constance Le Grip, M. Antoine Léaument, Mme Christine Loir, M. Aurélien Lopez-Liguori, Mme Élisa Martin, M. Maxime Minot, M. Christophe Naegelen, Mme Caroline Parmentier, M. Emmanuel Pellerin, M. René Pilato, M. Jean-Claude Raux, M. Rémy Rebeyrotte, M. Alexandre Sabatou, M. Aurélien Saintoul, Mme Isabelle Santiago, Mme Violette Spillebout, M. Bruno Studer, M. Aurélien Taché, M. Antoine Villedieu, M. Stéphane Vojetta, M. Christopher Weissberg, Mme Caroline Yadan.

 

SOMMAIRE

___

Pages

 

   AVANT-PROPOS DU RAPPORTEUR GÉNÉRAL

Au premier semestre 2022, sous Présidence française de l’Union européenne, étaient adoptés les règlements européens sur les services numériques et les marchés numériques. Le premier doit rendre illégal en ligne ce qui est illégal dans le monde physique là où le second vise à lutter contre les quasi-monopoles des géants du numérique.

Ce besoin de régulation est à la fois une demande de nos concitoyens et de nos entreprises qui ont trop souvent le sentiment d’évoluer dans un « Far West » lorsqu’ils sont dans l’espace numérique : 50 % des arnaques ont maintenant lieu en ligne, 50 % de nos jeunes ont déjà été harcelés en ligne, 80 % de nos enfants ont été exposés à la pornographie en ligne, et on ne compte plus les injures misogynes, racistes, homophobes, antisémites, islamophobes qui envahissent les réseaux sociaux.

C’est pourquoi le présent projet de loi s’attache à assurer la mise en conformité de notre droit avec les règlements européens Data Government Act (DGA), Digital Services Act (DSA), Digital Markets Act (DMA), tout en portant l’ambition du Gouvernement français d’apporter plus de sécurité à nos concitoyens dans l’espace numérique.

Le présent projet de loi de loi marque une étape majeure pour rendre l’espace numérique au moins aussi sûr et civilisé que l’espace physique : il n’a pas vocation à changer les équilibres définis dans la vie physique mais à les traduire dans l’espace numérique avec ses spécificités.

Le projet de loi prévoit un ensemble de mesures pour améliorer le quotidien des Français sur internet. Cette loi doit nous permettre notamment de mettre en place des mesures très concrètes comme le filtre anti-arnaque, promis par le Président de la République, de lutter contre le cyberharcèlement et la violence sur les réseaux sociaux ou encore de protéger nos enfants de l’accès aux sites pornographiques.

Pour nos entreprises, la régulation n’est pas un manque d’ambition. Au contraire elle doit soutenir l’innovation. Une régulation souple, adaptée et bien calibrée sera favorable au développement de notre écosystème d’innovation. Elle doit à la fois permettre de lutter contre le monopole des géants du numérique, tout en inspirant l’Europe et le monde entier sur les règles à mettre en œuvre, permettant à nos champions français de prendre de l’avance comme nous avons su le faire par exemple pour le secteur des crypto-actifs.

Un principe fondamental a guidé les travaux sur ce texte, de sa conception à son examen au Parlement : la conformité des nouvelles normes proposées à la Constitution et au droit européen, et nous serons vigilants à maintenir les équilibres qui ont été trouvés dans le respect du droit fondamental.

Bien sûr, comme pour tout texte sur le numérique, les débats ont fait ressortir des sujets d’importance (les infrastructures, les casinos en ligne, etc.) mais qui n’ont pas toute leur place dans le présent projet de loi. Nous avons eu à cœur de rester fidèles à l’esprit du texte, à savoir la sécurisation et la régulation de l'espace numérique. À ce titre, il y a un sujet sur lequel nous avons fait le choix d’ouvrir le débat : celui de l’anonymat dans l’espace numérique, au cœur de notre capacité à rendre l’espace numérique vivable.

Enfin, je tiens à remercier le président de la commission spéciale Luc Lamirault pour sa conduite efficace des débats, les rapporteurs thématiques Louise Morel, Anne Le Hénanff, Denis Masséglia et Mireille Clapot pour leurs contributions exceptionnelles, l’ensemble des experts qui ont contribué à nos travaux préparatoires, ainsi bien sûr que l’ensemble de mes collègues qui ont montré, tout au long de l’examen du projet de loi en commission, un fort intérêt pour un texte ambitieux qui doit continuer à faire de la France une grande nation numérique.

 

 

 

 

   Principaux apports de la commission spéciale

● Le projet de loi visant à sécuriser et réguler l’espace numérique comprenait initialement trente-six articles dans sa version adoptée en conseil des ministres le 10 mai 2023.

Le Sénat en ajouté huit (2 bis, 4 A, 4 B, 4 bis, 5 bis, 5 ter, 10 bis A et 10 bis). Le projet qu’il a adopté en première lecture, le 5 juillet 2023, comprenait ainsi quarante-quatre articles.

● La commission a supprimé deux articles (4 B et 10 bis A). Sur les quarante-deux articles restants, elle en a adopté trente-six avec modifications (1, 2, 2 bis, 3, 4 A, 4, 5, 5 bis, 5 ter, 6, 7, 8, 9, 10, 10 bis, 11, 12, 13, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 28, 29, 31, 32, 33, 34 et 36) et six sans modification (4 bis, 14, 26, 27, 30 et 35).

La commission a également ajouté neuf articles (3 bis, 4 AA, 4 AB, 4 AC, 5 ter A, 5 quater, 7 bis, 10 bis B et15 bis). Elle a donc adopté au total cinquante-et-un articles.

1.   Modalités de contrôle de l’inaccessibilité aux mineurs des contenus pornographiques en ligne et sanctions encourues (articles 1 et 2)

La commission spéciale a ajouté la possibilité, pour l’L'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), d’exiger des services de communication au public en ligne qu’ils conduisent un audit des systèmes de vérification de l’âge qu’ils mettent en œuvre. Elle devra rendre compte chaque année au Parlement de ces exigences. Le référentiel qu’elle établira et publiera sera actualisé en tant que de besoin dans le futur.

Par ailleurs, la commission spéciale a considérablement renforcé les sanctions encourues par les éditeurs, les fournisseurs de services d’accès à internet, les fournisseurs de systèmes de résolution de noms de domaine, les moteurs de recherche et les annuaires. Parallèlement, elle a raccourci de cinq jours à quarante-huit heures le délai laissé à ces quatre derniers acteurs pour bloquer ou déréférencer les services en cause.

2.   Extension du contenu de l’attestation scolaire de bon usage des outils numériques à l’intelligence artificielle et information annuelle des représentants légaux des élèves (article 4 AA)

La commission spéciale a complété l’article L. 312-9 du code de l’éducation afin :

– d’étendre le contenu de l’attestation scolaire délivrée à l’issue de l’école primaire et du collège et certifiant que les élèves ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux ainsi qu’aux risques liés à ces outils. Le contenu de cette attestation est étendu au bon usage des outils de l’intelligence artificielle, aux risques liés à l’ensemble de ces outils et aux contenus générés par l’intelligence artificielle ;

– de dispenser une information annuelle sur l’apprentissage de la citoyenneté́ numérique aux représentants légaux des élèves par un membre de l’équipe pédagogique.

3.   Généralisation de l’offre d’une identité numérique pour les Français (article 4 AC)

La commission spéciale a adopté un article qui fixe à l’État un objectif relatif au développement de l’identité numérique en prévoyant que 80 % des Français disposent d’une telle identité au 1er janvier 2027, et près de 100 % d’entre eux au 1er janvier 2030. En complément, il prévoit la remise d’un rapport du Gouvernement au Parlement, « sur sa capacité à généraliser l’identité numérique pour les Français et les actions et modifications législatives nécessaires pour mettre en œuvre cette généralisation ».

4.   Suppression de l’obligation pour les plateformes de retirer promptement tout contenu signalé comme étant diffusé en violation de l’accord de cession de droits (article 4 A)

La commission spéciale a supprimé l’article 4 A introduit par le Sénat, considérant qu’il ne constituait pas une solution satisfaisante au problème posé par les contrats de cession de droit à l’image dans le cadre de tournages pornographiques.

5.   Encadrement du dispositif de peine complémentaire de bannissement des réseaux sociaux (article 5)

● La commission a modifié la liste des délits pour lesquels une peine complémentaire de suspension de compte peut être prononcée, en ajoutant notamment le délit d’entrave à l’avortement. Elle a retiré plusieurs délits ajoutés par le Sénat, considérant que ces délits ne présentaient pas un rapport direct avec la liberté d’expression et les réseaux sociaux.

● Dans le même souci de conserver un dispositif équilibré, la commission a supprimé la possibilité pour le juge de prononcer une interdiction d’accès à des comptes dans le cadre d’un sursis probatoire. Elle a également encadré le recours à l’interdiction d’utiliser les comptes dans le cadre d’une alternative à la peine et d’une composition pénale.

6.   Application de l’amende forfaitaire délictuelle (AFD) pour certaines infractions commises dans l’espace numérique (articles 5 bis et 5 quater)

● La commission a réécrit, par l’adoption d’amendements identiques de rédaction globale, l’article 5 bis, introduit par le Sénat.

Elle a conservé le principe d’une amende forfaitaire délictuelle (AFD) de 300 euros pour certains faits commis en ligne, mais a recentré le dispositif sur les infractions existantes suivantes :

– les injures et diffamations publiques racistes, c’est à dire à raison de l’origine ou de l’appartenance ou de la non-appartenance à une ethnie, une nation, une race ou une religion déterminée ;

– et les injures et diffamations publiques sexistes, homophobes, handiphobes et transphobes, c’est-à-dire à raison du sexe, de l’orientation sexuelle, de l’identité de genre ou du handicap.

● Dans le même esprit, la commission a inséré un nouvel article (5 quater) qui crée une nouvelle circonstance aggravante pour l’outrage sexiste et sexuel lorsqu’il est commis en ligne, ce qui permet, dans ce cas, une qualification délictuelle et la délivrance d’une AFD de 300 euros.

7.   Création d’un stage de sensibilisation au respect des personnes dans l’espace numérique (article 5 ter A)

La commission a inséré un nouvel article (5 ter A) créant un nouveau type de stage dans le code pénal dédié à la sensibilisation au respect des personnes dans l’espace numérique.

Cette peine de stage pourra être prononcée à l’encontre des auteurs des délits punis d’une peine d’emprisonnement.

8.   Adaptations du filtre « anti-arnaque » : inclusion des faux sites de vente, affirmation du principe d’un filtrage pour les navigateurs, suppression de l’avis conforme de la personnalité qualifiée pour la prolongation de la mesure (article 6)

La commission a procédé à plusieurs adaptations du filtre « anti-arnaque » dont les principales ont consisté à :

 – inclure les faux sites de vente dans le champ du filtre « anti-arnaque » en visant les techniques de hameçonnage qui incitent l’utilisateur, à son préjudice ou au préjudice d’un tiers, à fournir des données personnelles ou à verser une somme d’argent ;

– limiter au filtrage, à l’exclusion du blocage, le type de mesures pouvant être demandées aux fournisseurs de navigateurs ;

– et supprimer l’avis conforme de la personnalité qualifiée pour la prolongation de la mesure.

9.   Encadrement des frais de transfert (article 7 bis)

La commission a renforcé l’encadrement des frais de transfert en fixant un cadre complet de régulation au sein d’un nouvel article 7 bis.

Cet article interdit aux fournisseurs de services d’informatique en nuage de facturer à un client souhaitant migrer vers un fournisseur tiers des frais de transfert de données et des frais de changement de fournisseur supérieurs aux coûts réels supportés par le fournisseur initial, et confie à l’Arcep le soin d’édicter des lignes directrices portant sur les coûts susceptibles d’être pris en compte dans la détermination des frais de changement de fournisseur de services d’informatique en nuage.

10.   Suppression de l’obligation pour les fournisseurs de service d’informatique en nuage d’être certifiés SecNumCloud pour pouvoir héberger des données sensibles (article 10 bis A)

La commission a supprimé l’article 10 bis A qui prévoyait que l’hébergement des données sensibles des administrations publiques devait impérativement se faire par le biais d’une solution d’informatique en nuage certifiée SecNumCloud.

La commission a en effet estimé qu’il n’était pas opportun d’inscrire, dans la loi, le contenu de la circulaire du 31 mai 2023, qui prévoit d’ores et déjà une telle obligation. Elle a en outre estimé qu’il existait un risque élevé d’effets contreproductifs compte tenu de l’offre insuffisante de services d’informatique en nuage certifiés SecNumCloud.

11.   Obligation pour les hébergeurs de données de santé d’être certifiés SecNumCloud (article 10 bis B) à compter du 1er juillet 2024

La commission a renforcé les contraintes de sécurisation des données de santé, en prévoyant qu’à compter du 1er juillet 2024, pour être autorisés à héberger des données de santé, les hébergeurs de données devront satisfaire aux exigences fixées par le référentiel de sécurité SecNumCloud publié par l’Agence nationale de sécurité des systèmes d’information (Anssi).

12.   Définition d’un cadre de régulation rigoureux pour l’expérimentation des jeux à objets numériques monétisables (article 15 bis)

La commission a adopté un cadre robuste de régulation afin d’encadrer l’expérimentation des jeux à objets numériques monétisables (Jonum) prévue par l’article 15 du projet de loi.

Dans cette perspective, l’Autorité nationale des jeux (ANJ) se voit doter de pouvoirs renforcés pour contrôler les obligations que devront respecter les entreprises de Jonum, en termes de respect des procédures de vérification d’âge et d’identité, de protection des joueurs contre le jeu excessif, et enfin de lutte contre le blanchiment de capitaux et contre le financement du terrorisme, et pour sanctionner tout manquement éventuel constaté.

13.   Ouverture aux avocats généraux de la fonction d’autorité de contrôle des traitements de données à caractère personnel effectués par les juridictions de l’ordre judicaire et leurs ministères publics (article 20)

La commission a ouvert la composition de l’autorité instituée par l’article 20 aux magistrats hors hiérarchie du parquet général de la Cour de cassation. La commission a en effet considéré qu’aucune raison objective, au regard des objectifs poursuivis, n’imposait que seul un magistrat du siège de la Cour de cassation pouvait être élu pour exercer les fonctions d’autorité de contrôle.

14.   Abrogation de trois dispositifs de la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information (article 29)

La commission spéciale a rétabli l’article 29 dans sa version résultant du projet de loi initialement déposé par le Gouvernement.

15.   Renforcement des sanctions pouvant être prononcées par la Cnil dans le cadre de sa mission de surveillance des fournisseurs de plateformes en ligne au titre de leurs obligations issues du RSN (article 32)

L’article 32 permet au président de la Commission nationale de l’informatique et des libertés (Cnil) d’adopter des injonctions à caractère provisoire, assortie d’une astreinte, en cas de manquement aux règles issues du règlement sur les services numériques (RSN) susceptibles de « créer un dommage grave ».

La commission a réintroduit la possibilité, supprimée par le Sénat, de calculer le montant de l’astreinte journalière que peut imposer la Cnil à un fournisseur de plateforme en ligne en fonction de ses revenus.

Elle a également porté le montant maximal de l’astreinte encourue au montant maximal de l’amende encoure, soit 5 % du chiffre d’affaires mondial hors taxes journalier moyen réalisé par le mis en cause au cours du dernier exercice clos, à compter de la date figurant dans l’injonction.

 

 

 

   COMMENTAIRES DES ARTICLES

Titre Ier
PROTECTION DES MINEURS EN LIGNE

Section 1
Renforcement des pouvoirs de l’autorité de régulation de la communication audiovisuelle et numérique en matière de protection en ligne des mineurs

Article 1er
Nouvelles missions confiées à l’Arcom en matière de contrôle de l’inaccessibilité aux mineurs des contenus pornographiques en ligne et d’établissement d’un référentiel obligatoire s’agissant des systèmes de vérification d’âge pour l’accès à ces contenus

Adopté par la commission avec modifications

II.   Le droit en vigueur

La description du droit en vigueur concerne les articles 1er et 2 du présent projet de loi, dont les dispositifs sont liés.

A.   La multiplication des dispositions de vérification de l’âge des internautes

1.   La protection des jeunes internautes

La diversité des offres de services sur internet et le caractère inapproprié voire dangereux de certains contenus accessibles dans cet espace numérique a entraîné, dans une volonté de protection de la jeunesse en ligne, la mise en place d’obligations légales de vérification de l’âge des utilisateurs. La combinaison des législations européenne et française a contraint les sites proposant certaines prestations de services en ligne ou la vente en ligne de certains biens spécifiques à mettre en place des dispositifs de contrôle et de justification d’identité ou d’âge pour accéder à ceux-ci. Sont par exemple concernées les activités relatives aux jeux d’argent et de hasard, aux paris, la vente d’alcool ou, plus classiquement, les services bancaires.

La massification et l’autonomisation des pratiques numériques des jeunes publics les exposent à un flot de contenus dont le contrôle échappe largement aux parents, en particulier sur les réseaux sociaux. Ainsi, deux récentes lois sont venues renforcer les mesures de contrôle des utilisateurs mineurs, en exigeant des solutions techniques robustes.

La loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet impose aux fabricants d’installer sur les appareils connectés à internet vendus en France des dispositifs de contrôle par les parents facilement accessibles et compréhensibles. Les fabricants doivent ainsi s’assurer que les systèmes d’exploitation installés sur leurs appareils incluent bien un tel logiciel de contrôle. Les importateurs, les distributeurs et les commerçants vendant des appareils d’occasion doivent vérifier que les produits sont certifiés par les fabricants. Le décret n° 2023-588 du 11 juillet 2023 pris pour l’application de l’article 1er de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet précise les exigences techniques du dispositif et prévoit son entrée en vigueur en juillet 2024.

La loi n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne instaure une majorité numérique à 15 ans, âge à partir duquel un mineur n’aurait plus besoin du consentement de ses parents pour s’inscrire sur un réseau social. Ce dispositif suppose la mise en place, par les fournisseurs de services de réseaux sociaux, d’une solution technique conforme à un référentiel élaboré par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), après consultation de la Commission nationale de l’informatique et des libertés (Cnil). Cette loi entrera en vigueur au plus tard trois mois après la date de réception par le Gouvernement de la réponse de la Commission européenne permettant de considérer le dispositif notifié comme conforme au droit de l’Union européenne. Les fournisseurs de réseaux sociaux en ligne pourront être sanctionnés par le président du tribunal judiciaire de Paris, saisi par l’Arcom, s’ils n’ont pas mis en place ladite solution technique un an après l’entrée en vigueur de la loi.

La robustesse des solutions techniques de vérification d’âge doit permettre d’assurer, d’une part, l’effectivité de la loi en évitant le contournement des dispositifs par les mineurs et, d’autre part, sa compatibilité avec les exigences de protection de la vie privée de l’ensemble des utilisateurs et en particulier avec le règlement général sur la protection des données (RGPD) ([2]).

2.   Un motif de préoccupation grandissant s’agissant de l’accès aux contenus pornographiques

L’enjeu est particulièrement grave et sensible s’agissant du contrôle de l’inaccessibilité des mineurs aux sites pornographiques.

Le rapport de la délégation aux droits des femmes du Sénat intitulé Porno : l’enfer du décor ([3]) a décrit la massification de l’accès à la pornographie en ligne. Les rapporteures ont fait état de 19 millions de visiteurs uniques de sites pornographiques par mois en France (dont 1,2 million d’enfants de moins de 15 ans). Plus précisément, 95 % des garçons mineurs ont déjà vu des contenus pornographiques, dont 36 % avant 13 ans et 11 % avant 11 ans.

Les risques psychologiques et psychopathologiques induits par le visionnage précoce et massif de ces contenus pourtant interdits aux mineurs sont tels qu’il est devenu urgent d’assurer l’effectivité de la loi par un système de vérification d’âge fiable et utilisé par tous les éditeurs de sites pornographiques.

B.   La difficile mise en œuvre de l’article 227-24 du code pénal

L’article 227-24 du code pénal punit de trois ans d’emprisonnement et de 75 000 euros d’amende le fait « soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message […] lorsque ce message est susceptible d’être vu ou perçu par un mineur ».

Il résulte de cet article que l’accès des mineurs aux sites pornographiques est interdit.

L’article 22 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales a complété le dispositif de l’article 227-24 du code pénal afin de prévoir qu’un éditeur de contenu pornographique en ligne ne puisse s’exonérer de sa responsabilité pénale en se contentant de demander à l’internaute de déclarer qu’il est âgé de plus de dix-huit ans. Cet article a codifié la jurisprudence de la Cour de cassation précisant que le délit peut être constitué lorsque l’auteur des faits a manqué de toute prudence ([4]) mais aussi si les précautions prises sont insuffisantes, par exemple lorsqu’elles consistent en une simple déclaration d’un âge supérieur à dix-huit ans ([5]).

Ce dispositif ne crée pas d’obligation de moyens pour les éditeurs qui restent libres du choix de la solution technique à mettre en œuvre pour assurer le contrôle de l’âge de l’utilisateur.

L’article 23 de la loi du 30 juillet 2020 précitée a créé une nouvelle procédure permettant au président de l’Arcom d’enjoindre à l’éditeur d’un site qui ne respecterait pas l’article 227-24 du code pénal de prendre toute mesure pour bloquer l’accès aux contenus pornographiques pour les utilisateurs mineurs, y compris sur les sites « miroirs » c’est-à-dire des sites identiques accessibles par d’autres adresses URL ([6]).

En cas d’inexécution de l’injonction dans un délai de quinze jours et si le contenu reste accessible aux mineurs, le président de l’Arcom peut saisir le président du tribunal judiciaire de Paris afin qu’il ordonne aux fournisseurs de services d’accès à internet (FAI), selon la procédure accélérée au fond, de mettre fin à l’accès à ces services, c’est-à-dire de mettre en œuvre une mesure de blocage ([7]). Selon la même procédure, le président du tribunal judiciaire de Paris peut ordonner le déréférencement du service par un moteur de recherche ou un annuaire. Le président de l’Arcom peut agir d’office ou sur saisine du ministère public ou de toute personne physique ou morale ayant intérêt à agir, telles que des associations de protection de l’enfance, par exemple.

Ce dispositif s’inspire de celui mis en place pour lutter contre les cercles de jeu en ligne illégaux, qui repose sur le contrôle exercé par l’Autorité de régulation des jeux en ligne (Arjel).

L’article 3 du décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique précise que le président de l’Arcom « tient compte du niveau de fiabilité du procédé technique mis en place par [l’éditeur du service] afin de s’assurer que les utilisateurs souhaitant accéder au service sont majeurs. » Il précise par ailleurs que l’Arcom peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques, après consultation éventuelle de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) et de la Cnil. Ces lignes directrices n’ont pas été adoptées et la pratique d’un contrôle de l’âge des internautes via une simple question sur le modèle : « Avez-vous 18 ans ? » reste majoritaire ([8]). 

C.   Dans l’attente de plusieurs décisions de justice, un dispositif ineffectif

1.   Plusieurs procédures judiciaires et administratives en cours

● Saisie par trois associations ([9]) , l’Arcom, a, le 13 décembre 2021, mis en œuvre l’article 23 de la loi du 30 juillet 2020 précitée en mettant en demeure les sociétés éditrices des sites Pornhub ([10]), Tukif ([11]), Xhamster ([12]), Xnxx ([13]) et Xvideos ([14]) de se conformer à l’obligation légale d’empêcher l’accès des mineurs à leurs contenus en application de l’article 227-24 du code pénal. Ces mises en demeure n’ayant pas été suivies d’effet, le président de l’Arcom a, le 8 mars 2022, saisi le président du tribunal judiciaire de Paris pour qu’il ordonne aux principaux FAI le blocage des services en cause.

● Postérieurement, l’Arcom a également mis en demeure plusieurs autres sociétés d’empêcher l’accès des mineurs aux sites pornographiques qu’elles éditent.

● Trois mises en demeure ont été contestées devant le juge administratif.

● Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique fait actuellement l’objet d’un recours en annulation devant le Conseil d’État ([15]). Le 7 juillet 2023, alors que plusieurs décisions judiciaires étaient attendues s’agissant des cinq sites mis en cause par l’Arcom depuis 2021, le tribunal judiciaire de Paris a décidé de surseoir à statuer dans l’attente de l’issue des recours contre ledit décret.

2.   Le rejet d’une question prioritaire de constitutionnalité par la Cour de cassation

Par ailleurs, la loi n’ayant pas prescrit d’exigences techniques relatives aux systèmes de vérification d’âge, plusieurs éditeurs de sites pornographiques mis en demeure par l’Arcom ont contesté la conformité de l’article 23 de la loi du 30 juillet 2020 précitée et de l’article 227-24 du code pénal aux principes de légalité des délits et des peines et de la liberté d’expression et de communication, par la voie d’une question prioritaire de constitutionnalité (QPC).

Dans sa décision du 5 janvier 2023 ([16]), la Cour de cassation a jugé qu’il n’y avait pas lieu de transmettre la QPC au Conseil constitutionnel pour deux motifs :

– en premier lieu, les dispositifs législatifs en cause sont « suffisamment clairs et précis pour exclure tout risque d’arbitraire » ;

– en second lieu, « l’atteinte portée à la liberté d’expression, en imposant de recourir à un dispositif de vérification de l’âge de la personne accédant à un contenu pornographique, autre qu’une simple déclaration de majorité, est nécessaire, adaptée et proportionnée à l’objectif de protection des mineurs ».

III.   Le dispositif proposé

Le faible nombre de condamnations sur le fondement du dispositif ci-avant présenté démontre qu’imposer une simple obligation de résultat aux éditeurs de sites pornographiques est inopérant. Le prétexte des obstacles techniques qu’ils mettent en avant doit être surmonté. Dans sa rédaction initiale, commentée ci-après, l’article 1er du projet de loi confie à l’Arcom un nouveau pouvoir de contrôle, assorti de la possibilité de prononcer, le cas échéant, des sanctions pécuniaires (amende administrative).

Dans sa version initiale, l’article 1er propose ainsi une nouvelle rédaction de l’article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN ») ([17]), afin de confier à l’Arcom la responsabilité de veiller à ce que les contenus pornographiques mis en ligne ne puissent pas être accessibles aux mineurs (I).

Pour ce faire, l’Arcom devra élaborer, après avis de la Cnil, un référentiel général déterminant les exigences techniques auxquelles devront répondre les systèmes de vérification de l’âge mis en place pour l’accès aux sites internet comportant des contenus pornographiques. Ces exigences porteront sur la fiabilité du contrôle de l’âge des utilisateurs et le respect de leur vie privée (I).

Dès que ce référentiel aura été élaboré, l’Arcom pourra mettre en demeure tout éditeur de site comportant des contenus pornographiques de s’y conformer et ce sous un délai d’un mois. Ce dispositif est assorti de la possibilité, pour le régulateur, de prononcer une sanction pécuniaire dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, c’est-à-dire sous la responsabilité d’un rapporteur nommé par le vice-président du Conseil d’État, après avis de l’Arcom. Ce rapporteur assure l’engagement des poursuites et l’instruction préalable au prononcé des sanctions (II).

La sanction ne pourra excéder 75 000 euros ou 1 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu (150 000 euros ou 2 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans après une première sanction). Le montant de la sanction prendra en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment (II).

Le dispositif de l’article 23 de la loi du 30 juillet 2020 précitée est réécrit par l’article 2 du présent projet de loi.

IV.   Les modifications apportées par le Sénat

L’article 1er du projet de loi a été adopté par le Sénat, tout comme l’article 2, après une réorganisation de leur articulation afin de distinguer le rôle de l’Arcom s’agissant de l’établissement du référentiel, et son rôle d’autorité administrative dotée de pouvoirs de sanction.

Le Sénat a choisi de cantonner l’article 1er à la description de la responsabilité de l’Arcom s’agissant de l’inaccessibilité des contenus pornographiques en ligne aux mineurs et de l’élaboration et la publication du référentiel. L’article 2 aurait dès lors trait à la description de l’ensemble des pouvoirs de l’Arcom pour lutter contre l’accessibilité de ces mêmes contenus, à savoir une procédure administrative de mise en demeure de retirer les contenus en cause avec sanction pécuniaire et, le cas échéant, mesure administrative de blocage et de déréférencement du site.

À l’initiative de son rapporteur, la commission spéciale a donc adopté un amendement ([18]) supprimant le II (le déplaçant par ailleurs à l’article 2 du présent projet de loi ([19])) et précisant le reste du dispositif :

– l’obligation de vérifier l’âge des utilisateurs repose sur les éditeurs ;

– l’Arcom « établit et publie » le référentiel.

En séance publique ([20]), le Sénat a complété l’article afin de prévoir que l’Arcom établisse et publie le référentiel dans un délai de six mois après la promulgation de la loi, réécrivant de ce fait un amendement adopté par la commission spéciale ([21]).

V.   Les modifications apportÉes par la commission

Outre un amendement rédactionnel, la commission spéciale a adopté quatre amendements de la rapporteure et un amendement identique de M. Bataillon (RE) qui précisent l’objectif et les conditions de mise en place du référentiel que l’Arcom devra établir et publier.

● Répondant à une préoccupation partagée par plusieurs membres de la commission spéciale, l’amendement CS887 de la rapporteure rappelle que c’est dans le cadre de l’article 227-24 du code pénal que le renforcement des pouvoirs de l’Arcom s’inscrit. La mention de cet article permet de réaffirmer que se cumuleront, pour les éditeurs, l’obligation de résultat prévue au code pénal et l’obligation de moyens prévue au présent article.

● Les amendements identiques CS735 de la rapporteure et CS710 de M.  Bataillon ont été adoptés afin de répondre aux besoins futurs d’actualisation du référentiel. Ils prévoient, d’une part, l’actualisation du référentiel en tant que de besoin et, d’autre part, la possibilité pour l’Arcom d’exiger des éditeurs qu’ils conduisent un audit des systèmes de vérification de l’âge qu’ils mettent en œuvre afin d’en attester la conformité avec les caractéristiques techniques définies par le référentiel. Le référentiel devra préciser les modalités de réalisation et de publicité de cet audit, qui, en tout état de cause, devra être confié à un organisme indépendant disposant d’une expérience avérée.

L’objectif de ce dispositif est de faciliter le contrôle et la redevabilité des systèmes de vérification d’âge en mettant à disposition du public et du régulateur des informations sur la performance des solutions mises en œuvre. Les audits devraient également permettre aux éditeurs de sites de s’appuyer sur une expertise objective, afin d’améliorer leurs systèmes de vérification d’âge.

● L’adoption de l’amendement CS878 de la rapporteure complète les obligations des éditeurs : ceux-ci devront prévoir l’affichage d’un écran noir ne comportant aucun contenu à caractère pornographique tant que l’âge de l’utilisateur n’aura pas été vérifié. Ce complément reprend, en l’explicitant, la recommandation n° 13 ([22]) du rapport du Sénat n° 900 (2021‑2022) « Porno : l’enfer du décor ».

● Enfin, l’amendement CS741 de la rapporteure prévoit que l’Arcom rende compte chaque année au Parlement des actualisations du référentiel et des audits des systèmes de vérification de l’âge mis en œuvre par les éditeurs.

 

Article 2
Renforcement des pouvoirs de contrôle et de sanction de l’Arcom en matière de restriction d’accès des mineurs aux sites pornographiques

Adopté par la commission avec modifications

1.   Le droit en vigueur

Voir le commentaire de l’article 1er.

II.   Le dispositif proposé

Le présent article 2 propose une nouvelle rédaction de l’article 23 de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales afin de substituer à la procédure judiciaire de blocage et de déréférencement des sites permettant à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal une procédure administrative, relevant de la responsabilité exclusive de l’Arcom.

A.   Une procédure administrative de blocage et de déréférencement des services

Premièrement, alors que la procédure administrative en vigueur débute par une mise en demeure de l’éditeur d’un site par le président de l’Arcom, le nouveau I de l’article 23 précité crée une première étape au cours de laquelle l’éditeur est avisé par une lettre d’observations motivée du président de l’Arcom. Le destinataire de la lettre dispose d’un délai de quinze jours pour présenter ses observations.

Deuxièmement, si le président de l’autorité de régulation estime, à l’issue de ce délai de quinze jours, que les faits sont caractérisés, alors seulement peut-il mettre en demeure la personne concernée de prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé. Le délai d’exécution de cette injonction – dont une copie est adressée aux FAI – ne peut être inférieur à quinze jours.

Troisièmement, alors qu’en application des dispositions actuellement en vigueur le président de l’Arcom peut saisir le président du tribunal judiciaire de Paris afin qu’il ordonne aux FAI, moteurs de recherche et annuaires, selon la procédure accélérée au fond mais sans délai d’exécution, de mettre en œuvre une mesure de blocage et de déréférencement du service, le nouveau II de l’article 23 précité donne directement pouvoir à l’Arcom (et non seulement à son président) de notifier aux FAI les adresses électroniques des services ayant fait l’objet d’une injonction, ainsi que celles des services qui reprennent le même contenu et qui présentent les mêmes modalités d’accès (c’est-à-dire les sites miroirs). Les FAI doivent alors empêcher l’accès à ces adresses dans un délai de quarante-huit heures. Toutefois, si l’éditeur n’a pas mis à disposition sur son site ses coordonnées, l’Arcom peut directement notifier les adresses électroniques sans procéder à l’envoi de la lettre d’observations et à la mise en demeure prévues au I. L’Arcom procède de même avec les moteurs de recherche et les annuaires, qui disposent quant à eux d’un délai de cinq jours pour procéder au déréférencement du service.

Quatrièmement, les procédures administratives de blocage et de déréférencement sont prononcées pour une durée maximale de vingt-quatre mois avec réévaluation – d’office ou sur demande – tous les douze mois, sauf si les faits ne sont plus constitués (les mesures sont alors levées).

Par ailleurs, l’Arcom est tenue de publier annuellement un rapport d’activité sur la mise en œuvre de ce dispositif renseignant notamment le nombre de décisions d’injonction et les suites qui y sont données, ainsi que le nombre d’adresses électroniques ayant fait l’objet d’une mesure de blocage d’accès ou de déréférencement. Ce rapport est transmis au Gouvernement et au Parlement.

B.   Un droit au recours pour les personnes mises en demeure ou destinataires d’une injonction

Le nouveau III de l’article 23 précité prévoit la possibilité pour les éditeurs, les FAI, les moteurs de recherche et les annuaires de demander au président du tribunal administratif (ou au magistrat délégué par celui-ci) l’annulation des mesures prononcées par l’Arcom dans un délai de cinq jours à compter de leur réception. La procédure de référé prévue aux articles L. 521-1 et L. 521 2 du code de justice administrative est applicable. Le tribunal statue dans un délai d’un mois à l’issue d’une audience publique et sans conclusions du rapporteur public. Une procédure d’appel est possible dans un délai de dix jours. Le délai octroyé à la juridiction d’appel est alors de trois mois.

C.   Une sanction pécuniaire prévue à chaque étape de la procédure administrative

Le nouveau IV de l’article 23 précité prévoit la possibilité pour l’Arcom de prononcer une sanction pécuniaire « pour tout manquement aux obligations prévues [à ce même article] » dans les conditions fixées à l’article 42-7 de la loi du 30 septembre 1986 précitée c’est-à-dire sous la responsabilité d’un rapporteur nommé par le vice-président du Conseil d’État, après avis de l’Arcom. Ce rapporteur assure l’engagement des poursuites et l’instruction préalable au prononcé des sanctions.

Toutefois, aucune sanction ne peut être prononcée lorsqu’en raison de motifs de force majeure ou d’impossibilité de fait qui ne lui sont pas imputables, la personne concernée est placée dans l’impossibilité de respecter l’obligation qui lui a été faite, ou lorsqu’un recours est engagé, tant qu’elle n’a pas fait l’objet d’une décision devenue définitive.

Pour les manquements aux obligations prévues au I de l’article 23 précité, c’est-à-dire les manquements éventuels des éditeurs, la sanction ne peut excéder 250 000 euros ou 4 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu (500 000 euros ou 6 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans après une première sanction).

Pour les manquements aux obligations prévues au II c’est-à-dire les manquements éventuels des FAI, moteurs de recherche ou annuaires, la sanction ne peut excéder 75 000 euros ou 1 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu (150 000 euros ou 2 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans après une première sanction).

Dans les deux cas, le montant de la sanction prend en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment.

Lorsque sont prononcées, à l’encontre de la même personne, une amende administrative en application du présent article et une amende pénale à raison des mêmes faits (sur le fondement de l’article 227-24 du code pénal), le montant global des amendes prononcées ne peut pas dépasser le maximum légal le plus élevé des sanctions encourues.

D.   L’assermentation des agents de l’Arcom

Le nouveau V de l’article 23 précité prévoit la possibilité pour l’Arcom d’assermenter ses agents, dans des conditions fixées par décret en Conseil d’État, afin qu’ils puissent constater par procès-verbal qu’un service de communication au public en ligne permet à des mineurs d’avoir accès à un contenu pornographique.

Actuellement, ce sont des huissiers de justice qui établissent de tels constats.

E.   Des conditions d’application de l’article prévues par décret en Conseil d’État

Le nouveau VI de l’article 23 précité prévoit qu’un décret en Conseil d’État précise les conditions d’application de ce même article.

Selon les dispositions en vigueur, c’est un décret simple qui est prévu au dernier alinéa de l’article 23. Il s’agit en l’espèce du décret n° 2021-1306 du 7 octobre 2021 précité, qui fait actuellement l’objet d’un recours devant le Conseil d’État.

III.   Les modifications apportées par le Sénat

Le présent article 2 a été adopté par le Sénat après une réécriture partielle par deux amendements en commission spéciale et deux amendements en séance publique.

En commission spéciale, le rapporteur a choisi ([23]) de déplacer le dispositif au sein d’un nouvel article 10-1 de la LCEN (I) tout en abrogeant l’article 23 de la loi n° 2020-936 du 30 juillet 2020 précitée (II).

Ce nouvel article 10-1 de la LCEN fait le lien avec l’article 10 de cette même loi, dans sa rédaction résultant de l’article 1er du présent projet de loi, c’est-à-dire que c’est l’absence de mise en œuvre ou la non-conformité du système de vérification de l’âge par rapport aux caractéristiques techniques du référentiel qui sera l’élément déclencheur de la procédure administrative.

Le dispositif adopté ajoute également la possibilité pour le président de la Cnil d’émettre un avis avant la mise en demeure de l’éditeur et ajoute l’obligation, pour l’Arcom, de rendre publique cette mise en demeure (en lieu et place de l’information obligatoire du FAI). Le délai de quinze jours pour la mise en conformité de l’éditeur devient un maximum. Les mises en demeure relèvent de l’Arcom et non de son seul président.

Les principaux apports de la commission spéciale sont la mise en place d’un système de sanction pécuniaire modulée selon le degré de coopération de l’éditeur et la simultanéité des procédures de mise en demeure des éditeurs et d’injonction de blocage et de déréférencement de leurs adresses électroniques auprès des FAI, moteurs de recherche ou annuaires.

● Si l’éditeur n’a pas mis en place de système conforme au référentiel ou s’il s’est contenté d’une déclaration de majorité, il encourt une amende maximale de 250 000 euros ou 4 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu (500 000 euros ou 6 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans après une première sanction).

● Si cet éditeur met en œuvre un système de vérification de l’âge qui n’est pas conforme au référentiel, il encourt une amende de 75 000 euros ou 1 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu (150 000 euros ou 2 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans après une première sanction).

Par ailleurs :

– le président de la Cnil est également consulté pour évaluer la sanction ;

– les utilisateurs des services auxquels l’accès est empêché sont dirigés vers une page d’information de l’Arcom indiquant les motifs de la mesure de blocage ;

– une copie des notifications adressées aux FAI et aux moteurs de recherche ou aux annuaires est adressée simultanément à l’éditeur ;

– lors de l’audience devant le tribunal administratif, les conclusions du rapporteur public sont rétablies ;

– l’assermentation des agents de l’Arcom est faite dans les conditions prévues au 2° du I de l’article 19 de la loi du 30 septembre 1986 précitée (relatif aux conditions des enquêtes).

La commission spéciale a adopté un deuxième amendement ([24]) supprimant les termes « le cas échéant » à l’alinéa 13 au sujet des avantages tirés par un éditeur à ne pas se conformer à la décision de l’autorité publique. Selon l’auteur de l’amendement, ces termes pourraient laisser penser qu’un éditeur pourrait ne pas voir la mise en demeure ou qu’il ne gagnerait rien à laisser un contenu à caractère pornographique accessible à des mineurs.

En séance publique, outre un amendement rédactionnel ([25]), le Sénat a ajouté ([26]) à la liste des acteurs susceptibles de contribuer au blocage des sites les navigateurs et les systèmes d’exploitation fournissant des systèmes de résolution de nom de domaine (c’est-à-dire les personnes mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet, soit l’adresse IP).

IV.   Les modifications apportÉes par la commission

Outre un amendement rédactionnel CS400 de M. Saulignac (SOC), la commission spéciale a adopté vingt amendements rédactionnels de la rapporteure.

● Elle a également adopté trois amendements identiques CS897 du rapporteur général, CS174 de Mme Loir (RN) et CS335 de Mme K/Bidi (GDR-NUPES) qui doublent le plafond des sanctions pouvant être prononcées à l’encontre des éditeurs de services de communication au public en ligne mettant à la disposition du public des contenus pornographiques qui mettraient en place un système de contrôle de l’âge non conforme au référentiel mentionné à l’article 1er du projet de loi. Le plafond des sanctions est également doublé en cas de réitération du manquement par un même éditeur. Ce même délai de réitération a été porté à dix ans au lieu de cinq ans par l’amendement du rapporteur général CS886 : ce délai concerne les manquements des éditeurs, des fournisseurs de services d’accès à internet, des fournisseurs de systèmes de résolution de noms de domaine, de moteurs de recherche et des annuaires.

● La commission spéciale a adopté deux amendements de M. Saulignac (SOC) qui prévoient qu’en cas de récidive des éditeurs pour non-conformité au référentiel (CS368) ou pour absence de mise en place de tout référentiel (CS399), le plus haut des deux montants proposés est retenu à titre de sanction.

● Trois amendements identiques CS841 de la rapporteure, CS121 de Mme Spillebout (RE) et CS178 de Mme Loir (RN) ont permis d’aligner le délai laissé aux moteurs de recherche et annuaires pour effectuer le déréférencement des services (cinq jours) sur celui des fournisseurs d’accès à internet et des fournisseurs de systèmes de résolution de noms de domaine (quarante-huit heures).

● La rapporteure est à l’origine de l’adoption d’un amendement CS888 qui complète le rapport d’activité que devra publier l’Arcom afin qu’il mentionne également les éventuelles décisions de justice prises sur les recours engagés contre les décisions d’injonction prononcées.

Article 2 bis
Obligations portant sur les boutiques d’applications logicielles en matière de restrictions d’accès des mineurs aux sites pornographiques et aux réseaux sociaux

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   Les dispositifs de contrôle de l’âge des utilisateurs sur internet

Pour rappel ([27]), la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet, la loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne ainsi que les articles 1er et 2 du présent projet de loi instaurent des dispositifs de contrôle parental et de contrôle de l’âge des utilisateurs des services des réseaux sociaux en ligne (interdiction aux mineurs de quinze ans, sauf si le titulaire de l’autorité parentale en donne son accord) et des sites internet présentant des contenus à caractère pornographique (interdiction aux mineurs en application de l’article 227-24 du code pénal).

Le contrôle de l’âge des utilisateurs mineurs (âgés de moins de quinze ans ou de moins de dix-huit ans selon les hypothèses), reposera dans les deux cas sur la mise en place, par les fournisseurs de services de réseaux sociaux et par les éditeurs de sites pornographiques d’une solution technique conforme à un référentiel élaboré et publié par l’Arcom, après consultation de la Cnil.

Les articles 1er et 2 du présent projet de loi responsabilisent :

– les fournisseurs de services d’accès à internet (FAI) et les fournisseurs de systèmes de résolution de noms de domaine, auxquels l’Arcom peut enjoindre de bloquer l’accès aux sites des éditeurs ;

– les moteurs de recherche et les annuaires, auxquels la même autorité peut enjoindre de déréférencer ces mêmes sites.

En revanche, en dehors d’une sanction judiciaire, la loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne ne prévoit pas de sanction de blocage ou de déréférencement des services de réseaux sociaux. Un tel dispositif aurait été jugé disproportionné, compte tenu du nombre d’utilisateurs de tels sites.

L’accès aux contenus et sites interdits aux mineurs doit être contrôlé de la manière la plus large possible et couvrir toutes les modalités d’accès technique qui s’offrent à eux. Or la plupart des mineurs accèdent à internet via un smartphone. Selon une étude ([28]) conduite par l’association e-Enfance, 46 % des enfants de 6‑10 ans possèdent déjà un smartphone ; à 12 ans, ce taux passe à 89 % ([29]). 87 % des enfants de 11-12 ans utilisent régulièrement au moins un réseau social en France. L’entrée en vigueur de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet en juillet 2024 devrait permettre de mieux contrôler les usages des plus jeunes, sous la responsabilité des titulaires de l’autorité parentale.

B.   La terminologie dans les récents règlements européens

● Le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) fait mention des applications mobiles. Son article 3 consacré aux définitions indique que la notion d’ « interface en ligne » désigne « tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles ».

● Le considérant 41 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) utilise les termes d’« application logicielle » et de « boutique d’applications logicielles » ainsi que d’« assistant virtuel » dans un contexte d’achat de contenu en ligne.

II.   Le dispositif adopté par le Sénat

Le présent article 2 bis est issu de l’adoption, en séance publique, d’un amendement de Mme Catherine Morin-Desailly ([30]). Cet amendement a reçu un avis favorable de la commission spéciale et du Gouvernement.

Le dispositif complète :

– celui prévu à l’article 6-7 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN »), issu de la loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne s’agissant du contrôle de l’accès des mineurs de quinze ans aux réseaux sociaux ;

– celui prévu aux articles 1er et 2 du présent projet de loi s’agissant du contrôle de l’accès des mineurs aux sites (« services de communication au public en ligne ») à caractère pornographique ou diffusant des contenus à caractère pornographique.

Il insère un nouvel article 6-8 à la LCEN afin de donner à l’Arcom la capacité d’intervenir sur le blocage des applications en empêchant leur téléchargement via les boutiques d’applications logicielles. Il s’agit encore une fois de rendre inaccessible le contenu des sites des éditeurs qui ne mettront pas en place des dispositifs de contrôle de l’âge conforme au référentiel élaboré par l’Arcom.

Le dispositif responsabilise les boutiques d’applications logicielles parmi lesquelles deux dominent le marché : Google Play et Apple Store, appartenant à deux « très grandes plateformes en ligne » au sens du règlement sur les services numériques précité.

Le I de l’article 6-8 prévoit que si les fournisseurs de réseaux sociaux en ligne ne mettent pas en place la solution technique certifiée de vérification de l’âge de leurs utilisateurs après la mise en demeure de l’Arcom prévue au II de l’article 6‑7 de la LCEN et sous le délai de quinze jours prévu par ce même dispositif, la même autorité pourra demander aux boutiques d’applications logicielles d’empêcher le téléchargement de l’application logicielle en cause. Ces boutiques disposeront alors d’un délai de quarante‑huit heures pour satisfaire cette demande.

Le II prévoit le même dispositif, relevant de la responsabilité de l’Arcom, s’agissant de la mise en demeure prévue au I de l’article 10-1 de la LCEN dans sa rédaction résultant de l’article 2 du présent projet de loi et pour les éditeurs d’applications donnant accès à des contenus à caractère pornographique.

Le III prévoit que les procédures administratives de blocage du téléchargement des applications en cause seraient prononcées pour une durée maximale de vingt-quatre mois avec réévaluation – d’office ou sur demande – tous les douze mois, sauf si les faits ne sont plus constitués (les mesures sont alors levées).

Le IV prévoit une sanction pécuniaire pouvant atteindre 1 % du chiffre d’affaires mondial de l’exercice précédent réalisé par la boutique d’applications logicielles.

Un décret en Conseil d’État, pris après l’avis de l’Arcom, déterminant les conditions d’application de l’article 6-8 précité est prévu en son V.

III.   Les modifications apportÉes par la commission

La commission spéciale a adopté l’article 2 bis modifié de quatre amendements rédactionnels de la rapporteure.

L’entrée en vigueur du I est différée (amendement CS838 du rapporteur général à l’article 36, voir infra) en attendant l’issue de la réflexion des rapporteurs, d’ici la séance publique, sur la proportionnalité de la mesure de blocage des applications des fournisseurs de réseaux sociaux en ligne qui ne mettent pas en place la solution technique certifiée de vérification de l’âge de leurs utilisateurs après la mise en demeure de l’Arcom.

Section 2
Pénalisation du défaut d’exécution en vingt-quatre heures d’une demande de l’autorité administrative de retrait de contenu pédopornographique

Article 3
Pénalisation du défaut d’exécution d’une demande de retrait de contenu pédopornographique par un hébergeur

Adopté par la commission avec modifications

Le présent article instaure une sanction pénale applicable aux hébergeurs qui ne satisfont pas à la demande émise par l’autorité compétente (l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) de procéder au retrait dans un délai de vingt-quatre heures d’un contenu en ligne d’images ou de représentations de mineurs présentant un caractère pédopornographique relevant de l’article 227-3 du code pénal.

La commission spéciale a adopté cet article avec une modification qui offre une marge d’appréciation à l’autorité administrative s’agissant des motifs tenant à la force majeure ou à une impossibilité de fait – avancés par le fournisseur de services d’hébergement – de se conformer à la demande de retrait.

1.   Le droit en vigueur

La loi du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN »), transposant la directive dite « e-commerce » ([31]) instaure un régime général de responsabilité allégée pour les hébergeurs, dont la responsabilité civile et pénale ne peut être engagée que si, après avoir été informés de son caractère illicite, ils n’ont pas agi promptement pour retirer le contenu concerné ou en rendre l’accès impossible.

Elle crée néanmoins un régime de responsabilité renforcée pour certaines infractions portant gravement atteinte à l’ordre public, constitutives de la haine en ligne, en posant un principe de coopération de ces prestataires à la lutte contre les contenus les plus gravement réprimés ([32]). Les hébergeurs doivent ainsi disposer d’un mécanisme de signalement de ces contenus, en informer les autorités publiques et rendre publics les moyens consacrés à la prévention de leur diffusion.

Dès l’origine, la LCEN a prévu un dispositif de blocage judiciaire de certains sites et de retrait des contenus litigieux, permettant à l’autorité judiciaire de prescrire, « à toute personne susceptible d’y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne » ([33]). Le juge judiciaire peut ainsi enjoindre au fournisseur d’accès à internet (FAI) ou à l’hébergeur de retirer le contenu litigieux, voire de bloquer l’accès au site internet sur lequel ce contenu est diffusé. L’article 24 du présent projet de loi procède à une réécriture de ce dispositif.

C’est avec l’adoption de la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme créant l’article 6-1 de la LCEN qu’est mise en place une procédure de blocage administratif unique des contenus faisant l’apologie ou appelant à commettre un acte terroriste, ainsi que des contenus à caractère pédopornographique.

A.   La procédure administrative de retrait des contenus terroristes et pédopornographiques

L’article 6-1 de la LCEN impose des obligations renforcées à l’égard :

– des éditeurs et des hébergeurs, consistant au retrait d’un contenu litigieux dans un premier temps ;

– des FAI, moteurs de recherche et annuaires dans un second temps, si éditeurs et hébergeurs ne s’exécutent pas ou ne peuvent être identifiés, obligation qui prend la forme d’un blocage de l’accès au site internet ou d’un déréférencement dudit contenu.

1.   Les contenus couverts par l’article 6-1 de la LCEN

L’article 6-1 de la LCEN couvre la lutte contre deux types d’actes :

– la provocation à des actes terroristes ou l’apologie de tels actes relevant de l’article 421-2-5 du code pénal ;

– la diffusion des images ou des représentations de mineurs relevant de l’article 227-23 du code pénal.

2.   Un dispositif de blocage administratif

L’autorité administrative – en l’espèce, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) de la direction générale de la police nationale ([34]) – peut demander aux éditeurs de services (mentionnés au III de l’article 6 de la LCEN) ou aux hébergeurs (mentionnés au 2 du I du même article 6) le retrait du contenu faisant l’apologie du terrorisme ou provoquant à de tels actes, ou du contenu à caractère pédopornographique. Simultanément, les fournisseurs d’accès à internet (FAI) sont informés de cette demande.

L’OCLCTIC opère sur les signalements effectués via la plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (Pharos) ([35]).

Dans un second temps, en l’absence de retrait de ces contenus dans un délai de vingt-quatre heures, l’OCLCTIC peut notifier aux FAI, aux moteurs de recherche et aux annuaires la liste des adresses électroniques des services de communication au public en ligne contrevenants. Les FAI « doivent alors empêcher sans délai l’accès à ces adresses », c’est-à-dire procéder au blocage des services. Les moteurs de recherche et les annuaires « prennent [également] toute mesure utile destinée à faire cesser le référencement du service ».

Si le service contrevenant ne contient pas d’informations permettant d’identifier la personne qui en exerce le contrôle, l’autorité administrative peut saisir sans délai le FAI concerné.

3.   Un contrôle de régularité des demandes de retrait opéré par une autorité indépendante

L’article 6-1 prévoit qu’une personnalité qualifiée désignée en son sein par l’Arcom ([36]) est destinataire des demandes de blocage et de la liste des adresses électroniques concernées par un déréférencement. Elle est chargée de s’assurer de la régularité des demandes de retrait de contenus terroristes et pédopornographiques effectuées et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste.

Si la personnalité qualifiée constate une irrégularité, elle peut recommander à l’OCLCTIC d’y mettre fin ([37]). Si l’Office ne suit pas cette recommandation, la personnalité qualifiée peut saisir le juge administratif en référé ou sur requête afin de la faire appliquer.

La personnalité qualifiée rend compte de son activité dans un rapport annuel remis au Gouvernement et au Parlement.

En application de l’article 6-1-2 de la LCEN créé par la loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, la personnalité qualifiée dispose d’un suppléant, également désigné en son sein par l’Arcom.

Depuis le 7 juin 2022 c’est Mme Laurence Pécaut-Rivolier, conseillère à la Cour de cassation, qui assure ces fonctions. En cas d’indisponibilité, M. Denis Rapone, conseiller d’État, la supplée.

En 2022, la vérification par le visionnage des contenus à caractère pédopornographique a constitué 82 % de l’activité de la personnalité qualifiée ([38]), 18 % de son activité étant consacrée aux contenus à caractère terroriste. Cela représente l’examen de 82 754 demandes de retraits de contenus (dont 73 685 ont été effectivement retirés), 2 951 demandes de déréférencement et 392 demandes de blocage.

Évolution des demandes de retrait

 

Source : Rapport annuel 2022 de la personnalité qualifiée de l’Arcom

B.   Un cadre procédural renforcé s’agissant des contenus à caractère terroriste

1.   S’agissant des contenus à caractère pédopornographique, seule la non‑exécution des injonctions de blocage et de déréférencement est pénalement sanctionnée

S’agissant des contenus à caractère pédopornographique, le fait pour un éditeur ou un hébergeur de ne pas donner suite à une demande de retrait des contenus dans les vingt-quatre heures n’entraîne aucune sanction pénale. Il existe seulement la possibilité, pour l’OCLCTIC, de faire procéder « sans délai » au blocage administratif ou au déréférencement du site mettant à la disposition du public ces contenus illicites ([39]).

En revanche, la méconnaissance de l’injonction de blocage ou de déréférencement entraîne les mêmes sanctions pénales que celles prévues au 1 du VI de l’article 6 de la LCEN (dernier alinéa de l’article 6-1 précité) :

– 250 000 euros d’amende et un an de prison ;

– pour une personne morale, l’amende encourue est égale au quintuple, soit 1 250 000 euros au plus. Celle-ci peut également être condamnée à une interdiction d’exercer une activité professionnelle ou sociale et à une interdiction de percevoir des aides financières publiques.

2.   S’agissant des contenus à caractère terroriste, des délais plus contraints et des sanctions pénales pour tous les opérateurs

Un dispositif bien plus contraignant a récemment été mis en place s’agissant des contenus à caractère terroriste par le règlement (UE) 2021/784 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (dit « TCO » pour Terrorist Content Online), applicable depuis le 7 juin 2022.

Ce dispositif spécifique aux contenus à caractère terroriste a été introduit aux articles 6-1-1 à 6-1-5 de la LCEN par la loi n° 2022-1159 du 16 août 2022 précitée. Il permet à l’autorité administrative compétente (l’OCLCTIC) de délivrer une injonction de retrait, cette fois dans un délai d’une heure, de certains contenus à caractère terroriste à l’encontre des « fournisseurs de services d’hébergement au public en ligne » ([40]) (article 3 du règlement (UE) 2021/784 « TCO »), ci-après « hébergeurs ». La personnalité qualifiée au sein de l’Arcom est également compétente pour procéder à l’examen approfondi des injonctions de retrait et pour saisir le juge administratif aux fins, le cas échéant, d’en obtenir le retrait.

La méconnaissance des injonctions de retrait, de blocage ou de déréférencement est pénalement sanctionnée par 250 000 euros d’amende et un an d’emprisonnement, le quintuple de ce montant (1 250 000 euros) pour une personne morale ([41]). En cas d’infraction commise de manière habituelle par une personne morale, le montant de l’amende peut être porté à 4 % de son chiffre d’affaires mondial pour l’exercice précédent.

La personne morale peut également être condamnée à une interdiction d’exercer pendant cinq ans au plus une activité professionnelle ou sociale en lien avec l’infraction ([42]). La décision peut être affichée ou diffusée ([43]).

Les mêmes peines sont encourues contre les hébergeurs qui n’informeraient pas les autorités d’un contenu terroriste « présentant une menace imminente pour la vie » ([44]), par exemple un projet d’attentat.

Afin de garantir le droit au recours effectif, l’article 6-1-5 de la LCEN prévoit que les hébergeurs et les fournisseurs de contenus ([45]) (les éditeurs) peuvent saisir le tribunal administratif pour solliciter l’annulation de l’injonction de retrait prononcée par l’autorité administrative ou la réformation de la décision motivée de la personnalité qualifiée de l’Arcom prise dans le cadre d’un examen approfondi de l’injonction de retrait. Cette demande doit être formulée dans un délai de quarante‑huit heures à compter de la réception de l’injonction. Le tribunal administratif statue sous soixante-douze heures après la saisine. Un appel peut être formé dans les dix jours. La cour administrative d’appel dispose alors d’un mois pour se prononcer.

Le règlement (UE) 2021/784 « TCO » offre plusieurs garanties aux hébergeurs, précisées en son article 3 :

– l’information préalable douze heures avant toute première demande de retrait (point 2) ;

– la non-exécution de la demande de retrait en cas de force majeure, d’une impossibilité de fait non imputable au service ou d’une erreur matérielle (point 7) ;

– l’information dans les meilleurs délais des motifs du retrait et des voies de recours ouvertes à l’hébergeur et au fournisseur de contenus pour contester la demande (point 4).

En résumé, l’injonction de retrait d’un contenu à caractère terroriste peut donc être prononcée avec un délai d’exécution de vingt-quatre heures sur le fondement de l’article 6-1 de la LCEN, ou avec un délai d’une heure sur le fondement de l’article 6-1-1 de la même loi, ce dernier dispositif étant accompagné de garanties procédurales renforcées.

II.   Le dispositif proposé

A.   Une harmonisation du droit national

L’article 3 aligne le régime de responsabilité des hébergeurs en matière de retrait des contenus à caractère pédopornographiques sur leur régime de responsabilité en matière de contenus à caractère terroriste, exception faite du délai de mise en œuvre de l’injonction de retrait, maintenue à vingt‑quatre heures.

Ainsi l’article 6-1 de la LCEN n’est pas modifié par le présent article 3. C’est l’article 23 du présent projet de loi qui procède, notamment, aux modifications terminologiques rendues nécessaires par coordination avec les règlements européens.

Les articles 6-2, 6-2-1 et 6-2-2 qui seraient introduits dans la LCEN reprennent les garanties, les peines et des voies de recours accélérées prévues à l’article 3 du règlement (UE) 2021/784 « TCO » et aux articles 6-1-3 et 6-1-5 de ladite loi.

Le nouvel article 6-2 de la LCEN reprend une partie des garanties offertes par l’article 3 du règlement (UE) 2021/784 « TCO » au fournisseur de services d’hébergement, ci-après « l’hébergeur ». Si ce dernier n’a jamais fait l’objet d’une demande de retrait d’un contenu pédopornographique sur le fondement de l’article 6-1 de la même loi, l’autorité administrative (l’OCLCTIC) communique à ladite personne des informations sur les procédures et les délais applicables, et ce au moins douze heures avant d’émettre la demande de retrait (I).

L’article 6-2 prévoit également (II) :

– les cas de force majeure et d’impossibilité de fait non imputable à l’hébergeur. Dans ces cas, le délai de vingt-quatre heures accordé pour procéder au retrait du contenu commence à courir dès que ces motifs ont cessé d’exister ;

– l’impossibilité pour un hébergeur de se conformer à la demande de retrait prévue en cas d’erreur manifeste ou de défaut d’informations suffisantes pour l’exécution de ladite demande. Dans ces cas, le délai de vingt-quatre heures commence à courir dès que l’hébergeur a reçu les éclaircissements nécessaires.

Quels que soient les motifs faisant obstacle à l’exécution de la demande, l’hébergeur en informe l’autorité administrative à l’origine de la demande « sans retard indu ».

Lorsque l’hébergeur procède au retrait d’un contenu pédopornographique il en informe « dans les meilleurs délais » le fournisseur de contenus en précisant les motifs du retrait et des droits dont il dispose pour contester la demande de retrait devant la juridiction administrative compétente (III). Une copie de la demande de retrait est transmise par l’hébergeur au fournisseur de contenus.

L’article 6-2-1 de la LCEN prévoit la pénalisation du défaut d’exécution d’une demande de retrait de contenus à caractère pédopornographique selon le même quantum de peines que celui applicable en matière de contenus à caractère terroriste et prévu à l’article 6-1-3 de la même loi soit un an d’emprisonnement et 250 000 euros d’amende (I).

Une personne morale s’expose à une amende égale au quintuple de ce montant, soit 1 250 000 euros, et, en cas d’infraction commise à titre habituel, le montant de l’amende peut être porté à 4 % de son chiffre d’affaires mondial hors taxes de l’exercice précédent (I). La personne morale peut également être condamnée à une interdiction d’exercer pendant cinq ans au plus une activité professionnelle ou sociale en lien avec l’infraction. La décision peut être affichée ou diffusée (II).

L’article 6-2-2 de la même loi – introduit en réponse aux observations du Conseil d’État – reproduit les garanties procédurales prévues à l’article 6-1-5, à savoir l’ouverture d’un recours au fond au bénéfice des hébergeurs, des fournisseurs de contenus, ainsi que de la personnalité qualifiée de l’Arcom, dans un délai de quarante-huit heures suivant la réception de la demande de retrait ou, s’agissant du fournisseur de contenus, du moment où il est informé du retrait (I). La procédure de référé prévue aux articles L. 521-1 et L. 521‑2 du code de justice administrative reste applicable.

Le tribunal administratif dispose de soixante-douze heures pour statuer. L’audience est publique et se déroule sans conclusions du rapporteur public, compte tenu des délais de la procédure (II).

Une procédure d’appel est possible dans un délai de dix jours à compter de la notification du jugement. Dans ce cas, la juridiction d’appel statue dans un délai d’un mois à compter de sa saisine (III).

Un décret en Conseil d’État devra préciser les modalités d’application de cet article 6-2-2 (IV).

B.   Une anticipation de l’adoption de la proposition de règlement européen établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants

Le 11 mai 2023, la Commission européenne a présenté une proposition de règlement visant à prévenir et combattre les abus sexuels sur les enfants en ligne ([46]). Ce règlement vise à instaurer la possibilité, pour les autorités nationales compétentes, d’émettre des injonctions de détection de contenus pédopornographiques et de signalement et de retrait de ces contenus auprès des fournisseurs de services d’hébergement, de services de communications interpersonnelles et d’autres services opérant dans l’Union européenne. Il instituerait en outre un « centre de l’Union européenne » autonome, placé auprès d’Europol, chargé de soutenir les États membres et les fournisseurs de services en ligne dans leur lutte contre ces contenus.

À l’Assemblée nationale, une résolution européenne de Mme Perrine Goulet adoptée le 21 juin 2023 (n° 165) est venue appuyer cette initiative. Son rapport ([47]) rappelle que la réglementation de l’Union européenne en matière de lutte contre les abus sexuels sur les enfants en ligne est demeurée limitée puisqu’elle repose un règlement provisoire et une directive :

– la directive 2011/92/UE du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants ainsi que la pédopornographie ([48]), qui définit les infractions liées aux abus sexuels sur mineurs et impose aux États membres de mettre en place des dispositifs permettant le retrait rapide des contenus pédopornographiques hébergés sur leur territoire ;

– le règlement provisoire 2021/1232 du 14 juillet 2021 ([49]) permettant aux fournisseurs de services de communications interpersonnelles non fondées sur la numérotation ([50]), de déroger aux obligations relatives au respect de la vie privée et à la confidentialité des communications imposées par la directive dite « e-privacy » ([51]). Leurs activités dérogatoires portent sur la détection volontaire des contenus diffusés sur leur service par le traitement de données personnelles des utilisateurs.

L’application du règlement provisoire prendra fin le 3 août 2024, nécessitant l’adoption d’une nouvelle base juridique afin de permettre la poursuite de politiques de détection des contenus pédopornographiques.

Le présent article 3 anticipe l’adoption de la proposition de règlement du 11 mai 2023 qui instaurerait des règles uniformes et contraignantes dans l’espace numérique et notamment une obligation de détection des contenus relatifs à des abus sexuels sur des enfants diffusés sur les plateformes.

III.   Les modifications apportées par le Sénat

L’article 3 du projet de loi a été adopté avec modifications par le Sénat.

● À l’initiative de son rapporteur Loïc Hervé, la commission spéciale a apporté des modifications d’ordre rédactionnel ([52]). Le rapporteur est également à l’origine de l’introduction des conclusions du rapporteur public, laissant ainsi au pouvoir réglementaire la possibilité de permettre au magistrat de dispenser le rapporteur public de prononcer des conclusions à l’audience ([53]). Il convient de préciser que l’article 23 du présent projet de loi prévoit que l’audience prévue à l’article 6-1-5 soit également publique, la mention de l’absence de conclusions du rapporteur public ayant également été supprimée en commission spéciale ([54]).

● En séance publique, le rapporteur est à l’origine d’un amendement ([55]) de coordination qui prévoit que l’article 6-2 de la LCEN devienne l’article 6-5. Ce dispositif est déjà mentionné au dernier alinéa de l’article 23 du présent projet de loi : il conviendra donc de supprimer l’une des deux occurrences.

Le Sénat a également adopté un amendement du Gouvernement qui prévoit que la communication obligatoire de la copie de la demande de retrait par l’hébergeur à l’éditeur ne soit obligatoire que lorsque ce dernier lui en fait la demande, sauf si l’autorité administrative, l’OCLTIC, estime qu’une telle divulgation entraverait le bon déroulement d’actions de prévention, de détection, de recherche et de poursuite des auteurs des contenus pédopornographiques en cause. Le dispositif adopté prévoit une période de six semaines, reconductible une fois, au cours de laquelle il sera possible, pour les raisons précitées, de déroger à l’obligation d’informer l’éditeur du retrait du contenu à caractère pédopornographique ; à l’issue de ce délai, cette obligation d’information s’appliquera à nouveau.

IV.   Les modifications apportÉes par la commission

La commission spéciale a adopté l’article 3 modifié de quatre amendements rédactionnels de la rapporteure.

Elle a également adopté un amendement CS403 de Mme Pasquini (Écolo-NUPES) qui offre une voie d’appréciation à l’autorité administrative des motifs tenant à la force majeure ou à une impossibilité de fait – qui ne sont pas imputables au fournisseur de services d’hébergement, y compris pour des raisons techniques ou opérationnelles objectivement justifiables – de se conformer à la demande de retrait. Après examen de ces motifs, l’autorité administrative pourra dès lors enjoindre à ce même fournisseur de se conformer à la demande de retrait.

 

Article 3 bis (nouveau)
Remise d’un rapport du Gouvernement sur l’extension des compétences de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication en matière de retraits de contenus

Introduit par la commission

 

Résultant d’un amendement adopté par la commission avec un avis favorable de la rapporteure et du Gouvernement, cet article prévoit la remise d’un rapport du Gouvernement au Parlement sur l’extension des compétences de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), au retrait des contenus présentant des actes de torture et de barbarie, des traitements inhumains et dégradants, des viols et des situations d’inceste.

 

I.   L’état du droit

Voir le commentaire de l’article 3.

II.   Le dispositif introduit par la commission

Le présent article résulte de l’adoption de l’amendement CS929 du rapporteur général, qui a reçu un avis de sagesse du Gouvernement.

L’article 3 du présent projet de loi instaure une sanction pénale applicable aux hébergeurs qui ne satisfont pas à la demande émise par l’autorité compétente, l’OCLCTIC, de procéder au retrait dans un délai de 24 heures d’un contenu en ligne d’images ou de représentations de mineurs présentant un caractère pédopornographique relevant de l’article 227‑3 du code pénal.
L’OCLCTIC opère sur les signalements effectués via la plateforme Pharos.

Le Haut conseil à l’égalité (HCE) entre les femmes et les hommes a publié des recommandations pour faire face à la violence contre les femmes en ligne, notamment dans le domaine de la pornographie. Parmi ces recommandations figure un sujet de préoccupation majeure : l’absence de retrait, par l’OCLCTIC, des contenus présentant des actes de torture et de barbarie, des traitements inhumains et dégradants, et des viols.

Le présent article prévoit que le Gouvernement remette au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport sur ce sujet. Le rapporteur général estime que le Gouvernement devrait pouvoir consulter la personnalité qualifiée au sein de l’Arcom et les magistrats saisis de plaintes sur le fondement des articles du code pénal qui concernent ces infractions. Le rapport fera notamment état de la capacité des services à constater le bien-fondé de la demande de retrait.

Titre II
PROTECTION DES citoyens dans l’environnement numÉrique

Article 4 AA (nouveau)
Extension du contenu de l’attestation scolaire de bon usage des outils numériques à l’intelligence artificielle et information annuelle des représentants légaux des élèves

Introduit par la commission

 

1.   L’état du droit

L’article L. 312-9 du code de l’éducation prévoit la dispense d’une formation à l’utilisation responsable des outils et des ressources numériques dans les écoles et les établissements d’enseignement, y compris agricoles, ainsi que dans les unités d’enseignement des établissements et services médico-sociaux et des établissements de santé. Le contenu de cette formation n’a cessé d’évoluer ces dernières années ([56]). 

Cette formation comporte une éducation aux droits et aux devoirs liés à l’usage d’internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle, de la liberté d’opinion et de la dignité de la personne humaine et à l’image des femmes ([57]) , ainsi qu’aux règles applicables aux traitements de données à caractère personnel. Elle contribue au développement de l’esprit critique, à la lutte contre la diffusion des contenus haineux en ligne, à la sensibilisation contre la manipulation d’ordre commercial et les risques d’escroquerie en ligne ([58]) et à l’apprentissage de la citoyenneté numérique.

La loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux a complété le contenu de cette formation qui comporte désormais une sensibilisation à l’usage des dispositifs de signalement des contenus illicites mis à disposition par les plateformes.

Une attestation scolaire certifie que les élèves de primaire et du collège ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux ainsi qu’aux dérives et aux risques liés à ces outils. Cette attestation prend aujourd’hui la forme de l’outil Pix qui certifie les compétences numériques obligatoires pour les élèves de 3e au collège et de terminale au lycée général, technologique et professionnel. Le ministère de l’éducation nationale et de la jeunesse a annoncé ([59]) en janvier 2023, l’extension de cette certification pour les élèves de 6e.

II.   Le dispositif introduit par la commission

La commission a adopté deux amendements portant article additionnel avant l’article 4 A et qui complètent l’article L. 312-9 du code de l’éducation. Ces amendements ont reçu un avis favorable de la rapporteure et du Gouvernement

● La commission a d’abord adopté l’amendement CS103 de Mme Violette Spillebout (RE).

Le dispositif adopté complète le contenu de l’attestation scolaire délivrée à l’issue de l’école primaire et du collège et certifiant que les élèves ont bénéficié d’une sensibilisation au bon usage des outils numériques et des réseaux sociaux ainsi qu’aux risques liés à ces outils. Le contenu de cette attestation est étendu au bon usage des outils de l’intelligence artificielle, aux risques liés à l’ensemble de ces outils et aux contenus générés par l’intelligence artificielle.

Selon l’auteure de l’amendement, le développement de l’intelligence artificielle peut être source de création et de diffusion de nombreuses fake news (fausses informations). À ce titre, il convient que les jeunes soient bien informés à l’école des possibilités de l’intelligence artificielle, mais aussi des risques qu’elle induit. Le présent dispositif devrait contribuer à développer l’esprit critique des élèves.

● La commission a ensuite adopté deux amendements identiques CS669 de Mme Marie Guévenoux (RE) et CS788 de Mme Agnès Carel (HOR) qui prévoient une information annuelle sur l’apprentissage de la citoyenneté numérique, dispensée à chaque début d’année scolaire aux représentants légaux des élèves par un membre de l’équipe pédagogique.

Cette formation comprendra notamment des messages d’information relatifs au temps d’utilisation des écrans par les élèves ; une sensibilisation à l’exposition des mineurs aux contenus illicites, à la lutte contre la diffusion des contenus haineux en ligne ; une sensibilisation contre la manipulation d’ordre commercial et les risques d’escroquerie en ligne ; une sensibilisation à l’usage des dispositifs de signalement des contenus illicites mis à disposition par les plateformes et une sensibilisation sur l’interdiction du harcèlement commis dans l’espace numérique ainsi qu’un renvoi aux différentes plateformes et services publics susceptibles de les accompagner.

Article 4 AB (nouveau)
Remise d’un rapport du Gouvernement au Parlement sur les actions de prévention et de sensibilisation au harcèlement et au cyberharcèlement mises en place dans les établissements scolaires

Introduit par la commission

 

Résultant d’un amendement adopté par la commission avec un avis défavorable de la rapporteure et du Gouvernement, cet article prévoit la remise d’un rapport du Gouvernement au Parlement sur les actions de prévention et de sensibilisation au harcèlement et au cyberharcèlement mises en place dans les établissements scolaires.

I.   L’état du droit

Le dernier alinéa de l’article L. 111-6 du code de l’éducation créé par la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire prévoit qu’« [u]ne information sur les risques liés au harcèlement scolaire, notamment au cyberharcèlement, [soit] délivrée chaque année aux élèves et parents d’élèves. » Le programme de prévention et de lutte contre le harcèlement en milieu scolaire (Phare) prévoit ainsi un volume de 10 heures annuelles par an pour chaque élève sur cette thématique.

La formation des professeurs est également obligatoire, en application de l’article 5 de la même loi n° 2022-299 du 2 mars 2022 : « […] les personnels de l’éducation nationale […] reçoivent, dans le cadre de leur formation initiale, une formation à la prévention des faits de harcèlement au sens de l’article 222-33-2-3 du code pénal ainsi qu’à l’identification et à la prise en charge des victimes, des témoins et des auteurs de ces faits. Une formation continue relative à la prévention, à la détection et à la prise en charge du harcèlement scolaire et universitaire est proposée à l’ensemble de ces personnes ainsi qu’à toutes celles intervenant à titre professionnel dans les établissements d’enseignement. »

II.   Le dispositif introduit par la commission

Le présent article résulte de l’adoption, par la commission, d’un amendement CS676 de M. Croizier (DEM). Le Gouvernement et la rapporteure y ont donné un avis défavorable au motif que le Gouvernement est pleinement mobilisé sur les enjeux relevés par l’amendement. Un plan interministériel de lutte contre le harcèlement a d’ailleurs été présenté le 27 septembre 2023.

Le présent article prévoit la remise d’un rapport du Gouvernement au Parlement, dans un délai de douze mois à compter de la promulgation de la présente loi. Ce rapport portera « sur les actions de prévention et de sensibilisation au harcèlement et au cyberharcèlement mises en place dans les établissements scolaires. » Il évaluera « la possibilité de rendre annuellement obligatoire une session de sensibilisation aux enjeux de harcèlement et de cyberharcèlement dans tous les établissements scolaires » ainsi que « la façon dont le harcèlement et le cyberharcèlement sont inclus dans la formation initiale et continue des enseignants et plus largement dans la formation de l’ensemble des personnels des établissements scolaires. »

Selon l’auteur de l’amendement, si le ministère chargé de l’éducation nationale a mis en place de nouvelles mesures contre le harcèlement à l’école à la rentrée 2023, les élèves n’ont pas d’obligation de suivre une formation dédiée à ce type de sensibilisation.

Cet amendement vise à recenser les actions déjà mises en place, mais surtout à évaluer la possibilité de rendre obligatoire une session de sensibilisation aux problématiques de harcèlement et de cyber-harcèlement en milieu scolaire.

Il permet aussi d’évaluer la façon dont sont inclus le harcèlement et le cyber-harcèlement dans la formation initiale et continue des enseignants mais aussi de l’ensemble des personnels des établissements scolaires.

Article 4 AC (nouveau)
Généralisation de l’offre d’une identité numérique pour les Français

Introduit par la commission

 

 

I.   L’état du droit

● L’anonymat et le pseudonymat en ligne

En 2022, la France comptait 53 millions d’utilisateurs de réseaux sociaux, soit 80 % de la population. L’espace numérique est un espace d’opportunités, mais également un espace où se déploie un sentiment d’impunité permis par l’anonymat ou le pseudonymat.

Il n’existe pourtant pas de réel anonymat en ligne. Les autorités publiques sont en mesure d’identifier une personne à partir de son IP de connexion (pour Internet Protocol) mais :

– pour un utilisateur mobile, le fournisseur d’accès à internet est capable d’indiquer aux services d’enquête l’identité de la personne physique abonnée associée à une adresse IP à un instant donné ;

– pour un utilisateur fixe (ou un utilisateur utilisant son smartphone depuis un accès wifi domestique), le fournisseur d’accès à internet peut indiquer aux services d’enquête le nom et l’adresse physique de l’abonné de la ligne utilisée.

Les cas les plus complexes sont les cas où :

– la personne utilise un point d’accès wifi public : dans ce cas, il faut formuler une requête auprès de l’opérateur du point d’accès qui peut ou non avoir demandé l’identité des personnes qui se connectent ;

– la personne utilise un VPN (Virtual Private Network, ou réseau privé virtuel) ou un autre système de masquage de l’IP : dans ce cas l’enquête peut être compliquée, notamment si la personne utilise des intermédiaires qui ne collaborent pas ;

– la personne utilise un réseau d’entreprise : il convient alors de s’adresser à l’entreprise en question qui, en général, authentifie chacun de ses utilisateurs et peut dans certains cas retrouver l’activité incriminée en consultant les logs de connexion.

Les opérateurs télécoms répondent chaque année à plusieurs centaines de milliers de demandes de données de connexion visant à identifier les personnes.

● France identité numérique

France identité numérique est le service public de l’identité numérique. Selon la définition donnée par le rapport d’information de Mme Christine Hennion et de M. Jean-Michel Mis du 8 juillet 2020 sur l’identité numérique ([60]), l’identité numérique est « la capacité à utiliser de façon sécurisée les attributs de son identité pour accéder à un ensemble de ressources ».

Le programme interministériel France identité numérique, placé sous l’autorité des ministères de l’intérieur et de la justice et du secrétariat d’État chargé du numérique, a pour mission de développer une identité numérique régalienne.

La Poste développe également avec Docaposte son propre système, tout comme de multiples acteurs privés dont certains ont eu l’occasion de présenter aux membres de la commission spéciale leurs solutions techniques.

II.   Le dispositif introduit par la commission

Par l’adoption des amendements CS899 et CS900 du rapporteur général, la commission a introduit un article qui prévoit la généralisation d’une identité numérique pour les Français.

● D’une part, l’État se fixe l’objectif que 80 % des Français disposent d’une identité numérique au 1er janvier 2027 et près de 100 % d’entre eux au 1er janvier 2030 (CS899).

● D’autre part, le Gouvernement devra remettre au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, « un rapport sur sa capacité à généraliser l’identité numérique pour les Français et les actions et modifications législatives nécessaires pour mettre en œuvre cette généralisation » (CS900).

Les modalités de l’identité numérique recouvriront plusieurs solutions telles que celles proposées par France identité numérique.

Article 4 A
Avertissement sur le caractère illégal des comportements simulés dans des vidéos pornographiques

Adopté par la commission avec modifications

1.   LE DROIT EN VIGUEUR

Si la vente de certains biens est aujourd’hui encadrée par la diffusion d’un message d’avertissement (alcool, tabac, etc.) ([61]), il n’existe pas de disposition de nature législative applicable aux contenus qui mettraient en scène des crimes ou des délits.

II.   lE DISPOSITIF adoptÉ par le SÉnat

Le présent article 4 A est issu de l’adoption, en séance publique, d’un amendement de Mme Annick Billon ([62]). Cet amendement a reçu un avis favorable de la commission spéciale et un avis de sagesse du Gouvernement.

Le dispositif crée un nouvel article 1-3 au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN »), qui impose aux éditeurs de sites pornographiques d’apposer un avertissement avant que leurs utilisateurs accèdent à des contenus simulant la commission d’un crime ou d’un délit.

Le premier alinéa oblige les éditeurs de sites pornographiques à afficher, avant tout accès par un utilisateur de leur site à un contenu simulant la commission d’un crime ou d’un délit, un avertissement portant sur le caractère illégal des comportements ainsi représentés. La deuxième phrase du premier alinéa précise que le message doit être clair, lisible, unique et compréhensible.

Le deuxième alinéa précise les crimes et les délits concernés par le premier alinéa, soit le viol, l’inceste et les autres agressions sexuelles ([63]), ainsi que les infractions sexuelles commises contre les mineurs ([64]).

Le troisième alinéa précise que la notion de commission simulée d’un crime ou d’un délit, mentionnée au premier alinéa, doit être appréciée en fonction du titre du contenu, des mots-clés, des expressions et des autres entrées qui renvoient vers ledit contenu. Cette formulation laisse de côté toute appréciation sur le contenu lui-même.

Le quatrième alinéa prévoit que tout manquement à cette obligation d’avertir les usagers est puni des peines prévues à l’article 1-2 de la LCEN, soit un an d’emprisonnement et de 75 000 euros d’amende.

Enfin, le dernier alinéa du nouvel article 1-3 de la LCEN précise que tout contenu qui ne fait pas l’objet d’un message d’avertissement est un contenu illicite ([65]) au sens du règlement du 19 octobre 2022 sur les services numériques, soit un contenu soumis aux obligations de retrait par les hébergeurs.

Cet article est issu des travaux conduits par le Sénat sur la pornographie, évoqués supra (commentaire de l’article 1er). Le rapport du Sénat souligne que la pornographie présente une vision déformée et violente de la sexualité, et ce, au détriment notamment des jeunes. Les sénatrices auteures du rapport font ainsi le constat que « les scénarisations de viols dans les vidéos pornographiques et le non-respect constant du "non" de la femme ont également des répercussions sur l’idée que se font les jeunes de la notion de consentement » ([66]).

Elles proposent donc d’ « imposer aux sites pornographiques des messages d’avertissement, concernant des contenus violents, précisant qu’il s’agit d’actes sexuels non simulés, pouvant constituer des infractions criminelles ou délictuelles » ([67]). L’objectif est de sensibiliser les usagers au fait que les contenus mettent en scène des comportements passibles de sanctions pénales.

III.   La position de la commission

Sur proposition de la rapporteure, la commission spéciale a adopté l’amendement CS879 qui prévoit que tout contenu faisant l’objet d’un avertissement avant accès doit également comporter un bandeau rappelant le caractère illégal des comportements représentés et les sanctions pénales qui y sont associées.

La commission spéciale a également adopté l’amendement CS756 de M. Erwan Balanant (Dem), sous-amendé par l’amendement CS756 de la rapporteure et avec un avis favorable du Gouvernement, pour prévoir que le contenu du message et ses modalités de présentation seraient précisées par décret après avis de l’Arcom.

Article 4 B (supprimé)
Obligation de retrait de contenus pornographiques diffusés en violation d’un accord de cession de droit

Supprimé par la commission

1.   LE DROIT EN VIGUEUR

L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN ») prévoit un régime de responsabilité limité pour les hébergeurs. Ceux-ci ne peuvent pas voir leur responsabilité engagée pour le stockage de contenus illicites s’ils n’avaient pas effectivement connaissance du caractère illicite de ces contenus ou si, dès qu’ils en ont eu connaissance, ils ont agi pour les retirer ou en rendre l’accès impossible.

II.   lE DISPOSITIF adoptÉ par le SÉnat

Le présent article 4 B est issu de l’adoption, en séance publique, d’un amendement de Mme Annick Billon ([68]). Cet amendement a reçu un avis favorable de la commission spéciale et un avis défavorable du Gouvernement.

Le dispositif crée un nouvel article 6-1-1 A au sein de la LCEN.

Ce nouvel article prévoit une nouvelle obligation pour les fournisseurs de services d’hébergement : dès lors qu’un contenu pornographique a été signalé par une personne représentée dans ce contenu comme étant diffusé en violation de l’accord de cession de droits, les hébergeurs doivent agir promptement pour retirer ledit contenu ou en rendre l’accès impossible.

Le signalement doit être réalisé conformément au mécanisme prévu par l’article 16 du règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques.

Cet article est également issu des travaux conduits par le Sénat sur la pornographie, déjà évoqués ([69]). Il met en œuvre l’une des recommandations de ce rapport, qui était d’ « imposer aux plateformes de satisfaire gratuitement aux demandes de retrait de vidéos formulées par les personnes filmées, et non plus par les seuls propriétaires de vidéos » ([70]).

Cette préconisation est une des solutions mises en avant par les sénatrices auteures du rapport d’information pour répondre au problème des contrats de cession de droit à l’image. Celles-ci soulignent ainsi que les contrats de cession de droit à l’image signés par les personnes participant à des tournages de contenus pornographiques prévoient souvent une cession pour une durée très longue, voire illimitée. À cela s’ajoute la problématique de la procédure de retrait des vidéos une fois que celles-ci sont mises en ligne, décrite dans le rapport comme « relevant d’un parcours du combattant quasiment impossible » ([71]).

C’est dans ce contexte que le Sénat a adopté un amendement prévoyant une obligation de retrait spécifique aux contenus pornographiques signalés comme illicites car en violation de l’accord de cession de droits.

III.   Les travaux de la commission

La commission spéciale a adopté l’amendement CS880 de suppression de l’article, présenté par la rapporteure Cet amendement avait reçu un avis favorable du Gouvernement.

En effet, les contenus diffusés aujourd’hui en violation des contrats sont déjà considérés comme des contenus illicites : la plateforme qui ne les retire pas alors qu’ils lui ont été signalés engage sa responsabilité pénale. Cet article, qui faisait peser sur les plateformes l’obligation de retirer promptement tout contenu signalé comme diffusé en violation d’un accord de cession de droits, ne permettait pas de résoudre le problème mis en avant par le rapport du Sénat, c’est-à-dire la durée des contrats de cession de droit à l’image. La rapporteure en a donc proposé la suppression.

Article 4
Protection des citoyens contre les vecteurs de propagande étrangère manifestement destinés à la désinformation et à l’ingérence

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   La possibilitÉ pour l’Union europÉenne d’imposer des sanctions sur son territoire sans transposition nécessaire dans le droit national

L’Union européenne a la possibilité, dans le cadre de la politique étrangère et de sécurité commune (PESC), d’imposer des mesures restrictives à des gouvernements étrangers, des entreprises, des organisations ou des personnes physiques.

L’article 29 du traité sur l’Union européenne (TUE) prévoit ainsi que le Conseil est compétent pour adopter des décisions définissant la position de l’Union européenne sur des questions de nature géographique ou thématique, et que les États membres doivent veiller à la conformité de leurs politiques nationales avec ces positions.

L’article 215 du traité sur le fonctionnement de l’Union européenne (TFUE), reproduit ci-après, précise les compétences du Conseil en cas de restriction de relations avec un ou plusieurs pays tiers.

L’Union européenne a adopté des mesures restrictives à l’égard de la Russie depuis mars 2014, à la suite de l’annexion de la Crimée par la Russie. C’est le règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine qui constitue la base légale pour ces sanctions. Le déclenchement de la guerre en Ukraine par la Fédération de Russie en février 2022 a conduit l’Union européenne à renforcer son arsenal de sanctions vis-à-vis de ce pays. Le dernier paquet de sanctions a été adopté en juin 2023 ([72]) : il prévoit notamment la suspension des licences de diffusion de cinq médias russes supplémentaires ([73])  et l’interdiction de diffusion de leurs contenus.

La capacité des médias placés sous le contrôle direct ou indirect de la Fédération de Russie à relayer la propagande des autorités russes et de fausses informations a été identifiée rapidement comme un levier de déstabilisation de l’Union et de ses États membres. Dès le 27 février 2022, la présidente de la Commission européenne, Ursula von der Leyen, s’engageait à mettre fin à la diffusion des médias Russia Today et Sputnik au sein de l’Union européenne ([74]).

Cet engagement s’est concrétisé par l’adoption dès le 1er mars 2022 de la décision PESC 2022/351 du 1er mars 2022 du Conseil modifiant la décision 2014/512/PESC concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine, prise sur le fondement de l’article 29 du TUE.

La décision du 1er mars 2022 crée un article 4 octies au sein de la décision 2014/512 qui prévoit à la fois la suspension des licences et des autorisations de diffusion de certaines entités, et l’interdiction aux opérateurs de diffuser ou de faciliter la diffusion via tout moyen de transmission des contenus produits par ces entités. Les personnes morales, les entités et les organismes visés par cet article sont listés à l’annexe IX de la décision Pesc. Initialement composée de six entités (Russia Today English, Russia Today UK, Russia Today Germany, Russia Today France, Russia Today Spanish et Sputnik), elle a été enrichie au fil de l’adoption des décisions de sanctions.

À cette décision s’ajoute le règlement (UE) 2022/350 du Conseil du 1er mars 2022, modifiant le règlement n° 833/2014 du 31 juillet 2014. Le règlement, pris sur le fondement de l’article 215 du TFUE, insère un nouvel article 2 septies au sein du règlement du 31 juillet 2014, qui prévoit l’interdiction de diffusion de contenus provenant des entités listées à l’annexe XV et la suspension de toute autorisation de diffusion de ces mêmes entités.

Ces interdictions n’empêchent pas les médias concernés de continuer à produire du contenu.

Russia Today France (ci-après « RT France ») a saisi le tribunal de l’Union européenne d’un recours en annulation de la décision et du règlement adoptés le 1er mars 2022. Dans son arrêt, rendu le 27 juillet 2022 ([75]), le tribunal a rejeté l’intégralité du recours formé par RT France.

Des contournements de ces interdictions de diffusion ont été observés au cours de l’année 2022. Il a été ainsi constaté que malgré les sanctions, la chaîne RT France restait accessible sur des plateformes domiciliées hors de l’Union européenne, notamment Odysee ([76]) et Rumble ([77]).

B.   Les pouvoirs de l’ARCOM en matiÈre de sanctions

L’Arcom est issue de la fusion, au 1er janvier 2022, du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur l’internet (Hadopi). Outre la régulation de la communication audiovisuelle, l’Autorité est également chargée de la régulation des plateformes ayant une activité d’intermédiation en ligne (réseaux sociaux, moteurs de recherche, plateformes de partage de vidéos, etc.).

Les pouvoirs dont dispose l’Arcom pour assurer ses missions sont détaillés dans la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

L’article 42 de la loi précitée permet à l’Arcom de mettre en demeure les éditeurs ([78]) et distributeurs de services de communication audiovisuelle ([79]), ainsi que les opérateurs de réseaux satellitaires, de respecter les obligations imposées par les textes législatifs et réglementaires, ainsi que les principes définis aux articles 1er (liberté de communication) et 3 (consentement à la levée du secret du choix de service de communications électroniques) de la même loi.

En cas d’absence de mise en conformité avec la mise en demeure prononcée, l’article 42-1 de la même loi donne la possibilité à l’Arcom de prononcer plusieurs sanctions, qui vont de la suspension d’une catégorie de programmes au retrait de l’autorisation de diffusion.

L’article 42-7 de la même loi détaille les conditions dans lesquelles l’Arcom prononce des sanctions : un rapporteur, nommé par le vice-président du Conseil d’État parmi les membres des juridictions administratives, assure l’engagement des poursuites et l’instruction préalable au prononcé des sanctions. C’est à lui que revient la décision d’engager ou non une procédure de sanction. À l’issue de son instruction, le rapporteur communique son rapport à la personne mise en cause. Il expose ensuite son opinion sur les griefs notifiés devant l’Arcom, qui entend également la personne mise en cause. Au terme de cette procédure, l’Autorité prend une décision, motivée et notifiée à la personne mise en cause.

L’article 42-10 de la même loi prévoit une procédure de référé en matière de communication audiovisuelle (ci-après, « référé audiovisuel »).

Le président de l’Arcom peut, en cas de manquement aux obligations résultant de la loi de 1986 relative à la liberté de communication et dans le cadre des pouvoirs dévolus à l’Autorité, demander en justice à ce qu’il soit ordonné à la personne responsable du manquement soit de se conformer à ces dispositions, soit de mettre fin à l’irrégularité, ou encore de supprimer les effets de l’irrégularité. L’objet de la demande peut avoir pour objectif de faire cesser la diffusion d’un service de télévision dont les programmes portent atteinte à l’un au moins des principes mentionnés aux articles 1er, 3-1 ou 15 de la loi.

La demande du président de l’Autorité est portée devant le président de la section du contentieux du Conseil d’État, qui statue en référé.

Selon le rapport d’activité 2022 de l’Arcom, celle-ci a prononcé 19 mises en demeure et 9 sanctions en 2022.

II.   Le dispositif proposÉ

Le présent article élargit les pouvoirs de l’Arcom pour lui permettre de faire retirer un contenu qui contreviendrait aux dispositions prises sur le fondement de l’article 215 du TFUE, quel que soit son canal de diffusion.

Le I modifie deux articles de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

Le 1° insère un nouvel alinéa à l’article 42 de la loi précitée : celui complète le champ des motifs sur le fondement desquels l’Arcom peut prononcer des mises en demeure. Celles-ci pourront désormais être également prononcées au titre du respect des obligations imposées par les dispositions prises sur le fondement de l’article 215 du TFUE qui portent sur l’interdiction de diffusion de contenus de services de communication audiovisuelle.

La liste des personnes concernées par cette procédure, outre les éditeurs et distributeurs de services de communication audiovisuelle et opérateurs de réseaux satellitaires, déjà concernés par le premier alinéa de l’article 42, comprend les prestataires techniques auxquels ces personnes recourent.

Le 2° complète l’article 42-10 de la même loi pour ajouter les manquements à la réglementation européenne prise sur le fondement de l’article 215 du TFUE portant sur l’interdiction de diffusion de contenus de services de communication audiovisuelle à la liste des manquements pouvant justifier un référé en matière de communication audiovisuelle par le président de l’Arcom.

Le II du présent article réécrit l’article 11 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après, « LCEN ») pour prévoir une nouvelle procédure de mise en demeure et de sanctions vis-à-vis des fournisseurs d’accès, des hébergeurs et des éditeurs de contenus sur internet ([80]) . Ce nouvel article s’inspire des dispositions de l’article 6-1 de la LCEN, qui prévoit une procédure de blocage administratif unique des contenus faisant l’apologie ou appelant à commettre un acte terroriste, ainsi que des contenus à caractère pédopornographique ([81]).

La procédure prévue par le présent article comprend plusieurs étapes.

Le I du nouvel article 11 de la LCEN autorise l’Arcom à mettre en demeure les personnes mentionnées à l’article 1-1 de la LCEN de retirer des contenus ou de faire cesser la diffusion des contenus qui contreviennent aux dispositions prises sur le fondement de l’article 215 du TFUE portant sur l’interdiction de diffusion de contenus. Les personnes visées au I de l’article 1-1, créé par l’article 22 du présent projet de loi, sont celles dont l’activité est d’éditer un service de communication au public en ligne. La personne mise en demeure peut présenter des observations dans un délai de 72 heures.

Le II prévoit qu’une fois le délai expiré, si les contenus sont toujours diffusés, l’Arcom a la possibilité de notifier aux fournisseurs de services d’accès à internet une liste des adresses électroniques des services diffusant ou hébergeant des contenus provenant des personnes ayant fait l’objet de la mise en demeure. Ces fournisseurs doivent alors, sans délai, empêcher l’accès à ces adresses.

La deuxième phrase du II prévoit le cas où l’identification des personnes visées au I de l’article 1-1 de la LCEN n’est pas possible : dans ce cas, l’Arcom peut procéder à la notification aux fournisseurs d’accès sans mise en demeure préalable.

Elle peut également notifier ces mêmes adresses électroniques aux moteurs de recherche et aux annuaires afin que ceux-ci procèdent à leur déréférencement.

Le III de l’article 4 prévoit que l’Arcom peut agir d’office, mais aussi sur saisine du ministère public ou de toute personne physique ou morale.

Enfin, le IV établit le montant des sanctions encourues en cas de manquement aux obligations prévues au I et au II, sanctions qui sont prononcées par l’Arcom dans les conditions prévues à l’article 42-7 de la loi de 1986 relative à la liberté de communication.

En cas de méconnaissance par une personne de l’obligation prévue au I de retirer les contenus ou de faire cesser la diffusion des contenus qui contreviennent aux dispositions prises sur le fondement de l’article 215 du TFUE, l’Arcom peut prononcer à son égard une sanction pécuniaire dont le montant est plafonné à 4 % du chiffre d’affaires hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois. En l’absence de chiffre d’affaires, le plafond est fixé à 250 000 euros. Le montant de la sanction pécuniaire est fixé en fonction de la gravité du manquement.

En cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive, le plafond est porté à 6 % du chiffre d’affaires ou, en l’absence du chiffre d’affaires, à 500 000 euros.

En cas de méconnaissance par une personne de l’obligation prévue au II d’empêcher l’accès aux adresses notifiées ou de faire cesser le référencement de ces mêmes adresses, l’Arcom peut prononcer à son égard une sanction pécuniaire qui ne peut excéder 1 % du chiffre d’affaires hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois. En l’absence de chiffre d’affaires, ce plafond est fixé à 75 000 euros. En cas de réitération du manquement, le plafond est fixé à 2 % du chiffre d’affaires ou, en l’absence de chiffre d’affaires, à 150 000 euros.

 

sanctions prévues en cas de manquement aux obligations prÉvues aux I et II de l’article 11 de la LCEN dans sa rédaction proposée par le projet de loi

	Manquement à l’obligation de retirer ou de faire cesser la diffusion de contenus contrevenant aux dispositions prises en application de l'article 215 du TFUE	Méconnaissance de l’obligation d’empêcher l’accès ou le référencement des adresses notifiées
Plafond de la sanction - si chiffre d’affaires - en l’absence de chiffre d’affaires	4 % 250 000 euros	1 % 75 000 euros
Plafond de la sanction en cas de réitération du manquement dans un délai de cinq ans - si chiffre d’affaires - en l’absence de chiffre d’affaires	6 % 500 000 euros	2 % 150 000 euros

Source : commission spéciale

Le deuxième alinéa du IV prévoit que, lorsqu’une même personne cumule, pour les mêmes faits, une sanction prononcée par l’Arcom pour ne pas avoir retiré ou fait cesser la diffusion de contenus mentionnés au I, et une amende pénale prononcée en application de l’article 459 du code des douanes ([82]), le montant global des amendes prononcées ne peut pas dépasser le maximum légal le plus élevé des sanctions encourues. Cette précision permet de garantir le principe de nécessité et de proportionnalité des délits et des peines : le Conseil constitutionnel a ainsi considéré, dans une décision du 3 septembre 2021, que « si l’éventualité que deux procédures soient engagées peut conduire à un cumul de sanctions, le principe de proportionnalité implique qu’en tout état de cause le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l’une des sanctions encourues » ([83]).

À la différence du dispositif prévu par la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet et partiellement censuré par le Conseil constitutionnel ([84]), le dispositif prévu par le présent article ne fait pas reposer sur l’autorité administrative la détermination du caractère illicite des contenus en cause. Le Conseil constitutionnel avait en effet censuré le dispositif de retrait de contenus illicites prévu au paragraphe I de l’article 1er de la loi précitée, considérant que la détermination du caractère illicite des contenus ne reposait pas sur leur caractère manifeste mais sur la seule appréciation de l’administration.

III.   Les modifications apportÉes par le SÉnat

Le Sénat a apporté plusieurs modifications à cet article.

En commission, trois amendements du rapporteur M. Loïc Hervé ont été adoptés.

● L’amendement COM-95 rect. modifie plusieurs articles de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication pour inclure les services de télévision et les services de médias audiovisuels à la demande (Smad) extra-communautaires diffusés en France.

Il en modifie l’article 43-2, qui prévoit l’application de ladite loi aux services de télévision et aux Smad ([85]) dont l’éditeur est établi en France ou qui relève de la compétence de la France. L’amendement COM-95 rect. insère ainsi un nouvel alinéa au sein de l’article 4 du présent texte pour compléter l’article 43-2 de la loi de 1986 relative à la liberté de communication.

Ce nouvel alinéa prévoit que les articles 1er, 15, 42, 42-1, 42-7 et 42-10 de la même loi sont applicables aux Smad diffusés en France ne relevant pas de la compétence d’un autre État membre de l’Union européenne, d’un autre État partie à l’accord sur l’Espace économique européen ou d’un autre État partie à la convention européenne. Le tableau ci-dessous récapitule les articles applicables à ces Smad, ainsi que leur objet.

articles de la loi n° 86-1067 applicables à certains SMAD extra-communautaires diffusés en france

Article de la loi	Objet
Article 1er	Garantie de la liberté de communication au public par voie électronique.
Article 15	Compétence de l’Arcom pour veiller à la protection de l’enfance et de l'adolescence et au respect de la dignité de la personne dans les programmes mis à disposition du public par un service de communication audiovisuelle.
Article 42	Pouvoir de mise en demeure de l’Arcom vis-à-vis des éditeurs et des distributeurs de services de communication audiovisuelle, et des opérateurs de réseaux satellitaires.
Article 42-1	Pouvoir de l’Arcom de sanctionner une personne ne s’étant pas conformée à une mise en demeure.
Article 42-7	Conditions dans lesquelles l’Arcom prononce des sanctions.
Article 42-10	Référé audiovisuel.

Source : commission spéciale.

L’amendement modifie également les articles 33-1 ([86])  et 33-3 ([87])  de la loi n° 86-0167 du 30 septembre 1986 pour exclure les services de télévision et les Smad extra-communautaires des obligations de conventionnement et de déclaration des services (inclus automatiquement suite à la modification décrite supra de l’article 43-2 de la même loi).

L’amendement complète également deux articles de la loi du 30 septembre 1986 relative à la liberté de communication pour permettre à l’Arcom de saisir les fournisseurs d’accès à internet, afin que ceux-ci fassent cesser la diffusion d’une chaîne diffusée sans l’intermédiation d’un distributeur de services (diffusion dite over-the-top, ou OTT ([88])). 

Il ajoute ainsi les fournisseurs d’accès à internet dans la liste des personnes pouvant être mises en demeure par l’Arcom de respecter les obligations prévues par les dispositions législatives et réglementaires, prévue au premier alinéa de l’article 42 de la loi n° 86-1067.

Il ajoute également les fournisseurs d’accès à internet dans la liste des personnes pouvant faire l’objet du « référé-audiovisuel » prévu à l’article 42-10 de la même loi. Il ajoute enfin les Smad à la liste des services pouvant être visés par une demande de cessation de diffusion.

● L’amendement COM-96 modifie l’obligation faite aux fournisseurs d’accès à internet d’empêcher sans délai l’accès aux adresses notifiées. Il prévoit ainsi que le délai dans lequel les fournisseurs devront y procéder sera fixé par l’Arcom, considérant qu’il est difficilement envisageable qu’un tel blocage puisse être opéré immédiatement.

● L’amendement COM-97 insère un nouvel alinéa à la fin de l’article 11 de la LCEN dans sa rédaction issue du présent article pour prévoir que les modalités d’application seront précisées par décret en Conseil d’État.

Le Sénat a adopté en séance un seul amendement.

● L’amendement n° 48 rect. quater, déposé par Mme Noël (Les Républicains), et adopté avec des avis favorables du Gouvernement et du rapporteur, a ajouté les fournisseurs de systèmes de résolution de nom de domaine définis au II de l’article 12 du présent projet de loi à la liste des personnes pouvant être saisies par l’Arcom en vue d’empêcher l’accès à une adresse. Cet amendement permet ainsi d’inclure notamment les navigateurs et les systèmes d’exploitation.

IV.   La position de la commission

La commission a adopté l’article 4 avec plusieurs modifications.

Les compétences de l’Arcom ont été élargies aux services de télévision linéaires diffusés en France qui ne relèvent pas de la compétence d’un autre État membre de l’Union européenne, de l’Espace économique européen ou de la Convention européenne sur la télévision transfrontière par l’amendement CS713 de M. Quentin Bataillon (RE), adopté avec un avis favorable de la rapporteure et du Gouvernement.

Sur proposition de la rapporteure et de M. Quentin Bataillon (RE) ([89]) et avec un avis favorable du Gouvernement, la commission a donné la possibilité à l’Arcom de mettre en demeure non seulement les éditeurs de contenu mais également les hébergeurs, pour que ceux-ci retirent les contenus contraires aux dispositions prises sur le fondement de l’article 215 du traité sur le fonctionnement de l’Union européenne.

La commission a également adopté l’amendement CS779 de la rapporteure pour préciser que seules les adresses électroniques des personnes ayant fait l’objet d’une mise en demeure de retirer ou de faire cesser la diffusion de contenus contraires aux dispositions prises sur le fondement de l’article 215 du TFUE seront notifiées aux fournisseurs de services d’accès à internet.

Trois amendements rédactionnels de la rapporteure (CS778, CS880 et CS777) ont également été adoptés avec des avis favorables du Gouvernement.

Article 4 bis
Pénalisation de l’hypertrucage publié sans consentement

Adopté par la commission sans modification

Le présent article, introduit par le Sénat en séance, élargit le périmètre de l’article 226-8 du code pénal relatif à la publication de montage d’une personne sans son consentement, en ajoutant la publication de contenus générés par une intelligence artificielle et reproduisant l’image ou les paroles d’une personne sans son consentement. La publication d’un hypertrucage sans consentement serait passible d’un an d’emprisonnement et de 45 000 euros d’amende.

I.   Le droit en vigueur

L’hypertrucage (deepfake) est une technique de synthèse multimédia reposant sur l’intelligence artificielle, pouvant servir à superposer ou fusionner des images, des fichiers audio ou vidéo existants sur d’autres fichiers vidéo (changement de visage d’une personne sur une vidéo) ou audio (substitution de propos en reproduisant la voix de la personne), à créer un contenu artificiel sur une personne cible à partir du comportement d’une personne source, ou même à créer artificiellement des contenus ressemblants à partir de commandes textuelles ([90]). 

La multiplication des solutions permettant de générer des contenus grâce à l’intelligence artificielle a facilité l’expansion de ce phénomène. Or le droit actuel ne permettrait pas de lutter contre les vidéos hypertruquées et diffusées sans le consentement de la personne représentée ([91]). 

Ainsi, l’article 226-8 du code pénal prévoit que le fait de publier un montage réalisé avec les paroles ou l’image d’une personne sans son consentement, par quelque moyen que ce soit, est puni d’un an d’emprisonnement et de 15 000 euros d’amende, sauf s’il apparaît évident qu’il s’agit d’un montage ou qu’il en est fait expressément mention.

Néanmoins, la notion de montage paraît trop imprécise pour recouvrir les contenus générés par une intelligence artificielle.

II.   Le dispositif adopté par le Sénat

Le présent article 4 bis est issu de l’adoption, en séance publique, de l’amendement n° 127 du Gouvernement, qui a reçu un avis favorable de la commission.

Le nouvel article 4 bis crée un cadre spécifique en ajoutant un nouveau délit, celui de publication d’un hypertrucage représentant l’image ou les paroles d’une personne sans son consentement.

Le fait de publier, par quelque voie que ce soit, « un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement », sera punie des mêmes peines que celle de publication d’un montage sans consentement, soit un an d’emprisonnement et 15 000 euros d’amende, sauf s’il est évident qu’il s’agit d’un contenu généré algorithmiquement ou s’il en est fait expressément mention.

Le deuxième alinéa du nouvel article crée une circonstance aggravante : lorsque l’infraction a été réalisée en utilisant un service de communication au public en ligne, la peine est alors portée à deux ans d’emprisonnement et 45 000 euros d’amende.

Ce nouvel article s’articule avec l’article 5 ter, également adopté par le Sénat, qui crée un délit de publication d’hypertrucage à caractère sexuel.

III.   Les travaux de la commission

La commission spéciale a adopté le présent article sans y apporter de modifications.

Article 5
Peine complémentaire de suspension de l’accès à un service de plateforme en ligne

Adopté par la commission avec modifications

1.   LE DROIT EN VIGUEUR

● Le contrôle interne opéré par les plateformes

Les fournisseurs de services de plateformes en ligne ont la faculté de suspendre l’accès de certains utilisateurs à leur compte lorsqu’ils constatent des infractions à leurs conditions générales d’utilisation ou à la loi.

Le réseau social X (anciennement Twitter) fait ainsi état de 72 139 comptes suspendus au niveau européen pour avoir enfreint les règles de la plateforme relatives au cyber harcèlement, et 127 954 comptes suspendus pour avoir enfreint celles relatives à la haine en ligne ([92]).

Dans sa contribution écrite aux travaux de la rapporteure, l’entreprise Meta (qui comprend notamment le réseau Instagram) a indiqué qu’au premier trimestre de l’année 2023, plus de 6,6 millions de contenus avaient été supprimés par l’entreprise sur Instagram car ils allaient à l’encontre des règles en matière de harcèlement. 90 % de ces contenus avaient été identifiés de manière proactive par la plateforme.

L’article 23 du règlement (UE) 2022/2065 sur les services numériques (RSN) prévoit la mise en place par les plateformes en ligne de mesures de lutte et de protection contre les utilisations abusives.

● Les peines complémentaires

Les peines complémentaires s’ajoutent à une peine principale d’amende ou d’emprisonnement.

Il existe des peines complémentaires obligatoires : le juge n’a alors pas d’autre choix que de les prononcer. À titre d’exemple, l’article 131-26-2 du code pénal prévoit ainsi une peine complémentaire d’inéligibilité obligatoire pour toute personne coupable d’un délit mentionné au II du même article ou d’un crime. Le III de l’article prévoit néanmoins la possibilité pour la juridiction de ne pas prononcer la peine prévue, en considération des circonstances de l’infraction et de la personnalité de son auteur.

À l’inverse, certaines peines complémentaires sont facultatives : le juge doit les prononcer expressément pour qu’elles soient retenues. C’est le cas par exemple des peines complémentaires prévues à l’article 222-44 du code pénal, parmi lesquelles l’interdiction de porter une arme et l’annulation du permis de conduire.

II.   lE DISPOSITIF PROPOSÉ

L’article 5 crée une peine complémentaire de « bannissement » des réseaux sociaux en rétablissant l’article 131-35-1 du code pénal.

Dans sa nouvelle rédaction issue du présent article, l’article 131-35-1 du code pénal prévoit que pour les délits mentionnés au II de l’article, une peine complémentaire de suspension du compte d’accès au service de plateforme en ligne ([93]) ayant été utilisé pour commettre l’infraction peut être prononcée par le tribunal. Cette peine peut être prononcée pour une durée qui ne peut excéder six mois. Cette durée peut être portée à un an si la personne mise en cause est en état de récidive légale.

Le deuxième alinéa de l’article 131-35-1 du code pénal organise la notification de la condamnation aux plateformes. La décision de condamnation est signifiée au fournisseur de service de plateforme en ligne concerné. Ledit fournisseur doit ensuite, pendant la durée d’exécution de la peine :

– procéder au blocage du compte ayant fait l’objet d’une suspension ;

– mettre en œuvre des mesures pour bloquer les autres comptes d’accès à sa plateforme de la personne concernée par la condamnation, ainsi que l’empêcher de créer de nouveaux comptes.

Le fournisseur qui ne procède pas au blocage du compte ayant fait l’objet d’une suspension est passible de 75 000 euros d’amende.

La personne condamnée à cette peine complémentaire peut en solliciter le relèvement devant la juridiction compétente à l’issue d’un délai de trois mois après la décision initiale de condamnation (troisième alinéa de l’article 131-35-1 précité). Ce délai constitue une dérogation au troisième alinéa de l’article 702-1 du code de procédure pénale, qui prévoit qu’une telle demande ne peut être portée devant la juridiction compétente qu’à l’issue d’un délai de six mois après la décision initiale de condamnation. Elle doit dans ce cas spécialement motiver sa décision.

Le II de l’article 131-35-1 précité dresse la liste des délits pour lesquels cette peine complémentaire est encourue. Elle reprend la liste des infractions visées au 7 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).

La liste complète des délits est retracée dans le tableau ci-dessus, qui rappelle également les peines encourues pour chacun des délits.

Infractions concernées par la peine complémentaire de suspension de compte d’accès à un service en ligne

Articles	Délit ou crime concerné	Peines prévues
Délits de harcèlement
Article 222-33 du code pénal	Harcèlement sexuel	2 ans d’emprisonnement et 30 000 euros d’amende
Article 222-33-2-1 du code pénal	Harcèlement moral d’un conjoint ou ex-conjoint	• 3 ans d’emprisonnement et 45 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 5 ans d’emprisonnement et 75 000 euros d’amende (si ITT supérieure à huit jours)
Article 222-33-2-2 du code pénal	Harcèlement moral	• 1 an d’emprisonnement et 15 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 2 ans d’emprisonnement et 30 000 euros d’amende (si ITT supérieure à huit jours)
Article 222-33-2-3 du code pénal	Harcèlement scolaire	• 3 ans d’emprisonnement et 45 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 5 ans d’emprisonnement et 75 000 euros d’amende (si ITT supérieure à huit jours) • 10 ans d’emprisonnement et 150 000 euros d’amende (suicide ou tentative de suicide de la victime)
Article 222-33-3 du code pénal (alinéa 2)	Diffusion de l’enregistrement d’images relatives à la commission d’une atteinte volontaire à l’intégrité de la personne	5 ans d’emprisonnement et 75 000 euros d’amende
Atteintes à la dignité de la personne
Article 225-4-13 du code pénal	Comportements et pratiques visant à modifier ou réprimer l’orientation sexuelle ou l’identité de genre	• 2 ans d’emprisonnement et 30 000 euros d’amende • 3 ans d’emprisonnement et 45 000 euros d’amende (si les faits sont commis au préjudice d’un mineur ou par un ascendant)
Article 225-5 du code pénal	Proxénétisme	7 ans d’emprisonnement et de 150 000 euros d’amende
Article 225-6 du code pénal	Infractions assimilées au proxénétisme	7 ans d’emprisonnement et de 150 000 euros d’amende
Infractions sexuelles commises contre les mineurs
Article 227-23 du code pénal	Diffusion, offre, cession d’images pédopornographiques	5 ans d’emprisonnement et 75 000 euros d’amende
Article 227-24 du code pénal	Fabrication, transport, diffusion de message violent, pornographique ou contraire à la dignité, lorsqu’il est susceptible d’être vu ou perçu par un mineur	3 ans d’emprisonnement et 75 000 euros d’amende
Apologie d’actes de terrorisme
Article 421-2-5 du code pénal	Provocation ou apologie d’actes de terrorisme	• 5 ans d’emprisonnement et 75 000 euros d’amende • 7 ans d’emprisonnement et 100 000 euros d’amende (si un service de communication au public en ligne a été utilisé)
Délits de presse
Article 24 de la loi du 29 juillet 1881 (alinéa 5)	Apologie publique des crimes contre l’humanité, des crimes de réduction en esclavage ou d’exploitation d’une personne réduite en esclavage ou des crimes et délits de collaboration avec l’ennemi	5 ans d’emprisonnement et 45 000 euros d’amende
Article 24 de la loi du 29 juillet 1881 (alinéa 7)	Provocation publique à la discrimination, à la haine ou à la violence en raison de l’origine, de l’appartenance ou de la non-appartenance d’une personne à une ethnie, une nation, une race ou une religion déterminée	1 an d’emprisonnement et 45 000 euros d’amende
Article 24 de la loi du 29 juillet 1881 (alinéa 8)	Provocation à la haine ou à la violence à l’égard d’une personne en raison de son sexe, de son orientation sexuelle, identité de genre ou de son handicap	1 an d’emprisonnement et 45 000 euros d’amende
Article 24 bis de la loi du 29 juillet 1881	Contestation des crimes contre l’humanité, avoir nié ou minoré l’existence d’un crime de génocide	1 an d’emprisonnement et 45 000 euros d’amende

Source : commission spéciale

III.   Les modifications apportÉes par le SÉnat

Le Sénat a apporté plusieurs modifications d’ampleur au présent article.

A.   L’élargissement de la portée de la peine complémentaire

● L’amendement COM-98 du rapporteur M. Loïc Hervé, adopté en commission procède à une nouvelle rédaction des deux premiers alinéas de l’article 131-35-1 du code pénal :

– il donne la possibilité au juge de réclamer la suspension de plusieurs comptes d’accès à des services en ligne utilisés pour commettre l’infraction, en précisant que cela est possible même lorsque ces services n’ont pas constitué le moyen principal ou unique de la commission de celle-ci ;

– il ajoute aux plateformes en ligne les services de réseaux sociaux en ligne et les services de plateformes de partage de vidéos, qui devront également procéder à la suspension des comptes d’accès ;

– il complète la procédure de notification aux plateformes en prévoyant que le prononcé de la peine complémentaire de suspension d’un compte d’accès est également signifié aux fournisseurs de services concernés, en plus de la dénomination du compte d’accès ;

– enfin, il encadre la mise en œuvre par les fournisseurs concernés de mesures visant à bloquer les autres comptes d’accès et interdire la création de nouveaux comptes, en prévoyant que ces mesures doivent respecter les limites prévues à l’article 46 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui précise le cadre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions et aux mesures de sûreté.

● L’amendement n° 133, déposé en séance par le rapporteur M. Loïc Hervé au nom de la commission spéciale, apporte plusieurs clarifications rédactionnelles. Il a été adopté avec un avis favorable du Gouvernement.

B.   L’élargissement de la liste des délits pour lesquels la peine complémentaire peut être prononcée

● L’amendement COM-99 rect. du rapporteur M. Loïc Hervé, adopté au stade de l’examen du texte en commission, élargit significativement la liste des délits pour lesquels une peine complémentaire de suspension à un compte d’accès à une plateforme en ligne peut être prononcée.

Considérant que le champ matériel de la nouvelle peine complémentaire ne couvrait pas l’ensemble des infractions pouvant être commises en utilisant un service en ligne, la commission a ainsi élargi l’application de la peine complémentaire, entre autres, aux faits analogues au harcèlement, mais également à divers délits de provocation et à l’entrave, par voie de menaces, à l’exercice des libertés publiques et aux débats des assemblées parlementaires ou organes délibérants des collectivités territoriales.

● L’amendement n° 134 déposé par M. Haye (groupe Rassemblement des démocrates, progressistes et indépendants), a été adopté en séance avec un avis favorable de la commission et un avis défavorable du Gouvernement. Il a retiré certains délits de la liste des infractions qui peuvent faire l’objet d’une peine complémentaire de suspension d’accès à un compte.

Le tableau ci-dessous retrace les ajouts et les retraits réalisés au Sénat. La liste complète des délits ajoutés par la commission du Sénat est retracée en gras. Les délits ajoutés en commission puis retirés en séance sont indiqués en gras et italique. Le délit ajouté en séance par le Sénat est souligné.

évolution, au cours des débats au sénat, de la liste des Infractions susceptibles de faire l’objet d’une peine complémentaire de suspension d’accès à un compte

Articles	Délit ou crime concerné	Peines prévues
Délits de harcèlement
Article 222-33 du code pénal	Harcèlement sexuel	2 ans d’emprisonnement et 30 000 euros d’amende
Article 222-33-1-1 du code pénal	Outrage sexiste et sexuel	3 750 euros d’amende
Article 222-33-2 du code pénal	Harcèlement ayant pour conséquence une dégradation des conditions de travail	2 ans d’emprisonnement et 30 000 d’amende
Article 222-33-2-1 du code pénal	Harcèlement moral d’un conjoint ou ex-conjoint	• 3 ans d’emprisonnement et 45 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 5 ans d’emprisonnement et 75 000 euros d’amende (si ITT supérieure à huit jours)
Article 222-33-2-2 du code pénal	Harcèlement moral	• 1 an d’emprisonnement et 15 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 2 ans d’emprisonnement et 30 000 euros d’amende (si ITT supérieure à huit jours, ou si commis via l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique)
Article 222-33-2-3 du code pénal	Harcèlement scolaire	• 3 ans d’emprisonnement et 45 000 euros d’amende (si ITT inférieure ou égale à huit jours) • 5 ans d’emprisonnement et 75 000 euros d’amende (si ITT supérieure à huit jours) • 10 ans d’emprisonnement et 150 000 euros d’amende (suicide ou tentative de suicide de la victime)
Article 222-33-3 du code pénal (alinéa 2)	Diffusion de l’enregistrement d’images relatives à la commission d’une atteinte volontaire à l’intégrité de la personne	5 ans d’emprisonnement et 75 000 euros d’amende
Atteintes à la dignité de la personne
Article 225-4-13 du code pénal	Comportements et pratiques visant à modifier ou réprimer l’orientation sexuelle ou l’identité de genre	2 ans d’emprisonnement et 30 000 euros d’amende 3 ans d’emprisonnement et 45 000 euros d’amende (si les faits sont commis au préjudice d’un mineur ou par un ascendant)
Article 225-5 du code pénal	Proxénétisme	7 ans d’emprisonnement et 150 000 euros d’amende
article 225-6 du code pénal	infractions assimilées au proxénétisme	7 ans d’emprisonnement et 150 000 euros d’amende
Article 225-10 du code pénal	Gestion, exploitation, direction, financement d’un établissement de prostitution	10 ans d’emprisonnement et 750 000 euros d’amende
Atteintes à la vie privée
Article 226-1 du code pénal	Volontairement porter atteinte à l’intimité de la vie privée d’autrui	1 an d’emprisonnement et 45 000 euros d’amende
Article 226-2 du code pénal	Conserver et porter à la connaissance du public des enregistrements qui portent atteinte à l’intimité de la vie privée d’autrui	1 an d’emprisonnement et 45 000 euros d’amende
Article 226-2-1 du code pénal	Délits mentionnés aux articles 226-1 et 226-2 du code pénal portant sur des images ou des paroles présentant un caractère sexuel	2 ans d’emprisonnement et 60 000 euros d’amende
Article 226-3 du code pénal	Fabrication, importation, détention, exposition, offre, location ou vente d’appareils destinés à détourner des correspondances adressées à des tiers ou détecter à distance des conversations	5 ans d’emprisonnement et 300 000 euros d’amende
Article 226-4-1 du code pénal	Usurpation de l’identité d’un tiers ou usage de données de nature à identifier une personne ou de porter atteinte à son honneur	1 an d’emprisonnement et 15 000 euros d’amende
Article 226-8 du code pénal	Publier un montage réalisé avec les paroles ou l’image d’une personne sans consentement	1 an d’emprisonnement et 15 000 euros d’amende
Article 226-8-1 du code pénal (créé par l’article 5 ter du présent projet de loi)	Publication d’un deepfake à caractère sexuel	2 ans d’emprisonnement et 60 000 euros d’amende
Violation des ordonnances de protection
Article 227-4-2 du code pénal	Violation par une personne des obligations ou interdictions imposées dans une ordonnance de protection	2 ans d’emprisonnement et 15 000 euros d’amende
Infractions sexuelles commises contre les mineurs
Article 227-22 du code pénal	Favoriser la corruption d’un mineur	5 ans d’emprisonnement et 75 000 euros d’amende
Article 227-22-1 du code pénal	Propositions sexuelles par un majeur à un mineur en utilisant un moyen de communication électronique	2 ans d’emprisonnement et 75 000 euros d’amende
Article 227-22-2 du code pénal	Incitation d’un mineur par un majeur à commettre tout acte de nature sexuelle, par un moyen de communication électronique	7 ans d’emprisonnement et 100 000 euros d’amende
Article 227-23 du code pénal	Diffusion, offre, cession d’images pédopornographiques	5 ans d’emprisonnement et 75 000 euros d’amende
Article 227-24 du code pénal	Fabrication, transport, diffusion de message violent, pornographique ou contraire à la dignité, lorsqu’il est susceptible d’être vu ou perçu par un mineur	3 ans d’emprisonnement et 75 000 euros d’amende
Risques causés à autrui
Article 223-1-1 du code pénal	Diffusion ou révélation d’informations relatives à la vie privée, familiale ou professionnelle d’une personne pour l’identifier ou la localiser	3 ans d’emprisonnement et 45 000 euros d’amende
Atteintes à la personnalité
Article 226-10 du code pénal	Dénonciation calomnieuse	5 ans d’emprisonnement et 45 000 euros d’amende
Article 226-21 du code pénal	Détournement de données à caractère personnel de leur finalité	5 ans d’emprisonnement et 300 000 euros d’amende
Article 226-22 du code pénal	Détournement de données à caractère personnel alors que la divulgation porterait préjudice à la personne concernée	5 ans d’emprisonnement et 100 000 euros d’amende
Atteintes à certains services ou unités spécialisés
Article 413-13 du code pénal	Révélation de toute information conduisant à la découverte d’une identité d’emprunt ou de l’identité réelle d’un agent de certains services spécialisés	5 ans d’emprisonnement et 75 000 euros d’amende
Article 413-14 du code pénal	Révélation ou divulgation de toute information pouvant conduire à l’identification d’une personne comme membre des unités des forces spéciales	5 ans d’emprisonnement et 75 000 euros d’amende
Chantage
Article 312-10 du code pénal	Chantage	5 ans d’emprisonnement et 75 000 euros d’amende
Article 312-11 du code pénal	Chantage avec menace mise à exécution	7 ans d’emprisonnement et 100 000 euros d’amende
Article 312-12 du code pénal	Tentative de chantage	5 ans d’emprisonnement et 75 000 euros d’amende
Provocations
Article 211-2 du code pénal	Provocation publique à commettre un génocide	• Perpétuité si la provocation a été suivie d’effet • 7 ans d’emprisonnement et 100 000 euros d’amende si elle n’a pas été suivie d’effet
Article 223-13 du code pénal	Provocation au suicide	3 ans d’emprisonnement et 45 000 euros d’amende
Article 227-18 du code pénal	Provoquer un mineur à faire un usage illicite de stupéfiants	5 ans d’emprisonnement et 100 000 euros d’amende
Article 227-18-1 du code pénal	Provoquer un mineur à transporter, détenir, offrir ou céder des stupéfiants	7 ans d’emprisonnement et 150 000 euros d’amende
Article 227-19 du code pénal	Provoquer un mineur à la consommation excessive d’alcool ou à la consommation habituelle d’alcool	• 1 an d’emprisonnement et 15 000 euros d’amende (pour consommation excessive) • 2 ans d’emprisonnement et 45 000 euros d’amende (pour consommation habituelle)
Article 227-21 du code pénal	Provoquer un mineur à commettre un délit	5 ans d’emprisonnement et 150 000 euros d’amende
Article 412-8 du code pénal	Provocation à s’armer contre l’autorité de l’État ou contre une partie de la population	5 ans d’emprisonnement et 75 000 euros d’amende
Article 431-6 du code pénal	Provocation directe à un attroupement armé, par des cris, des écrits, ou tout autre moyen de transmission de l’écrit, de la parole ou de l’image	1 an d’emprisonnement et 15 000 euros d’amende
Article 431-6 du code pénal (alinéa 2)	Provocation directe à un attroupement armé, par des cris, des écrits, ou tout autre moyen de transmission de l’écrit, de la parole ou de l’image suivie d’effet	7 ans d’emprisonnement et 100 000 euros d’amende
Atteintes à la paix publique
Article 431-1 du code pénal	Entrave à l’exercice de la liberté d’expression, du travail, d’association, de réunion ou de manifestation, ou entrave au déroulement des débats d’une assemblée parlementaire ou d’un organe délibérant d’une collectivité territoriale	1 an d’emprisonnement et 15 000 euros d’amende
Article 433-3 du code pénal	Menace de commettre un délit ou un crime à l’encontre d’une personne investie d’un mandat électif public, d’un magistrat, d’un officier public ou ministériel, de toute personne dépositaire de l’autorité publique	3 ans d’emprisonnement et 45 000 euros d’amende
Article 433-3-1 du code pénal	Menaces ou violences à l’égard de toute personne participant à l’exécution d’une mission de service public	5 ans d’emprisonnement et 75 000 euros d’amende
Apologie d’actes de terrorisme
Article 421-2-5 du code pénal	Provocation ou apologie d’actes de terrorisme	• 5 ans d’emprisonnement et 75 000 euros d’amende • 7 ans d’emprisonnement et 100 000 euros d’amende (si un service de communication au public en ligne a été utilisé)
Délits de presse
Article 24 de la loi du 29 juillet 1881 (alinéa 5)	Apologie publique des crimes contre l’humanité, des crimes de réduction en esclavage ou d’exploitation d’une personne réduite en esclavage ou des crimes et délits de collaboration avec l’ennemi	5 ans d’emprisonnement et 45 000 euros d’amende
Article 24 de la loi du 29 juillet 1881 (alinéa 7)	Provocation publique à la discrimination, à la haine ou à la violence en raison de l’origine, de l’appartenance ou de la non-appartenance d’une personne à une ethnie, une nation, une race ou une religion déterminée	1 an d’emprisonnement et 45 000 euros d’amende
Article 24 de la loi du 29 juillet 1881 (alinéa 8)	Provocation à la haine ou à la violence à l’égard d’une personne en raison de son sexe, de son orientation sexuelle, identité de genre ou de son handicap	1 an d’emprisonnement et 45 000 euros d’amende
Article 24 bis de la loi du 29 juillet 1881	Contestation des crimes contre l’humanité, fait de nier ou minorer l’existence d’un crime de génocide	1 an d’emprisonnement et 45 000 euros d’amende

Source : commission spéciale.

C.   Laisser la possibilité au juge de prononcer une suspension d’accès dans d’autres cas

● L’amendement COM-100 du rapporteur M. Loïc Hervé, adopté en commission, complète l’article pour étendre la peine de suspension d’accès à un compte d’une plateforme en ligne aux peines alternatives à l’emprisonnement, à l’application des peines et à la composition pénale.

Il modifie l’article 131-6 du code pénal qui concerne les peines privatives ou restrictives de liberté qui peuvent être prononcées comme alternative à une peine d’emprisonnement. Ce nouvel alinéa ajoute une peine alternative d’interdiction, pendant une période de trois ans au plus, d’accès à un ou plusieurs services de plateformes, de réseaux sociaux en ligne et de services de plateformes de partage de vidéos. Il est précisé que cette peine peut être proposée lorsque l’infraction a été commise en recourant à un service en ligne, y compris si celui-ci n’a pas été le moyen unique ou principal de l’infraction.

L’amendement n° 135, déposé par M. Haye (groupe Rassemblement des démocrates, progressistes et indépendants) a été adopté au stade de l’examen du texte en séance publique avec un avis de sagesse de la commission et un avis favorable du Gouvernement. Il raccourcit la durée de la peine de bannissement des plateformes et des réseaux à six mois, pour l’aligner sur la durée prévue pour la peine complémentaire et garantir la proportionnalité des peines.

L’amendement COM-100 insère également un nouvel alinéa au sein de l’article 132-45 du code pénal, qui liste les obligations qu’une juridiction de condamnation ou qu’un juge d’application des peines peut imposer à un condamné placé sous le régime de la probation.

Ce nouvel alinéa ouvre la possibilité pour le juge d’obliger le condamné à s’abstenir d’utiliser un compte d’accès à certains services en ligne, désignés par le juge, au risque sinon de voir révoquer son sursis probatoire. Cette possibilité est limitée aux cas où l’infraction a été commise en recourant à un service en ligne, y compris si celui-ci n’a pas été le moyen unique ou principal de commettre cette infraction.

Enfin, l’amendement COM-100 insère un nouvel alinéa au sein de l’article 41-2 du code de procédure pénale, qui prévoit les conditions dans lesquelles le procureur de la République peut proposer à une personne qui reconnaît avoir commis un délit, une composition pénale, c’est-à-dire l’application d’une sanction qui évite la tenue d’un procès. La peine encourue pour les délits commis doit être d’une durée inférieure ou égale à cinq ans.

Le nouvel alinéa ouvre la possibilité au procureur de la République de proposer une nouvelle mesure dans le cadre d’une composition pénale, soit le fait pour la personne ayant commis un délit de ne pas utiliser un compte d’accès à un ou des services de plateformes en ligne, services de réseaux sociaux et services de plateformes en ligne de partage de vidéos. Cette mesure ne peut pas excéder six mois. Contrairement aux deux précédents ajouts, la mention de l’utilisation d’un ou plusieurs comptes pour commettre l’infraction n’est pas mentionnée ici.

IV.   La position de la commission

A.   La modification de la liste des dÉlits pour lesquels la peine complÉmentaire peut Ȇtre prononcÉe

La commission spéciale a apporté plusieurs modifications à la liste des délits pour lesquels une peine complémentaire peut être prononcée par le juge.

La rapporteure, attentive à l’équilibre du dispositif, s’est attachée à restreindre la liste des délits pour lesquels une peine complémentaire peut être proposée. Elle a notamment écarté les délits dont le lien avec les réseaux sociaux était plus ténu, comme la gestion d’un établissement de prostitution prévu à l’article 225-10 du code pénal.

À l’inverse, plusieurs députés ont souhaité élargir la liste des délits : le délit d’entrave à l’avortement, prévu à l’article L. 2223-2 du code de la santé publique, a ainsi été ajouté après l’adoption de quatre amendements identiques déposés par plusieurs groupes.

Le tableau ci-dessous récapitule les délits ajoutés et les délits retirés par la commission spéciale.

Évolution, au cours des débats en commission spéciale, des INFRACTIONS pour lesquelles une peine complémentaire de bannissement peut être prononcée

Articles	Délit ou crime concerné	Peines prévues	Amendement
Délits ajoutés en commission spéciale
Deuxième et troisième alinéas de l’article 32 et troisième et quatrième alinéas de l’article 33 de la loi du 29 juillet 1881 sur la liberté de la presse	Diffamation ou injure commise envers une personne à raison de leur origine ou de leur appartenance à une ethnie, une nation, une race, une religion déterminée ou à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou handicap	1 an d’emprisonnement et 45 000 euros d'amende	CS14 (M.Gérard, RE)
Délits prévus à l’article 4 de la loi n° 2023-451 du 9 juin 2023	Promotion de certains produits par des personnes exerçant l'activité d’influence commerciale	2 ans d’emprisonnement et 300 000 euros d'amende	CS508 (M.Vojetta, RE)
Article L. 2223-2 du code de la santé publique	Entrave à l’avortement	2 ans d’emprisonnement et 30 000 euros d'amende	Identiques CS651 (M. Balanant, Dem), CS726 (Mme Yadan, RE), CS 862 (Mme Santiago, Soc) et CS863 (M. Taché, Écolo-NUPES)
Délits retirés en commission spéciale
Article 225-10 du code pénal	Gestion, exploitation, direction, financement d’un établissement de prostitution	10 ans d’emprisonnement et 750 000 euros d’amende	CS881 (rapporteure)
Article 227-4-2 du code pénal	Violation par une personne des obligations ou interdictions imposées dans une ordonnance de protection	2 ans d’emprisonnement et 15 000 euros d’amende	CS882 (rapporteure)
Article 226-10 du code pénal	Dénonciation calomnieuse	5 ans d’emprisonnement et 45 000 euros d’amende	CS883 (rapporteure)
Article 226-21 du code pénal	Détournement de données à caractère personnel de leur finalité	5 ans d’emprisonnement et 300 000 euros d’amende	CS883 (rapporteure)
Article 226-22 du code pénal	Détournement de données à caractère personnel alors que la divulgation porterait préjudice à la personne concernée	5 ans d’emprisonnement et 100 000 euros d’amende	CS883 (rapporteure)
Article 413-13 du code pénal	Révélation de toute information conduisant à la découverte d’une identité d’emprunt ou de l’identité réelle d’un agent de certains services spécialisés	5 ans d’emprisonnement et 75 000 euros d’amende	CS883 (rapporteure)
Article 413-14 du code pénal	Révélation ou divulgation de toute information pouvant conduire à l’identification d’une personne comme membre des unités des forces spéciales	5 ans d’emprisonnement et 75 000 euros d’amende	CS883 (rapporteure)
Article 312-10 du code pénal	Chantage	5 ans d’emprisonnement et 75 000 euros d’amende	CS884 (rapporteure)
Article 312-11 du code pénal	Chantage avec menace mise à exécution	7 ans d’emprisonnement et 100 000 euros d’amende	CS884 (rapporteure)
Article 312-12 du code pénal	Tentative de chantage	5 ans d’emprisonnement et 75 000 euros d’amende	CS884 (rapporteure)

Source : commission spéciale.

B.   Recentrer le recours À l’interdiction d’utiliser un compte d’accÈs

Sur proposition de la rapporteure et avec des avis favorables du Gouvernement, l’interdiction d’utiliser un compte d’accès à une plateforme en ligne dans le cadre d’une alternative à l’emprisonnement a été recentrée :

– l’amendement CS796 a restreint le champ des infractions aux délits pour lesquels peut être prononcée une peine complémentaire ;

– l’amendement CS799 a restreint l’interdiction aux comptes ayant été utilisés pour commettre l’infraction.

Sur proposition de la rapporteure, de Mme Sophia Chikirou (LFI-NUPES) et de M. Aurélien Taché (Écolo-NUPES), et avec un avis favorable du Gouvernement, la possibilité pour le juge de prononcer une interdiction d’utiliser des comptes d’accès dans le cadre d’un sursis probatoire a été supprimée (CS794, CS439 et CS851). Le sursis probatoire pouvant être prononcé pour une période allant jusqu’à cinq ans, il est apparu trop restrictif pour la liberté d’expression des personnes condamnées d’y associer une interdiction d’utilisation des comptes d’accès.

Sur proposition de la rapporteure et avec des avis favorables du Gouvernement, l’interdiction d’utiliser un compte d’accès à une plateforme en ligne dans le cadre d’une composition pénale a été recentrée :

– l’amendement CS797 a restreint le champ des infractions aux délits pour lesquels peut être prononcée une peine complémentaire ;

– l’amendement CS798 a restreint l’interdiction aux comptes ayant été utilisés pour commettre l’infraction.

La rapporteure a également simplifié les éléments qui sont notifiés aux plateformes en faisant adopter l’amendement CS795 avec un avis favorable du Gouvernement.

Sur proposition de la rapporteure, la commission spéciale a adopté quatre amendements apportant des modifications rédactionnelles (CS783, CS784, CS785, CS782).

Article 5 bis
Création d’un délit général d’outrage en ligne pouvant faire l’objet d’une amende forfaitaire délictuelle

Adopté par la commission avec modifications

– ou des injures et diffamations publiques sexistes, homophobes, handiphobes, transphobes c'est-à-dire à raison du sexe, de l’orientation sexuelle, de l’identité de genre ou du handicap.

I.   le droit en vigueur

A.   L’appréhension de l’outrage en ligne par le droit pénal

1.   Une appréhension générale par le biais du droit de la presse ou du harcèlement moral

L’outrage – défini au sens commun comme une expression quelconque (parole ou écrit, dessin ou geste, etc.) qui porte atteinte à l’honneur ou la dignité d’une personne – est appréhendé par le droit pénal par le biais du droit de la presse ou de l’infraction de harcèlement moral.

Dans les deux cas, le fait qu’il soit commis en ligne n’a pas d’incidence sur la caractérisation de l’infraction mais il peut en avoir une sur la peine encourue lorsque ce fait constitue une circonstance aggravante.

a.   L’injure et la diffamation en droit de la presse

● L’article 29 de la loi du 29 juillet 1881 définit l’injure et la diffamation de la façon suivante :

– « toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait est une injure » ;

– « toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation ».

L’injure et la diffamation sont des délits lorsque la condition de publicité, posée à l’article 23 de la même loi, est caractérisée.

L’injure publique – non précédée d’une provocation – et la diffamation publique envers un particulier sont punissables d’une amende de 12 000 euros (articles 32 et 33 de la loi précitée).

Ces peines sont aggravées dans certaines circonstances et peuvent aller jusqu’à trois ans d’emprisonnement et 75 000 euros d’amende pour une injure publique à caractère raciste ou discriminatoire commise par une personne dépositaire de l’autorité publique ou chargée d’une mission de service public.

● Ces délits peuvent être constitués pour des faits commis en ligne.

Toutefois, la condition de publicité n’est pas toujours acquise même lorsque l’auteur des faits a agi sur internet. La Cour de cassation a par exemple estimé que des injures diffusées sur un compte de réseau social accessible aux seules personnes agréées, en nombre très restreint, par l’auteur des propos injurieux, et qui forment entre elles une communauté d’intérêts, ne constituent pas des injures publiques (Cour de cassation, 1ère chambre civile, 10 avril 2013, pourvoi n° 11-19530).

● Le code pénal réprime par des contraventions la diffamation et l’injure non publiques. Ces contraventions peuvent dès lors s’appliquer à des faits commis en ligne ne répondant pas à la condition de publicité prévue pour les délits d’injure et de diffamation.

b.   Le harcèlement moral

Les outrages en ligne peuvent faire l’objet d’une qualification pénale s’ils constituent un harcèlement moral au sens des articles 222-33-2 et suivants du code pénal. Cela implique des « propos ou comportements répétés » si bien qu’un outrage en ligne isolé ne peut pas être appréhendé par cette qualification pénale.

Le harcèlement moral simple – ayant pour objet ou pour effet une dégradation des conditions de vie se traduisant par une altération de la santé physique ou mentale de la victime – est puni d’un an d’emprisonnement et de 15 000 euros d’amende (article 222-33-2-2 du code pénal).

L’utilisation d’un service de communication au public en ligne, d’un support numérique ou d’un support électronique constitue l’une des circonstances aggravantes du harcèlement moral simple. Les peines encourues sont alors portées à deux ans d’emprisonnement et à 30 000 euros d’amende. Lorsqu’une seconde circonstance aggravante est caractérisée, les peines encourues sont portées à trois ans d’emprisonnement et 45 000 euros d’amende.

Les peines encourues sont également plus importantes pour le harcèlement moral sur conjoint, en milieu professionnel et en milieu scolaire. Elles sont de trois ans d’emprisonnement et de 45 000 euros d’amende pour le harcèlement moral en milieu scolaire ainsi que pour le harcèlement moral sur conjoint, partenaire de PACS ou concubin. Elles sont de deux ans d’emprisonnement et de 30 000 euros d’amende pour le harcèlement moral en milieu professionnel.

Pour ces derniers types de harcèlement moral, il n’est pas prévu de circonstance aggravante lorsque les faits ont été commis en ligne. D’autres circonstances aggravantes existent et peuvent porter les sanctions encourues jusqu’à dix ans d’emprisonnement et 150 000 euros d’amende lorsque le harcèlement a conduit la victime à se suicider ou à tenter de se suicider.

En résumé, l’échelle des peines encourues pour la répression du harcèlement moral va d’un à dix ans d’emprisonnement et de 15 000 à 150 000 euros d’amende.

Répression du harcèlement moral par le code pénal

Peines encourues	Qualification pénale et base juridique
Un an d’emprisonnement et 15 000 euros d’amende	• Harcèlement moral simple (article 222-33-2-2 du code pénal)
Deux ans d’emprisonnement et 30 000 euros d’amende	• Harcèlement moral simple avec une circonstance aggravante (article 222-33-2-2 du code pénal). • Harcèlement moral en milieu professionnel (article 222-33-2 du code pénal)
Trois ans d’emprisonnement et 45 000 euros d’amende	• Harcèlement moral simple avec deux circonstances aggravantes (article 222-33-2 du code pénal) • Harcèlement moral sur conjoint (article 222-33-2-1 du code pénal) • Harcèlement moral en milieu scolaire (article 222-33-2-3 du code pénal)
Cinq ans d’emprisonnement et 75 000 euros d’amende	• Harcèlement moral sur conjoint lorsque les faits ont causé une incapacité totale de travail supérieure à huit jours ou ont été commis alors qu’un mineur était présent et y a assisté (article 222-33-2-1 du code pénal) • Harcèlement moral en milieu scolaire lorsque les faits ont causé une incapacité totale de travail supérieure à huit jours (article 222-33-2-3 du code pénal)
Dix ans d’emprisonnement et 150 000 euros d’amende	• Harcèlement moral sur conjoint ou en milieu scolaire lorsque le harcèlement a conduit la victime à se suicider ou à tenter de se suicider (articles 222-33-2-1 et 222-33-2-3 du code pénal)

Source : commission spéciale.

2.   Une appréhension spécifique pour certains outrages

Plusieurs délits sont prévus par le code pénal en matière d’outrage, lesquels peuvent s’appliquer pour des faits commis en ligne lorsque les éléments constitutifs de l’infraction sont réunis.

a.   L’outrage à agent

● L’outrage à une personne chargée d’une mission de service public, dans l’exercice ou à l’occasion de l’exercice de sa mission, est puni de 7 500 euros d’amende (article 433-5 du code pénal).

Il est constitué par des paroles, gestes ou menaces, des écrits ou des images de toute nature non rendus publics ou par l’envoi d’objets quelconques adressés lorsque les faits sont de nature à porter atteinte à la dignité de l’agent ou au respect dû à la fonction dont il est investi.

Lorsqu’il est adressé à une personne dépositaire de l’autorité publique, à un sapeur-pompier ou à un marin-pompier dans l’exercice ou à l’occasion de l’exercice de ses missions, l’outrage est puni d’un an d’emprisonnement et de 15 000 euros d’amende.

Lorsqu’il est adressé à une personne chargée d’une mission de service public et que les faits ont été commis à l’intérieur d’un établissement scolaire ou éducatif, ou, à l’occasion des entrées ou sorties des élèves, aux abords d’un tel établissement, l’outrage est puni de six mois d’emprisonnement et de 7 500 euros d’amende.

Lorsqu’il est commis en réunion, les peines sont aggravées de la façon suivante :

– six mois d’emprisonnement et 7 500 euros d’amende pour l’outrage adressé à une personne chargée d’une mission de service public, dans l’exercice ou à l’occasion de l’exercice de sa mission ;

– deux ans d’emprisonnement et 30 000 euros d’amende pour l’outrage adressé à une personne dépositaire de l’autorité publique, à un sapeur-pompier ou à un marin-pompier dans l’exercice ou à l’occasion de l’exercice de ses missions.

● Sur le même principe, l’outrage à un membre d’une juridiction est réprimé par l’article 434-24 du code pénal.

Il est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Les peines sont portées à deux ans d’emprisonnement et 30 000 euros d’amende lorsque l’outrage est commis à l’audience.

● Enfin, l’outrage à un agent d’un réseau de transport fait l’objet d’une incrimination spécifique prévue à l’article L. 2242-7 du code des transports. Il est puni de six mois d’emprisonnement et de 15 000 euros d’amende. Les peines sont portées à un an d’emprisonnement et 30 000 euros d’amende lorsqu’il est commis en réunion.

b.   L’outrage sexiste ou sexuel

L’outrage sexiste ou sexuel est constitué par tout propos ou tout comportement à connotation sexuelle ou sexiste imposé à une personne, dans certaines circonstances ([94]), lorsqu’il porte atteinte à sa dignité en raison de son caractère dégradant ou humiliant, ou crée à son encontre une situation intimidante, hostile ou offensante (article 222-33-1-1 du code pénal).

Il est puni de 3 750 euros d’amende.

Il peut également, en contrepartie d’une extinction de l’action publique, faire l’objet d’une amende forfaitaire délictuelle (AFD) de 300 euros (voir B).

B.   L’amende forfaitaire délictuelle (AFD)

1.   Définition de l’AFD

La procédure de l’amende forfaitaire délictuelle (AFD) a été créée par l’article 36 de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice. Elle est codifiée aux articles 495-17 à 495-25 du code de procédure pénale.

Il s’agit d’une procédure de transaction – sur le modèle de l’amende forfaitaire contraventionnelle – qui permet d’apporter une réponse pénale simplifiée et rapide, sans jugement par un tribunal. Le recours à l’AFD est facultatif et dépend de la politique pénale locale mise en œuvre par le procureur de la République qui conserve toujours la possibilité d’engager des poursuites devant le tribunal. L’agent qui délivre une AFD agit, en vertu des articles 12 et 39-3 du code de procédure pénale, sous la direction du procureur de la République et conformément à ses instructions générales ou particulières.

2.   Champ d’application de l’AFD

La procédure de l’AFD n’est pas généralisée à l’ensemble des délits. Il s’agit d’une procédure spéciale qui ne peut être appliquée que si la loi la prévoit expressément pour la répression du délit concerné.

Le champ d’application de l’AFD a fait l’objet de plusieurs extensions dont la dernière en date est celle prévue par l’article 25 de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (dite « Lopmi »). Actuellement, une cinquantaine de délits peuvent faire l’objet d’une AFD au titre de leur répression.

Une réserve du Conseil constitutionnel a prévu que cette procédure ne peut pas s’appliquer à des délits punis d’une peine d’emprisonnement supérieure à trois ans ([95]) Dans une autre décision, il a posé les principes selon lesquels l’AFD ne peut porter que sur des infractions dont les éléments constitutifs peuvent être « aisément constatés » et doit demeurer d’un « faible montant »  ([96])

La procédure de l’AFD n’est pas applicable si le délit a été commis par un mineur ou si plusieurs infractions, dont l’une au moins ne peut donner lieu à une AFD, ont été constatées simultanément. Elle n’est pas non plus applicable en état de récidive légale, sauf lorsque la loi en dispose autrement.

3.   Montant de l’AFD

Le montant de l’AFD est fixé pour chaque délit.

Il ne peut excéder 3 000 euros (contre 200 euros pour les amendes forfaitaires contraventionnelles).

Le montant de l’AFD est minoré si l’intéressé effectue le paiement directement entre les mains de l’agent verbalisateur au moment de la constatation de l’infraction ou s’il règle le montant dans un délai de quinze jours à compter de l’envoi de l’avis d’infraction. À l’inverse, le montant est majoré si l’AFD n’est pas payée dans un délai de 45 jours suivant la constatation de l’infraction ou l’envoi de l’avis d’infraction.

principaux Délits pouvant faire l’objet d’une AFD et montants associés

Délit (base juridique)	Montant forfaitaire	Montant minoré	Montant majoré
Abandon de déchets (article L. 541-46 du code de l’environnement)	1 500 euros	1 000 euros	2 500 euros
Conduite sans permis (article L. 221-2 du code de la route)	800 euros	640 euros	1 600 euros
Entrave à la circulation (article L. 412-1 du code de la route)	800 euros	640 euros	1 600 euros
Intrusion dans un établissement d’enseignement scolaire (article 431-22 du code pénal)	500 euros	400 euros	1 000 euros
Vente à la sauvette aggravée (article 446-2 du code pénal)	500 euros	400 euros	1 000 euros
Défaut d’assurance (article L. 324-2 du code de la route)	500 euros	400 euros	1 000 euros
Installation illicite en réunion sur un terrain communal ou privé (article 322-4-1 du code pénal)	500 euros	400 euros	1 000 euros
Rodéos nautiques (article L. 5242-6-6 du code des transports)	500 euros	400 euros	1 000 euros
Exercice frauduleux de la profession de taxi (L. 3124-4 du code des transports)	500 euros	400 euros	1 000 euros
Fraude tachygraphe (ou manipulation frauduleuse d’un appareil de contrôle du temps de travail et de la vitesse installé sur un véhicule professionnel) (article L. 3315-4 du code des transports)	500 euros	400 euros	1 000 euros
Intrusion dans une enceinte sportive de boissons alcooliques, de fusées ou d’artifices (articles L. 332-3 et L. 332-8 du code du sport)	500 euros	400 euros	1 000 euros
Trouble au déroulement d’une compétition sportive (article L. 332-10 du code du sport)	500 euros	400 euros	1 000 euros
Transport d’armes et de munitions non autorisé (article L. 317-8 du code de la sécurité intérieure)	500 euros	400 euros	1 000 euros
Infractions de chasse avec circonstances aggravantes (article L.428-5 du code de l’environnement)	500 euros	400 euros	1 000 euros
Outrage sexiste ou sexuel (article 222-33-1-1 du code pénal)	300 euros	250 euros	600 euros
Achat ou vente d’un chien d’attaque – détention d’un chien d’attaque non stérilisé (article L. 215-2 du code rural et de la pêche maritime)	300 euros	250 euros	600 euros
Défaut de régularisation du permis de détention d’un animal (article L. 215-2-1 du code rural et de la pêche maritime)	300 euros	250 euros	600 euros
Dressage illicite de chiens au mordant (article L. 215-3 du code rural et de la pêche maritime)	300 euros	250 euros	600 euros
Vente à la sauvette simple (article 446-1 du code pénal)	300 euros	250 euros	600 euros
Vol d’une chose d’une valeur inférieure à 300 euros et restituée à la victime (article 311-3-1 du code pénal)	300 euros	250 euros	600 euros
Filouterie (article 313-5 du code pénal)	300 euros	250 euros	600 euros
Vente à des mineurs de boissons alcooliques (article L. 3353-3 du code la santé publique)	300 euros	250 euros	600 euros
Destruction, dégradation ou détérioration d’un bien (article 322-1 du code pénal)	200 euros	150 euros	450 euros
Occupation illicite des halls ou toits d’immeubles d’habitation (article L 272-4 du code de la sécurité intérieure)	200 euros	150 euros	450 euros
Offre ou vente dans les buvettes de boissons non autorisées (article L. 3352-5 du code de la santé publique)	200 euros	150 euros	450 euros
Usage illicite de stupéfiantes (article L. 3421-1 du code de la santé publique)	200 euros	150 euros	450 euros
Fraude aux dispositifs de contrôle de la pollution (article L. 318-3 du code de la route)	200 euros	150 euros	450 euros
Vente au déballage sans déclaration (article L. 310-5 du code de commerce)	200 euros	150 euros	450 euros

Source : commission spéciale.

4.   Inscription au casier judiciaire et recours

En cas de paiement ou d’absence de contestation dans les délais autorisés, l’AFD est inscrite au casier judiciaire.

Si une contestation de l’AFD est introduite dans les formes et les délais prévus par le code de procédure pénale, le procureur de la République doit soit renoncer aux poursuites, soit envisager d’autres modalités pour exercer l’action publique (saisine du tribunal correctionnel, procédure simplifiée de l’ordonnance pénale, ou encore procédure comparution sur reconnaissance préalable de culpabilité). En revanche, le ministère public ne peut pas faire usage des mesures alternatives aux poursuites.

Il peut aussi prononcer l’irrecevabilité de la contestation de l’AFD si celle-ci n’est pas motivée ou n’a pas été adressée dans les formes prévues. La décision d’irrecevabilité peut être contestée devant le président du tribunal correctionnel ou un magistrat délégué.

En cas de condamnation à la suite de poursuites consécutives à une contestation de l’AFD, le tribunal correctionnel doit prononcer une peine d’amende qui ne peut pas être inférieure au montant de l’AFD ou de l’AFD majorée, augmentée d’un taux de 10 %. Toutefois, à titre exceptionnel, le tribunal peut, par décision spécialement motivée au regard des charges et des revenus de la personne, ne pas prononcer d’amende ou prononcer une amende d’un montant inférieur à celui de l’AFD ou de l’AFD majorée.

5.   Application de l’AFD en matière d’outrage

En matière d’outrage, la procédure d’AFD est aujourd’hui applicable, y compris en cas de récidive, uniquement à l’outrage sexiste ou sexuel prévu et réprimé par l’article 222-33-1-1 du code pénal.

Le montant de l’AFD est de 300 euros (250 euros pour l’amende minorée et 600 euros pour l’amende majorée).

En théorie, des AFD peuvent donc être délivrées pour des outrages sexistes et sexuels commis en ligne.

II.   le Dispositif introduit par le Sénat

Le présent article a été introduit en séance par un amendement présenté par M. Loïc Hervé, rapporteur, au nom de la commission spéciale (n° 134). Il a recueilli un avis défavorable du Gouvernement.

Il crée un délit général d’outrage en ligne.

Pour ce faire, il introduit une nouvelle section dans le code pénal – intitulée « De l’outrage en ligne » – et comprenant deux nouveaux articles. Cette nouvelle section est insérée après la section 4 du chapitre II du titre II du livre II du code pénal, c’est-à-dire après l’article 222-33-1-1 relatif au délit d’outrage sexiste et sexuel.

L’auteur de l’amendement a justifié, dans l’exposé sommaire, la création de ce nouveau délit par le fait que le harcèlement en ligne – le « cyberharcèlement » – serait aujourd’hui mal appréhendé par l’infraction générale de harcèlement moral.

Il serait également réprimé trop tardivement, la sanction pénale n’intervenant que « plusieurs mois, voire plusieurs années après la commission des faits ». L’objectif recherché par l’auteur de l’amendement est d’obtenir, sur le modèle du délit d’outrage sexiste et sexuel, une « sanction immédiate par le biais d’une amende forfaitaire délictuelle, outil qui a fait la preuve de son efficacité pour certains délits ».

A.   Les éléments constitutifs du délit d’outrage en ligne

● L’article 222-33-1-2 (nouveau) du code pénal punit le fait de « diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

La diffusion en ligne est définie comme « tout contenu transmis au moyen d’un service de plateforme en ligne », « d’un service de réseaux sociaux en ligne ou d’un service de plateformes de partage de vidéo ».

Contrairement au harcèlement moral, l’infraction est caractérisée au premier acte. Il n’est pas nécessaire d’établir un comportement ou des propos répétés.

● L’article 222-33-1-3 (nouveau) du même code prévoit sept circonstances aggravantes constituées lorsque l’infraction est commise :

– par une personne qui abuse de l’autorité que lui confèrent ses fonctions ;

– sur un mineur ;

– sur une personne dont la particulière vulnérabilité due à son âge, à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse est apparente ou connue de son auteur ;

– sur une personne dont la particulière vulnérabilité ou dépendance résultant de la précarité de sa situation économique ou sociale est apparente ou connue de son auteur ;

– par plusieurs personnes agissant en qualité d’auteur ou de complice ;

– en raison de l’orientation sexuelle ou de l’identité de genre, vraie ou supposée, de la victime ;

– par une personne qui commet la même infraction en étant en état de récidive.

Il s’agit de sept des huit cas de figure dans lesquels trouve à s’appliquer, en l’état du droit, l’outrage sexiste et sexuel (seule la circonstance d’une commission des faits dans un véhicule de transport collectif ou public n’a pas été reprise dès lors que l’infraction créée vise exclusivement la commission des faits en ligne).

B.   La pénalisation du délit d’outrage en ligne

1.   Les peines principales

Le délit d’outrage en ligne institué par le présent article est puni d’une amende de 3 750 euros et d’un an d’emprisonnement.

En présence de l’une des sept circonstances aggravantes envisagées, la peine d’amende encourue est portée à 7 500 euros. La peine d’emprisonnement encourue demeure, quant à elle, d’une année.

2.   Les peines complémentaires

Le délit d’outrage en ligne peut également faire l’objet de deux peines complémentaires.

En premier lieu, la juridiction peut prononcer une peine de stage parmi les quatre types de stage suivants :

– stage de citoyenneté, tendant à l’apprentissage des valeurs de la République et des devoirs du citoyen ;

– stage de responsabilisation pour la prévention et la lutte contre les violences au sein du couple et sexistes ;

– stage de sensibilisation à la lutte contre l’achat d’actes sexuels ;

– stage de lutte contre le sexisme et de sensibilisation à l’égalité entre les femmes et les hommes.

En second lieu, la juridiction peut prononcer l’interdiction d’utiliser un compte d’accès à un service en ligne pour une durée de six mois au plus.

3.   L’amendement forfaitaire délictuelle (AFD)

Enfin, le présent article prévoit expressément que ce nouveau délit pourrait faire l’objet d’une AFD en vue de l’extinction de l’action publique.

Le montant de l’AFD est fixé à 300 euros (250 euros pour l’amende minorée et 600 euros pour l’amende majorée).

Il est porté à 600 euros en présence d’une circonstance aggravante (500 euros pour l’amende minorée et 1 200 euros pour l’amende majorée).

III.   Les modifications apportÉes par la commission

● La commission a adopté deux amendements identiques de rédaction globale (CS817 et CS662), dont l’un présenté par les rapporteurs, ainsi qu’un sous-amendement (CS942) présenté par Mme Caroline Yadan (RE), ayant recueilli un avis favorable des rapporteurs.

Ce faisant, la commission a conservé le principe d’une AFD, mais uniquement pour les faits commis en ligne qui constituent manifestement :

– des injures et diffamations publiques racistes c’est-à-dire à raison de l’origine ou de l’appartenance ou de la non-appartenance à une ethnie, une nation, une race ou une religion déterminée, 

– ou des injures et diffamations publiques sexistes, homophobes, handiphobes, transphobes c'est-à-dire à raison du sexe, de l’orientation sexuelle, de l’identité de genre ou du handicap.

Le sous-amendement adopté a eu pour objet de retirer du champ de l’AFD les propos négationnistes qui figuraient initialement dans la liste des faits prévus par les amendements de rédaction globale. En effet, il est apparu à la commission que ces propos méritaient toujours la mise en œuvre de modalités de poursuites plus lourdes.

● La nouvelle rédaction de l’article conduit à insérer, dans la loi du 29 juillet 1881 sur la liberté de la presse, un nouveau paragraphe intitulé « Amende forfaitaire pour certaines infractions commises dans l’espace numérique », et comprenant un seul article numéroté 65-5.

L’objectif de la commission est de punir des faits qui ne sont à l’heure actuelle pas ou peu poursuivis, en créant un outil supplémentaire pour permettre une réponse pénale plus rapide et plus efficace.

La rédaction retenue respecte les principes fixés par le Conseil constitutionnel. En effet, les délits mentionnés sont punis d’un an d’emprisonnement et de 45 000 euros d’amende. Ils sont donc éligibles à l’AFD.

Au surplus, la rédaction retenue ne vise que les faits qui constituent « manifestement » ces délits. Ils sont donc aisément constatables au sens de la jurisprudence constitutionnelle précitée.

Article 5 ter A (nouveau)
Ajout dans le code pénal d’un stage de sensibilisation au respect des personnes dans l’espace numérique et à la prévention des infractions en ligne dont le cyber-harcèlement
 

Introduit par la commission

Le présent article, introduit par la commission, crée un nouveau type de stage dans le code pénal, dédié à la sensibilisation au respect des personnes dans l’espace numérique.

I.   Le droit en vigueur

La peine de stage est une peine correctionnelle prévue par l’article 131-5-1 du code pénal lorsqu'un délit est puni d'une peine d’emprisonnement. La juridiction peut la prononcer à la place ou en même temps que l’emprisonnement. La durée du stage ne peut excéder un mois.

La rédaction actuelle de l’article précité prévoit huit types de stage : stage de citoyenneté, stage de sensibilisation à la sécurité routière, stage de sensibilisation aux dangers de l’usage de produits stupéfiants, stage de responsabilisation pour la prévention et la lutte contre les violences au sein du couple et sexistes, stage de sensibilisation à la lutte contre l’achat d'actes sexuels, stage de responsabilité parentale, stage de lutte contre le sexisme, stage de sensibilisation à la prévention et à la lutte contre la maltraitance animale.

II.   Le dispositif introduit par la commission

Le présent article a été introduit par la commission à la suite de l’adoption d’un amendement présenté par les rapporteurs (CS549), ayant fait l’objet d’un sous-amendement de portée rédactionnelle présenté par Mme Caroline Yadan (RE) (CS951).

Il ajoute un nouveau type de stage à l'article L. 131‑5‑1 du code pénal, dédié à la sensibilisation au respect des personnes dans l’espace numérique et à la prévention des infractions commises en ligne, dont le cyber-harcèlement.

Article 5 ter
Création d’un délit de publication d’hypertrucage (deepfake) à caractère sexuel

Adopté par la commission avec modifications

I.   le droit en vigueur

La technologie de l’« hypertrucage » ou « permutation intelligente de visages » (deepfake) est une technique reposant sur l'intelligence artificielle et visant à fabriquer des synthèses d’images ou de vidéos réalistes.

Il s’agit d’un phénomène en pleine expansion apparu il y a quelques années.

Ainsi que le rappelle une réponse ministérielle de 2019, ces hypertrucages « ont d’abord été popularisés sur internet, notamment via le site Reddit, où des internautes se sont servi de la technologie disponible afin de créer de fausses vidéos érotiques mettant en scène des célébrités » ([97]).

Dans un article publié en 2020, Mme Claire Langlais-Fontaine a mis en évidence l’insuffisance du cadre législatif français pour lutter contre les deepfakes érotiques ou pornographiques ([98]).

Les diverses infractions d’atteinte à la vie privée ou d’atteinte à la représentation de la personne ne permettent pas de pénaliser efficacement la publication d’images ou de vidéos hypertruquées à caractère sexuel.

Tel est le cas, en particulier, de l’article 226-2-1 du code pénal qui réprime la diffusion, sans le consentement de la personne représentée, d’images présentant un caractère sexuel même si ces images ont été réalisées avec le consentement de cette dernière (pratique dite du revenge porn). Ce texte ne traite pas, en effet, de la création d’images ou de paroles, ou de la transformation d’images ou de paroles. Les principes de légalité et d’interprétation stricte du droit pénal rendent dès lors difficiles son éventuelle application aux deepfakes à caractère sexuel.

Tel est le cas aussi de l’article 226-8 du même code qui punit « le fait de publier, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n'apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention ».

Ce texte n’est pas plus adapté à la répression du deepfake érotique ou pornographique.

En effet, la plupart du temps, le deepfake à caractère sexuel n’est pas présenté au spectateur comme une vidéo réelle. La personne représentée peut dès lors avoir des difficultés à établir que l’auteur ou le diffuseur de la vidéo n’auraient pas fait mention qu’il s’agissait d’un montage.

● Au final, en l’état du droit, seule une action civile, sur le fondement d’une atteinte au droit à l’image – découlant de l’article 9 du code civil qui protège la vie privée – permettrait de sanctionner efficacement la diffusion d’un deepfake à caractère sexuel.

II.   le Dispositif introduit par le sénat

● Le présent article vise à permettre une répression pénale du deepfake à caractère sexuel.

Le Sénat l’a introduit par l’adoption d’un amendement du Gouvernement (n° 128), ayant recueilli un avis favorable de la commission, modifié par un sous-amendement (n° 129 rectifié bis) présenté par Mme Alexandra Borchio Fontimp (Les Républicains), ayant également recueilli un avis favorable de la commission ainsi qu’un avis favorable du Gouvernement.

Selon l’exposé sommaire de l’amendement adopté du Gouvernement, « 96 % des vidéos "deepfake" sont des vidéos pornographiques » et « en 2019, 8 des 10 sites pornographiques les plus consultés [en] hébergeaient ».

● Le présent article crée un nouveau délit de publication d’hypertrucage (deepfake) à caractère sexuel représentant l’image ou les paroles d’une personne sans son consentement.

Pour ce faire, il insère dans le code pénal un article 226-8-1 nouveau qui punit de deux ans d’emprisonnement et de 60 000 euros d’amende :

– « le fait de publier, sans son consentement, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne, et présentant un caractère sexuel » ;

– ou encore « le fait de publier par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement, et présentant un caractère sexuel ».

Ce même article prévoit des circonstances aggravantes issues du sous-amendement de Mme Alexandra Borchio Fontimp.

Les peines encourues sont portées à trois ans d’emprisonnement et 75 000 euros d’amende « lorsque la publication du montage ou du contenu généré par un traitement algorithmique a été réalisée en utilisant un service de communication au public en ligne ».

Enfin, toujours à la suite de l’adoption du sous-amendement précité, il dispose que les dispositions particulières des lois qui régissent le droit de la presse sont applicables pour déterminer les personnes responsables lorsque le délit est commis par la voie de la presse écrite ou audiovisuelle.

Il s’ensuit que le directeur de publication concerné peut également être poursuivi.

● Le nouveau délit institué par le présent article doit permettre de sanctionner plus efficacement, sur le plan pénal, les auteurs et diffuseurs de deepfakes à caractère sexuel sans qu’il soit nécessaire d’établir, par exemple, leur intention de tromper le spectateur sur le caractère réel de la vidéo.

III.   Les modifications apportÉes par la commission

Outre trois amendements rédactionnels présentés par les rapporteurs (CS527, CS528, CS529), la commission a adopté un amendement de Mme Virginie Duby-Muller (LR), ayant recueilli un avis favorable des rapporteurs, qui a élargi le champ de l’infraction, au-delà de la publication du deepfake, au fait de l’avoir porté à la connaissance du public ou d’un tiers (CS465). L’objectif recherché est de pénaliser le partage d’un deepfake présentant un caractère sexuel.

Article 5 quater (nouveau)
Ajout d’une circonstance aggravante à l’outrage sexiste et sexuel lorsqu’il est commis en ligne

Introduit par la commission

Le présent article, introduit par la commission, instaure une nouvelle circonstance aggravante à l’outrage sexiste et sexuel lorsqu’il est commis en ligne.

I.   Le droit en vigueur

L’outrage sexiste et sexuel consiste à imposer à une personne un propos ou un comportement à connotation sexiste ou sexuelle, qui porte atteinte à sa dignité ou qui l’expose à une situation intimidante, hostile ou offensante (article R. 625-8-3 du code pénal).

Il s'agit d'une contravention punie d’une amende de 1 500 euros.

Dans huit circonstances listées par l’article 222-33-1-1 du code pénal, l’outrage sexiste et sexuel est un délit puni de 3 750 euros d'amende.

Ce délit peut faire l’objet d'une amende forfaitaire et délictuelle, qui éteint l’action publique, d'un montant de 300 euros.

Les huit circonstances aggravantes faisant passer l’outrage sexiste et sexuel de la catégorie de la contravention à celle du délit sont caractérisées lorsque les faits sont commis :

– par une personne qui abuse de l’autorité que lui confèrent ses fonctions ;

– sur un mineur ;

– sur une personne dont la particulière vulnérabilité due à son âge, à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse est apparente ou connue de son auteur ;

– sur une personne dont la particulière vulnérabilité ou dépendance résultant de la précarité de sa situation économique ou sociale est apparente ou connue de son auteur ;

– par plusieurs personnes agissant en qualité d’auteur ou de complice ;

– dans un véhicule affecté au transport collectif de voyageurs ou au transport public particulier ou dans un lieu destiné à l’accès à un moyen de transport collectif de voyageurs ;

– en raison de l’orientation sexuelle ou de l’identité de genre, vraie ou supposée, de la victime ;

– ou par une personne déjà condamnée pour la contravention d’outrage sexiste et sexuel et qui commet la même infraction en étant en état de récidive.

II.   Le dispositif introduit par la commission

Le présent article a été introduit par la commission à la suite de l’adoption de deux amendements identiques CS723 et CS762 présentés par M. Erwan Balanant (Dem) et Mme Caroline Yadan (RE).

Il ajoute une nouvelle circonstance aggravante à l’outrage sexiste et sexuel lorsque celui-ci est commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique.

Il s’ensuit qu’un outrage sexiste et sexuel commis en ligne devient un délit pouvant faire l’objet, le cas échéant, d’une amende forfaitaire délictuelle.

Article 6
Déploiement d’un filtre national de cybersécurité grand public

Adopté par la commission avec modifications

I.   le Droit en vigueur

Le blocage d’un site internet diffusant des contenus illicites peut intervenir par voie judiciaire ou par voie administrative.

Le blocage judiciaire comme le blocage administratif sont permis par le droit européen, en particulier par l’article 9 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit règlement « RSN », ou « DSA » en anglais pour Digital Services Act). Cet article encadre, à compter du 17 février 2024, les injonctions d’agir contre les contenus illicites adressées aux « fournisseurs de service intermédiaire ».

A.   Le blocage judiciaire des contenus illicites en ligne

● Il existe un dispositif général permettant le blocage judiciaire des sites litigieux, prévu au 8 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Celui-ci est déplacé et réécrit, dans la LCEN, par les articles 22 et 24 du présent projet de loi. Il est décrit dans le commentaire de l’article 24.

● Il existe aussi divers dispositifs spécifiques permettant le blocage judiciaire de certains contenus en ligne :

– un dispositif spécifique pour les contenus portant atteinte aux droits d’auteur et aux droits voisins prévu à l’article L. 336-2 du code de la propriété intellectuelle ; celui-ci est similaire au dispositif général, sous réserve d’une ouverture plus large de la qualité pour agir puisqu’il peut être sollicité par des organismes de défense professionnelle et par le Centre national du cinéma et de l’image animée ;

– un dispositif spécifique pour les contenus terroristes, prévu par l’article 706-23 du code de procédure pénale, qui permet l’intervention du juge des référés pour des faits d’incitation au terrorisme ou d’apologie des actes de terrorisme prévus et réprimés à l’article 421-2-5 du code pénal ;

– et un dispositif spécifique, en période électorale, pour les contenus visant à altérer la sincérité du scrutin prévu à l’article L. 163-2 du code électoral ; il permet également l’intervention du juge des référés pour ordonner le retrait judiciaire des contenus en ligne constituant des allégations ou imputations inexactes ou trompeuses de nature à altérer la sincérité du scrutin lorsqu’ils sont diffusés de manière délibérée, artificielle ou automatisée et massive.

B.   Le blocage administratif des contenus illicites en ligne

Il n’existe pas de dispositif administratif général permettant un blocage des contenus illicites sur internet.

Il existe, en revanche, deux dispositifs spécifiques, l’un pour les contenus pédopornographiques et terroristes, l’autre pour les contenus constituant des pratiques commerciales déloyales, trompeuses ou agressives.

Le blocage administratif de contenus en ligne doit respecter la liberté d’expression et de communication consacrée par l’article 11 de la Déclaration des droits de l’homme et du citoyen.

Le Conseil constitutionnel a jugé que la liberté d’accéder à des services de communication au public en ligne découle de la liberté d’expression et de communication compte tenu de « l’état actuel des moyens de communication et eu égard [à leur] développement généralisé […] ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions » ([99])

Dans la même décision, le Conseil constitutionnel a validé le dispositif de blocage administratif des contenus pédopornographiques et terroristes après avoir relevé les diverses garanties dont il était assorti, et après avoir rappelé que les atteintes portées à l’exercice de la liberté d’expression et de communication étaient nécessaires, adaptées et proportionnées à l’objectif d’intérêt général poursuivi.

De même, le Conseil constitutionnel a jugé conforme à la Constitution le blocage administratif des contenus constituant des pratiques commerciales déloyales, trompeuses ou agressives, en soulignant dans sa décision que le législateur avait poursuivi un but d’intérêt général de protection des consommateurs et de loyauté des transactions commerciales, et que les garanties prévues étaient suffisantes ([100]).

Les garanties entourant ces deux dispositifs ont inspiré celles prévues pour le dispositif proposé par le présent article.

a.   Les garanties prévues pour le blocage administratif des contenus pédopornographiques ou terroristes

La possibilité d’un blocage administratif des contenus pédopornographiques et terroristes est prévue aux articles 6-1 à 6-1-5 de la LCEN. L’autorité administrative désignée par décret pour la mise en œuvre de ce dispositif est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), rattaché à la direction générale de la police nationale.

Ce dispositif est aménagé par l’article 23 du présent projet de loi. Il est présenté plus en détail dans le commentaire d’article associé.

Trois grandes garanties sont prévues : le contrôle par une personnalité qualifiée, un examen accéléré des recours, et la remise d’un rapport public annuel.

En premier lieu, les demandes de retrait sont soumises à un contrôle a posteriori d’une personnalité qualifiée, désignée en son sein par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour la durée de son mandat. La personnalité qualifiée s’assure de la régularité des demandes de retrait. Si elle constate une irrégularité, elle peut à tout moment recommander à l’autorité administrative d’y mettre fin. Si cette dernière ne suit pas cette recommandation, la personnalité qualifiée peut saisir la juridiction administrative compétente, en référé ou sur requête.

Cette personnalité qualifiée est aussi l’autorité administrative désignée pour statuer sur les demandes de retrait transfrontières. Elle statue par décision motivée.

En deuxième lieu, pour les contenus suspectés de terrorisme, des délais accélérés d’examen des recours sont obligatoires dans certaines circonstances.

Sans préjudice des recours de droit commun, le I de l’article 6-1-5 de la LCEN dispose que les fournisseurs de services d’hébergement, les fournisseurs de contenus et la personnalité qualifiée de l’Arcom peuvent saisir le président du tribunal administratif, dans un délai de quarante-huit heures à compter de la notification de l’injonction de retrait pour en demander l’annulation.

Dans ce cas, il est prévu que la juridiction doit statuer dans un délai de soixante-douze heures à compter de la saisine. En cas d’appel, la juridiction concernée est tenue de statuer dans le délai d’un mois.

Ce délai d’examen accéléré du recours est également prévu au II du même article en matière d’injonction de retrait transfrontière.

Enfin, en troisième lieu, la personnalité qualifiée rend public chaque année un rapport d’activité sur les conditions d’exercice et les résultats de son activité, qui précise notamment le nombre de demandes de retrait, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l’autorité administrative.

Ce rapport est remis au Gouvernement et au Parlement.

b.   Les garanties prévues pour le blocage administratif des contenus constituant des pratiques commerciales déloyales, trompeuses ou agressives

L’article L. 521-3-1 du code de la consommation régit le dispositif administratif de blocage des contenus sur internet constituant des pratiques commerciales déloyales, trompeuses ou agressives.

Ce dispositif ne peut être mis en œuvre que si l’auteur de la pratique frauduleuse constatée sur cette interface n’a pu être identifié ou s’il n’a pas déféré à une injonction de mise en conformité prise après une procédure contradictoire (article L. 521-1 du code de la consommation).

Dans ces deux cas, les agents habilités de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) peuvent :

– ordonner aux opérateurs de plateforme en ligne d’afficher un message avertissant les consommateurs du risque de préjudice encouru lorsqu’ils accèdent au contenu manifestement illicite ;

– et ordonner aux opérateurs de plateforme en ligne ou aux hébergeurs de contenus, pour les infractions les plus graves passibles d’une peine d’au moins deux ans d’emprisonnement, le blocage d’un nom de domaine, ou encore le déréférencement ou la limitation de l’accès aux adresses électroniques des sites dont les contenus sont manifestement illicites.

Les mesures ainsi ordonnées doivent être mises en œuvre dans un délai, fixé par la DGCCRF, qui ne peut être inférieur à quarante-huit heures.

II.   le Dispositif proposé

● Le présent article institue un dispositif administratif de filtrage des sites présentant des contenus manifestement conçus pour le vol de données personnelles et financières (dit aussi « tentatives d’hameçonnage »). Ce dispositif est désigné comme un « filtre national de cybersécurité grand public » ou encore comme un « filtre anti-arnaque ».

Le dispositif proposé s’inspire des garanties prévues pour le blocage administratif des contenus terroristes et pédopornographiques.

Il s’inspire également de la procédure en deux phases du système de filtrage des contenus constituant des pratiques commerciales déloyales, trompeuses ou agressives avec, dans un premier temps, un message d’avertissement, et, dans un second temps, un blocage du site.

● Pour ce faire, le présent article remplace les dispositions – aujourd’hui sans objet – de l’article 12 de la LCEN par une nouvelle rédaction comprenant cinq divisions.

Le I confère à une autorité administrative le pouvoir d’enjoindre, à titre conservatoire, les fournisseurs de navigateurs internet d’afficher un message d’avertissement, pendant une durée de sept jours, visant à dissuader un utilisateur de se connecter à un site « manifestement conçu » pour commettre certaines infractions.

Le II permet, dans certaines conditions, à la même autorité administrative d’enjoindre, à titre conservatoire, le blocage du site pour une durée maximale de trois mois. Cette période de blocage peut être prolongée à deux reprises, après avis conforme d’une personnalité qualifiée désignée au sein de la Cnil, pour une nouvelle durée de six mois maximum.

Le III définit le rôle et les prérogatives de la personnalité qualifiée chargée de contrôler les injonctions de l’autorité administrative.

Le IV prévoit des sanctions pénales en cas de manquement aux obligations définies.

Le V prévoit un décret d’application.

A.   le Champ d’application du filtre « anti-arnaque »

Le filtrage proposé vise les sites internet « manifestement conçu[s] pour réaliser des opérations constituant les infractions mentionnées aux articles 226-4-1, 226-18 et 323-1 du code pénal et à l’article L. 163-4 du code monétaire et financier ».

Autrement dit, il s’agit des infractions suivantes :

– l’usurpation d’identité ;

– la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;

– l’accès frauduleux à un système de traitement automatisé de données ;

– l’usage frauduleux de moyens de paiement.

On désigne parfois ces infractions sous le terme « d’hameçonnage » qui couvre toutes les tentatives de vols de données personnelles et financières.

B.   les Modalités du filtre « anti-arnaque »

Dans un premier temps, le filtre « anti-arnaque » ne vise pas à un blocage du site mais, ainsi que l’indique l’étude d’impact annexée au projet de loi, à « une réorientation de l’internaute vers une page de signalement en lieu et place du site cybermalveillant ».

L’internaute reste libre de poursuivre sa navigation sur le site réputé malveillant.

Toujours selon l’étude d’impact, « le scénario typique contre lequel le dispositif vise à se prémunir est [celui dans lequel] un utilisateur reçoit un message (courriel, SMS) l’invitant à cliquer sur un lien imitant un service public ou un service marchand ».

Dans un second temps, le site peut être bloqué. Le renouvellement de la période de blocage nécessite l’avis conforme de la personnalité qualifiée.

1.   Première étape : un message d’avertissement pour une durée de sept jours

Dans un premier temps, le filtrage prend la forme d’un message d’avertissement à destination de l’internaute cherchant à se connecter au site réputé malveillant. Ce message a pour but d’avertir « l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse ».

L’apposition du message incombe aux fournisseurs de navigateurs internet auxquels l’autorité administrative adresse une « notification ». Il doit intervenir sans délai, à titre conservatoire, après la notification, et pour une durée de sept jours.

Dans le même temps, l’autorité administrative doit informer l’éditeur du site concerné. Celui-ci est invité par l’autorité administrative à faire part de ses observations dans un délai de cinq jours.

Cette notification de l’autorité administrative peut être délivrée après le constat par un agent spécialement habilité que le site a été « manifestement conçu » dans le but de réaliser les infractions précitées.

2.   Deuxième étape : un blocage du site pour une durée de trois mois

À l’issue du délai de sept jours, si le constat qui a motivé la notification précitée est toujours valable, l’autorité administrative peut, par décision motivée, adresser une « injonction » aux fournisseurs de navigateurs internet, aux fournisseurs d’accès à internet et aux fournisseurs de systèmes de résolution de noms de domaine d’ « empêcher l’accès à l’adresse de ce service, et d’afficher un message avertissant les utilisateurs du risque de préjudice encouru lorsqu’ils tentent d’y accéder ».

Il est possible de passer directement à l’étape du blocage du site, sans la phase préalable du message d’avertissement, lorsque l’éditeur du site litigieux n’a pas mis à disposition les informations permettant de l’identifier prévues à l’article 1‑1 de LCEN, ou lorsque celles-ci ne permettent pas de le contacter

Ce blocage intervient pour une durée maximale de trois mois.

3.   Troisième étape : une prolongation du blocage pour une durée de six mois, renouvelable une fois, sur avis conforme de la personnalité qualifiée

À l’issue de la première période de blocage de trois mois, la mesure destinée à empêcher l’accès à l’adresse du service peut être prolongée de six mois au plus sur avis conforme d’une personnalité qualifiée. Une durée supplémentaire de six mois peut être prescrite selon la même procédure.

La personnalité qualifiée est désignée au sein de la Cnil pour la durée de son mandat. Elle doit s’assurer « du caractère justifié des mesures et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste des adresses électroniques concernées ». Elle doit également rendre public chaque année un rapport d’activité qui est remis au Parlement et au Gouvernement.

Ce faisant, le présent article reprend un ensemble de propositions formulées par le Conseil d’État dans son avis sur le projet de loi, ce dernier ayant suggéré que « la durée des mesures empêchant l’accès au service soit limitée à trois mois, que ces mesures ne puissent être renouvelées que deux fois pour une durée de six mois, au plus, sur avis conforme de la personnalité qualifiée et que cette dernière exerce un contrôle non seulement sur la régularité formelle des mesures mais aussi sur leur justification » (point n° 27).

4.   Sanctions pénales

Tout manquement à ses obligations par une personne destinataire d’une notification est puni d’un an d’emprisonnement et de 250 000 euros d’amende.

C.   la Suspension du filtre « anti-arnaque »

S’il peut être mis en œuvre pour une durée assez longue, le filtre « anti-arnaque » peut aussi être suspendu dans plusieurs circonstances.

En premier lieu, à tout moment, et à chaque étape, l’autorité administrative peut demander sans délai aux personnes destinataires de la notification ou de l’injonction de mettre fin aussitôt aux mesures conservatoires. Tel doit être le cas lorsque l’autorité administrative a été convaincue de l’absence de caractère malveillant du site à la suite des observations de son éditeur.

En deuxième lieu, la personnalité qualifiée peut à tout moment enjoindre à l’autorité administrative de mettre fin aux mesures qu’elle a prises. Cette dernière possède donc un pouvoir de suspension du filtre et non pas seulement d’une faculté de saisine du juge administratif comme c’est le cas pour le filtre administratif des contenus suspectés de pédopornographie ou de terrorisme.

La personnalité qualifiée peut aussi saisir le collège de la Cnil « lorsque l’enjeu le justifie ».

En troisième lieu, l’éditeur du site bloqué peut adresser un recours administratif suspensif à la personnalité qualifiée. Le blocage est suspendu durant l’instruction de ce recours. Là encore, il s’agit d’une différence notable avec le filtre administratif des contenus pédopornographiques et terroristes. Le dispositif proposé par le projet de loi offre davantage de garanties à l’éditeur du site compte tenu de la moindre gravité des infractions reprochées.

Au regard des nombreuses garanties prévues par le présent article, le Conseil d’État a d’ailleurs estimé dans son avis que « le dispositif prévu ne se heurte à aucun obstacle d’ordre constitutionnel ou conventionnel, notamment au regard de la liberté d’expression et de communication » (point n° 28).

III.   les Modifications apportées par le sénat

Outre trois amendements de précision rédactionnelle (n° 136, COM-103, et COM-107) et un amendement de coordination (n° 135) tous présentés par le rapporteur M. Patrick Chaize en commission ou en séance, le Sénat a modifié le présent article par l’adoption de neuf amendements lors de l’examen du texte par la commission.

Ces amendements tendent à renforcer aussi bien l’efficacité du filtre administratif « anti-arnaque » que le rôle de la personnalité qualifiée désignée au sein de la Cnil.

A.   Un renforcement du filtre administratif « anti-arnaque »

● Six amendements présentés par le rapporteur M. Patrick Chaize ont conduit à renforcer l’efficacité du filtrage des sites malveillants.

Un premier amendement a eu pour effet de faciliter l’activation du dispositif. La rédaction initiale du texte – qui prévoyait que les contenus litigieux devaient être « manifestement conçus pour réaliser » l’une des infractions mentionnées –  a été remplacée par une nouvelle rédaction qui prévoit que le site peut être filtré s’il « réalise manifestement » l’une de ces infractions. Selon l’exposé sommaire de l’amendement, cette nouvelle rédaction permet de ne pas avoir à établir l’intention frauduleuse de l’éditeur du site (COM-101).

Un deuxième amendement a remplacé la simple information de l’éditeur du site en cas de mise en place du filtrage par une mise en demeure adressée par l’autorité administrative en vue de cesser les opérations litigieuses (COM-102).

Un troisième amendement a uniformisé l’information présentée aux internautes sur le message d’avertissement qui doit s’afficher sur leurs écrans en cas de tentative d’accès à un site soupçonné d’être frauduleux. L’amendement adopté prévoit que ce message doit être clair, lisible, unique et compréhensible et permettre aux utilisateurs d’accéder au site internet officiel du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cybermalveillance – GIP Acyma (COM-104).

Un quatrième amendement a clarifié la nature des mesures que l’autorité administrative peut enjoindre aux intermédiaires techniques de prendre afin d’empêcher l’accès aux sites frauduleux à l’issue de la première période de filtrage de sept jours. Il prévoit que la décision de l’autorité administrative désigne quel fournisseur est chargé d’empêcher l’accès à l’adresse de ce service, en fonction de l’injonction émise et de la nature de la mesure envisagée. Il ajoute la mise en place d’une redirection vers une page d’information de l’autorité administrative ayant ordonné la mesure de blocage afin d’informer les utilisateurs des raisons pour lesquelles ce blocage a été ordonné (COM-105).

Un cinquième amendement a instauré une obligation pour l’autorité administrative de vérifier, à l’approche de l’expiration de la période de blocage, si les sites dont l’accès a été bloqué sont toujours actifs ou non (COM-106).

Le sixième amendement du rapporteur a précisé que la peine d’un an d’emprisonnement et de 250 000 euros d’amende peut également s’appliquer aux personnes destinataires d’une « injonction » de l’autorité administrative – et non pas seulement d’une « notification » comme prévu par le dispositif proposé initialement – ce qui permet d’inclure plus explicitement dans le champ de l’infraction les fournisseurs de services d’accès à internet, les fournisseurs de systèmes de résolution de noms de domaine et les fournisseurs de navigateurs sur internet (COM-110).

● Enfin, un amendement présenté par Mme Sylvianne Noël (Les Républicains) a prévu que lors de l’étape permettant le blocage du site, l’autorité administrative peut également notifier les adresses électroniques aux moteurs de recherche ou aux annuaires en vue de prendre les mesures utiles pour faire cesser leur référencement (COM-8).

B.   Un renforcement du rôle de la personnalité qualifiée

Deux amendements, présentés par le rapporteur M. Patrick Chaize, ont conduit à renforcer le rôle de la personnalité qualifiée de la Cnil chargée de veiller à l’application proportionnée du filtre « anti-arnaque ».

Un premier amendement a renforcé son information en prévoyant que l’autorité administrative doit la prévenir lorsqu’elle lève des mesures de filtrage ou de blocage de sa propre initiative (COM-108).

Un second amendement a complété, par des éléments statistiques, le contenu du rapport d’activité annuel établi par la personnalité qualifiée (COM-109).

IV.   Les modifications apportÉes par la commission

Le présent article a été adopté par la commission modifié par vingt-un amendements, dont cinq de portée rédactionnelle présentés par les rapporteurs (CS536, CS542, CS544, CS545, CS546) et un par M. Éric Bothorel (RE) identique à un amendement des rapporteurs (CS410).

A.   Les modifications portant sur le champ du filtre « anti-arnaque »

● L’adoption de deux amendements identiques, présentés par les rapporteurs et par M. Éric Bothorel (RE), ont conduit à limiter le champ d’application du filtre « anti-arnaque » aux sites intrinsèquement cyber-malveillants (CS404 et CS530).

Ces amendements sont ainsi revenus sur une modification du Sénat – tendant à viser les sites qui « réalisent manifestement » les infractions listées dans le champ du filtre – pour rétablir la version initiale du texte qui inclut dans le champ du filtre uniquement les sites « manifestement conçu pour réaliser » ces infractions.

Autrement dit, seuls les sites conçus nativement pour être des arnaques sont susceptibles d’être touchés par le filtre administratif institué par le présent article.

● L’adoption de trois amendement identiques, présentés par les rapporteurs, Mme Mireille Clapot (RE) et M. Éric Bothorel (RE) ont permis d’inclure les faux sites de vente dans le champ du filtre « anti-arnaque » (CS406, CS534 et CS659).

La rédaction retenue vise les « opérations de hameçonnage en ligne constitutives d’une escroquerie ». Le hameçonnage est défini par les mêmes amendements comme « le fait de mettre en ligne ou diriger l’utilisateur vers une interface dont les caractéristiques sont de nature à créer une confusion avec l’interface en ligne d’un service existant, et déterminer ainsi l’utilisateur de cette interface, à son préjudice ou au préjudice d’un tiers, à fournir des données personnelles ou à verser une somme d’argent ».

B.   Les modifications portant sur la mise en œuvre du filtre « anti-arnaque »

● La commission a adopté un amendement de M. Éric Bothorel (RE), ayant recueilli un avis favorable des rapporteurs, dont l’objet est de limiter au filtrage, à l’exclusion du blocage, le type de mesures dont la mise en œuvre peut être demandée aux fournisseurs de navigateurs (CS620).

Cet amendement prévoit que la décision de l’autorité administrative doit indiquer que les fournisseurs de navigateurs permettent aux utilisateurs d’accéder au service concerné après affichage d’un message clair, lisible, unique et compréhensible avertissant du risque de préjudice encouru.

En conséquence, les fournisseurs de navigateurs ne peuvent être contraints de procéder à un blocage du site, contrairement aux fournisseurs d’accès à internet et aux fournisseurs de systèmes de résolution de noms de domaine.

● La commission a, par ailleurs, adopté un amendement des rapporteurs visant à préciser que le renvoi vers une page d’information, lors de la mise en place de la mesure de filtrage, ne doit pas nécessairement viser une page de l’autorité administrative (CS538). Autrement dit, le renvoi pourra s’opérer vers une page d’information à la main du fournisseur de navigateur, mais comportant un contenu défini par l’autorité administrative.

● La commission a adopté deux amendements identiques des rapporteurs et de M. Éric Bothorel (RE) qui ont supprimé la notification aux moteurs de recherche et annuaires de sites (CS413 et CS541). Cette modification se justifie par le fait que les sites malveillants ont souvent une durée d’existence très courte, si bien que les moteurs de recherche et annuaires n’auront, en tout état de cause, pas le temps de les référencer avant la mise en œuvre du filtrage ou du blocage.

C.   Les modifications portant sur le rôle de la personnalité qualifiée

● La commission a supprimé l’avis conforme de la personnalité qualifiée s’agissant de la prolongation de la mesure, en adoptant deux amendements identiques CS418 et CS547 des rapporteurs et de M. Éric Bothorel (RE). Cet amendement a été suggéré par les représentants de la Cnil lors de leur audition. L’avis conforme leur est apparu comme une garantie supplémentaire non indispensable dès lors que la personnalité qualifiée était tenue informée des prolongations et que cette dernière disposait du pouvoir d’y mettre un terme.

● La commission a complété le rapport annuel d’activité de la personnalité qualifiée avec des statistiques sur les sorts réservés aux recours. Cet ajout résulte de l’adoption de deux amendements identiques CS7 et CS937 présentés par les rapporteurs et M. Philippe Ballard (RN).

D.   Les modifications portant sur le rôle de l’autorité administrative

● La commission a adopté un amendement de M. Éric Bothorel (RE) qui a supprimé l’obligation, pour l'autorité administrative, de vérifier régulièrement le caractère actif des sites concernés par le filtre (CS417). Les sites malveillants ayant une durée de vie assez courte, il n’a pas été jugé utile d’imposer cette mission à l’autorité administrative. Cet amendement a recueilli un avis favorable des rapporteurs.

● Enfin, la commission a prévu la publication régulière, par l’autorité administrative, de la liste des adresses électroniques concernées par le filtre « anti-arnaque ». Cet ajout résulte de l’adoption d’un amendement de M. Éric Bothorel (RE), ayant recueilli un avis favorable des rapporteurs (CS630). L’entrée en vigueur de cette mesure a été reportée au 1er janvier 2025 par l’adoption d’un amendement des rapporteurs à l’article 36 (CS954).

TITRE III
rENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L’ÉCONOMIE DE LA DONNÉE

Chapitre Ier
Pratiques commerciales déloyales entre entreprises sur le marché de l’informatique en nuage

Article 7
Encadrement des crédits d’informatique en nuage et des frais de transfert

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   L’essor de l’économie de la donnée a fait « la part belle » aux acteurs dominants du marché des services d’informatique en nuage, qui sont pour l’essentiel non européens

L’essor de l’économie de la donnée a rendu indispensable le recours à des solutions de stockage des données. Le marché du cloud, c’est-à-dire des services d’informatique en nuage, est devenu un élément majeur de compétitivité et d’innovation pour les acteurs économiques.

Les éléments fournis par l’étude d’impact annexée au présent projet de loi indiquent à quel point ce marché est essentiel au sein de l’économie du numérique. Au niveau mondial, le marché du cloud public s’élevait à environ 384 milliards d’euros en 2022. En Europe, les revenus qu’il génère étaient de 65 milliards d’euros en 2021, et pourraient quasiment décupler d’ici 2030, pour atteindre 560 milliards d’euros, selon une étude du cabinet IDC. Le segment français, qui représente environ 16 milliards d’euros, devrait profiter de cette forte croissance anticipée, avec une hypothèse de + 14 % par an en moyenne jusqu’en 2030.

Ces perspectives favorables pour les acteurs du cloud sont néanmoins très inégalement réparties. En effet, comme beaucoup de marchés numériques, le marché du cloud est fortement concentré. Ainsi, en France, 71 % des parts de ce marché sont détenues par les trois fournisseurs dominants que sont AWS (Amazon détient 46 % de parts de marché), Microsoft Azure (17 % des parts de marché) et enfin Google Cloud (8 % des parts de marché).

B.   Cette situation est préjudiciable à la compétitivité et à l’innovation des entreprises européennes

Cette situation est préjudiciable à la fois pour les acteurs français et européens de ce secteur d’activité, et pour les entreprises qui consomment ces services, et disposent, au regard de la structure de marché, d’une capacité parfois limitée de choix vis-à-vis des offres proposées. En effet, ainsi que notamment l’a relevé l’Autorité de la concurrence (ADLC), certaines pratiques des acteurs dominants de ce marché tendent à réduire la concurrence et à entraver la liberté de choix des entreprises concernées. C’est le cas, en particulier, de l’octroi de crédits cloud, et de la facturation excessive de frais de transfert des données en cas de changement, par une entreprise, de fournisseur([101]).

L’avantage retiré de cette situation imparfaite de marché est ainsi préjudiciable à la fois à la compétitivité et à l’innovation des entreprises européennes, et au développement des fournisseurs européens de services d’informatique en nuage, dont les solutions techniques, sur certains segments, apparaissent pourtant tout à fait compétitives vis-à-vis de celles des acteurs dominants.

C.   Un effort de régulation au niveau national et européen est indispensable pour remédier à cette situation

Face à cette situation, la Commission européenne a engagé une initiative d’ampleur afin de réguler davantage les marchés numériques, et plus spécifiquement le marché de la donnée.

Plusieurs textes européens sont intervenus dans ce domaine :

– le règlement européen pour les marchés numériques (Digital Markets Act) ([102])  ;

– le règlement sur la gouvernance européenne des données (Data Governance Act) ([103])  ;

– le règlement européen sur les données (Data Act) ([104]).

Ce dernier règlement, en particulier, sur lequel un accord politique a été trouvé le 7 juillet dernier, contient en effet plusieurs dispositions visant à encadrer certaines pratiques commerciales considérées comme entravant la concurrence sur le marché des services d’informatique en nuage.

Les articles 23 et 24 du règlement précité encadrent ainsi de façon renforcée les conditions contractuelles liées à la migration entre fournisseurs. Dans le même temps, son article 25 prévoit la suppression des frais liés au transfert de données et à la migration.

L’enjeu de la maîtrise du développement des crédits de services d’informatique en nuage ne fait pas, en revanche, l’objet d’un encadrement strict, à défaut d’accord politique sur ce sujet entre les pays membres.

L’article 7 du présent projet de loi vient donc anticiper l’adaptation du droit national aux dispositions précitées du Data Act, tout en intervenant sur la question des crédits cloud sur une base juridique distincte, à savoir la lutte contre les pratiques anticoncurrentielles.

II.   Le dispositif proposé

L’article 7 du projet de loi crée, au sein de la section II du chapitre II du titre IV du livre IV du code de commerce, un nouvel article L. 442-12.

Ce nouvel article précise, d’abord, la définition de ce que recouvrent les notions de « service d’informatique en nuage » et « d’avoir d’informatique en nuage » (I).

Il prévoit également, afin de rétablir des conditions de concurrence satisfaisantes sur le marché du cloud et d’anticiper l’adoption du règlement européen sur les données :

– un encadrement strict de l’octroi, par les fournisseurs de services d’informatique en nuage à leurs clients « entreprises » des avoirs d’informatique en nuage (II) ;

– une interdiction, pour ces mêmes fournisseurs de facturer à leurs clients « entreprises » des frais « au titre du transfert des données vers les infrastructures de cette personne ou vers celles mises à disposition, directement ou indirectement, par un autre fournisseur » (III).

L’article 7 fixe, enfin, le montant maximum de l’amende administrative qui peut être infligée en cas de conclusion d’un contrat qui violerait ces dispositions. Cette amende ne pourra ainsi excéder 200 000 euros pour une personne physique et un million d’euros pour une personne morale (IV). Elle pourra être majorée en cas de réitération du manquement dans un délai de deux ans (au maximum 400 000 euros pour une personne physique, et 2 millions d’euros pour une personne morale).

III.   Les modifications apportées par le Sénat

A.   En commission

L’article 7 du projet de loi a été adopté avec modifications par le Sénat.

Deux amendements, COM-111 et COM 112, présentés par le rapporteur du texte au Sénat, M. Patrick Chaize, ont procédé à des ajustements portant sur la définition des notions de « service d’informatique en nuage » et « d’avoir d’informatique en nuage » :

– l’amendement COM-111 a harmonisé la définition de la notion de « service d’informatique en nuage » avec le droit européen existant, à savoir la directive dite NIS 2 ([105]) .

– l’amendement COM-112, a modifié la définition de la notion « d’avoir d’informatique en nuage », afin de substituer à la seule approche quantitative (montant) une approche plus englobante.

Est ainsi défini comme avoir d’informatique en nuage tout « avantage temporaire octroyé par un fournisseur de services d’informatique en nuage à ses utilisateurs, utilisable sur ses différents services, sous la forme d’un montant de crédits offerts ou d’une quantité de services offerts ».

Un amendement COM113 du rapporteur a également modifié de façon significative le dispositif initial d’encadrement de l’octroi d’avoirs d’informatique en nuage :

– en insérant directement, au sein de l’article concerné, une durée temporelle maximale pour l’octroi de ces avoirs, fixée à une année maximum. La version initiale du projet de loi renvoyait en effet l’ensemble des modalités d’application de cet encadrement à l’adoption d’un décret en Conseil d’État (dont la référence est maintenue au sein de la version actuelle du texte) ;

– en intégrant, en outre, une interdiction explicite, pour les fournisseurs de services d’informatique en nuage, d’assortir le bénéfice de ces avoirs d’informatique en nuage à toute forme de condition d’exclusivité.

Un amendement COM-114 du rapporteur a précisé, pour sa part, l’articulation entre les frais de transfert de données qui sont supprimés et les frais liés au changement de fournisseur qui sont temporairement autorisés jusqu’à l’application des dispositions dédiées du Data Act.

Il est ainsi précisé, dans la version de l’article adoptée par le Sénat :

– que la facturation des frais liés à un changement de fournisseur doit s’effectuer aux coûts réels et être communiquée de façon transparente aux utilisateurs ;

– qu’en cas de désaccord sur ces frais, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, peut être saisie, dans les conditions prévues à l’article L. 36-8 du code des postes et des communications électroniques.

Enfin, la commission spéciale a adopté, au Sénat, deux amendements identiques COM-51 et COM-88 concernant les pratiques de vente liée sur le marché de l’informatique en nuage. Un V a été inséré en conséquence au sein du nouvel article L. 442-12 du code de commerce créé par le présent article 7 du projet de loi, qui fixe une interdiction de principe pour toute personne « de subordonner la vente d’un produit ou service à la conclusion concomitante d’un contrat de fourniture de services d’informatique en nuage » dès lors que celle-ci constitue une pratique commerciale déloyale.

B.   En séance publique

Cet article a fait l’objet de plusieurs modifications au stade de la séance publique :

– deux amendements identiques n° 22 rect. quater et n° 94, présentés par Mmes Paoli-Gagin et Blatric-Contat ont complété la nouvelle définition de la notion d’avoir informatique en nuage, insérée au stade de la commission spéciale, pour prendre en compte les différentes pratiques à l’œuvre sur le marché du cloud et ainsi rendre l’encadrement de cette pratique pleinement efficace ;

– trois amendements identiques nos 24 rect. quater, 102 et 137 présentés par Mmes Paoli-Gagin et Blatric-Contat, et M. Chaize (rapporteur) ont précisé que des frais de transfert de données ne peuvent être facturés lors du changement de fournisseur de services d’informatique en nuage.

IV.   Les modifications apportées par la commission 

L’article 7 a été modifié à la suite de l’adoption, en commission spéciale, des six amendements suivants :

– un amendement CS907 de Mme Le Hénanff, rapporteure, visant à assurer l’alignement entre la définition de services d’informatique en nuage retenue dans le projet de loi et celle du règlement européen sur les données ;

– un amendement CS908 de Mme Le Hénanff, rapporteure, visant à supprimer, au sein de la définition d’un crédit d’informatique en nuage, le mot « temporaire » afin de limiter le risque de contournement de l’encadrement de cette pratique tel que prévu au sein de l’article 7 ;

– un amendement CS909 de Mme Le Hénanff, rapporteure, visant à remplacer le terme d’« utilisateurs » par celui de « client », employé par le règlement européen sur les données ;

– deux amendements CS948 et CS949, de Mme Le Hénanff, rapporteure, qui maintiennent une durée maximum d’un an pour l’octroi de crédits d’informatique en nuage, mais renvoient à un décret pour la définition précise des modalités de cet encadrement ;

– un amendement CS910 de Mme Le Hénanff, rapporteure, qui supprime les alinéas 8 à 10 de l’article 7 afin de permettre la création d’un article additionnel 7 bis consacré à la question de l’encadrement des frais de transfert (cf. infra).

Article 7 bis (nouveau)
Encadrement des frais de transfert

Article introduit par la commission

1.   Le droit en vigueur

Voir le commentaire de l’article 7.

II.   Le dispositif proposé

Résultant de l’adoption de l’amendement CS923 de Mme Anne Le Hénanff, rapporteure, l’article 7 bis procède à une rédaction plus complète des dispositions relatives à l’encadrement des frais de transfert initialement insérées au sein de l’article 7.

Il crée, à cette fin, un article spécifique consacré à ce sujet au sein du code de commerce, numéroté L. 442-12.

Cet article contient :

– une définition nouvelle des frais de transfert, d’une part, et des frais de changement de fournisseur de services d’informatique en nuage, d’autre part ;

– un encadrement de ces frais conforme aux dispositions du règlement européen sur les données. Il est ainsi interdit à un fournisseur de services d’informatique en nuage de facturer à un client souhaitant migrer vers un autre fournisseur des frais de transfert de données et des frais de changement de fournisseurs « supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement » ;

– une définition des modalités d’évaluation de ces frais. Il est ainsi prévu que les frais de transfert de données sont facturés « dans le respect d’un montant maximal de tarification fixé par arrêté du ministre chargé du numérique après proposition de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse ». L’Arcep doit, dans ce cadre, après consultation publique, adopter des lignes directrices précisant les coûts susceptibles d’être pris en compte dans ce cadre.

 En outre, cet article sécurise l’information des clients des fournisseurs de services d’informatique en nuage à ce sujet, en faisant peser une obligation d’information spécifique sur ces derniers, que le contrat ait été conclu avant la promulgation de la présente loi, ou a posteriori. Afin que l’ensemble des clients concernés puissent bénéficier de ces dispositions, il est ainsi prévu que les fournisseurs informent expressément leurs clients lorsque les contrats sont en cours, et que ces informations sont insérées directement au sein des contrats qui seront signés après promulgation de la présente loi.

 Enfin, l’article 7 bis prévoit une exception à l’application de ces dispositions pour les services d’informatique en nuage « sur-mesure » qui ne sont pas offerts à grande échelle, et ceux mis à disposition dans un environnement hors production à des fins de test et d’évaluation pour une durée limitée.

Chapitre II
Interopérabilité des services d’informatique en nuage

Article 8
Obligations d’interopérabilité et de portabilité à la charge des fournisseurs de services d’informatique en nuage

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   L’essor de l’économie de la donnée a fait « la part belle » aux acteurs dominants du marché des services d’informatique en nuage

Voir le commentaire de l’article 7.

B.   Des barrières techniques liées à un manque d’interopérabilité et de portabilité des données

Le marché de l’informatique en nuage souffre d’un manque de concurrence lié à l’existence de pratiques commerciales qui limitent la capacité des entreprises acheteuses à pouvoir librement et à tout moment choisir la solution optimale par rapport à leurs besoins.

L’article 7 du présent projet de loi entend agir sur la question des frais de transfert et sur l’octroi de crédits cloud. Il prévoit à cette fin une suppression des frais de transfert et un encadrement renforcé de l’octroi de ces crédits.

Il existe néanmoins, en outre, d’autres barrières techniques dues à un manque d’interopérabilité et de portabilité des données.

Cet enjeu fait l’objet de dispositions spécifiques au sein du Data Act, prévues par ses articles 28 et 29. Ces deux articles définissent les « exigences essentielles » en termes d’interopérabilité et de portabilité des données auxquelles devront se soumettre les fournisseurs de services d’informatique en nuage.

L’article 8 du présent projet de loi vient traduire, en application du droit européen, le contenu de ces exigences au sein du droit national, afin de renforcer la capacité de choix et de changement de fournisseur par les utilisateurs de ces services.

II.   Le dispositif proposé

L’article 8 pose les jalons juridiques nécessaires en vue d’imposer aux fournisseurs de services d’informatique en nuage une exigence d’interopérabilité de leurs services.

Il introduit, en premier lieu, de nouvelles définitions juridiques pour les actifs numériques. Ces derniers sont ainsi entendus comme « tous les éléments en format numérique sur lesquels l’utilisateur d’un service informatique en nuage a un droit d’utilisation, y compris des actifs qui ne sont pas inclus dans le champ de sa relation contractuelle avec le service d’informatique en nuage ». Ces actifs numériques comprennent « les données, les applications, les machines virtuelles et les autres technologies de virtualisation telles que les conteneurs ».

Il consacre également une première définition juridique de l’équivalence fonctionnelle, inspirée de l’état actuel de la rédaction de l’article 2 du Data Act. En l’espèce, cette notion est entendue comme « un niveau minimal de fonctionnalité assurée dans l’environnement d’un nouveau service d’informatique en nuage après la migration, de manière à garantir aux utilisateurs un usage des éléments essentiels du service aux mêmes niveaux de performance, de sécurité, de résilience opérationnelle et de qualité que le service d’origine au moment de la résiliation du contrat ».

Enfin, au-delà des enjeux de définition, l’article 8 prévoit que les fournisseurs de services d’informatique en nuage doivent assurer la conformité desdits services avec les exigences essentielles en matière d’interopérabilité, de portabilité des actifs numériques et de mise à disposition gratuite aux utilisateurs et aux fournisseurs de services tiers d’interface de programmation applications nécessaires pour mettre en œuvre ces exigences.

 

III.   Les modifications apportées par le Sénat

A.   En commission

Lors de son examen en commission spéciale, cet article a fait l’objet d’une modification.

Un amendement COM-115 du rapporteur M. Patrick Chaize a ainsi modifié la rédaction de la définition de l’équivalence fonctionnelle en remplaçant les termes « aux mêmes niveaux », par les termes « à des niveaux équivalents ».

Cette modification doit permettre d’éviter un effet indésirable d’harmonisation de l’ensemble des offres proposées sur le marché des infrastructures d’informatique en nuage, étant entendu que cette définition devra être ajustée une fois le Data Act définitivement adoptée.

B.   En séance publique

Au stade de la séance publique, un amendement de coordination juridique n° 138 présenté par le rapporteur M. Patrick Chaize, au nom de la commission spéciale, a également été adopté.

IV.   Les modifications apportées par la commission

L’article 8 a été modifié à la suite de l’adoption, en commission spéciale, des cinq amendements suivants :

– un amendement CS914 de Mme Le Hénanff, rapporteure, visant à remplacer le terme d’« utilisateurs » par celui de « client », qui est employé par le règlement européen sur les données ;

– un amendement CS911 de Mme Le Hénanff, rapporteure, visant à assurer l’alignement entre la définition d’un actif numérique retenue dans le projet de loi et celle retenue au sein du règlement européen sur les données ;

– un amendement CS161 de M. Philippe Latombe (Dem), harmonisant la définition de la notion d’équivalence fonctionnelle retenue dans le projet de loi avec celle retenue au sein du règlement européen sur les données ;

– un amendement CS912 de Mme Le Hénanff, rapporteure, alignant la définition des données exportables retenue par le présent projet de loi avec celle prévue dans le règlement européen sur les données (Data Act) ;

– un amendement CS913 de Mme Le Hénanff, rapporteure, qui précise, conformément au règlement européen sur les données, que les exigences essentielles de portabilité et d’interopérabilité s’appliquent en tenant compte de la distinction entre, d’une part, les services IaaS (Infrastructure-as-a-Service), et, d’autre part, les autres services d’informatique en nuage (Software-as-a-Service et Platform-as-a-Service).

Article 9
Obligations d’interopérabilité et de portabilité à la charge des services d’informatique en nuage

Adopté par la commission avec modifications

1.   Le droit en vigueur

L’accord politique obtenu sur le règlement européen sur les données (Data Act), le 7 juillet dernier, rend nécessaire la définition d’une autorité compétente pour assurer l’édiction des règles et modalités techniques relatives aux exigences d’interopérabilité et de portabilité des données, telles que prévues à l’article 8 du présent projet de loi.

L’article 31 de ce règlement précise, en effet, que chaque État membre « désigne une ou plusieurs autorités compétentes chargées de l’application et de l’exécution du présent règlement. Les États membres peuvent mettre en place une ou plusieurs nouvelles autorités ou s’appuyer sur des autorités existantes ».

Il convient donc de déterminer, dans la loi, l’autorité compétente dans cette matière.

II.   Le dispositif proposé

L’article 9 prévoit la compétence de principe de l’Arcep quant à la définition des règles et modalités relatives aux exigences d’interopérabilité et de portabilité des données, telles que prévues à l’article 8 du projet de loi.

Il précise, en outre, que l’Autorité peut s’appuyer, pour l’édiction de ces spécifications, sur les organismes de normalisation existants et que ces spécifications doivent être correctement articulées avec celles mises en œuvre par les autorités compétentes des autres pays membres de l’Union européenne, ainsi que celles figurant dans les codes de conduite européens relatifs aux services d’informatique en nuage.

Cet article prévoit, en outre :

– que les fournisseurs concernés doivent publier et mettre à jour une « offre de référence technique d’interopérabilité » détaillant les conditions de mise en conformité de leurs services avec les obligations précitées ;

– que les fournisseurs de services d’informatique en nuage dont les ressources correspondent à des ressources informatiques modulables et variables limitées à des éléments d’infrastructure sont soumis à une obligation de moyens pour faciliter une équivalence fonctionnelle dans l’utilisation du service de destination, lorsqu’il couvre le même type de fonctionnalités.

III.   Les modifications apportées par le Sénat

A.   En commission

Un amendement COM-116 du rapporteur, M. Patrick Chaize, a inséré un nouvel alinéa au sein de l’article 9 afin de prévoir :

– que l’Arcep doit tenir compte des différences existant entre les infrastructures, les plateformes et les logiciels de services d’informatique en nuage ;

– que ces différences doivent être prises en compte lors de l’édiction des spécifications techniques, plutôt que dans la définition des exigences d’interopérabilité et de portabilité, afin de laisser davantage de souplesse à l’Arcep et aux opérateurs économiques concernés ;

– un délai d’édiction de ces spécifications techniques et donc un délai de mise en conformité des opérateurs économiques concernés à ces spécifications, qui sera fixé par décret, après consultation de l’Arcep.

B.   En séance publique

Cet article n’a fait l’objet d’aucune modification au stade de son examen en séance publique au Sénat.

IV.   Les modifications apportées par LA COMMISSION

L’article 9 a été modifié à la suite de l’adoption, en commission spéciale, des cinq amendements suivants :

– un amendement CS918 de Mme Le Hénanff, rapporteure, qui vise assurer le plein alignement avec les dispositions du règlement européen sur les données (Data Act) et la mise en œuvre des mesures d’interopérabilité et de portabilité présentes au sein du projet de loi (distinction entre les types d’offres d’informatique en nuage, précision apportée à la compétence de l’Arcep dans l’édiction de spécifications techniques) ;

– un amendement CS915, de Mme Le Hénanff, rapporteure, de nature rédactionnelle ;

– un amendement CS916, de Mme Le Hénanff, rapporteure, qui précise que l’obligation de publication d’une offre de référence technique doit s’appuyer, le cas échéant, sur les décisions adoptées par l’Arcep pour préciser la mise en œuvre des exigences essentielles d’interopérabilité et de portabilité ;

– un amendement CS711, de M. Philippe Latombe (Dem), apportant une précision rédactionnelle sur la nature des mesures que doivent prendre les fournisseurs de services d’informatique en nuage afin de faciliter l’équivalence fonctionnelle après la migration vers un service tiers ;

– un amendement CS917 de Mme Le Hénanff, rapporteure, qui assure l’alignement entre le champ d’application prévu par le règlement européen sur les données et le champ d’application des obligations du présent projet de loi en matière d’interopérabilité.

Article 10
Compétence de l’Arcep pour constater et sanctionner les manquements aux obligations nouvelles supportées par les fournisseurs de services d’informatique en nuage

Adopté par la commission avec modifications

1.   Le droit en vigueur

Voir le commentaire d’article de l’article 9.

II.   Le dispositif proposé

L’article 10 donne à l’Arcep la capacité de contrôler les obligations des fournisseurs de services d’informatique en nuage.

Cet article prévoit que l’Arcep peut, « de manière proportionnée aux besoins liés à l’accomplissement de ses missions », et sur la base d’une décision motivée recueillir les informations et documents nécessaires auprès des personnes physiques ou morales concernées et procéder auprès de ces mêmes personnes à des enquêtes. La procédure d’enquête mise en œuvre par l’Arcep est soumise à des règles classiques tenant à la préservation de la confidentialité des informations recueillies dans ce cadre.

L’article 10 fait également de l’Arcep l’autorité en charge de régler les différends pouvant survenir en cas de désaccord sur les conditions de mise en œuvre des obligations d’interopérabilité et de portabilité des données, telles que prévues à l’article 8 du projet de loi.

Enfin, pour rendre son action de régulation et de contrôle effective, l’Arcep se voit dotée d’un pouvoir de sanction des manquements aux obligations prévues aux articles 8 et 9 du projet de loi. Elle peut donc sanctionner ces manquements soit de sa propre initiative (saisine d’office), soit à la demande du ministre chargé de l’économie, d’une organisation professionnelle, d’une association agréée d’utilisateurs ou de toute personne physique ou morale concernée, sous réserve que la constatation de l’infraction soit avérée.

Le régime de sanction retenu est le suivant : une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d’affaires hors taxes du dernier exercice clos. Ce taux peut être porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

III.   Les modifications apportées par le Sénat

A.   En commission

Lors de l’examen en commission spéciale, celle-ci a adopté deux amendements de M. Patrick Chaize, rapporteur :

– un amendement COM-117, de nature rédactionnelle ;

– un amendement COM-118, qui instaure une procédure de saisine de l’Autorité de la concurrence (ADLC) par l’Arcep lorsque cette dernière a connaissance d’abus de position dominante et de pratiques entravant le libre exercice de la concurrence dans le secteur de l’informatique en nuage, à l’instar de la procédure existante en matière de communications électroniques.

B.   En séance publique

En séance publique, un amendement rédactionnel n° 139, présenté par le rapporteur M. Patrick Chaize, a été adopté.

IV.   Les modifications apportées par LA COMMISSION

L’article 10 a été modifié à la suite de l’adoption, en commission spéciale, d’un de précision juridique CS919 de Mme Le Hénanff, rapporteure.

Chapitre II bis A
Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage

Article 10 bis A (supprimé)
Renforcement de la protection des données sensibles dans le cadre des offres d’informatique en nuage souscrites par les autorités publiques

Supprimé par la commission

1.   Le droit en vigueur

A.   Une protection des données personnelles assurée, en droit, par le règlement général pour la protection des données (RGPD)

Le règlement général pour la protection des données (RGPD) prévoit un ensemble de dispositions visant à garantir la sécurité des données personnelles des utilisateurs des services d’informatique en nuage.

Dans ce cadre, les offreurs de services d’informatique en nuage doivent respecter un certain nombre de principes, parmi lesquels :

– le principe de transparence, qui se traduit notamment par l’information des personnes physiques concernées de l’usage qui va être fait des données personnelles confiées ;

– le principe de la limitation du traitement de ces données : l’usage des données par l’offreur de services d’informatique en nuage doit se limiter à ce pour quoi l’utilisateur concerné a été informé ;

– le principe de sécurisation des données : les acteurs du cloud doivent, en conséquence, sécuriser l’hébergement des données afin d’éviter toute forme de fuite de données ;

– le principe de portabilité des données qui, en théorie, doit garantir la capacité de l’utilisateur – personne physique ou personne morale – à transférer ses données chez un autre offreur de services s’il le souhaite.

Ces garanties s’appliquent néanmoins aux seules données personnelles, et ont pour objet de protéger d’abord les personnes physiques. En conséquence, les entreprises concernées doivent, en cas de recours à ces solutions, vérifier notamment que l’offreur de services choisi offre des garanties de sécurité suffisantes et intégrer, dans les contrats passés avec celui-ci, un certain nombre de clauses spécifiques visant à la protection de ces données.

B.   Plusieurs règlements ont vocation à compléter cette régulation, afin de mieux intégrer les enjeux de l’économie de la donnée

Le cadre juridique européen est en cours de construction en ce qui concerne la protection des données non personnelles.

Dans le cadre de la stratégie européenne pour la donnée et dans un double objectif de protection des données et de promotion de la souveraineté numérique européenne, plusieurs textes ont été élaborés ou sont en cours d’élaboration pour renforcer le niveau de régulation du marché de la donnée.

Le Data Governance Act (DGA) ([106]), adopté au mois de mai 2022, fixe le cadre juridique afférent au partage des données personnelles et non personnelles. Ce règlement doit favoriser le partage des données personnelles et non personnelles, en instaurant des structures d’intermédiation. Il encadre notamment la réutilisation de certaines catégories de données protégées du secteur public, et met en place des certifications obligatoires pour les fournisseurs de services d’intermédiation de données

Le Data Act (DA) ([107]), en cours de finalisation, vise, pour sa part, à assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée.

Il contient un ensemble de dispositions visant à favoriser le partage de données entre entreprises et consommateurs, et à faciliter le changement de fournisseur de services d’informatique en nuage.

Il renforce à cette fin les obligations de transparence, d’interopérabilité, et de portabilité qui s’imposent à ces derniers, et prévoit des dispositions spécifiques devant prévenir le risque d’accès illicite de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud.

Il prévoit, enfin, des obligations renforcées concernant les garanties que doivent apporter les fournisseurs de services en matière d’accès et de transfert de données à l’international (article 27).

Le présent projet de loi, dans son titre III, vise notamment à anticiper la mise en œuvre de ces régulations (Data Act), en intégrant d’ores et déjà un certain nombre d’obligations à destination des offreurs de services d’informatique en nuage.

C.   Des dispositions parfois considérées comme insuffisantes pour protéger la souveraineté numérique nationale et européenne

Plusieurs rapports parlementaires ont souligné que la protection des données personnelles et non personnelles vis-à-vis des tentatives d’accès d’État-tiers apparaît en l’état tout à fait insuffisante.

En 2019, le rapport sur le « devoir de souveraineté numérique », présenté par le sénateur M. Gérard Longuet ([108]), prônait la nécessité « d’opposer fermement notre législation nationale et européenne au Cloud Act ou à toute autre norme se voulant porteuse d’un ordre juridique extraterritorial », en s’appuyant, au niveau national, sur un renforcement de la loi de blocage du 26 juillet 1968 ([109]), et à l’extension du RGPD « aux données non personnelles stratégiques des personnes morales, pour sanctionner les intermédiaires qui transmettraient aux autorités étrangères des données en dehors de ce mécanisme d’entraide administrative ou judiciaire » ([110]).

En 2021, un rapport de l’Assemblée nationale intitulé « Bâtir et promouvoir une souveraineté numérique nationale et européenne » ([111]), présenté par M. Philippe Latombe relevait, avec justesse, que ces inquiétudes étaient parfaitement fondées. Par son arrêt Schrems II ([112]), la Cour de justice de l’Union européenne, a en effet invalidé, en 2020, le Privacy Shield, c’est-à-dire la décision d’adéquation de la Commission européenne qui rendait possible le transfert de données entre les États-Unis et l’Europe, en raison « d’un niveau insuffisant de protection des données personnelles dans le cas de leur transfert à finalité commerciale vers le sol américain ». Le rapport plaidait, en conséquence, pour un effort de localisation des données sur le territoire européen et un renforcement de la législation nationale et européenne sur ce sujet.

Au niveau national, la doctrine « Cloud au centre » a permis de garantir un niveau de protection des données maximal pour les données les plus sensibles, via la mise en place d’une certification SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Cette certification a pour objectif d’identifier les prestataires considérés comme « de confiance » afin de garantir un niveau élevé de protection des données concernées. Elle garantit, entre autres, la localisation des données sur le sol européen et constitue une protection contre le risque d’application de législations extraterritoriales.

Enfin, au niveau européen, des négociations sont en cours concernant l’adoption d’un schéma européen de certification des services cloud (EUCS), dont l’objet est de définir les normes de sécurité qui s’imposent aux fournisseurs de services d’informatique en nuage.

II.   Le dispositif proposé

L’article 10 bis A, en lien avec l’article 10 bis, introduit par voie d’amendement en séance au Sénat, par Mme Morin Desailly et M. Chaize ([113]) vient renforcer le niveau de protection des données stratégiques et sensibles traitées par les fournisseurs de services d’informatique en nuage.

Cet article inscrit dans le droit plusieurs obligations nouvelles pour les fournisseurs de services d’informatique en nuage, ainsi que pour les autorités publiques faisant usage de ces solutions.

Pour les fournisseurs de services d’informatique en nuage, est ainsi créée une obligation de prendre « toutes les mesures techniques et organisationnelles » nécessaires pour empêcher tout accès, direct ou indirect, non autorisé par les autorités publiques, d’un État tiers, à ces données. Sont ici concernées les données relevant des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration – données relevant de secrets protégés par la loi ([114]) –, des données de santé à caractère personnel mentionnées à l’article L. 1111-8 du code de la santé publique, et toute donnée nécessaire « à l’accomplissement des missions essentielles de l’État ».

Pour les autorités publiques, est également créée une obligation légale de vérification de la sécurité de la solution cloud retenue pour l’hébergement des données précitées, qui se traduit, en pratique, par le contrôle du fournisseur de services d’informatique en nuage quant au respect de cette nouvelle obligation ainsi que par des garanties d’indépendance de ces fournisseurs de services vis-à-vis des États tiers.

Pour pouvoir recourir à une offre d’hébergement de données sensibles, les autorités publiques doivent ainsi s’assurer que le fournisseur choisi a installé son siège statutaire, son administration centrale ou son principal établissement sur le territoire d’un État membre de l’Union européenne et que « le capital et les droits de vote dans la société du prestataire retenu ne sont pas, directement ou indirectement, individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, leur administration centrale ou leur principal établissement en dehors de l’Union européenne » .

Une garantie supplémentaire est ajoutée, puisque ces entités tierces « ne peuvent pas, individuellement ou collectivement, en vertu d’un contrat ou de clauses statutaires, disposer d’un droit de veto ou désigner la majorité des membres des organes d’administration de direction ou de surveillance du prestataire ».

III.   Les modifications apportées par LA COMMISSION

Deux amendements identiques de suppression de l’article, CS933 et CS589, présentés respectivement par Mme Le Hénanff, rapporteure et Mme Clara Chassaniol (RE) ont été adoptés.

La commission a en effet estimé que le dispositif présentait de sérieuses difficultés d’ordre juridique, au regard du droit européen, et qu’il était dépourvu de portée opérationnelle réelle, faute de disponibilité suffisante de l’offre de cloud sécurisée qu’il entend viser.

 

Article 10 bis B (nouveau)
Renforcement des exigences de sécurité relatives à l'hébergement des données de santé

Article introduit par la commission

Résultant de l’adoption d’un amendement de M. Philippe Latombe (Dem), l’article 10 bis B modifie l’article L. 1111-8 du code de la santé publique afin de rendre obligatoire le recours à une solution de services d’informatique en nuage certifiée par le référentiel SecNumCloud pour l’hébergement des données de santé.

1.   Le droit en vigueur

L’hébergement des données de santé fait l’objet d’exigences spécifiques visant à garantir leur protection contre l’existence d’éventuelles fuites de données.

L’article L.1111-8 du code de la santé publique prévoit que toute personne physique ou morale à l’origine de la production ou du recueil de données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social doit recourir à un hébergeur certifié ou agréé lorsqu’elle externalise la conservation de données dont elle est responsable.

Cette obligation s’applique à toute entité qui propose un service d’hébergement portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social et pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

L’Agence du numérique en santé (ANS) a mis en place, dans ce cadre, un référentiel de certification « Hébergement de données de santé », dite « HDS ».

II.   Le dispositif proposé

Résultant de l’adoption, malgré les avis défavorables de la rapporteure et du Gouvernement, de l’amendement CS765 de M. Philippe Latombe (Dem), l’article 10 bis B complète l’article L. 1111-8 du code de la santé publique par un alinéa prévoyant une obligation pour les fournisseurs de service d’informatique en nuage, à compter du 1er juillet 2024, d’être certifié par le référentiel SecNumCloud publié par l’Agence nationale de sécurité des systèmes d’information (Anssi) pour pouvoir héberger des données de santé.

Chapitre II bis
Transparence sur le marché de l’informatique en nuage

Article 10 bis
Obligations renforcées de transparence et de sécurisation des données à destination des fournisseurs de services d’informatique en nuage

Adopté par la commission avec modifications

1.   Le droit en vigueur

Voir le commentaire d’article de l’article 10 bis A.

II.   Le dispositif proposé

L’article 10 bis est un article additionnel introduit par le Sénat au stade de l’examen en commission spéciale à la suite de l’adoption de deux amendements identiques COM-52 et COM-157 rect. bis présentés respectivement par Mme Blatrix-Contat et Mme Paoli.

Il crée une obligation, pour les fournisseurs de services d’informatique en nuage et leurs intermédiaires, de mettre à disposition du public et d’actualiser lorsque cela est nécessaire un certain nombre d’informations concernant :

– l’emplacement physique de leurs infrastructures informatiques déployées pour le traitement des données de leurs services individuels ;

– l’existence d’un risque d’accès gouvernemental aux données de l’utilisateur du service d’informatique en nuage ;

– la description des « mesures techniques, juridiques et organisationnelles » mises en œuvre par l’opérateur pour prévenir le risque précité, « lorsque ce transfert ou cet accès créerait un conflit avec le droit de l’Union européenne ou le droit national de l’État membre concerné ».

Cet article prévoit, en outre, que les sites internet des fournisseurs de services d’informatique en nuage et de leurs intermédiaires soient mentionnés au sein des accords contractuels.

 

Sa rédaction n’a fait l’objet d’aucune modification au stade de la séance publique.

III.   Les modifications apportées par LA COMMISSION

Un amendement de rédaction globale, CS932, de la rapporteure Mme Anne Le Hénanff, a été adopté. Il procède à un alignement des dispositions de l’article 10 bis sur celles du règlement européen sur les données.

 

Chapitre III
Régulation des services d’intermédiation des données

Article 11
Compétence de l’Arcep en matière de régulation des services d’intermédiation de données

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   Une régulation de la donnÉe renforcée au niveau européen

Dans le cadre de la stratégie européenne pour la donnée, plusieurs règlements européens ont été adoptés afin de compléter la régulation mise en œuvre en matière de services numériques (règlement pour les services numériques) et de marchés numériques (règlement pour les marchés numériques).

À l’initiative de la Commission européenne, le règlement européen sur la gouvernance des données (DGA) est entré en vigueur le 23 juin 2022. Ce règlement fixe le cadre juridique afférent au partage des données personnelles et non personnelles. Il favorise le partage des données personnelles et non personnelles en instaurant des structures d’intermédiation, encadre la réutilisation de certaines catégories de données protégées du secteur public, et met en place des certifications obligatoires pour les fournisseurs de services d’intermédiation de données.

Ce règlement institue, en particulier, une nouvelle catégorie juridique de service : le service « d’intermédiation de données ». Ce dernier est défini en son article 2 comme tout service « qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel », à l’exclusion d’un certain nombre de services plus spécifiques.

L’étude d’impact annexée au présent projet de loi fournit, comme exemple d’acteur qui pourrait être intéressé par cette qualification nouvelle, la plateforme AgDataHub, entreprise qui se positionne comme intermédiaire de référence pour la circulation des données agricoles en France et en Europe.

B.   La désignation nécessaire de l’autorité compétente en matière de services d’intermédiation de données

L’article 13 du règlement sur la gouvernance européenne des données, dispose que « chaque État membre désigne une ou plusieurs autorités compétentes pour effectuer les tâches liées à la procédure de notification pour les services d’intermédiation de données ».

L’article 11 du projet de loi procède donc à cette désignation, afin de permettre la pleine entrée en application de ce règlement, qui est prévue au mois de septembre 2023.

II.   Le dispositif proposé

L’article 11 désigne l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) comme autorité compétente pour réguler les services d’intermédiation de données, conformément à l’article 13 du règlement sur la gouvernance européenne des données.

Il tire les conséquences juridiques de cette désignation en matière de compétences, à savoir :

– la consultation de l’Autorité sur les projets de loi et de décret relatifs aux services d’intermédiation de données ;

– l’association de l’Autorité, à la demande du ministre compétent, à la préparation de la position française au sein des négociations internationales portant sur ce sujet, et sa participation à la représentation de la France dans ce domaine ;

–  la coopération de l’Autorité avec les autres autorités compétentes des pays membres de l’Union européenne, ainsi qu’avec la Commission européenne et le comité européen de l’innovation dans le domaine des données.

III.   Les modifications apportées par le Sénat

Cet article n’a pas été modifié par le Sénat.

IV.   Les modifications apportÉes par LA COMMISSION

L’article 11 a été modifié à la suite de l’adoption, en commission spéciale, d’un amendement de précision rédactionnelle CS921 de Mme Anne Le Hénanff, rapporteure. Il aligne la rédaction de l’alinéa 3 de l’article sur les dispositions de l’article 29 du règlement européen sur les données.

 

Article 12
Compétence de l’Arcep en matière de régulation des services d’intermédiation de données

Adopté par la commission avec modifications

1.   Le droit en vigueur

Voir le commentaire d’article de l’article 11.

II.   Le dispositif proposé

L’article 12 attribue à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) les compétences nécessaires pour mener à bien sa nouvelle mission de régulation des prestataires de services d’intermédiation de données (SID).

Ainsi :

– le I de l’article 12 prévoit que l’Arcep puisse recueillir auprès de ces prestataires les documents et informations nécessaires pour vérifier que ces derniers se conforment aux dispositions prévues au chapitre III du règlement sur la gouvernance européenne des données ou dans les actes délégués pris pour son application (1°) et procéder si nécessaire à des enquêtes (2°).

Il est précisé, en outre, que la mise en œuvre de ces dispositions doit s’effectuer « de manière proportionnée, et sur la base d’une décision motivée », et que l’Arcep est soumise aux règles relatives à la protection des informations recueillies dans le cadre de l’exercice de cette compétence ;

– le II prévoit que l’Arcep puisse se saisir d’office ou être saisie par « toute personne physique ou morale concernée » en cas de manquement aux obligations précitées prévues au sein du chapitre III du règlement européen pour la gouvernance des données.

Il fixe également le régime de sanctions applicable à ces manquements, à savoir une sanction pécuniaire qui ne peut excéder 3 % du chiffre d’affaires mondial hors taxes du dernier exercice clos (5 % en cas de nouvelle violation de la même obligation), ou 150 000 euros en cas d’absence de chiffre d’affaires (375 000 euros en cas de nouvelle violation de la même obligation dans les cinq ans). Le délai de mise en conformité par le prestataire de SID est fixé à trente jours.

Ce régime de sanctions inclut en outre la possibilité, pour l’Arcep, de prononcer une sanction de suspension de la fourniture du service d’intermédiation de données et la cessation de la fourniture de ce service dans le cas où le prestataire n’aurait pas remédié aux manquements graves constatés.

III.   Les modifications apportées par le SÉnat

Cet article n’a pas été modifié par le Sénat.

IV.   les modifications apportées par LA COMMISSION

L’article 12 a été modifié à la suite de l’adoption, en commission spéciale, d’un amendement de précision rédactionnelle CS920 de Mme Anne Le Hénanff, rapporteure. Cet amendement précise les pouvoirs de contrôle et de sanction de l’Arcep en tant qu’autorité compétente en matière de fournisseurs de services d’intermédiation de données.

 

Article 13
Articulation de la compétence de la Cnil et de l’Arcep s’agissant des données à caractère personnel, dans le cadre de la mission de régulation des services d’intermédiation de données par l’Arcep

1.   Le droit en vigueur

L’application du règlement pour la gouvernance européenne des données (DGA) rend nécessaire la désignation d’une autorité compétente pour assurer le respect, par les prestataires de services d’intermédiation de données (SID), de leurs nouvelles obligations.

Le Gouvernement a choisi de désigner l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) pour assurer cette nouvelle mission. Ce choix s’appuie, pour l’essentiel, sur le caractère non personnel des données régulées dans ce cadre.

Toutefois, ainsi que le prévoit le règlement européen précité, la nouvelle compétence de l’Arcep doit s’exercer sans préjudice des compétences des autres autorités nationales concernées dans leurs domaines de compétence respectifs. En l’espèce, la question de la régulation de la donnée inclut des enjeux relatifs à la protection des données et au respect du règlement européen pour la protection des données personnelles, dont la Commission nationale de l’informatique et des libertés (Cnil) assume la charge.

Il convenait donc de définir les modalités de consultation de la Cnil par l’Arcep dans le cadre de sa nouvelle mission de régulation des SID.

II.   Le dispositif proposé

L’article 13 définit les modalités de consultation de la Cnil par l’Arcep dans le cadre de l’exercice de la nouvelle mission de régulation qui est confiée à cette dernière.

Il prévoit, à cet effet :

– que, avant toute décision, l’Arcep doit saisir la Cnil des pratiques de prestataires de SID lorsque celles-ci sont « de nature à soulever des questions liées à la protection des données à caractère personnel ». L’Arcep doit alors tenue de tenir compte des éventuelles remarques de la Cnil à ce sujet ;

– les conditions dans lesquelles s’effectue cette saisine : celle-ci intervient lorsque l’Arcep est amenée à traiter des demandes formulées par les prestataires précités en application de certaines dispositions du règlement européen portant sur la gouvernance des données ou toute réclamation émanant de personnes physiques ou morales ayant recours aux services d’intermédiation de données relatives au champ d’application du même règlement.

En outre, l’Arcep est tenue d’informer la Cnil de toute procédure ouverte en application de ces dispositions et doit lui communiquer toute information utile lui permettant de fournir d’éventuelles observations sur le sujet traité, dans un délai de quatre semaines.

Enfin, l’article 13 prévoit que la Cnil communique, en retour, tout fait dont elle a connaissance dans son domaine de compétence – le contrôle du respect des exigences en matière de protection des données à caractère personnel –qui pourrait être constitutif d’un manquement aux obligations des prestataires de SID au regard des dispositions du chapitre III du DGA.

III.   Les modifications apportées par le Sénat

Deux amendements rédactionnels COM-119 et COM-120 présentés par le rapporteur M. Patrick Chaize ont été adoptés lors de l’examen du texte en commission spéciale.

Cet article n’a fait l’objet d’aucune modification en séance publique.

IV.   les modifications apportées par LA COMMISSION

L’article 13 a été modifié à la suite de l’adoption, en commission spéciale, d’un amendement de précision rédactionnelle CS922 de Mme Anne Le Hénanff, rapporteure.

Article 14
Coordinations juridiques au sein du code des postes et des communications électroniques

Adopté par la commission sans modification

1.   Le droit en vigueur

Le code des postes et des communications électroniques définit en son article L. 130 le statut de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) ainsi que les modalités d’organisation de ses différentes formations.

La désignation de l’Arcep comme autorité compétente en charge de réguler les fournisseurs de services d’informatique en nuage et de services d’intermédiation de données rend nécessaire la création d’un renvoi, au sein de cet article, aux dispositions prévoyant, au sein du présent projet de loi, cette nouvelle compétence.

II.   Le dispositif proposé

L’article 14 procède à des modifications d’ordre rédactionnel au sein de l’article L. 130 du code des postes et des communications électroniques.

Cet article définit le statut de l’Arcep (autorité administrative indépendante), détaille la composition de ses différentes formations (plénière et restreinte), leur champ de compétence, et les modalités d’exercice du pouvoir de sanction de ces dernières.

Le cinquième alinéa modifié correspond au périmètre de l’action de la formation restreinte de l’Arcep. Il ne comprend pas, par définition, les nouvelles dispositions prévues au sein du projet de loi, raison pour laquelle il convenait de le compléter.

Un renvoi est donc effectué, en ce sens, aux dispositions « prévues au second alinéa du III de l’article 10 » et au quatrième à dernier alinéas du II de l’article 12 du présent projet de loi.

III.   Les modifications apportées par le Sénat

Le Sénat a adopté, en commission spéciale, un amendement COM-121 de précision juridique présenté par le rapporteur M. Patrick Chaize.

IV.   les modifications apportées par LA COMMISSION

L’article 14 n’a pas fait l’objet de modification lors de son examen en commission spéciale.

titre iv
assurer le développement en France de l’ Économie des objets de jeux numériques monétisables dans un cadre protecteur

Article 15
Encadrement des jeux à objet numérique monétisable (Jonum)

Adopté par la commission avec modifications

1.   Le droit en vigueur

A.   Les JONUM : une nouvelle catégorie de jeux à la frontiÈre entre jeux vidéo et jeux d’argent et de hasard

1.   Les jeux à objet numérique monétisable : une innovation dans le domaine des jeux en ligne, qui procède du développement des technologies du Web 3.0.

Le développement des « chaînes de blocs », technologie permettant le stockage et la transmission d’informations de façon décentralisée et sécurisée, a suscité de nombreuses innovations aux usages économiques multiples.

L’essor de ces technologies est désigné par l’appellation Web 3.0, par opposition aux versions précédents du Web, c’est-à-dire au Web 1.0 (site internet statique) et au Web 2.0 (site internet qui permet l’interaction entre utilisateurs).

Cette évolution transforme progressivement le modèle économique des jeux. En effet, ainsi que le rappelle le rapport de l’Inspection générale des finances (IGF) consacré au Web 3.0 ([115]), les éditeurs de jeux, sous l’influence de cette évolution, ont développé de façon croissante des jeux évolutifs, au sein desquels il est possible d’acquérir des accessoires supplémentaires de toutes natures (achat in game). Les revenus supplémentaires générés par ces achats leur permettent de rendre l’accès au jeu initial gratuit (modèle du freemium).

Cette évolution répond également à une demande de la communauté des joueurs, puisqu’elle constitue à la fois un moyen supplémentaire de manifester son attachement aux jeux concernés, et de rentabiliser l’investissement consenti en termes de temps et d’argent.

2.   Des modèles de jeux variés dont il est difficile de constituer une liste exhaustive à ce stade.

L’essor des jeux Web 3.0 et l’absence de maturité d’un secteur économique en cours de développement rendent difficile la constitution d’une liste exhaustive des types de jeux concernés par la possibilité d’y acquérir et d’y échanger des objets numériques monétisables.

3.   Une source d’opportunités économiques majeure pour l’écosystème français des jeux Web 3.0.

Le développement de jeux à objet numérique monétisable se traduit par des investissements importants, en France et dans le monde, dans un secteur d’activité encore mouvant qui doit gagner en maturité.

En effet, selon l’Autorité nationale des jeux (ANJ), près de 12 milliards d’euros ont été investis dans les jeux utilisant des jetons non fongibles en 2022, pour environ 2 000 jeux dits « play to earn » destinés notamment au public français, . Les chiffres fournis par l’IGF concernant les jeux du Web 3.0 confirment cette tendance, avec, à l’échelle mondiale, environ 7,6 milliards de dollars consacrés aux jeux Web 3.0 en 2022, soit le double des investissements consentis en 2021 dans le même domaine.

Le développement des Jonum constitue donc un formidable levier de croissance et d’innovation pour le secteur du jeu Web 3.0 français.

En effet, ainsi que le rappelle l’IGF dans son rapport précité, « si le secteur français du jeu Web 3.0 n’est pas au premier rang mondial, puisqu’il ne compte aucun des jeux les plus utilisés (Alien Worlds, Splinterlands, Farmers World), il n’en reste pas moins dynamique, porté par des acteurs de niveau international (comme Sorare, dans le monde des « play to earn » sportifs), et par des projets nombreux (Oval3 et Metafight dans la fantaisie sportive, Immortal Games dans les échecs, ou encore Dogami, un tamagotchi) » ([116]).

Le développement des Jonum, et de l’écosystème du jeu Web 3.0 français, rend nécessaire la définition d’un cadre juridique clair proposant un équilibre satisfaisant entre soutien à l’innovation et protection des consommateurs face aux risques spécifiques que comporte cette évolution.

Il est impératif de soutenir notre écosystème Web 3.0, dans la compétition qui s’est engagée avec les acteurs étrangers, en proposant un cadre expérimental souple favorisant l’innovation.

B.   Les JONUM : Un objet juridique non identifié (ojni) dont le développement n’est pas sans risques

1.   Une absence de définition en droit, un risque réel de requalification en jeu d’argent et de hasard.

La définition juridique des Jonum est un enjeu essentiel au regard de la législation en vigueur. En effet, les caractéristiques de ces jeux les rapprochent à la fois des jeux vidéo et, par certains aspects, des jeux d’argent et de hasard. Ces jeux empruntent en effet des caractéristiques à la fois aux jeux de loisirs (gaming) et aux jeux d’argent (gambling).

Cette dernière qualification, si elle devait être retenue, pourrait faire peser un risque juridique pour les entreprises qui souhaitent investir dans ce domaine.

En effet, en France, le principe fixé au sein du code de la sécurité intérieure est l’interdiction des jeux d’argent et de hasard (article L. 320-1). La qualification de jeu d’argent et de hasard repose sur le cumul de quatre conditions : une offre faite au public ; un sacrifice financier consenti par le joueur ; un gain de toute nature espéré par ce dernier ; et, enfin, l’intervention d’une dynamique de hasard, même infime.

À cet égard, il existe un risque réel de requalification de certains Jonum en jeux d’argent et de hasard et, dès lors, de sanction pénale pour les acteurs économiques concernés.

Ainsi que le relève l’ANJ, ces risques juridiques pèsent également les joueurs dans la mesure où ces derniers, s’ils n’encourent aucune sanction pénale, ne pourront toutefois pas réclamer, sur le plan civil, le paiement de leur gain éventuel, puisque leur demande contre l’éditeur se heurterait de facto à « l’exception de jeu » dont l’éditeur peut se prévaloir en application de l’article 1965 du code civil (dans l’hypothèse où le droit français serait applicable à leur relation).

2.   Des risques en matière d’addiction et de blanchiment d’argent qui doivent être anticipés.

En outre, l’essor des Jonum ferait courir d’autres risques d’ordre public :

– des risques sanitaires pour les joueurs qui doivent être pris en compte par les pouvoirs publics. Ainsi que le relève l’ANJ, même si peu d’études existent sur les Jonum, les rares publications sur ce sujet mettraient en avant des risques financiers et comportementaux pour les joueurs concernés (santé mentale) ;

– des risques spécifiques en matière de blanchiment de capitaux et de financement d’activités criminelles. Le Conseil d’orientation de la lutte contre le blanchiment des capitaux et le financement du terrorisme (Colb), Tracfin et la Commission européenne considèrent en effet que les jetons non fongibles ont des caractéristiques qui les rendent attractifs dans le cadre de ces activités illégales.

Il apparaît important de se mettre en capacité d’évaluer ces risques.

II.   Le dispositif PROPOSÉ

L’article 15 dans sa rédaction initiale prévoyait une habilitation, pour le Gouvernement, à prendre, par ordonnance, dans un délai de quatre mois à compter de la publication de la présente loi, toutes les mesures nécessaires, y compris en recourant à l’expérimentation, pour définir le régime, les objectifs et les modalités de l’encadrement de la régulation et du contrôle des Jonum.

 

III.   Les modifications apportées par le Sénat

L’article 15 a fait l’objet de modifications substantielles lors de son examen au Sénat.

A.   Une réécriture complète de l’article en commission

Un amendement COM-122 présenté par le rapporteur M. Patrick Chaize a supprimé l’habilitation précitée.

L’article 15 prévoit, désormais, une expérimentation des jeux à objet numérique monétisable proposés par l’intermédiaire d’un service de communication au public en ligne, dont la durée est fixée à trois ans à compter de la promulgation de la présente loi.

Il fixe également le cadre de cette expérimentation :

– en excluant du cadre de l’expérimentation certains jeux à objet numérique monétisable. Sont concernés par cette exclusion les Jonum conduisant à l’obtention d’un gain monétaire et comportant la possibilité, pour les objets numériques monétisables concernés, d’être « cédés, directement ou indirectement, par l’intermédiaire de toute personne physique ou morale, à toute entreprise de jeux ». La liste précise des catégories de jeux autorisées à titre expérimental est renvoyée à l’adoption d’un décret pris après avis de l’ANJ ;

– en proposant une première définition juridique des Jonum. Sont ainsi définis comme jeux à objet numérique monétisable les jeux dont tout élément de jeu confère aux joueurs concernés un ou plusieurs droits associés au jeu, et susceptibles d’être cédés, directement ou indirectement, à titre onéreux à des tiers ;

– en imposant des obligations spécifiques aux entreprises de jeux concernées. Celles-ci se voient en effet soumises à des obligations de vérification de l’intégrité, de la fiabilité et de la transparence des opérations de jeu. Elles devront en effet s’assurer de la protection des mineurs dans ce cadre, en veillant notamment à prévenir les risques d’addiction aux jeux. Elles devront également veiller à ce que cette activité ne soutienne par les activités frauduleuses ou criminelles telles que le blanchiment de capitaux et le financement du terrorisme.

– en prévoyant, enfin, la remise au Parlement d’un rapport d’évaluation sur les effets de cette expérimentation, au plus tard six mois avant la fin de celle-ci.

B.   Un maintien du texte en séance publique

Cet article n’a pas fait l’objet de modification en séance publique.

IV.   les modifications apportées par LA COMMISSION

L’article 15 a été modifié à la suite de l’adoption, en commission spéciale, des deux amendements suivants :

– un amendement CS925, présenté par M. Denis Masséglia, rapporteur, visant à clarifier le périmètre de l’expérimentation des Jonum au profit d’un équilibre entre soutien à l’innovation et encadrement des pratiques qui ont vocation à se développer dans ce cadre ;

– un amendement CS226, présenté par M. Aurélien Taché (Écolo-NUPES), qui prévoit un bilan d’étape à mi-parcours pour évaluer les effets de cette expérimentation. Cet amendement a été adopté, sous-amendé par le sous-amendement CS955 de M. Denis Masséglia, rapporteur, précisant le contenu du rapport d’étape demandé.

Article 15 bis (nouveau)
Cadre de régulation de l’expérimentation des jeux à objets numériques monétisables (Jonum)

Introduit par la commission

Introduit par la commission spéciale, l’article 15 bis fixe un cadre de régulation complet relatif à l’expérimentation des jeux à objets numériques monétisables prévue à l’article 15. Il définit les obligations que doivent respecter les entreprises de Jonum, ainsi que les pouvoirs de contrôle et de sanction de l’Autorité nationale des jeux (ANJ).

L’article 15 bis est un article additionnel introduit en commission spéciale à la suite de l’adoption de l’amendement CS924 de M. Denis Masséglia, rapporteur, sous-amendé par les sous-amendements CS944 de M. Stéphane Vojetta (RE) et CS943 de Mme Céline Calvez (RE).

Cet article pose un cadre de régulation renforcée pour permettre de trouver un équilibre juste entre soutien à l’innovation et prévention des risques dans le cadre de l’expérimentation des Jonum prévue à l’article 15.

Ce cadre prévoit, notamment :

– une obligation de déclaration préalable à l’ANJ de toute initiative visant à proposer une offre Jonum au public (I de l’article) ;

– des pouvoirs de contrôle renforcés de l’ANJ, qui pourra contrôler le respect par les entreprises de Jonum de leurs obligations légales et réglementaires, notamment en lien avec la lutte contre les offres illégales de jeux (alinéas 38 et suivants), prononcer des mises en demeure à destination des entreprises concernées (alinéas 67 et suivants), et prendre toute sanction utile en cas de violation par ces entreprises de ces obligations (alinéa 38). Ces sanctions pourront aller du simple avertissement à l’interdiction, pour une durée de trois ans au plus, pour un exploitant donné, d’exercer une activité d’exploitation de Jonum (alinéas 56 et suivants) ;

– des obligations spécifiques pesant sur les entreprises de Jonum en matière de protection des mineurs (alinéa 6) et de prévention des comportements à risque en matière de jeu (alinéa 27), notamment via des mécanismes de vérification d’âge. Les entreprises concernées seront notamment tenues d’informer les joueurs vis-à-vis des risques sanitaires liés au jeu, via un message de mise en garde (alinéa 30). D’autres obligations sont prévues, en outre, afin de lutter contre le blanchiment de capitaux et le financement du terrorisme (alinéas 31 et suivants).

– un encadrement des pratiques publicitaires relatives aux Jonum. Les entreprises de Jonum devront s’abstenir d’adresser toute communication commerciale aux mineurs et aux titulaires d’un compte bénéficiant d’une mesure d’auto-exclusion applicable aux jeux exploités (alinéa 29). En outre, les dispositions prévues au sein du code de la sécurité intérieure dans ce domaine, très restrictives, seront applicables à leurs actions de communication commerciale.

– des garde-fous pour protéger les joueurs sont également prévus, en sus des éléments précités, parmi lesquels figurent l’obligation pour les joueurs de se soumettre à un processus de vérification d’identité et de majorité afin de pouvoir retirer leurs gains (alinéa 7), et le droit, pour les associations de lutte contre les addictions, dans des conditions définies, de se porter partie civile pour les infractions prévues au VIII de l’article 15 bis (alinéas 25 et suivants).

Enfin, il convient de relever que l’ANJ se voit également confier la mission de veiller, dans le cadre de l’expérimentation des Jonum, au respect d’un équilibre entre les différentes filières du jeu.

titre V
Permettre à l’État d’analyser plus efficacement l’évolution des marchés numériques

Article 16
Élargissement des pouvoirs de collecte des données par le Pôle d’expertise de la régulation numérique (PEReN) pour des activités de recherche publique

Adopté par la commission avec modifications

Le présent article élargit l’accès du PEReN aux données publiquement accessibles des plateformes en ligne et le qualifie pour avoir accès aux données des très grandes plateformes afin de mener des recherches sur les risques systémiques dans l’Union européenne.

1.   LE DROIT EN VIGUEUR

Le Pôle d’expertise de la régulation numérique (PEReN) a été créé par le décret n° 2020-1102 du 31 août 2020 portant création d’un service à compétence nationale dénommé « Pôle d’expertise de la régulation numérique ». Il est placé sous l’autorité conjointe des ministres chargés de l’économie, de la communication et du numérique.

Le PEReN fournit un appui technique aux services de l’État qui interviennent dans la régulation des plateformes numériques à la fois en fournissant une expertise générale, mais aussi contribuant aux enquêtes et études menées sur ces plateformes (article 2 du décret précité).

● La collecte de données par le PEReN

Les pouvoirs du PEReN ont été élargis et précisés par l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, issu d’un amendement déposé par le Gouvernement lors de l’examen du texte en commission en première lecture à l’Assemblée nationale ([117]).

Dans l’exposé sommaire de l’amendement, le Gouvernement fait état des difficultés rencontrées par le PEReN pour collecter les données des plateformes numériques utiles à ses travaux. Pour y remédier, il autorise le PEReN à mener des expérimentations et des activités de recherche publique.

Le cinquième alinéa de l’article 36 autorise ainsi explicitement le PEReN à mener des activités d’expérimentations pour « utiliser, concevoir ou évaluer des outils techniques et ayant pour strict objet la réflexion portant sur la régulation des opérateurs [de plateformes en ligne] ».

Dans le cadre de ces expérimentations, il est autorisé à collecter les données publiquement accessibles des opérateurs de plateformes numériques, y compris lorsque l’accès requiert l’ouverture d’un compte. Ceux-ci ne peuvent lui opposer « ni refus d’accès aux interfaces de programmation qu’ils ont développées et rendues accessibles aux tiers, ni de limites d’extraction des bases de données publiquement accessibles, ni d’interdictions prévues par les conditions générales d’utilisation des services mettant les données visées à disposition du public ». Le PEReN intervient alors en tant que responsable de traitement au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Les méthodes de collecte utilisées doivent être proportionnées et préserver la sécurité des opérateurs de plateformes. Les données collectées doivent être détruites à l’issue des travaux, et au plus tard neuf mois après leur collecte.

Les méthodes de collecte des données par le PEReN sont précisées par un décret en Conseil d’État ([118]), pris après avis public motivé de la Commission nationale de l’informatique et des libertés (Cnil).

Dans sa délibération portant avis sur le projet de décret ([119]), la Cnil a considéré que les expérimentations menées par le PEReN à partir de données accessibles sur internet étaient justifiées par « l’objectif légitime de renforcer les moyens des services de l’État intervenant dans le champ de la régulation des opérateurs de plateformes numériques, et qui se heurtent au refus d’accès aux services existants de mise à disposition de ces données ou à une interdiction de collecte automatisée au travers des contrats qui lient ces opérateurs avec leurs usagers ».

Le chapitre II du décret du 21 avril 2022 précité encadre les traitements automatisés permettant la collecte de données publiquement accessibles :

– la sélection des données à collecter doit être proportionnée et s’effectuer selon des critères déterminés spécialement pour chaque expérimentation ;

– le recours à un système de reconnaissance faciale ou d’identification vocale est exclu ;

– si les agents du PEReN peuvent créer des comptes sur les plateformes en ligne, ils ne peuvent les utiliser pour entrer en contact avec d’autres détenteurs de comptes ou pour diffuser des contenus ;

– la liste des données à caractère personnel susceptibles d’être collectées est dressée à l’article 5 du même décret et comporte les données d’identification déclarées par les titulaires de comptes ouverts et les contenus diffusés relayés au moyen de ces comptes, ainsi que les métadonnées liées à ces deux types de données ;

– les données collectées qui ne sont pas nécessaires à la poursuite de l’expérimentation et les données sensibles doivent être détruites immédiatement après leur collecte.

Le PEReN a lancé cinq projets expérimentaux en 2022. Deux de ces expérimentations sont présentées dans son rapport d’activité 2022 :

– l’analyse du type de réseau routier proposé aux automobilistes par les calculateurs d’itinéraires : l’expérimentation doit permettre de développer un outil pour vérifier que les calculateurs d’itinéraires respectent les obligations qui leur ont été fixées par la loi n° 2021-1104 dite « climat et résilience » ([120]) ; 

– le développement d’outils pour explorer le phénomène de « bulle de filtre », qui se produit lorsque les algorithmes de recommandation restreignent la diversité des contenus proposés par une plateforme à un utilisateur.

Le sixième alinéa de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 autorise également le PEReN à conduire, à son initiative, des activités de recherche publique répondant aux objectifs listés à l’article L. 112-1 du code de la recherche ([121]). L’objectif de cette activité de recherche, mis en avant par le Gouvernement dans l’exposé sommaire de l’amendement précité, est de mieux comprendre le fonctionnement des plateformes numériques et de produire des connaissances générales, utiles à l’ensemble des autorités publiques chargées de réguler ces plateformes.

● L’accès aux données des très grandes plateformes prévu par le règlement sur les services numériques (RSN)

L’article 40 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 sur les services numériques ([122]) (RSN) encadre l’accès et le contrôle des données des fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne ([123]). Le paragraphe 12 de l’article 40 prévoit expressément qu’un accès à ces données soit donné aux chercheurs, en vue de recherches contribuant à la détermination et à la compréhension des risques systémiques dans l’Union tels que mentionnés au paragraphe 1 de l’article 34 du même règlement ([124]).

II.   LE DISPOSITIF PROPOSé

Le 1° du présent article complète le cinquième alinéa de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique : il élargit le pouvoir de collecte de données du PEReN ; ce dernier pourra collecter des données à la fois pour ses activités d’expérimentation mais également pour ses activités de recherche publique, dans les mêmes conditions.

Le 2° de l’article autorise le PEReN à conduire des projets qui contribuent à la détection, à la détermination et à la compréhension des risques systémiques pour l’Union, tels que décrits au paragraphe 1 de l’article 34 du RSN. Il prévoit explicitement que le PEReN ait accès aux données des fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne dans les conditions prévues au paragraphe 12 de l’article 40 du même règlement.

Enfin, le 3° du présent article procède à une coordination légistique.

III.   Les modifications apportées par le Sénat

Le Sénat a adopté trois amendements du rapporteur M. Chaize en commission.

● L’amendement COM-124 procède à deux modifications.

En premier lieu, il élargit la liste des opérateurs pouvant être sollicités pour la collecte de données, en y incluant les fournisseurs de systèmes d’exploitation qui conservent les données des plateformes. Cet ajout vise à résoudre les difficultés rencontrées par le PEReN lorsque les données sont détenues non pas par la plateforme, mais par une tierce personne.

En second lieu, il opère une distinction entre la durée de conservation des données à des fins d’expérimentation, maintenue à neuf mois, et celle relative aux activités de recherche publique, qu’il allonge à cinq ans. Cette modification fait suite au constat dressé par le PEReN lors de son audition par la commission spéciale du Sénat d’une durée de conservation des données trop courte pour permettre de conduire une activité de recherche.

● Les amendements COM-123 et COM-125 sont des amendements de précision rédactionnelle.

IV.   La position de la commission

La commission spéciale a adopté l’amendement CS317, déposé par M. Andy Kerbrat (LFI-NUPES), qui précise que les partenaires des plateformes et leurs sous-traitants ne peuvent pas refuser l’accès du PEReN à leurs interfaces de programmation ou s’opposer à l’extraction des bases de leurs données publiquement accessibles.

Elle a également adopté l’amendement CS889 de la rapporteure, qui ajoute les éditeurs de contenus utilisant un système d’intelligence artificielle dans le périmètre de compétence du PEReN.

Article 17
Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme

Adopté par la commission avec modifications

1.   Le droit en vigueur

L’encadrement de la location de meublés de tourisme est prévu à la fois par le code du tourisme et le code de la construction et de l’habitation (CCH).

● La déclaration préalable en mairie

Le II de l’article 324-1-1 du code du tourisme prévoit l’obligation, pour toute personne qui offre à la location un meublé de tourisme, de le déclarer préalablement au maire de la commune où est situé le meublé. Le deuxième alinéa de l’article prévoit que les résidences principales sont exemptées de cette déclaration préalable.

Une résidence principale au sens de l’article 2 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986 est entendue comme « le logement occupé au moins huit mois par an, sauf obligation professionnelle, raison de santé ou cas de force majeure, soit par le preneur ou son conjoint, soit par une personne à charge au sens du code de la construction et de l’habitation ». Un logement qui est loué plus de quatre mois dans l’année, soit plus de cent-vingt jours, n’est pas considéré comme une résidence principale.

● La réglementation du changement d’usage

Il existe une procédure de changement d’usage prévue aux articles L. 631‑7 à L. 631-9 du CCH, qui vise à lutter contre la pénurie de logements : tout changement d’usage de locaux destinés à l’habitation est soumis à une autorisation préalable délivrée par la mairie. L’article 16 de la loi n° 2014-366 du 24 mars 2014 pour l’accès au logement et un urbanisme rénové a élargi ce dispositif à la location d’un logement comme meublé de tourisme.

La mise en œuvre de cette procédure est obligatoire pour les communes de plus de 200 000 habitants ([125]) et pour celles des départements des Hauts-de-Seine, de la Seine-Saint-Denis et du Val-de-Marne.

L’article L. 631-9 du CCH ouvre la possibilité pour les autres communes de mettre en œuvre cette procédure, soit par décision du préfet sur proposition du maire, soit, pour les communes situées en « zones tendues » listées par décret ([126]), par une délibération de l’organe délibérant de l’établissement public de coopération intercommunale compétent en matière de plan local d’urbanisme. La liste des communes situées en « zone tendue » a été actualisée par le décret n° 2023-822 du 25 août 2023 modifiant le décret n° 2013-392 du 10 mai 2013 relatif au champ d’application de la taxe annuelle sur les logements vacants instituée par l’article 232 du code général des impôts.

Le dernier alinéa de l’article précise que louer un logement pour de courtes durées constitue bien un changement d’usage : « Le fait de louer un local meublé destiné à l’habitation de manière répétée pour de courtes durées à une clientèle de passage qui n’y élit pas domicile constitue un changement d’usage au sens du présent article ».

Le I de l’article L. 324-2-1 du code du tourisme prévoit l’obligation pour les intermédiaires de location ([127]) d’informer le loueur des obligations de déclaration ou d’autorisation préalables. Le non-respect de cette obligation est passible d’une amende civile plafonnée à 500 euros par meublé de tourisme objet du manquement (premier alinéa du III du même article).

● Numéro d’enregistrement

À cette procédure de déclaration de changement d’usage s’ajoute un dispositif qui permet un contrôle et un suivi renforcés sur les meublés de tourisme : la mise en place d’un numéro d’enregistrement, dispositif créé par l’article 51 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Le III de l’article L. 324-1-1 du code du tourisme ouvre ainsi la faculté, pour les communes ayant mis en œuvre une procédure de changement d’usage, de soumettre toute location d’un meublé de tourisme à une déclaration préalable soumise à enregistrement. Cette déclaration doit indiquer si le bien offert à la location constitue la résidence principale du loueur. Un numéro d’enregistrement est délivré au loueur à la réception de la déclaration.

Cette procédure d’enregistrement a notamment pour objectif de vérifier le respect du plafond des cent-vingt jours de location pour les résidences principales. Le troisième alinéa de l’article L. 324-2-1 du code de tourisme associe les intermédiaires de location au contrôle du respect de cette obligation : ils doivent retirer du marché de la location tout meublé de tourisme déclaré comme résidence principale qui serait loué plus de cent-vingt jours au cours d’une même année civile. Le non-respect de cette obligation est passible d’une amende civile dont le montant ne peut excéder 50 000 euros par annonce faisant l’objet du manquement (troisième alinéa du III de l’article L. 324-2-1 du code de tourisme).

Il convient de souligner que les plateformes n’ont pas accès à la liste des numéros d’enregistrement délivrés par les communes : ce sont les communes qui sont en mesure de repérer les numéros frauduleux.

L’Union nationale pour la promotion de la location de vacances ([128]) (UNPLV) recensait, au 31 décembre 2022, 193 communes ayant introduit une procédure de changement d’usage et une procédure de déclaration donnant lieu à enregistrement ([129]).

● Demande annuelle d’informations aux plateformes

L’article 145 de la loi n° 2018-1021 du 23 novembre 2018 portant évolution du logement, de l’aménagement et du numérique (dite « Elan ») a créé au II de l’article L. 324-2-1 du code du tourisme une procédure de transmission d’informations par les intermédiaires de location aux communes qui en font la demande.

Cette possibilité est ouverte uniquement pour les communes ayant mis en place le numéro d’enregistrement. Elles ont alors la possibilité de demander plusieurs informations à un intermédiaire de location sur les meublés de tourisme dont il assure la mise en location : le nombre de jours pour lesquels le meublé a fait l’objet d’une location, le nom du loueur, l’adresse du meublé, le numéro de déclaration et, le cas échéant, le fait que ce meublé constitue ou non la résidence principale du loueur.

L’intermédiaire de location dispose d’un délai d’un mois pour transmettre ces informations. Le non-respect de cette obligation est passible d’une amende civile plafonnée à 50 000 euros par meublé de tourisme objet du manquement.

Les plateformes de location auditionnées par la rapporteure ont souligné la charge de travail importante liée à cette transmission de données, qui sont extraites manuellement puis envoyées sous format Excel.

● La proposition de règlement européen sur la location meublée touristique

La Commission européenne a présenté le 7 novembre 2022 une proposition de règlement concernant la collecte et le partage des données relatives aux services de location et de logements de courte durée ([130]). Cette proposition a notamment pour objectif d’harmoniser les règles relatives à l’enregistrement des hôtes et de leurs locations de courte durée et d’obliger les plateformes numériques à partager avec les autorités publiques les données sur les activités spécifiques des hôtes. La création de « points d’entrée numériques uniques » par les autorités publiques pour recevoir ces données est également prévue.

Le Conseil de l’Union européenne a arrêté sa position sur cette proposition de règlement le 2 mars 2023 ([131]) : cette orientation générale donne mandat à la présidence du Conseil pour négocier avec le Parlement européen une fois la position de ce dernier arrêtée.

Si le présent article s’inscrit dans la réforme souhaitée par la Commission européenne, l’étude d’impact précise bien qu’il ne couvre pas l’ensemble des situations prévues par la proposition de règlement et que le droit français devra de nouveau être adapté une fois le règlement adopté.

● Le dispositif expérimental « API meublés »

L’utilisation d’une plateforme en ligne pour faciliter la transmission des données par les intermédiaires de location a été expérimentée du 1er février au 4 octobre 2022. Cinq territoires pilotes (Bordeaux, Lyon, La Rochelle, Nice et Strasbourg), et cinq plateformes de location de meublés (Airbnb, Booking, Expedia, Leboncoin, Clévacances) ont participé à cette expérimentation, sous le pilotage de la direction générale des entreprises.

L’étude d’impact annexée au présent projet de loi indique que le bilan de l’expérimentation s’est révélé positif. Les intermédiaires de location ont mis en avant la nécessité de faciliter la vérification de la légalité des demandes des communes et l’automatisation des flux de données. Quant aux communes, elles ont souligné qu’il leur était essentiel de disposer de données fiables pour les exploiter et prendre des décisions éclairées.

II.   LE dispositif proposÉ

Le présent article modifie le code du tourisme pour instaurer un dispositif de centralisation des données relatives à la location de meublés de tourisme. Un organisme unique sera chargé de collecter ces données auprès des plateformes et de les communiquer aux communes qui en font la demande.

L’article 17 modifie ainsi le II de l’article L. 324-2-1 du code du tourisme qui prévoit la possibilité, pour les communes ayant mis en œuvre la procédure d’enregistrement, de solliciter les plateformes de location de meublés de tourisme pour avoir connaissance du nombre de jours de location des meublés loués par leur intermédiaire.

Le 1° de l’article 17 modifie le premier alinéa du II de l’article L. 324-2-1 dudit code. À la possibilité pour les communes de solliciter directement les plateformes, il substitue la faculté pour elles de demander la transmission des données à un organisme unique, chargé de collecter les données de manière électronique auprès des intermédiaires de location participant à la location des meublés de tourisme. Ces données sont de nature à permettre aux communes concernées de contrôler le respect des obligations pesant sur les loueurs.

Par cohérence, le 1° supprime l’obligation faite aux intermédiaires de location de meublés de tourisme de transmettre les informations dans un délai d’un mois aux communes qui en font la demande.

Le 2° de l’article 17 modifie le troisième alinéa du II de l’article L. 324-2-1 du code du tourisme pour modifier les modalités qui doivent être précisées par décret en Conseil d’État. L’organisme unique chargé de collecter les informations et de les transmettre aux communes sera désigné par décret. Ce décret devra également préciser :

– la nature des données collectées ;

– la durée de conservation des données ;

– les délais de réponse auxquels sera soumis l’organisme, la fréquence et les modalités techniques de transmission des données.

L’étude d’impact annexée au présent projet de loi formule l’hypothèse que 350 communes pourraient bénéficier de ce dispositif de centralisation de données.

Le VII de l’article 36 du présent projet de loi prévoit que l’entrée en vigueur de l’article 17 sera fixée par décret, et en tout état de cause au plus tard douze mois à compter de la publication de la loi. Cette entrée en vigueur différée doit permettre de finaliser les développements informatiques nécessaires au fonctionnement de la plateforme.

III.   Les modifications apportÉes par le SÉnat

Le Sénat a adopté un amendement, déposé par le rapporteur M. Chaize en commission. L’amendement COM-126 modifie le 1° de l’article 17 : elle substitue à la possibilité, pour les communes, de demander la transmission des données à l’organisme, un accès direct de celles-ci à ces données. L’objectif du rapporteur est de garantir un accès effectif des communes aux données, en leur évitant d’avoir à formuler fréquemment des demandes.

IV.   La position de la commission

La commission spéciale a adopté trois amendements (CS318 ([132]), CS355 ([133])  et CS875 ([134])), avec un avis favorable de la rapporteure, visant à préciser que l’organisme chargé de collecter les données des plateformes sera un organisme public.

Sur proposition de la rapporteure, la commission spéciale a adopté plusieurs amendements pour apporter des précisions sur les données transmises par les plateformes :

– l’amendement CS891 élargit le spectre des données qui pourront être transmises aux données utiles à la conduite d’une politique publique de tourisme et de logement, qui seront définies par décret ;

– l’amendement CS892 précise que les données doivent être transmises sous un format standardisé ;

– l’amendement CS893 prévoit que les données gérées par l’organisme unique seront disponibles en source ouverte pour une durée de deux ans une fois qu’elles auront été agrégées.

La commission spéciale a également adopté l’amendement CS928 de la rapporteure, qui complète le dispositif de centralisation des données par un mécanisme d’alerte lorsqu’un meublé a été loué plus de 120 jours. L’objectif est de repérer les meublés qui sont des résidences principales et qui ne respectent pas le plafond de 120 jours de location par an.

Enfin, la rapporteure a fait adopter l’amendement CS896, qui crée un comité pour suivre la mise en œuvre du dispositif. Ce comité devra comporter des représentants de l’administration de l’État et des représentants des communes ayant demandé l’accès aux données.

L’éventualité de permettre à l’ensemble des communes d’avoir accès aux données sans distinction a été écartée par la commission spéciale, considérant que le dispositif n’était pas suffisamment mature pour prévoir un élargissement de cette ampleur.

titre VI
Renforcer la gouvernance de la régulation du numérique

Article 18
Coopération du coordinateur pour les services numériques avec le Pôle d’expertise de la régulation numérique

Adopté par la commission avec modifications

1.   LE DROIT EN VIGUEUR

A.   La collaboration entre le PEReN et l’ARCOM

Les compétences du Pôle d’expertise de la régulation numérique (PEReN) sont détaillées dans le commentaire de l’article 16.

L’article 4 du décret n° 2020-1102 du 31 août 2020 portant création du PEReN prévoit que celui-ci peut conclure des conventions avec les services de l’État intervenant dans la régulation des plateformes numériques, pour fixer les conditions de leur collaboration.

Le I de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique a complété les pouvoirs du PEReN : celui-ci peut maintenant être sollicité par les autorités administratives et les autorités publiques indépendantes qui interviennent dans la régulation des opérateurs de plateformes en ligne dans le cadre de conventions. La liste des autorités qui peuvent s’appuyer sur l’expertise du PEReN, fixée par décret ([135]), est la suivante :

– Autorité de la concurrence (ADLC) ;

– Autorité des marchés financiers (AMF) ;

– Autorité nationale des jeux (ANJ) ;

– Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) ;

– Autorité de régulation de la communication audiovisuelle et numérique (Arcom) ;

– Autorité de régulation des transports (ART) ;

– Commission nationale de l’informatique et des libertés (Cnil) ;

– Défenseur des droits (DDD).

L’Arcom est ainsi l’une des huit autorités qui peut aujourd’hui solliciter le PEReN. Leurs relations sont formalisées dans une convention cadre. L’Arcom propose des projets à inscrire sur la feuille de route du PEReN, qui sont ensuite arbitrés par les ministres de tutelle du PEReN.

Le directeur adjoint du PEReN, M. Lucas Verney, a ainsi évoqué lors d’une audition au Sénat ([136]) la conduite de projets en partenariat avec l’Arcom concernant la modération d’offres illégales et la désinformation.

B.   Les exigences du rÈglement europÉen sur les services numÉriques (RSn)

Le deuxième paragraphe de l’article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil relatif à un marché unique des services numériques (RSN) prévoit que les États membres désignent un coordinateur pour les services numériques. Ce dernier a pour mission d’assurer la coordination au niveau national sur ces questions et de contribuer à l’exécution efficace du règlement dans l’Union.

Il peut également être sollicité par la Commission pour apporter son expertise technique : le paragraphe 2 de l’article 64 du RSN prévoit ainsi que la Commission, en coopération avec les coordinateurs pour les services numériques, « coordonne l’évaluation des questions systémiques et émergentes relatives aux très grandes plateformes en ligne ou aux très grands moteurs de recherche en ligne qui se posent dans l’ensemble de l’Union en ce qui concerne les matières relevant du présent règlement ». Les coordinateurs pour les services numériques des différents États membres pourront être sollicités pour soutenir l’évaluation de ces questions (paragraphe 3 du même article).

L’article 25 du présent projet de loi modifie la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) pour désigner l’Arcom comme coordinateur pour les services numériques et préciser le périmètre de ses nouvelles missions (voir infra, commentaire de l’article 25).

II.   lE DISPOSITIF PROPOSÉ

Le présent article insère un nouvel article 7-1 au sein de la LCEN. Ce nouvel article organise les relations entre le PEReN et le coordinateur pour les services numériques. L’objectif de cet article est de garantir que l’Arcom, en tant que coordinateur pour les services numériques, ait accès à une expertise pour mener à bien ses nouvelles missions. Pour sécuriser ce partenariat, il a été jugé nécessaire d’en formaliser le cadre dans la loi.

Le premier alinéa de l’article 7-1 de la LCEN prévoit ainsi qu’une convention conclue entre le PEReN et l’Arcom permettra à cette dernière, dans l’exercice de ses missions de coordinateur pour les services numériques, de recourir à l’assistance technique du PEReN, notamment pour des questions liées à cinq sujets identifiés :

– les analyses de données ;

– les codes sources ;

– les programmes informatiques ;

– les traitements algorithmiques ;

– l’audit des algorithmes.

La convention conclue entre le PEReN et l’Arcom au titre des missions de coordinateur pour les services numériques de cette dernière devra comporter les modalités de coopération et les dispositifs mis en place pour garantir la confidentialité des informations échangées (dernier alinéa de l’article 7-1).

Le deuxième alinéa de l’article prévoit explicitement que le PEReN peut proposer son expertise technique à l’Arcom lorsque cela s’avère pertinent dans la conduite de sa mission de coordinateur pour les services numériques.

L’Arcom, en sa qualité de coordinateur pour les services numériques, veillera à associer le PEReN aux missions de coopération mentionnées à l’article 64 du règlement RSN (troisième alinéa).

Le quatrième alinéa de l’article 7-1 précise que lorsqu’il est sollicité au titre de cet article, le PEReN conduit ses travaux en toute indépendance. Il lui revient d’assurer la confidentialité des données recueillies dans l’exercice de ses missions et de limiter leur utilisation aux seules fins nécessaires à ses missions.

III.   Les modifications apportÉes par le SÉnat

Le Sénat a adopté cet article sans modification.

IV.   La position de la commission spÉciale

Sur proposition de la rapporteure, la commission spéciale a adopté l’amendement CS894 qui précise que le PEReN, lorsqu’il propose à l’Arcom de l’assister dans ses missions de coordinateur pour les services numériques, conduit également ses travaux en toute indépendance.

titre VII
CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L’EXERCICE DE LEUR FONCTION JURIDICTIONNELLE

Article 19
Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par le tribunal des conflits et les juridictions de l’ordre administratif

Adopté par la commission avec modifications

I.   le droit en vigueur

A.   le droit européen

L’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) stipule que « toute personne a droit à la protection des données à caractère personnel la concernant ». Il prévoit que le Parlement européen et le Conseil fixent les règles pour garantir la protection des personnes physiques en matière de traitement des données à caractère personnel. Il mentionne que le respect de ces règles doit être soumis au contrôle d’autorités indépendantes.

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ‒ dit « RGDP » ‒ impose ainsi à chaque État membre de désigner une ou plusieurs autorités de contrôle.

Toutefois, pour préserver l’indépendance des juridictions, le RGPD prévoit que l’autorité nationale de contrôle ne peut pas exercer ses fonctions pour examiner « les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle » (paragraphe 3 de l’article 55 du RGPD).

Pour autant, dans son arrêt X et Z contre Autoriteit Persoonsgegevens du 24 mars 2022 (affaire C-245/20), la Cour de justice de l’Union européenne (CJUE) a estimé que le RGDP n’a pas entendu soustraire à tout contrôle les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. Selon l’interprétation de la CJUE, le RGPD a seulement exclu que le contrôle de ces opérations puisse être confié à l’autorité de contrôle de droit commun.

Il en résulte donc l’obligation pour les États membres de prévoir des mécanismes de contrôle des opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

B.   le droit interne

● En France, la Commission nationale de l’informatique et des libertés (Cnil) a été désignée comme autorité nationale de contrôle par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

La Cnil est chargée de superviser la conformité des traitements de données à caractère personnel effectués par les organismes publics et privés. Elle assure également le respect des droits des personnes concernées, notamment en enquêtant sur les violations de données et en imposant des sanctions en cas de non-respect des dispositions du RGPD.

La Cnil, composée de dix-huit membres, comprend une formation restreinte composée d’un président et de cinq autres membres élus par la Commission en son sein.

L’article 16 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – ci-après loi « informatique et libertés » – attribue un pouvoir de sanction à la formation restreinte de la Cnil à l’encontre des responsables de traitements de données, ou de leurs sous-traitants, en cas de manquement à leurs obligations.

Le V de l’article 19 de la loi « informatique et libertés » dispose que « la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions ».

La Cnil reste en revanche compétente pour le contrôle des traitements de données qui ne relèvent pas des activités juridictionnelles (par exemple pour le fichier judiciaire automatisé des auteurs d’infractions sexuelles et violentes ‒ Fijais ‒, la plateforme nationale des interceptions judiciaires ‒ Pnij ‒ ou encore le fichier de suivi des bracelets électroniques).

● Il n’existe donc pas d’autorité instituée par la loi pour contrôler les opérations de traitement des données à caractère personnel effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Toutefois, le Conseil d’État a désigné un délégué à la protection des données, chargé de veiller à l’application du RGPD par les juridictions administratives. Il traite d’éventuelles réclamations. Il n’effectue aucun contrôle sur les traitements des juridictions administratives spécialisées autres que la Cour nationale du droit d’asile (CNDA).

À ce jour, le titre Ier du livre Ier du code de justice administrative consacré aux attributions du Conseil d’État ne comporte aucune disposition sur le rôle et les prérogatives de ce délégué à la protection des données.

II.   le Dispositif proposé

Le présent article complète le titre Ier du livre Ier du code de justice administrative par un chapitre V intitulé : « Contrôle des opérations de traitement de données à caractère personnel effectué par les juridictions administratives dans l’exercice de leur fonction juridictionnelle ».

Ce nouveau chapitre comprend un seul article, numéroté L. 115-1.

Il institue une autorité constituée d’un membre du Conseil d’État, élu par l’assemblée générale, pour une durée de trois années, renouvelable une fois, chargée du contrôle des opérations de traitement des données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions administratives et le Tribunal des conflits.

Combiné avec les articles 20 et 21 du présent projet de loi, il met le droit français en conformité avec le droit européen tel qu’interprété par la CJUE dans son arrêt C-245/20 du 24 mars 2022.

Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par les juridictions

Dispositif proposé	Article 19	Article 20	Article 21
Champ d’application	Tribunal des conflits.   Juridictions administratives.	Juridictions de l’ordre judiciaire et leur ministère public.   Formation disciplinaire du Conseil supérieur de la magistrature.	Juridictions financières et leur ministère public.
Composition	Membre du Conseil d’État élu par l’assemblée générale.	Conseiller à la Cour de cassation désigné par le premier président.	Magistrat de la Cour des comptes élu par la chambre du conseil.

Source : commission spéciale.

Dans son avis, le Conseil d’État avait suggéré, comme l’a retenu le projet du Gouvernement, que l’autorité soit constituée par un membre du Conseil d’État élu par l’assemblée générale (point n° 48).

Par exception, la compétence de l’autorité instituée ne s’étend pas : 

– à la Cour des comptes et aux autres juridictions régies par le code des juridictions financières, ainsi qu’à leur ministère public ;

– et à la formation disciplinaire du Conseil supérieur de la magistrature (CSM).

Dans son avis, le Conseil d’État a également approuvé le choix du Gouvernement d’avoir exclu du dispositif la formation disciplinaire du CSM et d’avoir en revanche intégré dans son champ les traitements du Tribunal des conflits, qui, dans la pratique, sont effectués par les services du Conseil d’État (point n° 47).

À l’exception du prononcé de sanctions pécuniaires, cette autorité dispose des mêmes pouvoirs que ceux dont dispose actuellement la Cnil.

Les voies de recours ouvertes à l’encontre des décisions de cette autorité relèvent du domaine réglementaire.

Enfin, conformément à une suggestion du Conseil d’État formulée dans son avis (point n° 49), le présent article comporte un alinéa qui énonce que l’autorité « dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions ».

III.   les Modifications apportées par le sénat

Le Sénat a adopté le présent article modifié par trois amendements adoptés lors de l’examen du texte en commission spéciale.

Deux de ces amendements ont été présentés par M. Loïc Hervé, rapporteur :

– l’un a une portée rédactionnelle (COM-127) ;

– l’autre précise que l’autorité de contrôle disposera des pouvoirs dévolus aussi bien au président de la Cnil qu’à sa formation restreinte (COM-128).

Le troisième amendement, présenté par M. Jérôme Durain (Socialiste, Écologiste et Républicain), a prévu la possibilité, pour l’autorité de contrôle, d’adresser des recommandations, et l’obligation pour celle-ci de présenter un rapport public annuel (COM-53).

IV.   Les modifications apportÉes par la commission

Le présent article a été adopté par la commission modifié par un amendement rédactionnel (CS593) et un amendement prévoyant la transmission du rapport annuel de l’autorité au Parlement, au lieu d’une présentation à celui-ci (CS595), tous deux présentés par les rapporteurs.

Article 20
Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par les juridictions de l’ordre judiciaire et le Conseil supérieur de la magistrature

Adopté par la commission avec modifications

I.   le droit en vigueur

Le droit en vigueur est exposé plus en détail dans le commentaire relatif à l’article 19.

Comme cela a été mentionné dans ce commentaire, le V de l’article 19 de la loi « informatique et libertés » dispose que « la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions ».

Il n’existe donc pas à ce jour d’autorité instituée par la loi pour contrôler les opérations de traitement des données à caractère personnel effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Certes, la Cour de cassation a désigné un délégué à la protection des données, chargé de veiller à l’application du RGPD, qui est destinataire de toutes les requêtes des particuliers. Cependant, cette fonction de délégué à la protection des données ne s’applique qu’à la Cour de cassation et non aux autres juridictions judiciaires. Elle n’est pas non plus prévue dans le code de l’organisation judiciaire.

II.   Le Dispositif proposé

● Le I du présent article insère, dans le code de l’organisation judiciaire, un nouveau chapitre intitulé : « Contrôle des opérations de traitement de données à caractère personnel effectué par les juridictions judiciaires dans l’exercice de leur fonction juridictionnelle ».

Ce nouveau chapitre comprend deux articles, numérotés L. 453 et L. 454.

Le II procède à une coordination légistique au sein de la loi « informatique et libertés » afin d’exclure explicitement de la compétence de la Cnil le contrôle des opérations de traitement des données à caractère personnel effectuées par le ministère public dans l’exercice de ses fonctions juridictionnelles.

● Ce faisant, en insérant le nouvel article L. 453 précité, le présent article institue une autorité dont les fonctions sont exercées par un conseiller à la Cour de cassation désigné pour une durée de trois années, renouvelable une fois, chargée du contrôle des opérations de traitement des données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions de l’ordre judiciaire et leur ministère public, et par le Conseil supérieur de la magistrature (CSM) dans l’exercice de ses fonctions disciplinaires.

Combiné avec les articles 19 et 21, il met le droit français en conformité avec le droit européen tel qu’interprété par la Cour de justice de l’Union européenne dans son arrêt X et Z contre Autoriteit Persoonsgegevens du 24 mars 2022 (affaire C-245/20).

Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par les juridictions

Dispositif proposé	Article 19	Article 20	Article 21
Champ d’application	Tribunal des conflits.   Juridictions administratives.	Juridictions de l’ordre judiciaire et leur ministère public.   Formation disciplinaire du Conseil supérieur de la magistrature.	Juridictions financières et leur ministère public.
Composition	Membre du Conseil d’État élu par l’assemblée générale.	Conseiller à la Cour de cassation désigné par le premier président.	Magistrat de la Cour des comptes élu par la chambre du conseil.

Source : commission spéciale.

Dans son avis, le Conseil d’État a approuvé le choix du Gouvernement d’avoir placé la formation disciplinaire du CSM sous le contrôle de l’autorité instituée auprès de la Cour de cassation (point n° 47).

À l’exception du prononcé de sanctions pécuniaires, cette autorité dispose des mêmes pouvoirs que ceux dont dispose actuellement la Cnil.

Conformément à une suggestion du Conseil d’État formulée dans son avis (point n° 49), le présent article comporte un alinéa qui énonce que l’autorité « dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions ».

Enfin, en insérant le nouvel article L. 454 précité, le présent article organise le régime des voies de recours ouvertes à l’encontre des décisions rendues par l’autorité.

Il prévoit que la Cour de cassation connaît :

– des recours formés par toute personne contre une décision de l’autorité de contrôle qui lui fait grief ;

– et des recours formés par toute personne concernée en cas d’abstention de l’autorité de contrôle de traiter une réclamation ou d’informer son auteur, dans un délai de trois mois, de l’état de l’instruction ou de l’issue de cette réclamation.

Dans son avis, le Conseil d’État a estimé que « cette dérogation au principe de contrôle des actes administratifs par le juge administratif [paraissait] ici pleinement justifiée par les objectifs poursuivis par le projet de loi » (point n° 50).

III.   les Modifications apportées par le sénat

Le Sénat a adopté le présent article modifié par quatre amendements adoptés lors de l’examen du texte en commission spéciale, et un amendement adopté en séance.

Deux de ces amendements ont été présentés par M. Loïc Hervé, rapporteur, en commission :

– le premier précise que l’autorité de contrôle dispose des pouvoirs dévolus aussi bien au président de la Cnil qu’à sa formation restreinte (COM-131) ;

– le second a prévu l’élection du conseiller exerçant les fonctions d’autorité de contrôle par l’assemblée des magistrats du siège hors hiérarchie de la Cour de cassation, au lieu de sa désignation par le premier président de celle-ci (COM-130).

Un autre amendement présenté par M. Jérôme Durain (Socialiste, Écologiste et Républicain) a été adopté en commission. Il a prévu la possibilité, pour l’autorité de contrôle, d’adresser des recommandations ainsi que l’obligation de présenter un rapport public annuel (COM-54).

Toujours en commission, a été adopté un amendement de Mme Vanina Paoli-Gagin (Les Indépendants – République et Territoires), présentant une portée rédactionnelle (COM-82 rect. bis).

Enfin, un dernier amendement présenté en séance par le rapporteur, et ayant recueilli un avis favorable du Gouvernement, a prévu la transmission de ce rapport d’activité au procureur général près la Cour de cassation (n° 140 rect.).

IV.   Les modifications apportÉes par la commission

La commission a adopté le présent article modifié par un amendement rédactionnel (CS608), un amendement prévoyant la transmission du rapport annuel de l’autorité au Parlement, au lieu d’une présentation à celui-ci (CS607), ainsi qu’un amendement ayant pour but d’ouvrir la composition de l’autorité aux magistrats hors hiérarchie du parquet général (CS599), tous trois présentés par les rapporteurs.

L’adoption de ce dernier amendement se justifie par le fait que la commission a considéré qu’aucune raison objective, au regard des objectifs poursuivis, n’imposait que seul un magistrat du siège de la Cour de cassation puisse être élu pour exercer les fonctions d’autorité de contrôle.

Article 21
Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par les juridictions financières

Adopté par la commission avec modifications

Le présent article institue une autorité de contrôle au sein de la Cour des comptes chargée d’examiner les opérations de traitement des données à caractère personnel effectuées dans l’exercice de leur fonction juridictionnelle par les juridictions relevant du code des juridictions financières.

I.   le droit en vigueur

Le droit en vigueur est exposé plus en détail dans le commentaire relatif à l’article 19.

Comme cela a été mentionné dans ce commentaire, le V de l’article 19 de la loi « informatique et libertés » dispose que « la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions ».

Il n’existe donc pas à ce jour d’autorité instituée par la loi pour contrôler les opérations de traitement des données à caractère personnel effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Toutefois, la Cour des comptes a désigné un délégué à la protection des données, chargé de veiller à l’application du RGPD par les juridictions financières. Il traite d’éventuelles réclamations. Il anime un réseau de référents RGDP désignés au sein de chaque chambre de la Cour des comptes et de chaque chambre régionale des comptes (CRC).

II.   le Dispositif proposé

Le présent article insère une nouvelle section dans le code des juridictions financières intitulée : « Contrôle des opérations de traitement de données à caractère personnel effectué par les juridictions régies par le présent code dans l’exercice de leur fonction juridictionnelle ».

Cette nouvelle section comprend un seul article, numéroté L. 111-18.

Il institue une autorité dont les fonctions sont exercées par un magistrat de la Cour des comptes, élu par la chambre du conseil, pour une durée de trois années, renouvelable une fois, chargée du contrôle des opérations de traitement des données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions financières et par leur ministère public.

Combiné avec les articles 20 et 21, il met le droit français en conformité avec le droit européen tel qu’interprété par la Cour de justice de l’Union européenne dans son arrêt X et Z contre Autoriteit Persoonsgegevens du 24 mars 2022 (affaire C-245/20).

Création d’une autorité de contrôle des traitements des données à caractère personnel effectués par les juridictions

Dispositif proposé	Article 19	Article 20	Article 21
Champ d’application	Tribunal des conflits.   Juridictions administratives.	Juridictions de l’ordre judiciaire et leur ministère public.   Formation disciplinaire du Conseil supérieur de la magistrature.	Juridictions financières et leur ministère public.
Composition	Membre du Conseil d’État élu par l’assemblée générale.	Conseiller à la Cour de cassation désigné par le premier président.	Magistrat de la Cour des comptes élu par la chambre du conseil.

Source : commission spéciale.

À l’exception du prononcé de sanctions pécuniaires, cette autorité dispose des mêmes pouvoirs que ceux dont dispose actuellement la Cnil.

Les voies de recours ouvertes à l’encontre des décisions de cette autorité relèvent du domaine réglementaire.

Enfin, conformément à une suggestion du Conseil d’État formulée dans son avis (point n° 49), le présent article comporte un alinéa qui énonce que l’autorité « dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions ».

III.   les Modifications apportées par le sénat

Le Sénat a adopté le présent article modifié par deux amendements adoptés lors de l’examen du texte en commission spéciale.

Le premier amendement a été présenté par M. Loïc Hervé, rapporteur. Il a précisé que l’autorité de contrôle dispose des pouvoirs dévolus aussi bien au président de la Cnil qu’à sa formation restreinte (COM-32).

Le second amendement, présenté par M. Jérôme Durain (Socialiste, Écologiste et Républicain), a prévu la possibilité, pour l’autorité de contrôle, d’adresser des recommandations et l’obligation pour celle-ci de présenter un rapport public annuel (COM-55).

IV.   Les modifications apportées par la commission

Outre un amendement rédactionnel des rapporteurs (CS610), la commission a adopté deux amendements identiques présentés par les rapporteurs et par Mme Christine Engrand (RN) prévoyant la transmission du rapport annuel de l’autorité au Parlement, au lieu d’une présentation à celui-ci (CS8 et CS609).

titre viii
adaptations du droit national

Chapitre Ier
Mesures d’adaptation de la loi n° 2004-575 du 21 juin 2004 pour la
confiance dans l’économie numérique

Article 22
Adaptation de la loi pour la confiance dans l’économie numérique (LCEN)

Adopté par la commission avec modifications

1.   Le droit en vigueur : une adaptation nécessaire de la loi pour la confiance dans l’économie numérique (LCEN) aprÈs l’adoption définitive du règlement sur les services numériques (RSN)

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) transpose la directive européenne du 8 juin 2000 relative au commerce électronique ([137]) et une partie de la directive européenne du 12 juillet 2002 relative à la protection des données personnelles dans les communications électroniques ([138]).

Cette loi constitue le socle de la régulation du numérique au sein de notre droit national. Elle pose en effet les grands principes de régulation de l’économie numérique que sont, notamment :

– le principe de la responsabilité limitée des hébergeurs de services de communication au public en ligne ;

– l’absence de surveillance générale des données ;

– le principe dit « du pays d’origine », les prestataires de services de la société de l’information devant se conformer à la législation du pays dans lequel ils sont établis.

Néanmoins, depuis les années 2000, l’évolution des pratiques et du marché numérique, avec l’apparition des réseaux sociaux, a conduit à l’émergence de nouvelles problématiques dont la prise en compte était insuffisante.

Face à l’émergence de législations nationales spécifiques visant à traiter ces nouveaux enjeux, et donc à un risque accru de fragmentation juridique au sein de l’Union européenne, la Commission européenne a présenté, en décembre 2020, une proposition de règlement relatif à un marché intérieur des services numériques.

Ce règlement européen horizontal est dit « d’harmonisation maximale ». En conséquence, les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires dans les domaines relevant du champ d’application de ce règlement, sauf si cela est expressément prévu.

L’article 22 du projet de loi modifie, en l’espèce, plusieurs dispositions de la LCEN afin de tirer les conséquences de l’application du RSN.

II.   Le dispositif proposÉ

L’article 22 du présent projet de loi procède à des modifications significatives de la LCEN.

Ces évolutions répondent principalement à trois objectifs :

– abroger des dispositions redondantes avec le RSN ou devenues obsolètes ;

– actualiser et compléter la LCEN par des dispositions supplémentaires lorsque cela est nécessaire, pour assurer la bonne application du RSN.

– tirer profit de ces évolutions pour procéder à certaines modifications de cohérence afin de renforcer la clarté et la lisibilité des dispositions de la loi précitée.

A.   La création de deux nouveaux articles 1-1 et 1-2 au sein de la LCEN

En premier lieu, l’article 22 crée deux nouveaux articles au sein du chapitre Ier intitulé « La communication au public en ligne » du titre Ier de la loi précitée. Ces deux articles sont situés après l’article 1er.

Le nouvel article 1-1 (alinéas 3 à 16) reprend les dispositions des III, IV et V de l’article 6 de la LCEN dans leur version actuelle. Ces dispositions portent respectivement sur la mise à disposition du public de certaines informations dans un standard ouvert, sur l’exercice du droit de réponse auprès du directeur de la publication d’un éditeur ainsi que sur l’application des dispositions de la loi du 29 juillet 1881 sur la liberté de la presse.

Le nouvel article 1-2 (alinéas 17 à 21) reprend les dispositions du VI de l’article 6 de la LCEN dans sa version actuelle. Pour mémoire, ces dispositions fixent le régime de sanctions applicable en cas de méconnaissance des obligations prévues au nouvel article 1-1 par un éditeur de service de communication au public en ligne.

B.   La création d’un nouvel article 5-1 au sein de la LCEN

En deuxième lieu, l’article 22 du projet de loi procède aux modifications complémentaires suivantes :

– la modification de l’intitulé du chapitre II du titre Ier, la formule « Les fournisseurs de services intermédiaires » venant se substituer à l’intitulé précédent – « Les prestataires techniques » –, moins précis et dont les termes ne sont pas conformes à ceux employés au sein du RSN (alinéa 19) ;

– la création d’une section I au sein de ce même chapitre II, intitulée « Définitions et obligations relatives aux fournisseurs de services intermédiaires » (alinéa 20) ;

– la création d’un nouvel article 5-1 dont l’objet est de reprendre les définitions des services de la société de l’information et des « services intermédiaires », retenues respectivement par l’article 1er de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des services de la société de l’information, et l’article 3 du règlement 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques modifiant la directive 2000/31/CE (alinéas 21 à 23).

C.   La réécriture de l’article 6 de la LCEN

Enfin, l’article 22 du projet de loi procède à une refonte importante de l’article 6 de la LCEN (alinéas 24 à 59).

Dans sa nouvelle rédaction, plusieurs alinéas de l’article 6 sont abrogés, car redondants ou excédant le champ du RSN.

Il s’agit notamment des dispositions relatives :

– aux conditions dans lesquelles la connaissance des faits litigieux est présumée acquise, dans le cadre du régime de responsabilité des hébergeurs (portée supérieure aux dispositions du RSN) ;

– à l’interdiction des obligations générales de surveillance (redondance) ;

– aux obligations de transparence et de mise en place d’un système de signalement (redondance) ;

– au signalement des activités illicites de jeux d’agent (abrogation pour obsolescence).

L’article 6, dans sa nouvelle rédaction, aligne également avec le droit européen les définitions d’un ensemble de termes juridiques relatifs aux services numériques.

Cet article regroupe en outre, désormais :

– les dispositions de l’actuel article 6-5 de la LCEN, qui prévoit une obligation pour les plateformes en ligne d’informer les utilisateurs mineurs des risques auxquels ils s’exposent en cas de diffusion de contenus haineux (placé désormais au VII du nouvel article 6) ;

– le contenu de l’actuel article 7 de la LCEN, déplacé au III de l’article 6.

Au total, la nouvelle structure générale de l’article 6 est donc la suivante :

– les définitions ;

– les obligations des services d’accès à internet et les sanctions associées aux manquements ;

– les obligations des hébergeurs et les sanctions associées aux manquements ;

– les obligations applicables à la fois aux services d’accès à internet et aux hébergeurs, ainsi que les sanctions associées à celles-ci ;

– les obligations applicables aux services de plateforme en ligne ;

– les obligations applicables aux réseaux sociaux ;

– le régime de sanctions pour signalement abusif.

III.   Les modifications apportées par le Sénat

A.   En commission

Deux amendements ont été adoptés lors de l’examen de cet article par la commission spéciale du Sénat :

– un amendement COM-133, rédactionnel, présenté par le rapporteur M. Patrick Chaize ;

– un amendement COM-134 du rapporteur M. Loïc Hervé, qui procède aux coordinations nécessaires en lien avec les modifications adoptées à l’article 5 du projet de loi.

B.   En séance publique

Trois amendements ont été adoptés à cet article lors de son examen en séance publique :

– un amendement n° 112 rect., présenté par Mme Morin-Desailly, insérant les définitions des « boutiques d’applications logicielles » et de la notion « d’application logicielle » telles que retenues au sein du règlement sur les marchés numériques ;

– un amendement n° 72 rect. quater présenté par Mme Bourrat, obligeant les plateformes en ligne, lorsqu’elles sont saisies par un mineur de moins de quinze ans, à retirer ou à suspendre tout contenu litigieux mentionnant ce même mineur immédiatement et pendant toute la durée de la procédure de traitement du signalement, que celle-ci soit opérée par les modérateurs du réseau social ou par le juge ;

– un amendement n° 1 rect., présenté par M. Levi, complétant l’obligation de transparence prévue à l’article 6 de la LCEN en contraignant les professionnels éditeurs de services en ligne à indiquer dans leurs mentions légales non seulement l’identité de l’hébergeur de leur site web, mais également les identités des hébergeurs des données personnelles ou non personnelles confiées par les utilisateurs du service, ou auxquelles ils accèdent à travers le service édité.

IV.   les modifications apportées par la commission

L’article 22 a été modifié à la suite de l’adoption, en commission spéciale, des deux amendements suivants :

– un amendement CS33, de M. Raphaël Gérard (RE), qui a ajouté au sein de l’article un droit de réponse numérique au profit des associations de lutte contre les discriminations sur internet ;

– un amendement CS746, de M. Christophe Blanchet, qui a précisé que les fournisseurs d’accès à internet doivent informer leurs abonnés de l’interdiction de procéder en France métropolitaine et dans les départements d’outre‑mer à des opérations de vente à distance, d’acquisition, d’introduction en provenance d’un autre État membre de l’Union européenne ou d’importation en provenance de pays tiers de produits contrefaits et de médicaments falsifiés , ainsi que des sanctions légalement encourues pour de tels actes.

Article 23
Dispositions relatives au retrait des contenus terroristes et pédopornographiques

Adopté par la commission avec modifications

I.   le droit en vigueur

A.   Le blocage administratif des contenus terroristes et pÉdopornographiques

● Les articles 6-1 à 6-1-5 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN ») organisent un dispositif de blocage des contenus terroristes ou pédopornographiques en ligne à l’initiative d’une autorité administrative.

Le Conseil constitutionnel a validé ce dispositif après avoir relevé les diverses garanties dont il était assorti, et rappelé que les atteintes portées à l’exercice de la liberté d’expression et de communication étaient nécessaires, adaptées et proportionnées à l’objectif poursuivi (décision n° 2022-841 DC du 13 août 2022, considérant n° 8).

● L’autorité administrative, désignée par décret, compétente pour ordonner ces blocages de contenus en ligne, est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), rattaché à la direction générale de la police nationale (DGPN) et gestionnaire des plateformes Pharos ([139]) et Thesee ([140]) qui permettent le signalement de contenus et le dépôt de plainte.

L’OCLCTIC peut ainsi demander aux éditeurs de contenus ou aux hébergeurs de retirer, sous vingt-quatre heures, les contenus terroristes ou pédopornographiques qu’elle détecte. Le délai est réduit à une heure pour les contenus terroristes relevant du règlement (UE) 2021/784 du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.

En l’absence de retrait de ces contenus, l’OCLCTIC peut faire bloquer les sites concernés en notifiant sa demande aux fournisseurs d’accès à internet qui doivent mettre en œuvre le blocage sans délai.

Un blocage immédiat, sans attendre l’expiration du délai de vingt-quatre heures ou d’une heure est aussi possible, lorsque l’éditeur du site n’a pas mis à la disposition du public les informations permettant de l’identifier.

L’OCLCTIC peut également notifier les adresses électroniques des sites litigieux aux moteurs de recherche ou aux annuaires, lesquels doivent prendre toute mesure utile destinée à faire cesser leur référencement.

● Trois grandes garanties sont prévues pour encadrer ce dispositif administratif : le contrôle par une personnalité qualifiée, un examen accéléré des recours, et la remise d’un rapport public annuel.

En premier lieu, les demandes de retrait sont soumises à un contrôle a posteriori d’une personnalité qualifiée, désignée en son sein par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour la durée de son mandat. La personnalité qualifiée s’assure de la régularité des demandes de retrait. Si elle constate une irrégularité, elle peut à tout moment recommander à l’autorité administrative d’y mettre fin. Si l’autorité administrative ne suit pas cette recommandation, la personnalité qualifiée peut saisir la juridiction administrative compétente, en référé ou sur requête.

Cette personnalité qualifiée est aussi l’autorité administrative désignée pour statuer sur les demandes de retrait transfrontières. Elle statue par décision motivée.

En deuxième lieu, pour les contenus suspectés de terrorisme, des délais accélérés d’examen des recours sont obligatoires dans certaines circonstances, prévues aux I et II de l’article 6-1-5 de la LCEN, sans préjudice des recours de droit commun.

Pour bénéficier de l’examen accéléré, le recours doit avoir été introduit par un fournisseur de service d’hébergement, un fournisseur de contenus ou la personnalité qualifiée de l’Arcom auprès du président du tribunal administratif, dans un délai de quarante-huit heures à compter de la notification de l’injonction de retrait pour en demander l’annulation.

Dans ce cas, il est prévu que la juridiction doit statuer dans un délai de soixante-douze heures à compter de la saisine. En cas d’appel, la juridiction d’appel est tenue de statuer dans le délai d’un mois.

Ces délais d’examen accéléré des recours sont également prévus en matière d’injonction de retrait transfrontière.

Enfin, en troisième lieu, la personnalité qualifiée rend public chaque année un rapport d’activité sur les conditions d’exercice et les résultats de son activité, qui précise notamment le nombre de demandes de retrait, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l’autorité administrative.

Ce rapport est remis au Gouvernement et au Parlement.

B.   L’obligation pour les hébergeurs d’informer immédiatement les autorités s’agissant des contenus terroristes présentant une menace imminente

Le 5 de l’article 14 du règlement (UE) 2021/784 du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne dispose que « lorsque les fournisseurs de services d’hébergement prennent connaissance d’un contenu à caractère terroriste présentant une menace imminente pour la vie, ils en informent immédiatement les autorités compétentes pour les enquêtes et les poursuites en matière d’infractions pénales dans les États membres concernés ».

L’article 6-1-3 de la LCEN punit la méconnaissance de cette obligation d’informer immédiatement les autorités d’un an d’emprisonnement et de 250 000 euros d’amende. Lorsque l’infraction est commise de manière habituelle par une personne morale, le montant de l’amende peut être porté à 4 % de son chiffre d’affaires mondial pour l’exercice précédent.

II.   le Dispositif proposÉ

● Le III du présent article augmente le montant de l’amende encourue en cas de manquement d’un hébergeur à l’obligation d’informer immédiatement les autorités lorsqu’il a connaissance d’un contenu à caractère terroriste présentant une menace imminente pour la vie.

Il prévoit que le montant de l’amende peut être porté à 6 % de son chiffre d’affaires mondial pour l’exercice précédent, au lieu de 4 % en l’état du droit, lorsque l’infraction est commise de manière habituelle par une personne morale.

Pour ce faire, il modifie l’article 6-1-3 de la LCEN.

● Le IV supprime les conclusions du rapporteur public lors de l’audience d’examen accéléré des recours qui doit se tenir dans les soixante-douze heures à la suite du recours formé dans les quarante-huit heures de la notification d’une injonction de retrait de contenus suspectés de terrorisme.

L’étude d’impact justifie cette suppression en raison « des délais extrêmement resserrés » d’examen des recours.

Il précise que cette audience est publique.

● Le I, II et V procèdent à des coordinations ou des clarifications rédactionnelles au sein de la LCEN.

Le I insère, après l’article 6 de la LCEN, une section intitulée « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques ».

Cette section comprend, d’une part, les actuels articles 6-1 à 6-1-5 de la LCEN, et, d’autre part, les nouveaux articles 6-2 et 6-2-1 tels qu’ils résultent de l’article 3 du présent projet de loi.

Les II et V procèdent à plusieurs coordinations au sein de l’article 6-1 de la LCEN en lien avec l’article 22 du présent projet de loi.

III.   les Modifications apportÉes par le sénat

Le Sénat a adopté le présent article modifié par un amendement présenté par le rapporteur M. Loïc Hervé lors de l’examen du texte en commission.

Outre diverses clarifications rédactionnelles, cet amendement a maintenu les conclusions du rapporteur public lors de l’audience qui se déroule devant le président du tribunal administratif pour l’examen accéléré des recours formés en matière d’injonction de retrait des contenus terroristes (COM-135).

Le rapporteur a en effet fait valoir que « l’article R. 732-1-1 du code de justice administrative prévoit d’ores et déjà la possibilité pour le magistrat statuant seul de dispenser le rapporteur public, sur sa proposition, de prononcer des conclusions à l’audience pour ce contentieux ». Il a dès lors considéré qu’il convenait « de conserver le caractère facultatif de la dispense de conclusions du rapporteur public et de laisser ce choix entre les mains des magistrats ».

IV.   Les modifications apportées par la commission

La commission a adopté le présent article modifié par un amendement rédactionnel présenté par les rapporteurs (CS930).

Article 24
Dispositions relatives au retrait judiciaire des contenus illicites et aux obligations des opérateurs de plateforme en ligne

Adopté par la commission avec modifications

I.   le Droit en vigueur

A.   Le blocage judiciaire des contenus illicites en ligne

Le 8 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN ») prévoit un dispositif général permettant au président du tribunal judiciaire, statuant selon la procédure accélérée au fond, de prescrire « à toute personne susceptible d’y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ».

La procédure accélérée au fond – qui a remplacé depuis le 1er janvier 2020 la procédure « en la forme des référés » – n’exige ni qu’une urgence soit démontrée ni que le trouble invoqué soit manifeste ou évident.

Le président du tribunal judiciaire peut enjoindre aux fournisseurs d’accès à internet de mettre en œuvre toutes mesures propres à empêcher l’accès au contenu illicite, à partir du territoire français.

Il doit apprécier, au regard de la gravité du dommage causé par le contenu jugé illicite, si la mesure de filtrage est proportionnée afin de préserver un juste équilibre avec la liberté d’expression. Ainsi, la jurisprudence tend plutôt à rejeter les demandes de blocage justifiées par une diffamation ([141]) et, à l’inverse, à l’accepter pour des faits très graves comme une contestation de crimes contre l’humanité ([142]).

Le juge peut également mettre le coût des mesures de blocage à la charge des fournisseurs d’accès à internet dès lors que malgré leur irresponsabilité de principe, ils sont tenus, en application du 7 du I de l’article 6 précité de la LCEN, de concourir à la lutte contre plusieurs infractions prévues par ce texte.

Enfin, pour lutter contre la pratique des « sites miroirs », le juge peut déterminer les fournisseurs d’accès à internet auxquels l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pourra adresser une demande afin d’empêcher l’accès à tout service de communication au public en ligne qu’elle aura préalablement identifié comme reprenant le contenu illicite, en totalité ou de manière substantielle (par application de l’article 6-3 de la LCEN).

B.   Les obligations concernant la lutte contre la diffusion de contenus illicites

1.   Le droit interne

● L’article 6-4 de la LCEN impose à certains opérateurs de plateforme en ligne diverses obligations en vue de concourir à la lutte contre la diffusion de certains contenus illicites.

Il s’agit des opérateurs de plateforme en ligne définis à l’article L. 111-7 du code de la consommation qui proposent un service de communication au public en ligne reposant sur le classement, le référencement ou le partage de contenus mis en ligne par des tiers et dont l’activité sur le territoire français dépasse un seuil de nombre de connexions déterminé par décret.

Par décret n° 2022-32 du 14 janvier 2022, le seuil de connexions qui déclenche l’applicabilité des obligations prévues au I de l’article 6-4 de la LCEN a été fixé à « 10 millions de visiteurs uniques par mois depuis le territoire français […] calculé sur la base de la dernière année civile ».

Ce même décret a fixé, pour l’application d’obligations complémentaires prévues au II de l’article 6-4 de la LCEN, un seuil à 15 millions de visiteurs uniques par mois depuis le territoire français, calculé sur la base de la dernière année civile.

 

● Les obligations instituées sont nombreuses :

– pour les plateformes en ligne dépassant le seuil de 10 millions de visiteurs uniques mensuels, ces obligations vont de la mise en place des moyens humains proportionnés à la désignation d’un point de contact unique pour l’utilisateur, ou encore prévoient la mise en place d’un dispositif, aisément accessible et facile d’utilisation, permettant à toute personne de porter à leur connaissance, par voie électronique, les contenus litigieux ;

– pour les plateformes en ligne dépassant le seuil de 15 millions de visiteurs uniques mensuels, ces obligations comprennent également une évaluation annuelle des risques systémiques liés au fonctionnement et à l’utilisation de leurs services ainsi que la mise en place de mesures raisonnables pour remédier aux risques identifiés.

● Les contenus illicites visés sont ceux contrevenant aux dispositions mentionnées au troisième alinéa du 7 du I de l’article 6 de la LCEN ainsi qu’aux troisième et quatrième alinéas de l’article 33 de la loi du 29 juillet 1881 sur la liberté de la presse.

Plus spécifiquement, il s’agit :

– d’une part : de l’apologie, de la négation ou de la banalisation des crimes contre l’humanité, de la provocation à la commission d’actes de terrorisme et de leur apologie, de l’incitation à la haine raciale, à la haine à l’égard de personnes à raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap ainsi que de la pornographie enfantine, de l’incitation à la violence, notamment l’incitation aux violences sexuelles et sexistes, ainsi que des atteintes à la dignité humaine (7 du I de l’article 6 de la LCEN) ;

– d’autre part : de l’injure publique (article 33 de la loi du 29 juillet 1881 sur la liberté de la presse).

2.   Le droit européen

Le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit règlement « RSN », ou « DSA » en anglais pour Digital Services Act) vise à responsabiliser les fournisseurs de services intermédiaires en matière de lutte contre la diffusion de contenus illicites.

À compter du 17 février 2024, les services d’hébergement dont les fournisseurs de plateformes en ligne – sous-catégorie des fournisseurs des services intermédiaires – devront proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites (article 16 du RSN). Une fois le signalement effectué, elles devront rapidement retirer ou bloquer l’accès au contenu illégal.

Les fournisseurs de plateformes en ligne devront également coopérer avec des « signaleurs de confiance » (article 22 du RSN). Ce statut sera attribué dans chaque pays à des entités ou organisations en raison de leur expertise et de leurs compétences. Leurs notifications seront traitées en priorité.

D’autres mesures sont imposées aux « très grandes plateformes » et aux « très grands moteurs de recherche » depuis le 25 août 2023.

Ces derniers doivent notamment :

– analyser chaque année les risques systémiques qu’ils génèrent et prendre les mesures nécessaires pour atténuer ces risques ;

– effectuer chaque année des audits indépendants de réduction des risques, sous le contrôle de la Commission européenne ;

– et accorder un accès aux données clés de leurs interfaces aux chercheurs pour qu’ils puissent mieux analyser l’évolution des risques en ligne.

Les très grandes plateformes et très grands moteurs de recherche sont désignés par l’article 33 du RSN comme ceux ayant « un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions », soit environ 10 % de la population de l’Union européenne.

Le 25 avril 2023, une première liste renseignant ces grands acteurs en ligne a été publiée sur le site de la Commission européenne, comprenant :

– dix-sept très grandes plateformes : Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube et Zalando ;

– et deux très grands moteurs de recherche : Bing et Google Search.

II.   le Dispositif proposé

● Le présent article insère dans la LCEN, après l’article 6-2-1, une nouvelle section intitulée « Dispositions relatives à l’intervention de l’autorité judiciaire ».

Cette nouvelle section comprend les articles 6-3 à 6-5 dans une nouvelle rédaction résultant du présent article pour les articles 6-3 et 6-4, et de l’article 23 du présent projet de loi pour l’article 6-5.

Ces modifications ont pour effet de déplacer, sans les modifier, les dispositions relatives au blocage judiciaire de certains contenus illicites qui figurent actuellement, pour l’essentiel, au 8 du I de l’article 6 de la LCEN.

Sur ce point, le présent article n’emporte aucun changement par rapport au droit existant.

● En revanche, ces modifications ont également pour effet de supprimer les diverses obligations, applicables aux opérateurs de plateforme en ligne, prévues par l’article 6-4 de la LCEN.

Le Gouvernement justifie cette proposition de suppression par le fait que le règlement RSN prévoit une série d’obligations similaires pour les opérateurs de plateforme en ligne.

Il convient toutefois de souligner que certaines de ces obligations – dont l’évaluation annuelle des risques systémiques – ne s’appliqueront qu’aux « très grandes plateformes en ligne » qui atteignent un « nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions » au lieu de 15 millions de visiteurs uniques mensuels en droit interne.

III.   les Modifications apportÉes par le sénat

Le Sénat a adopté le présent article sans modification.

IV.   Les modifications apportÉes par la commission

La commission a adopté le présent article modifié, outre par trois amendements rédactionnels présentés par les rapporteurs (CS938, CS939 et CS940), par un amendement de Mme Violette Spillebout (RE), ayant recueilli un avis favorable des rapporteurs et dont l’objet est de conférer le statut de signaleur de confiance aux acteurs effectuant des notifications de contenus sportifs diffusés illicitement (CS116).

Article 25
Adaptation de la loi du 21 juin 2004 pour la confiance dans l’économie numérique et désignation de l’Arcom en tant que coordinateur national pour les services numériques pour la France

Adopté par la commission avec modifications

En adaptant la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, le présent article désigne l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) en tant que « coordinateur des services numériques » pour la France, responsable de la coopération entre les trois autorités chargées de la mise en œuvre règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit « RSN », ou « DSA » en anglais pour Digital Services Act), à savoir : l’Arcom, la direction générale chargée de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Commission nationale pour l’informatique et les libertés (Cnil).

1.   Le droit en vigueur

A.   Le droit européen

Les articles 22 à 25 du présent projet de loi ont pour objet principal de tirer les conséquences en droit interne des dispositions du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (ci-après « RSN »). L’essentiel des nouvelles obligations découle directement de l’application du règlement mais celui‑ci accorde aux États membres certaines marges de manœuvre en matière de gouvernance. Il leur revient de désigner les autorités compétentes pour la supervision des obligations prévues par le règlement au niveau national, et de désigner parmi ces autorités une autorité de coordination. Il leur revient également de définir les missions de ces autorités et de prévoir les modalités de leur coopération.

Le rôle et le fonctionnement des autorités compétentes et des coordinateurs pour les services numériques sont décrits aux articles 49 à 60 du RSN.

1.   Les autorités compétentes pour appliquer le règlement sur les services numériques et le coordinateur pour les services numériques

L’article 49 du RSN prévoit que les États membres désignent les autorités compétentes responsables de la surveillance des fournisseurs de services intermédiaires et de l’exécution de ce même règlement.

Ce même article 49 prévoit que « les États membres désignent une des autorités compétentes comme leur coordinateur pour les services numériques [CSN]. Le [CSN] est responsable de toutes les questions en lien avec la surveillance et l’exécution du présent règlement dans cet État membre, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. Le [CSN] a, en tout état de cause, la responsabilité d’assurer la coordination au niveau national vis-à-vis de ces questions et de contribuer à une surveillance et une exécution efficaces et cohérentes du présent règlement dans toute l’Union. »

La désignation des CSN par chaque État membre doit intervenir au plus tard le 17 février 2024.

En application de l’article 50 de ce même règlement les autorités compétentes et le CSN « accomplissent leurs missions au titre du présent règlement de manière impartiale, transparente et en temps utile », les États membres devant veiller à ce qu’ils « disposent de toutes les ressources nécessaires à l’accomplissement de leurs missions, y compris des ressources techniques, financières et humaines suffisantes pour surveiller correctement tous les fournisseurs de services intermédiaires relevant de leur compétence » ; cela passe notamment par une autonomie de gestion de leur budget, condition de leur indépendance.

Cette indépendance est capitale : les autorités « restent libres de toute influence extérieure, directe ou indirecte, et ne sollicitent ni n’acceptent aucune instruction d’aucune autre autorité publique ou partie privée ». Elle s’exerce sans préjudice des exigences de coopération entre autorités et elle n’empêche pas l’exercice d’un contrôle juridictionnel, ces autorités étant pleinement responsables dans la conduite de leurs activités.

En application des articles 51 et 52 de ce même règlement, les autorités disposent de pouvoirs d’enquête, d’exécution et de sanction, afin de contraindre les fournisseurs de services intermédiaires ([143]) à respecter leurs obligations. En vertu de l’article 53, les CSN sont quant à eux destinataires des plaintes invoquées au titre d’une infraction au règlement et à l’encontre de fournisseurs de services intermédiaires.

Les CSN sont destinataires, à leur demande, des documents justificatifs des risques que les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne recensent, analysent et évaluent en conséquence de la conception ou du fonctionnement de leurs services (article 34 du même règlement). Ces risques portent sur :

– la diffusion de contenus illicites par l’intermédiaire des services de ces plateformes ;

–  tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux, en particulier du droit fondamental à la dignité humaine, au respect de la vie privée et familiale, à la protection des données à caractère personnel, à la liberté d’expression et d’information, des droits fondamentaux relatifs aux droits de l’enfant et du droit fondamental à un niveau élevé de protection des consommateurs ;

–  tout effet négatif réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique ;

–  tout effet négatif réel ou prévisible lié aux violences sexistes et à la protection de la santé publique et des mineurs et les conséquences négatives graves sur le bien-être physique et mental des personnes.

2.   Le Comité européen pour les services numériques

Le rôle et le fonctionnement du Comité européen pour les services numériques, groupe consultatif indépendant composé de CSN, sont détaillés aux articles 61 à 63 du RSN. Le comité se compose des CSN et est présidé par la Commission européenne.

Son rôle est de conseiller les CSN et la Commission européenne dans la mise en œuvre du règlement précité. Le comité doit soutenir la coopération des coordinateurs – et leur assistance mutuelle (article 57 du même règlement) – et de la Commission européenne afin qu’elles soient cohérentes et efficaces. Le comité doit les assister dans leurs analyses et l’établissement de lignes directrices.

Surtout, le comité constitue un réseau de contrôle européen supervisant les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne. Le seuil permettant d’identifier les très grandes plateformes en ligne est fixé par le règlement à 45 millions d’utilisateurs actifs par mois, c’est‑à-dire un nombre équivalent à 10 % de la population de l’Union européenne ([144]).

B.   Le droit interne

● La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Le RSN modifie la directive 2000/31/CE sur le commerce électronique ([145]) (dite « e-commerce ») qui a été transposée en France par la loi du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN »).

Le RSN étant d’application directe dans l’ensemble des États membres, les dispositions de la LCEN issues de la transposition de la directive « e-commerce » doivent être modifiées.

● L’Arcom

Créée le 1er janvier 2022 par la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, l’Arcom est une autorité publique indépendante issue de la fusion du Conseil supérieur de l’audiovisuel (CSA), créé en 1989, et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur l’internet (Hadopi), créée en 2009.

L’Arcom comprend un collège de neuf personnes : son président et huit membres, quatre hommes et quatre femmes, nommés pour six ans. Cinq autorités distinctes ([146]) procèdent à ces nominations, pour garantir leur indépendance et favoriser la diversité des profils. Les membres du collège sont choisis pour leurs compétences en matière économique, juridique ou technique, ou en raison de leur expérience professionnelle dans le domaine de la communication, notamment dans le secteur audiovisuel, ou des communications électroniques.

L’Arcom est garante de la liberté de communication issue de la loi n° 86‑1067 du 30 septembre 1986 relative à la liberté de communication. Elle a notamment pour mission de veiller aux responsabilités démocratiques et sociétales des médias audiovisuels et des plateformes en ligne (réseaux sociaux, moteurs de recherche, plateformes de partage de vidéos notamment), de garantir le pluralisme des médias audiovisuels d’information et l’indépendance de l’audiovisuel public, d’assurer les équilibres économiques du secteur et de soutenir la création.

Au sein de l’Erga, le groupe des régulateurs européens des services de médias audiovisuels (en anglais European Regulators Group for Audiovisual Media Services), l’Arcom a contribué aux travaux préparatoires au RSN.

II.   Le dispositif proposé

Le I du présent article 25 crée au sein de la LCEN, après l’article 6-5, une section 4 intitulée « Coordinateur pour les services numériques et coopération entre les autorités compétentes » qui comprend les articles 7 à 9-2, l’article 7 étant nouvellement rédigé et les articles 7-2, 7-3, 8-1, 9-1 et 9-2 insérés par le présent article 25.

Un article 7-1 est créé au sein de cette nouvelle section 4 de la LCEN par l’article 18 du présent projet de loi. Les articles 8 et 9 de la LCEN ne sont pas modifiés.

A.   L’article 7 de la LCEN

Le II du présent article 25 réécrit intégralement l’article 7 de la LCEN qui concerne aujourd’hui une mention obligatoire relative au piratage ([147]).

L’article 7 dans la rédaction proposée par le présent projet de loi tire les conséquences de l’article 49 du RSN en désignant les « autorités compétentes », à savoir l’Arcom, l’autorité administrative chargée de la concurrence et de la consommation (la DGCCRF) et la Cnil. Parmi ces autorités, l’Arcom est désignée « coordinateur des services numériques » (CSN).

B.   Les articles 7-2 et 7-3 de la LCEN

Le III du présent article 25 insère après l’article 7-1 de la LCEN deux nouveaux articles 7-2 et 7-3.

En conséquence de l’article 57 du RSN, l’article 7-2 de la LCEN organise la coopération et l’assistance mutuelle des autorités désignées à l’article 7. Le CSN veille à ce que ces autorités coopèrent étroitement et se prêtent assistance mutuelle dans la mise en œuvre du RSN avec cohérence et efficacité. Pour ce faire, les autorités se communiquent librement et spontanément les informations dont elles disposent et se consultent mutuellement sans que puissent être opposés ni le secret des affaires, ni le secret de l’instruction, ni la protection des données personnelles. Ces modalités de coopération et d’assistance devront être précisées par la signature de conventions entre ces mêmes autorités.

En conséquence de l’article 61 du RSN, l’article 7-3 de la LCEN précise que l’Arcom, en tant que CSN, siège au comité européen des services numériques. Elle pourra être accompagnée, en fonction des questions examinées, par l’autorité compétente concernée.

Afin d’exercer les compétences prévues aux articles 63, 64 et 65 du même règlement, à savoir l’appui à la surveillance, les enquêtes, l’exécution et le contrôle, par le comité précité, des fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne, l’Arcom assure une mission de veille et d’analyse des risques systémiques tels que mentionnés à l’article 34 dudit règlement.

C.   L’article 8-1 de la LCEN

Le IV du présent article 25 insère après l’article 8 de la LCEN un nouvel article 8-1.

Cet article 8-1 décrit le périmètre de compétence de l’Arcom eu égard au RSN. Elle a ainsi pour tâche de contrôler :

– l’ensemble des fournisseurs de services intermédiaires (voir définition supra) dans leur lutte contre les contenus illicites et le respect de leurs obligations de diligence et de transparence ;

– les fournisseurs de services d’hébergement (les hébergeurs) dans leur obligation de signalement des contenus illicites et la mise en place des mesures de restrictions liées ;

– les plateformes en ligne dans leur traitement des réclamations, des actions des signaleurs de confiance ([148]), des suspensions de comptes, des règles relatives aux publicités, des recommandations et de la protection des mineurs en ligne.

D.   Les articles 9-1 et 9-2 de la LCEN

Les V et VI du présent article 25 insèrent après l’article 9 de la LCEN deux nouveaux articles 9-1 et 9-2 qui précisent les pouvoirs de l’Arcom pour l’accomplissement des missions confiées par la section IV précitée.

Le I de l’article 9-1 prévoit que l’Arcom dispose des pouvoirs d’enquête et d’exécution à l’égard de la conduite des fournisseurs de services intermédiaires relevant de la compétence de la France. Elle dispose en complément du pouvoir de recueillir, auprès de ces mêmes fournisseurs, les informations nécessaires à son travail de coopération transfrontalière avec les autres CSN et de coordination avec le comité européen pour les services numériques.

Le II de ce même article 9-1 dote les agents habilités et assermentés de l’Arcom d’un pouvoir de visite dans les locaux des fournisseurs de services intermédiaires. Ce pouvoir s’exerce dans les mêmes conditions que celui dont bénéficie la Cnil auprès des responsables de données à caractère personnel : inspections entre six heures et vingt-et-une heures afin d’examiner, de saisir, de prendre ou d’obtenir des copies d’informations.

Des garanties procédurales sont prévues. S’il existe un soupçon de conservation d’informations dans un domicile privé, l’autorisation du juge des libertés et de la détention (JLD) du tribunal judiciaire est requise. Le responsable du local est informé de son droit d’opposition à la visite sauf en cas d’urgence ou lorsque la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie. En cas d’opposition à la visite, celle-ci ne peut se dérouler qu’après l’autorisation et sous l’autorité du JLD du tribunal judiciaire, en présence de l’occupant des lieux ou de son représentant, qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’ordonnance ayant autorisé la visite est exécutoire dès présentation de l’original, sans avoir besoin de la signifier à la partie concernée. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours applicables. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel concernée.

Pour exercer son contrôle, l’Arcom peut enjoindre au fournisseur de services intermédiaires contrôlé de mettre fin aux manquements constatés, prononcer une astreinte, lui enjoindre de prendre toute mesure corrective appropriée et adopter des injonctions provisoires sur le manquement qui est susceptible de créer un dommage grave. L’Arcom peut aussi saisir l’autorité judiciaire dans des conditions prévues par voie réglementaire pour qu’elle ordonne ces mêmes mesures.

L’Arcom peut également accepter des engagements d’un fournisseur de nature à mettre fin au manquement puis les modifier ou les compléter selon la situation.

L’Arcom peut également « lorsque tous les autres pouvoirs prévus par le présent article pour parvenir à la cessation d’une infraction ont été épuisés, qu’il n’a pas été remédié à l’infraction ou que l’infraction se poursuit et qu’elle entraîne un préjudice grave » (point 3 de l’article 51 du RSN) enjoindre au fournisseur de services intermédiaires de soumettre un plan d’action pour mettre fin au manquement, veiller à ce que ces mesures soient prises, et rendre un rapport sur celles-ci. Si ce même fournisseur ne met pas fin aux manquements, l’Arcom peut saisir l’autorité judiciaire afin qu’elle ordonne une mesure de restriction temporaire de l’accès au service du fournisseur concerné.

Un décret en Conseil d’État fixe les modalités d’application du présent article et précise les voies de recours contre les mesures prononcées.

L’article 9-2 de la LCEN inséré par le VI du présent article précise les pouvoirs de sanction dont dispose l’Arcom à l’égard des fournisseurs de services intermédiaires.

Le I de ce même article 9-2 de la LCEN prévoit ainsi que l’Arcom puisse mettre en demeure un fournisseur de services intermédiaires de se conformer, dans un délai qu’elle fixe, aux obligations mentionnées à l’article 8-1 de la même loi. Elle peut également prononcer une injonction éventuellement assortie d’une astreinte lorsque le fournisseur concerné ne satisfait pas aux mesures d’enquête mentionnées aux I à III de l’article 9-1 de cette même loi.

Au II, il est prévu que si le fournisseur de services intermédiaires ne se conforme pas à la mise en demeure, à l’injonction ou aux mesures prises en application des pouvoirs d’exécution mentionnés aux IV et V de ce même article 9‑1, l’Arcom puisse prononcer une sanction pécuniaire dans les conditions prévues à l’article 42-7 de la loi n° 86‑1067 du 30 septembre 1986 relative à la liberté de communication, c’est-à-dire sous la responsabilité d’un rapporteur nommé par le vice-président du Conseil d’État, après avis de l’Arcom. Ce rapporteur assure l’engagement des poursuites et l’instruction préalable au prononcé des sanctions.

Le montant de l’astreinte et celui de la sanction pécuniaire prennent en considération différents critères objectifs : la nature, la gravité et la durée du manquement (1°), l’intentionnalité ou la négligence (2°), les manquements commis précédemment par le fournisseur (3°), sa situation financière (4°), sa coopération avec les autorités (5°), sa nature et sa taille (6°) et son degré de responsabilité en tenant compte des mesures techniques et opérationnelles qu’il a prises pour se conformer au RSN (7°).

Le III prévoit le plafond de la sanction pécuniaire : son montant ne peut excéder 6 % du chiffre d’affaires mondial hors taxes réalisé par le fournisseur de services intermédiaires au cours de l’exercice précédant la sanction (par dérogation, ce taux est porté à 1 % en cas de refus de déférer aux demandes du régulateur dans le cadre de l’application des I à III de l’article 9-1 de la LCEN).

S’agissant du plafond de l’astreinte, son montant journalier ne peut excéder 5 % des revenus ou du chiffre d’affaires mondial hors taxes journalier moyen du fournisseur concerné, constaté sur l’exercice précédent l’astreinte, calculé à compter de la date spécifiée dans la décision de l’Arcom.

Le IV prévoit que l’Arcom puisse rendre publiques les mises en demeure et les sanctions qu’elle prononce selon des modalités – déterminées dans sa décision – qui tiennent compte de la gravité du manquement ou ordonner de les insérer dans des publications, journaux et supports qu’elle désigne, et ce aux frais du fournisseur mis en demeure ou sanctionné.

III.   Les modifications apportées par le Sénat

L’article 25 du projet de loi a été adopté avec modifications par le Sénat.

● À l’initiative de son rapporteur M. Patrick Chaize, la commission spéciale a adopté trois amendements.

Un premier amendement ([149]) précise que le rôle attribué à l’Arcom en matière de coordination des services numériques (article 7 de la LCEN) s’exerce sans préjudice des compétences des autorités administratives compétentes qui concourent à la mise en œuvre du RSN.

Un deuxième amendement ([150]) procède à plusieurs modifications de coordination rédactionnelle avec la procédure d’enquêtes domiciliaires de la Cnil, et les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa rédaction résultant de l’article 32 du présent projet de loi. À l’article 9-1 de la LCEN, le même amendement :

– substitue aux diverses occurrences du mot « local » les mots « lieux, local, enceinte, installation ou établissement » afin de mieux couvrir la typologie des domiciles susceptibles d’être visités ;

– ajoute une obligation d’information du procureur de la République territorialement compétent préalable à la visite ;

– précise également qu’il est dressé un procès‑verbal des vérifications et visites menées avec, le cas échéant, la liste des documents saisis. Ce procès‑verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation. Les documents saisis sont restitués sur décision du procureur de la République, d’office ou sur requête, dans un délai maximal de six mois à compter de la visite ;

– prévoit enfin que la proposition d’engagements des fournisseurs de services intermédiaires de nature à mettre un terme au manquement constaté doit être suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de la mise en œuvre de ces engagements, ainsi que leur durée.

À l’article 9-2 de la LCEN, le montant de l’astreinte ne pourra excéder 5 % du chiffre d’affaires précité, la mention des revenus étant supprimée.

Le troisième amendement est d’ordre rédactionnel et de précision ([151]).

● En séance publique, le Sénat a adopté un amendement ([152]) précisant à l’article 7-2 de la LCEN que les conventions entre les autorités compétentes pour mettre en œuvre le RSN comprennent « l’organisation d’une communication unifiée ». Selon son exposé sommaire, « l’articulation entre tous les textes récents (et à venir), ainsi que leur complexité nécessitent de renforcer la lisibilité et la cohérence de la mise en œuvre des évolutions sur lesquelles les régulateurs ont des compétences spécifiques et liées ». Sur cet amendement, le Gouvernement a formulé une demande de retrait.

IV.   Les modifications apportÉes par la commission

La commission spéciale a adopté cet article modifié par seize amendements rédactionnels et deux amendements du rapporteur général.

● L’amendement CS840 a trait aux conventions qui fixeront les modalités de mise en œuvre de la coopération entre les autorités désignées au présent article. Ces conventions ne porteront pas sur l’organisation d’une communication unifiée entre elles.

● L’amendement CS836 prévoit la saisine, par ces mêmes autorités, du comité européen des services numériques préalablement à la mise en œuvre de toute décision susceptible de générer des obligations additionnelles applicables aux seules plateformes dont l’établissement principal est situé en France ou dont le représentant légal est établi en France.

Chapitre II
Modification du code de la consommation

Article 26
Mise en cohérence du code de la consommation avec le règlement européen sur les services numériques (RSN)

Adopté par la commission sans modification

1.   Le droit en vigueur : une adaptation nécessaire de certaines dispositions du code de la consommation après l’adoption définitive du règlement sur les services numériques (RSN)

L’adoption définitive du règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (RSN) modifie en profondeur le droit européen de la régulation numérique.

Ce règlement fait notamment évoluer le périmètre de certaines catégories juridiques clefs pour la régulation (définition des notions de plateformes en ligne, des moteurs de recherche, etc.) et complète les obligations spécifiques aux places de marché en ligne. Ces dernières se voient ainsi assujetties à des obligations additionnelles d’identification des vendeurs exerçant une activité sur leur plateforme, de vérification et de contrôle vis-à-vis des informations relatives aux annonces postées en ligne, ainsi que d’information des consommateurs en cas de produit non conforme ou dangereux.

Le code de la consommation, dans sa rédaction actuelle, qui procède notamment, dans ce domaine, de la transposition de certaines directives européennes et d’initiatives nationales (loi n° 2016-3121 du 7 octobre 2016 pour une République numérique), doit être adapté, en particulier afin de garantir la sécurité juridique des dispositions mises en œuvre par l’administration (direction générale de la concurrence, de la consommation et de la répression des fraudes – DGCCRF).

II.   Le dispositif proposé

A.   Une harmonisation de certaines définitions prévues par le code de la consommation

L’article 26 procède, d’abord, à l’adaptation de certaines définitions prévues par le code de la consommation, dont le contenu et le périmètre ne recouvrent qu’imparfaitement les définitions prévues au sein du RSN.

Il harmonise en particulier la définition de la notion de plateforme en ligne ([153]) avec celle retenue au sein de l’article 3 du RSN.

En effet, en l’état actuel du droit, le code de la consommation encadre les plateformes au sens large (en intégrant notamment les réseaux sociaux, les marketplaces, les moteurs de recherche, etc.) alors que le RSN distingue spécifiquement les plateformes en ligne des moteurs de recherche. En outre, les comparateurs en ligne, qui sont inclus dans la définition actuelle de l’article L. 111- 7, ne relèvent pas du champ d’application du RSN.

En conséquence, afin de mettre en cohérence ces définitions, le présent article procède aux adaptations suivantes :

– la définition d’une « plateforme en ligne » telle que prévue à l’article L. 111-7 du code de consommation est remplacée par la définition qu’en donne l’article 3 du RSN et replacée au sein de l’article liminaire du code de la consommation ;

– l’article liminaire du code de la consommation est complété par la définition de la notion de « moteur de recherche en ligne » afin de bien la distinguer de la notion de « plateforme en ligne », conformément aux dispositions de l’article 3 du RSN.

En outre, pour des raisons de clarté et de lisibilité du droit, la définition des comparateurs en ligne telle que prévue au sein de l’article L. 111-7 du code de la consommation, qui n’entre pas dans le champ de la régulation du RSN, est déplacée au sein de ce même article liminaire.

B.   Une mise en cohérence des obligations existantes

Le RSN prévoit un certain nombre d’obligations complémentaires pour les plateformes qui impliquent de modifier le code de la consommation.

Ce règlement étant d’harmonisation maximale, les États membres doivent se conformer strictement à son contenu, sans possibilité d’adaptation ou d’insertion complémentaire. Le RSN prévoit néanmoins, à titre d’exception, que peuvent être maintenues les dispositions existantes poursuivant des finalités différentes du RSN ou constituant la transposition d’actes juridiques de l’Union européenne en matière de protection des consommateurs.

En conséquence, l’article 26 procède à plusieurs modifications significatives au sein du code de la consommation :

– en restreignant la portée de l’actuel article L. 111-7 aux seuls fournisseurs de places de marché et aux comparateurs en ligne (ces derniers étant en dehors du champ de la régulation du RSN) ;

– en abrogeant l’article L. 111-7-1, qui prévoit que les opérateurs de plateforme en ligne qui dépassent un seuil de connexions défini par décret (5 millions) doivent élaborer et diffuser aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, transparence, et loyauté. Le seuil concerné est désormais fixé directement par le RSN (45 millions de connexions par mois) ;

– en modifiant l’article L. 111-7-3 afin de limiter l’obligation de réaliser un audit de cybersécurité aux seuls fournisseurs de plateformes en ligne, moteurs de recherche en ligne et comparateurs en ligne.

C.   La désignation nécessaire de la DGCCRF comme entité de contrôle du bon respect des obligations incombant aux opérateurs de places de marché

L’article 26 crée un nouvel article L. 511-7 au sein du code de la consommation qui habilite spécifiquement les agents de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour rechercher et constater les infractions au RSN.

D.   La définition d’un régime de sanctions conforme au RSN

L’article 26 crée également un régime de sanctions à l’encontre des fournisseurs de plateforme en ligne qui ne respecteraient pas certaines obligations prévues au sein du RSN.

Ce dispositif, figurant à l’article L. 133-1 du code de la consommation, fixe une peine d’emprisonnement pouvant aller jusqu’à deux ans et une amende de 300 000 euros, dont le montant peut être porté à 6 % du chiffre d’affaires mondial pour une personne morale ([154]) .

Il a vocation à sanctionner tout manquement :

– à l’interdiction, pour les plateformes en ligne, de concevoir des dark patterns, soit une interface en ligne visant à altérer le consentement du consommateur (article 25 du RSN) ;

– aux obligations de traçabilité des professionnels (article 30 du RSN) ;

– aux obligations de conformité, dès sa conception, de l’interface en ligne (article 31 du RSN) ;

– aux obligations d’information des consommateurs (article 32 du RSN).

Deux nouveaux articles viennent compléter ce régime de sanctions :

– un article L. 133-2 du code de la consommation qui prévoit une injonction avec astreinte journalière en cas d’infraction par un fournisseur de plateforme en ligne vis-à-vis des dispositions de l’article L. 133-1 du même code. Cet article prévoit la possibilité pour la juridiction civile, à la demande de l’autorité administrative compétente (DGCCRF), après avoir avisé le parquet, d’enjoindre le fournisseur concerné de se mettre en conformité. Cette injonction peut être assortie d’une astreinte journalière dont le montant maximum ne peut excéder 5 % du chiffre d’affaires mondial (article 52 du RSN) ;

– un article L. 133-3 du code de la consommation qui crée un régime de sanctions complémentaire pour les personnes physiques en infraction au regard des dispositions de l’article L. 133-1 du même code (interdiction d’exercice d’une activité professionnelle ou d’une fonction publique, dans les conditions prévues par le droit actuel).

L’article 26 prévoit, enfin, que les personnes morales puissent faire l’objet de sanctions, temporaires ou définitives, sur le fondement de l’article L. 131-39 du code pénal, lorsqu’elles sont considérées comme pénalement responsables de délits punis à l’article L. 133-1 du code de la consommation.

E.   L’adaptation des pouvoirs d’enquête et de sanction

L’article 26 crée une nouvelle section IV au sein du chapitre II du titre Ier du livre V du code de la consommation afin de permettre la mise en œuvre effective des actions de recherche et de contrôle menées par les agents de la DGCCRF.

Sont ainsi insérées, au sein du code de la consommation des dispositions :

– garantissant la conformité de ces actions avec les conditions d’indépendance prévues actuellement en droit (article L. 512-66 du même code) ;

– garantissant la capacité de la DGCCRF à accéder aux données de certaines plateformes dans le but de veiller à la bonne application du règlement (article L. 512-67) ;

– déterminant les modalités de la coopération entre les agents de la DGCCRF et des agents du coordinateur des services numériques (article L. 512-68) ;

– et prévoyant la sanction en cas d’entraves à l’enquête (article L. 531-7).

Enfin, l’article L. 521-3 du code de la consommation est adapté pour élargir le champ des situations dans lesquelles la DGCCRF peut avoir recours à la réquisition des plateformes en ligne.

Cet élargissement concerne les cas suivants :

– le manquement ou l’infraction aux règles relatives à la conformité et à la sécurité non seulement des produits, mais aussi des services ;

– l’absence de mise en conformité d’un professionnel consécutive à une injonction en matière de sécurité des produits et des services ;

– les cas d’infractions mettant en jeu la sécurité ou la santé des consommateurs lorsque l’auteur n’a pas déféré à une injonction.

III.   Les modifications apportées par le Sénat

A.   En commission

Deux amendements présentés par M. Patrick Chaize, rapporteur, ont été adoptés lors de l’examen de cet article en commission spéciale :

– un amendement COM-139 de précision rédactionnelle qui détermine l’amende maximale pouvant être prononcée pour sanctionner des manquements aux obligations des fournisseurs de plateformes en ligne en fonction du chiffre d’affaires mondial hors taxes de la personne morale contrôlée ;

– un amendement COM-140 de précision juridique rappelant que les pouvoirs de contrôle de la DGCCRF vis-à-vis des fournisseurs de plateformes en ligne au regard de leurs obligations s’exercent conformément au principe du pays d’origine.

B.   En séance publique

Un amendement n° 65 rect bis présenté par Mme Delattre a été adopté par le Sénat en séance publique, afin de garantir la conformité de la rédaction proposée au contenu du RSN.

IV.   les modifications apportées par la commission

L’article 26 n’a pas fait l’objet de modification lors de son examen en commission spéciale.

Chapitre III
Modification du code du commerce

Article 27
Adaptation du Code de commerce au règlement européen sur les marchés numériques

Adopté par la commission sans modification

1.   Le droit en vigueur : une adaptation nécessaire du code de commerce aprÈs l’adoption définitive du règlement sur les marches numériques (RMN)

L’adoption définitive du règlement 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique, implique de modifier certaines dispositions du code de commerce afin de garantir sa conformité avec la nouvelle régulation européenne mise en œuvre dans ce cadre.

II.   Le dispositif proposé

L’article 27 procède à l’adaptation de plusieurs dispositions du code de commerce afin de donner aux autorités nationales compétentes la capacité de conduire des investigations et de coopérer avec la Commission européenne sur les pratiques des contrôleurs d’accès.

En conséquence :

– la rédaction de l’article L. 420-7 du code de commerce est modifiée, pour actualiser les références au droit européen qu’il contient, et prévoit que les litiges relatifs à l’application des règles prévues au sein du RMN ou dans lesquels les dispositions de ce règlement sont invoquées sont attribuées aux juridictions spécialisées en charge du contentieux de la concurrence (alinéas 2 à 5) ;

– un nouvel article, L. 450-11, est inséré au sein du code de commerce, afin de consacrer en droit le rôle de l’Autorité de la concurrence et des administrations compétentes, telles qu’habilitées par le ministre en charge de l’économie concernant l’application des règles prévues au paragraphe 6 de l’article 1er du RMN (alinéa 6) ;

– la rédaction de l’article L. 420-12 du code de commerce est également adaptée afin, comme pour l’article L. 420-7 du même code, d’actualiser les références au droit européen qu’il contient, mais aussi de consacrer la compétence de principe de l’Autorité de la concurrence et du ministre en charge de l’économie pour les missions d’assistance à la Commission européenne prévue par le RSN (pouvoir d’audition, capacité de recueillir des déclarations, pouvoir d’inspection et conduite d’enquête de marché), ainsi que la capacité de ces autorités à ouvrir et conduire des enquêtes en cas de non-respect éventuel des obligations imposées aux contrôleurs d’accès (alinéas 7 à 13) ;

– un nouvel article L. 462-9-2 est créé au sein du code de commerce, qui précise que les autorités précitées peuvent recevoir les renseignements émanant de tiers concernant toute pratique ou comportement des contrôleurs d’accès relevant du champ d’application du RMN (alinéas 14 et 15).

Enfin, l’article 27 modifie également la rédaction de l’article L. 490-9 du code de commerce, afin de prévoir spécifiquement la compétence du ministre chargé de l’économie pour adresser à la Commission européenne une demande d’ouverture d’enquête de marché en application de l’article 41 du RMN (alinéas 16 et 17).

III.   Les modifications apportées par le Sénat

L’article 27 n’a pas fait l’objet de modification lors de son examen au Sénat.

IV.   les modifications apportées par LA COMMISSION

L’article 27 n’a pas fait l’objet de modification lors de son examen en commission spéciale.

 

Chapitre IV
Mesures d’adaptation de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication

Article 28
Adaptations de la loi du 30 septembre 1986 relative à la liberté de communication au règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques

Adopté par la commission avec modifications

 

Le présent article procède à plusieurs adaptations de la terminologie utilisée dans la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication afin de tenir compte des notions utilisées dans le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (ci-après « RSN »).

1.   Le droit en vigueur

A.   La terminologie utilisée dans les droits français et européen

● Les services de plateforme en ligne

Le i) de l’article 3 du RSN donne la définition suivante de la plateforme en ligne : « un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ».

Le droit français renvoie à une définition sensiblement différente, prévue à l’article L. 111-7 du code de la consommation, à savoir tout « service de communication au public en ligne reposant sur :

1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service. »

Les grands opérateurs de plateforme en ligne sont mentionnés à l’article L. 163‑1 du code électoral qui renvoie aux opérateurs mentionnés à l’article L. 111‑7 du code de la consommation « dont l’activité dépasse un seuil déterminé de nombre de connexions sur le territoire français ». Le décret n° 2017-1435 du 29 septembre 2017 a fixé ce seuil à cinq millions de visiteurs uniques par mois s’étant connectés à partir du territoire français.

Les articles L. 111-7 du code de la consommation et L. 163-1 du code électoral sont respectivement modifiés par les articles 26 et 30 du projet de loi.

● Les services de moteurs de recherche en ligne

Le j) de l’article 3 du RSN précité donne la définition suivante du moteur de recherche en ligne : « un service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou tous les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé ».

● Les services de plateforme de partage de vidéos

Les services de plateforme de partage de vidéos ne sont pas mentionnés dans le RSN. C’est le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (ci‑après « RMN ») et la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication qui en donnent les définitions.

L’article 2 du règlement RMN renvoie à la définition mentionnée à l’article 1er, paragraphe 1, point a bis) ([155]), de la directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels, soit : « un service […] pour lequel l’objet principal du service proprement dit ou d’une partie dissociable de ce service ou une fonctionnalité essentielle du service est la fourniture au grand public de programmes, de vidéos créées par l’utilisateur, ou des deux, qui ne relèvent pas de la responsabilité éditoriale du fournisseur de la plateforme de partage de vidéos, dans le but d’informer, de divertir ou d’éduquer, par le biais de réseaux de communications électroniques […] et dont l’organisation est déterminée par le fournisseur de la plateforme de partage de vidéos, à l’aide notamment de moyens automatiques ou d’algorithmes, en particulier l’affichage, le balisage et le séquencement ».

Les alinéas 7 à 11 de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 en donnent une définition similaire puisque cet article est issu de la transposition de cette même directive, à savoir tout service répondant aux quatre conditions cumulatives suivantes :

« 1° Le service est fourni au moyen d’un réseau de communications électroniques ;

2° La fourniture de programmes ou de vidéos créées par l’utilisateur pour informer, divertir ou éduquer est l’objet principal du service proprement dit ou d’une partie dissociable de ce service, ou représente une fonctionnalité essentielle du service ;

3° Le fournisseur du service n’a pas de responsabilité éditoriale sur les contenus mentionnés au 2° mais en détermine l’organisation ;

4° Le service relève d’une activité économique. »

Les plateformes de partage de vidéos ne peuvent être considérées comme couvertes par le RSN (en tant que plateformes en ligne) que si elles stockent des contenus. L’étude d’impact annexée au présent projet de loi met en exergue cette différence de définition entre le RSN et le droit national : « toutes les plateformes de partage de vidéo[s] (PPV) ne sont pas nécessairement couvertes par le [RSN] car la définition des PPV ne mentionne pas le stockage des contenus (ex. une PPV de pur live streaming qui ne stocke pas les contenus qu’elle diffuse n’est pas strictement un hébergeur au sens du [RSN] et pourrait prétendre échapper aux obligations du règlement applicables aux hébergeurs/plateformes en ligne) ».

B.   Les « contrats climats »

L’article 14 de la loi n° 2021-1104 du 22 août 2021 portant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets (ci‑après « loi climat et résilience ») a chargé l’Arcom ([156]) de promouvoir des « codes de bonne conduite sectoriels et transversaux, appelés "contrats climats", afin de favoriser des pratiques plus responsables en matière de communications commerciales. Ces codes ont deux objectifs principaux :

– la réduction significative des communications commerciales relatives à des biens et services ayant un impact négatif sur l’environnement, en particulier en termes d’émissions de gaz à effet de serre, d’atteintes à la biodiversité et de consommation de ressources naturelles sur l’ensemble de leur cycle de vie ;

– la prévention des communications commerciales présentant favorablement l’impact environnemental de ces mêmes biens ou services (écoblanchiment, ou greenwashing).

Cet impact est mesuré au moyen de l’affichage environnemental prévu à l’article L. 541-9-11 du code de l’environnement, lorsque cet affichage environnemental est généralisé.

Selon un premier bilan de l’Arcom ([157]) publié en janvier 2023, 141 acteurs de la chaîne de valeur de la publicité avaient souscrit un contrat climat.

Le 12° de l’article 18 de la loi n° 86-1067 du 30 septembre 1986 précitée prévoit que le rapport annuel d’activité établi par l’Arcom comprend un bilan de l’efficacité des contrats climats, réalisé avec le concours de l’Agence de l’environnement et de la maîtrise de l’énergie (Ademe). Ce bilan exhaustif sera réalisé en 2023 ([158]).

C.   Le contrôle des obligations des plateformes par l’Arcom

L’article 33 de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information confie à l’Arcom – à l’article 58 de la loi n° 86-1067 du 30 septembre 1986 – le soin de publier des recommandations aux opérateurs de plateforme en ligne afin d’améliorer la lutte contre la diffusion des fausses informations en période électorale. Elle assure leur suivi et publie un bilan périodique de leur application en recueillant auprès des opérateurs toutes les informations utiles à cette mission.

L’article 60 de la loi n° 86-1067 confie à l’Arcom la responsabilité de la supervision des activités des plateformes de partage de vidéos. Elle s’assure qu’ils mettent bien en œuvre, de façon transparente et équilibrée, leurs obligations de signalement et de modération des contenus.

L’article 42 de loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République qui assure une forme de pré-transposition du RSN dans le droit national en confiant à l’Arcom la supervision des plateformes en ligne en matière de lutte contre les contenus haineux (article 6-4 de la LCEN et article 62 de la loi n° 86-1067 du 30 septembre 1986) est applicable jusqu’au 31 décembre 2023. Cette date de fin d’application anticipée était justifiée par la nécessité de ne pas empiéter sur la date d’entrée en vigueur du RSN, initialement prévue au 1er janvier 2024.

II.   Le dispositif proposé

Le I de l’article 28 comporte diverses mesures d’adaptation de la loi n° 86‑1067 du 30 septembre 1986.

Aux 1° et 4°, l’article 28 procède à des modifications terminologiques au sein des articles 14 et 58 de la loi n° 86-1067, notamment pour substituer à la notion d’« opérateurs de plateforme en ligne », les notions utilisées dans le RSN (« fournisseurs de plateformes en ligne », « moteurs de recherche en ligne ») et à l’article 2 de la même loi (« plateformes de partage de vidéos »). À l’article 14 de la même loi sont ainsi citées ces trois notions (1°). Au premier alinéa de l’article 58 de la même loi, ce sont les deux notions utilisées dans le RSN qui sont citées (4°).

Ce même 4° adapte également les deux autres alinéas de ce même article 58 au RSN en réaffirmant la compétence de l’Arcom dans la supervision des très grandes plateformes et des très grands moteurs de recherche s’agissant de l’évaluation et de l’atténuation du risque systémique de désinformation qu’ils doivent assurer et de la conformité de leurs engagements à ce titre. Ce contrôle se fait sur la base des informations communiquées par la Commission européenne, des audits indépendants évaluant ces engagements et des informations recueillies auprès de ces acteurs. Bien que la référence à la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information soit supprimée, l’Arcom conserve sa mission de publication d’un bilan périodique de l’application et de l’effectivité de ces mesures de conformité, puisqu’elle découle désormais du RSN.

Au 2°, qui modifie l’article 18 de la loi n° 86-1067 du 30 septembre 1986, c’est la référence aux « contrats climats » qui est substituée à la définition de ces mêmes codes de bonne conduite.

Le 3° supprime la référence à l’article L. 163-1 du code électoral dans l’intitulé du chapitre 1er du titre IV de la loi n° 86-1067 du 30 septembre 1986.

Le 5° complète l’article 60 de la même loi afin de confirmer la compétence de l’Arcom pour superviser, y compris en utilisant ses pouvoirs d’enquête et d’injonction, le respect par les plateformes de partage de vidéos de leurs obligations prévues à la section IV du chapitre II du titre Ier de la LCEN.

Le II de l’article 28 modifie la date de fin d’application des dispositions prévues à l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République afin de tenir compte de la date d’entrée en vigueur du RSN le 17 février 2024.

III.   Les modifications apportées par le Sénat

L’article 28 du projet de loi a été adopté par le Sénat, modifié par trois amendements adoptés en commission spéciale à l’initiative de son rapporteur M. Loïc Hervé :

– un premier amendement ([159]) complète l’article 58 de la loi n° 86-1067 du 30 septembre 1986 afin d’étendre les compétences de l’Arcom décrites supra aux plateformes de partage de vidéos, par miroir avec les dispositions du projet de loi modifiant l’article 14 de la loi du 30 septembre 1986. Toutefois, cet amendement intègre à l’article 58 une définition des plateformes de partage de vidéos qui fait référence au RMN, définition par conséquent différente de celle prévue à l’article 14 qui fait référence à la définition de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 ;

– un deuxième amendement ([160]) modifie également l’article 58 précité afin de préciser les contours du bilan périodique publié par l’Arcom en matière de lutte contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un des scrutins mentionnés au premier alinéa de l’article 33‑1‑1 de la loi relative à la liberté de communication, c’est-à-dire l’élection du Président de la République, les élections générales des députés, l’élection des sénateurs, l’élection des représentants au Parlement européen et les opérations référendaires. Cet amendement complète également les mentions du RSN ;

– un troisième amendement ([161]) modifie l’article 60 de la loi relative à la liberté de communication afin d’étendre la compétence de l’Arcom à la régulation de toutes les plateformes de partage de vidéos, y compris celles qui ne sont pas considérées comme des plateformes en ligne au sens du RSN parce qu’elles ne stockent pas de contenus.

IV.   Les modifications apportÉes par la commission

La commission spéciale a adopté l’article 28 modifié par quatre amendements rédactionnels du rapporteur général.

Chapitre V
Mesures d’adaptation de la loi relative à la lutte contre la
manipulation de l’information

Article 29
Abrogation de trois dispositifs de la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

Adopté par la commission avec modifications

 

1.   Le droit en vigueur

A.   Le droit européen

Le considérant 9 du RSN rappelle qu’un des objets de ce règlement est d’ « harmonise[r] pleinement les règles applicables aux services intermédiaires dans le marché intérieur dans le but de garantir un environnement en ligne sûr, prévisible et de confiance, en luttant contre la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d’informations trompeuses ou d’autres contenus peuvent produire, et dans lequel les droits fondamentaux consacrés par la Charte ([162]) sont efficacement protégés et l’innovation est facilitée. »

Ainsi, le RSN enjoint aux fournisseurs de services intermédiaires d’agir contre les contenus illicites (article 9) et de fournir des informations sur les destinataires des services concernés (article 10). Ces injonctions sont assorties d’obligations de coopération (article 11) et de transparence (article 15).

Le considérant 9 précité rappelle également la nécessité d’adapter le droit national concernant ces matières. Il précise ainsi que « les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant du champ d’application du présent règlement, sauf si le présent règlement le prévoit expressément, car cela porterait atteinte à l’application directe et uniforme des règles pleinement harmonisées applicables aux fournisseurs de services intermédiaires conformément aux objectifs du présent règlement. Cela ne devrait pas empêcher l’application éventuelle d’une autre législation nationale applicable aux fournisseurs de services intermédiaires […] lorsque les dispositions du droit national poursuivent d’autres objectifs légitimes d’intérêt général que ceux poursuivis par le présent règlement. »

B.   la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

Le titre III de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information comprenant les articles 11 à 15 est relatif au devoir de coopération des opérateurs de plateforme en ligne en matière de lutte contre la diffusion de fausses informations.

L’article 11 contraint les opérateurs de plateforme en ligne à mettre en œuvre des mesures en vue de lutter contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un des scrutins mentionnés au premier alinéa de l’article 33-1-1 de la loi n° 86-1067 30 septembre 1986 ([163]). À cette fin, ils mettent en place un dispositif permettant à leurs utilisateurs de signaler de telles informations, notamment lorsqu’elles sont issues de comptes de tiers.

Les mêmes opérateurs doivent également mettre en œuvre diverses mesures de régulation et de transparence sur leurs algorithmes, la promotion de contenus sponsorisés, la lutte contre les comptes propageant massivement de fausses informations, l’information des utilisateurs sur l’identité des personnes physiques ou morales leur versant des rémunérations en contrepartie de la promotion de contenus d’information se rattachant à un débat d’intérêt général, l’information des utilisateurs sur la nature, l’origine et les modalités de diffusion des contenus, l’éducation aux médias et à l’information. Ces mesures, ainsi que les moyens qu’ils y consacrent, sont rendus publics, ces informations étant transmises chaque année à l’Arcom.

L’article 13 prévoit que les opérateurs désignent un représentant légal exerçant les fonctions d’interlocuteur référent sur le territoire français pour l’application de leurs obligations de coopération en matière de lutte contre la diffusion de fausses informations et s’agissant de certaines infractions portant gravement atteinte à l’ordre public, constitutives de la haine en ligne ([164]). Pour ces infractions, la LCEN soumet les opérateurs à un régime de responsabilité renforcée en posant un principe de coopération de ces prestataires à la lutte contre les contenus les plus gravement réprimés.

L’article 14 contraint les opérateurs qui recourent à des algorithmes de recommandation, classement ou référencement de contenus d’information se rattachant à un débat d’intérêt général à publier des statistiques agrégées sur leur fonctionnement. Cette publication mentionne, d’une part, la part d’accès direct, sans recours aux algorithmes de recommandation, classement ou référencement, et, d’autre part, les parts d’accès indirects imputables à l’algorithme du moteur de recherche interne de la plateforme le cas échéant mais également aux autres algorithmes de recommandation, classement ou référencement de la plateforme qui sont intervenus dans l’accès aux contenus.

Ces statistiques sont publiées en ligne et accessibles à tous, dans un format libre et ouvert.

II.   Le dispositif proposé

L’article 29 du présent projet de loi abroge les articles 11, 13 et 14 de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information dont plusieurs dispositions sont couvertes par l’adoption du RSN.

III.   Les modifications apportées par le Sénat

L’article 29 du projet de loi a été adopté avec modifications par le Sénat.

Par l’adoption d’un amendement ([165]) du rapporteur M. Loïc Hervé, la commission spéciale a maintenu, dans le droit national, l’obligation – prévue aux deux premiers alinéas de l’article 11 de la loi n° 2018-1202 du 22 décembre 2018 précitée –, pour les plateformes en ligne, de mettre en place un dispositif de signalement des fausses informations.

Le rapporteur a estimé que le dispositif adopté devait constituer un signal pour plaider pour une « définition large de la notion de contenu illicite », conformément au considérant 12 du RSN.

IV.   Les modifications apportÉes par la commission

La commission spéciale a rétabli l’article 29 dans sa version résultant du projet de loi initial du Gouvernement. Un amendement de rédaction globale du dispositif, présenté par le rapporteur général (CS839), a en effet abrogé les articles 11, 13 et 14 du titre III de la loi n° 2018‑1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information.

Le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit RSN) est d’harmonisation maximale, empêchant ainsi les États membres de conserver ou d’adopter des règles qui diffèrent ou vont au-delà de ce qu’il prescrit sur les sujets qu’il traite, ce qui comprend notamment les moyens de lutte contre la désinformation sur les plateformes en ligne. À cet égard, le RSN harmonise, à son article 16, les obligations relatives à la mise en place d’un système de signalement de contenus. Les deux premiers alinéas de l’article 11 de la loi n° 2018‑1202 du 22 décembre 2018 précitée ne peuvent donc être conservés dès lors qu’ils divergent d’avec l’article 16 du RSN.

Cette abrogation ne constitue pas un recul. En effet, même si le RSN n’impose pas de permettre le signalement de contenus de désinformation, cela est prescrit par le code de bonnes pratiques en matière de désinformation, dont le respect peut être rendu obligatoire pour les très grandes plateformes en application du RSN. Or, le champ des plateformes couvertes par l’article 11 de la loi n° 2018-1202 du 22 décembre 2018 précitée coïncide avec la liste des très grandes plateformes en ligne publiée par la Commission européenne. Ces plateformes devront donc continuer à permettre le signalement de contenus de désinformation après l’abrogation de la disposition en cause.

Chapitre VI
Mesures d’adaptation du code électoral

Article 30
Rehaussement du seuil de connexions à partir duquel s’applique l’obligation, en période électorale, de tenue par les opérateurs de plateforme en ligne d’un registre public assurant la transparence sur les commanditaires de la publicité en ligne

Adopté par la commission sans modification

I.   le droit en vigueur

Le droit interne comme le droit européen imposent des obligations de transparence aux opérateurs de plateforme concernant la publicité en ligne.

Il est notamment prévu la tenue d’un registre public en vue d’assurer la transparence des commanditaires de la publicité en ligne :

– par le droit interne, en période électorale, lorsque l’activité de l’opérateur dépasse 15 millions de visiteurs uniques mensuels à partir du territoire français ;

– et par le droit européen, lorsque l’activité de l’opérateur dépasse 45 millions de destinataires actifs mensuels à partir du territoire de l’Union européenne (UE).

A.   L’OBLIGATION de transparence des plateformes en ligne, prévue par le code électoral, en matière de publicité

● L’article L. 163-1 du code électoral a été créé par la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information (dite « loi Infox »).

Il soumet les plus grands opérateurs de plateforme en ligne à des obligations de transparence relatives aux commanditaires qui leur versent des rémunérations en contrepartie de la promotion de contenus d’information se rattachant à un débat d’intérêt général. Ces obligations s’appliquent pendant les trois mois précédant le premier jour du mois d’élections générales des députés et jusqu’à la date du tour de scrutin où celles-ci sont acquises.

Elles sont également applicables, au cours de la même période :

– aux élections sénatoriales (par renvoi de l’article L. 306 du code électoral) ;

– aux élections européennes (par renvoi de l’article 14-2 de la loi n° 77-729 du 7 juillet 1977 relative à l’élection des représentants au Parlement européen) ;

– aux opérations référendaires (par renvoi de l’article L.558-46 du code électoral) ;

– et à l’élection du Président de la République (en application de l’article 3, ayant valeur organique, de la loi n° 62-1292 du 6 novembre 1962 relative à l’élection du Président de la République au suffrage universel).

● Les opérateurs de plateforme en ligne visés sont tenus de fournir à l’utilisateur une information loyale, claire et transparente :

– sur l’identité de la personne physique ou morale qui leur verse des rémunérations en contrepartie de la promotion de contenus d’information se rattachant à un débat d’intérêt général ;

– et sur l’utilisation de ses données personnelles dans le cadre de la promotion d’un contenu d’information se rattachant à un débat d’intérêt général.

Ils doivent aussi rendre public le montant des rémunérations reçues en contrepartie de la promotion de tels contenus d’information.

Ces informations sont agrégées au sein d’un registre mis à la disposition du public par voie électronique, dans un format ouvert, et régulièrement mis à jour au cours de la période précédant le scrutin.

Ce dispositif de transparence s’applique aux opérateurs de plateforme en ligne dont l’activité dépasse un seuil – déterminé par le décret n° 2017-1435 du 29 septembre 2017 – de cinq millions de visiteurs uniques par mois s’étant connectés à partir du territoire français.

En application de l’article L. 112 du code électoral, les personnes physiques ne satisfaisant pas aux règles fixées à l’article L. 163-1 du même code encourent une peine d’un an d’emprisonnement et de 75 000 euros d’amende. Pour les personnes morales, le montant de l’amende peut atteindre le quintuple de celui prévu pour les personnes physiques.

B.   l’obligation de Transparence des plateformes en ligne prévue par le règlement sur les services numériques en matière de publicité

● L’article 26 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit RSN, ou DSA en anglais pour Digital Services Act) impose aux opérateurs de plateforme en ligne de publier les informations sur les personnes pour le compte desquelles une publicité est diffusée et sur les paramètres utilisés pour déterminer les personnes qui seront exposées à cette publicité.

L’article 26 du RSN entrera en vigueur le 17 février 2024.

● L’article 39 du RSN prévoit un dispositif de transparence renforcée pour les « très grandes plateformes en ligne » et les « très grands moteurs de recherche en ligne », avec notamment la tenue d’un registre mettant à disposition du public une liste d’informations, dont l’identité de la personne physique ou morale pour le compte de laquelle la publicité est présentée ainsi que le nombre total de destinataires du service atteint et, le cas échéant, les nombres totaux ventilés par État membre pour le ou les groupes de destinataires que la publicité ciblait spécifiquement.

La liste des informations devant figurer au registre public n’est pas limitative. L’article 39 précité accorde la faculté aux États membres de la compléter.

Les très grandes plateformes et les très grands moteurs de recherche en ligne sont définis comme ceux « qui ont un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions » (article 33 du RSN).

L’article 39 du RSN est entré en vigueur le 25 août 2023.

Le 25 avril 2023, une première liste renseignant ces grands acteurs en ligne a été publiée sur le site de la Commission européenne, comprenant :

– dix-sept très grandes plateformes : Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube et Zalando ;

– et deux très grands moteurs de recherche : Bing et Google Search.

II.   le Dispositif proposé

● Le Gouvernement a d’abord envisagé de proposer au Parlement de supprimer l’article L. 163-1 du code électoral dans la mesure où le RSN prévoit un dispositif de transparence pour la publicité en ligne, rendant en partie sans objet le dispositif spécifique de droit interne prévu en période électorale.

Dans son avis (point n° 67), le Conseil d’État a toutefois souligné que, dans le règlement européen, « aucune obligation spécifique […] n’est mise à la charge de ces acteurs en période électorale sur les questions se rattachant à un débat d’intérêt général ».

Il a dès lors estimé qu’il était « préférable […] de ne pas procéder à l’abrogation de l’article L. 163-1 » du code électoral. Il a proposé « sa modification afin qu’il prévoi[e], jusqu’à l’entrée en vigueur du futur cadre européen de la publicité politique, que la liste non limitative des informations figurant au sein du registre prévu par l’article 39 du règlement « DSA » est complétée, ainsi que le permet ce règlement lorsqu’un intérêt général est, comme ici, présent, durant les périodes électorales, par les informations supplémentaires qu’il énumère ».

Le dispositif proposé par le Gouvernement retient la suggestion du Conseil d’État et modifie l’article L. 163-1 du code électoral pour le mettre en cohérence avec le RSN.

● En premier lieu, il remplace dans l’article L. 163-1 la notion d’« opérateurs de plateforme en ligne au sens de l’article L 111-7 du code de la consommation » par celle de « très grandes plateformes en ligne et [de] très grands moteurs de recherche en ligne au sens de l’article 33 » du RSN.

Une telle modification a dès lors pour effet de réserver ce dispositif de transparence aux opérateurs qui atteignent un nombre mensuel moyen de destinataires actifs du service dans l’Union européenne égal ou supérieur à 45 millions.

Pour les autres opérateurs, seul le dispositif de transparence de l’article 26 du RSN s’appliquera, à compter du 17 février 2024, si bien qu’ils ne seront plus contraints de tenir un registre public.

Le présent article a donc pour effet d’opérer un rehaussement du seuil de connexions à partir duquel les opérateurs de plateforme en ligne seront obligés de tenir un registre public, en période électorale, pour la transparence de la publicité en ligne (45 millions de destinataires actifs par mois sur le territoire de l’UE au lieu de 5 millions de visiteurs uniques mensuels sur le territoire français).

Il convient toutefois de rappeler qu’un règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique sera bientôt adopté et devrait prévoir des obligations spécifiques en période électorale s’appliquant à davantage d’opérateurs de plateforme en ligne, dont la tenue d’un registre.

● En second lieu, le présent article mentionne le « registre prévu à l’article 39 de ce règlement », lequel devra comprendre les informations complémentaires énumérées à l’article L. 163-1 du code électoral.

Il s’ensuit que les très grandes plateformes et très grands moteurs de recherche en ligne devront tenir un registre au contenu renforcé par rapport à celui prévu par le droit européen à l’article 39 du RSN, conformément à la suggestion du Conseil d’État.

Ce registre devra ainsi mentionner, en application des alinéas maintenus de l’article 163-1 du code électoral, le montant des rémunérations reçues en contrepartie de la promotion des contenus publicitaires ainsi qu’une information loyale, claire et transparente sur l’utilisation des données personnelles de l’utilisateur. Ces deux informations ne sont pas prévues par l’article 39 du RSN.

III.   les Modifications apportées par le sénat

Le présent article a été adopté par le Sénat sans modification.

IV.   Les modifications apportÉes par la commission

La commission a adopté cet article sans modification.

Chapitre VII
Mesures d'adaptation de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Article 31
Adaptations de la loi « informatique et libertés » au règlement européen portant sur la gouvernance européenne des données

Adopté par la commission avec modifications

I.   le droit en vigueur

A.   le Droit interne

Les données à caractère personnel font l’objet d’une protection constitutionnelle au titre du droit au respect à la vie privée, lequel découle de la liberté proclamée comme droit naturel et imprescriptible de l’homme par l’article 2 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ([166]).

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés –  ci-après « loi informatique et libertés » – définit le régime de protection en droit interne des données à caractère personnel.

L’article 8 de la loi « informatique et libertés » a institué une Commission nationale de l’informatique et des libertés (Cnil), autorité administrative indépendante qui a notamment pour mission de contrôler les traitements de données à caractère personnel.

La Cnil, composée de dix-huit membres, comprend une formation restreinte composée d’un président et de cinq autres membres élus par la Commission en son sein (article 9 de la loi « informatique et libertés »).

L’article 16 de cette même loi attribue un pouvoir de sanction à la formation restreinte de la Cnil à l’encontre des responsables de traitements de données, ou de leurs sous-traitants, en cas de manquement à leurs obligations. Les articles 20 et suivants de la même loi prévoient diverses mesures correctrices et de sanction et définissent le rôle du président de la Cnil.

B.   le Droit européen

Le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (ci-après « Data Gouvernance Act » ou DGA) est entré en vigueur le 24 septembre 2023.

À rebours d’autres réglementations européennes qui tendent à en limiter les usages, le DGA autorise une plus large circulation des données personnelles à des fins d’intérêt général, sous réserve du consentement des personnes concernées.

Le DGA a pour objectif de « contribuer à l’émergence de réserves de données d’une taille suffisante mises à disposition sur le fondement de l’altruisme en matière de données pour permettre l’analyse des données et l’apprentissage automatique » (point n° 45).

Il prévoit la création d’un label « organisation altruiste en matière de données reconnue dans l’Union » permettant à des entités, inscrites sur un registre public, d’exploiter des données personnelles communiquées par les personnes concernées en ayant exprimé un consentement altruiste.

Pour ce faire, le DGA prévoit :

– l’obligation pour chaque État membre de désigner une ou plusieurs autorités responsables du registre public national des organisations altruistes en matière de données reconnues (article 23) ;

– et la mise en place d’un formulaire européen de consentement à l’altruisme en matière de données (article 25).

II.   le Dispositif proposé

Le présent article modifie la loi « informatique et libertés » pour l’adapter au DGA.

Il complète l’article 8 de la loi « informatique et libertés » pour confier à la Cnil le rôle d’autorité nationale responsable du registre public national des organisations altruistes en matière de données.

Il ajoute dans la même loi un nouveau titre intitulé « Dispositions relatives à l’altruisme en matière de données ».

Ce nouveau titre comporte trois articles, numérotés de 124-1 à 124-3.

L’article 124-1 dispose que la Cnil est responsable du registre public national et qu’elle traite les demandes d’enregistrement à ce registre.

L’article 124-2 prévoit que la Cnil peut contrôler les organisations altruistes en matière de données et les sanctionner en cas de manquement.

Enfin, l’article 124-3 énonce que la Cnil reçoit et instruit les réclamations présentées par toute personne concernant l’altruisme en matière de données.

III.   les Modifications apportées par le sénat

Le Sénat a adopté le présent article modifié par un amendement présenté par le rapporteur M. Loïc Hervé lors de l’examen du texte en commission (COM-145 rect.).

L’amendement adopté a procédé à diverses clarifications rédactionnelles aux articles 8 et 16 de la loi « informatique et libertés » concernant les prérogatives de la Cnil et de sa formation restreinte.

Ce même amendement a complété le dispositif en insérant un article 20-1 dans la loi « informatique et libertés » qui :

– instaure un droit de communication au bénéfice des membres et agents habilités de la Cnil pour le contrôle de l’application du DGA ;

– organise une procédure contradictoire pour la constatation des manquements, avec des possibilités de recours ;

– et prévoit un régime de sanctions comprenant les sanctions prévues par le DGA (perte du label et radiation du registre des organisations altruistes, amendes administratives) ; le montant maximal de l’amende administrative est celui prévu au 4 de l’article 83 du règlement général sur la protection des données (RGPD), soit 10 millions d’euros ou, dans le cas d’une entreprise, 2 % du chiffre d’affaires annuel mondial.

IV.   Les modifications apportÉes par la commission

La commission a adopté le présent article modifié par deux amendements rédactionnels présentés par les rapporteurs (CS612 et CS613).

Article 32
Adaptations de la loi « informatique et libertés » au règlement européen sur les services numériques

Adopté par la commission avec modifications

I.   le droit en vigueur

A.   le Droit européen

Le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (dit RSN, ou DSA en anglais pour Digital Services Act) entrera en vigueur le 17 février 2024.

Il prévoit, aux articles 26 et 28, trois obligations nouvelles, imposées aux fournisseurs de plateforme en ligne, relatives à l’usage de données en matière de ciblage publicitaire :

– une obligation de transparence sur les paramètres de ciblage publicitaire ;

– une interdiction du ciblage publicitaire basé sur des données personnelles sensibles ;

– et une interdiction du ciblage publicitaire à destination des mineurs.

L’article 49 impose aux États membres de désigner une ou plusieurs autorités compétentes pour l’application du règlement.

B.   le Droit interne

Les données à caractère personnel font l’objet d’une protection constitutionnelle au titre du droit au respect à la vie privée, lequel découle de la liberté proclamée comme droit naturel et imprescriptible de l’Homme par l’article 2 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ([167]).

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés –  ci-après désignée « loi informatique et libertés » – définit le régime de protection en droit interne des données à caractère personnel.

Comme cela a été rappelé dans le cadre du commentaire de l’article 31, plusieurs articles de cette loi portent sur la Commission nationale de l’informatique et des libertés (Cnil), autorité administrative indépendante :

– l’article 8 lui confie notamment pour mission de contrôler les traitements de données à caractère personnel ;

– l’article 9 précise que la Cnil est composée de dix-huit membres et comprend une formation restreinte composée d’un président et de cinq autres membres élus par la commission en son sein ;

– l’article 16 lui attribue un pouvoir de sanction à la formation restreinte de la Cnil à l’encontre des responsables de traitements de données, ou de leurs sous-traitants, en cas de manquement à leurs obligations ;

– l’article 19 organise les modalités de contrôle, par les membres et les agents habilités de la Cnil, de la mise en œuvre des traitements de données ; il permet les visites de locaux ; le droit de visite s’exerce après information préalable du procureur de la République ou, si tout ou partie des lieux visités est affecté à un domicile privé, sur autorisation du juge des libertés et de la détention (JLD) ; le responsable des lieux est informé de la visite et dispose d’un droit d’opposition ; lorsqu’il exerce ce droit, la visite suppose l’autorisation du JLD ; la visite des locaux peut, par exception, être réalisée sans information préalable du responsable des lieux lorsque « l’urgence, la gravité à des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents » le justifie, et uniquement avec l’autorisation du JLD ; au cours de la visite, les agents de la Cnil peuvent avoir communication de tous documents nécessaires à l’accomplissement de leur mission ou encore accéder aux programmes informatiques et aux données ;

– les articles 20 et suivants prévoient diverses mesures correctrices et de sanction et définissent le rôle du président de la Cnil en la matière ;

– l’article 22 donne à la formation restreinte de la Cnil le pouvoir de prononcer des mesures de sanction, y compris des amendes, sur la base d’un rapport établi par l’un de ses membres ; elle peut rendre publiques ces mesures et exiger l’information des personnes concernées sur les violations constatées, aux frais de l’auteur du manquement ;

– enfin, l’article 22-1 permet au président de la Cnil d’engager des poursuites selon une procédure simplifiée dans certains cas spécifiques de manquement

II.   le Dispositif proposÉ

● Le présent article modifie la loi « informatique et libertés » pour l’adapter au RSN.

Il complète l’article 8 de la loi « informatique et libertés » pour confier à la Cnil le rôle d’autorité nationale responsable pour la surveillance des fournisseurs de plateformes en ligne au titre de leurs obligations issues du RSN en matière de ciblage publicitaire.

Il modifie les articles 19, 20, 22 et 22-1 de la même loi pour adapter les pouvoirs de la Cnil à cette nouvelle mission.

Il ajoute dans la même loi un nouveau titre intitulé « Dispositions applicables aux fournisseurs de plateformes relevant du règlement (UE) 2022/2065 du 19 octobre 2022 ».

Ce nouveau titre comporte deux articles numérotés 124-4 et 124-5.

L’article 124-4 énonce que le titre inséré s’applique sans préjudice des autres dispositions de la loi « informatique et libertés » et du RGDP.

L’article 124-5 désigne la Cnil en tant qu’autorité compétente pour veiller au respect par les fournisseurs de plateforme en ligne qui ont leur établissement principal en France, ou dont le représentant légal réside en France, des obligations énoncées par le RSN relatives à la transparence des paramètres de ciblage ainsi qu’à l’interdiction du ciblage publicitaire basé sur des données personnelles sensibles ou à destination des mineurs.

Il précise, pour ce faire, que la Cnil dispose des pouvoirs prévus aux articles 19, 20, 22 et 22-1 de la loi « informatique et libertés ».

● Il crée, ce faisant, des pouvoirs d’enquête particuliers, limités à la mise en œuvre du RSN, et un régime spécifique de sanctions.

En premier lieu, il accorde à la Cnil un pouvoir de saisie des documents pertinents ainsi que la possibilité d’entendre les membres du personnel du fournisseur et de ses sous-traitants, en enregistrant leurs réponses avec leur consentement.

En deuxième lieu, le présent article prévoit que le président de la Cnil peut émettre des « avertissements » en cas de soupçon de manquement. Il peut également accepter des engagements de mise en conformité des fournisseurs et les rendre contraignants.

En complément, à défaut de mise en conformité, le président de la Cnil peut saisir la formation restreinte pour prononcer les sanctions suivantes : rappel à l’ordre, injonction de mise en conformité avec astreinte (plafonnée à 5 % des revenus ou du chiffre d’affaires mondial journalier moyen du fournisseur concerné), et amende administrative (plafonnée à 6 % du chiffre d’affaires mondial de l’exercice précédent).

Enfin, le présent article permet au président de la Cnil d’adopter des injonctions à caractère provisoire en cas de manquement aux règles issues du RSN susceptibles de « créer un dommage grave ».

III.   les Modifications apportÉes par le sÉnat

Le Sénat a adopté le présent article modifié par neuf amendements présentés par le rapporteur M. Loïc Hervé lors de l’examen du texte en commission, et par un amendement en séance présenté par le même auteur.

Outre six amendements portant des clarifications rédactionnelles ([168]), la commission a adopté trois amendements.

Un premier amendement a étendu la possibilité donnée à la Cnil d’interroger les personnels des entités contrôlées (COM-148). Cet amendement confère cette prérogative à la Cnil pour le contrôle de l’ensemble de la loi « informatique et libertés », et non pas seulement pour les obligations issues du RSN.

Un deuxième amendement a étendu les modalités de prononcé de la nouvelle injonction à caractère provisoire par la Cnil (COM-154). Cette injonction pourra ainsi être prononcée pour tout manquement susceptible d’être sanctionné par la Cnil, et non pas seulement pour les obligations issues du RSN. Il a également précisé que ces injonctions provisoires pourront s’accompagner d’une astreinte, plafonnée à 10 000 euros par jour.

Un dernier amendement a encadré et étendu le nouveau pouvoir de saisie de la Cnil (COM-147). Il permet de généraliser le nouveau pouvoir de saisie confié à la Cnil afin qu’il puisse s’appliquer pour le contrôle de l’ensemble de la loi « informatique et libertés », et non pas seulement pour les obligations issues du RSN.

Selon le rapport de la commission spéciale du Sénat, « l’harmonisation des pouvoirs d’enquête et de sanction de la Cnil, conforme aux souhaits exprimés par la présidente de la Commission lors de son audition, facilitera l’exercice par ses agents de leurs prérogatives et permettra de disposer d’outils plus performants pour garantir le respect non seulement du RSN, mais aussi des règles nationales, du DGA et du RGPD ».

L’amendement adopté en séance (n° 141), avec avis favorable du Gouvernement, a précisé qu’en cas de saisie de données lors de la visite des locaux, la Cnil doit informer le procureur de la République ou, le cas échéant, le JLD si ce dernier a autorisé la visite. L’un comme l’autre peuvent s’opposer à la saisie.

IV.   Les modifications apportées par la commission

La commission a adopté le présent article modifié par deux amendements, ainsi que par un amendement rédactionnel présenté par les rapporteurs (CS614).

En premier lieu, la commission a adopté un amendement, présenté par Mme Clara Chassaniol (RE) ayant pour objet de réintroduire la possibilité, supprimée par le Sénat, de calculer le montant de l’astreinte journalière que peut imposer l’autorité de contrôle à un fournisseur de plateforme en ligne en fonction de ses revenus (CS827).

En second lieu, la commission a adopté un amendement, présenté par Mme Ségolène Amiot (LFI-NUPES), qui a porté le montant maximal de l’astreinte encourue au montant maximal de l’amende encoure, soit 5 % du chiffre d’affaires mondial hors taxes journalier moyen réalisé par le mis en cause au cours du dernier exercice clos, à compter de la date figurant dans l’injonction (CS470).

Chapitre VIII
Mesures d’adaptation de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises du groupage et de distribution des journaux et publications périodiques

Article 33
Adaptations de la loi du 2 avril 1947 relative au statut des entreprises du groupage et de distribution des journaux et publications périodiques

Adopté par la commission avec modification

1.   Le droit en vigueur

A.   La loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution de journaux et publications périodiques

La loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution de journaux et publications périodiques (« loi Bichet ») organise de façon très spécifique la distribution de la presse en France par rapport aux autres pays de l’Union européenne. Elle pose trois principes fondamentaux régissant l’organisation de la vente au numéro : la liberté de diffuser, le principe de groupage, et l’égalité de traitement entre les éditeurs.

La loi Bichet est une des grandes lois issues des travaux du Conseil national de la Résistance. Son objectif était de créer un cadre de distribution de la presse sans discrimination sur l’ensemble du territoire à une époque où la distribution papier de la presse constituait le principal canal de diffusion de l’information.

La loi n° 2019-1 063 du 18 octobre 2019 relative à la modernisation de la distribution de la presse distingue trois catégories de presses pour l’accès au réseau de distribution ([169]) :

– la presse d’information politique et générale (dite IPG), qui dispose d’un droit à être distribuée dans tout le réseau de vente, sans que le diffuseur puisse s’y opposer ;

– les publications enregistrées sur les registres de la commission paritaire des publications et agences de presse (CPPAP), qui sont distribuées dans le cadre de règles d’assortiment définies par les acteurs de la filière presse ;

– les magazines ne justifiant pas de numéro d’enregistrement CPPAP, qui voient leur accès au réseau de distribution soumis à un dialogue commercial entre les sociétés de distribution (les messageries de presse) et les points de vente.

Les éditeurs de presse bénéficient d’un système d’aides publiques au numéro porté par ces messageries de presse.

B.   L’article 15 de la loi Bichet issu de la lOI n° 2019-1 063 du 18 octobre 2019 relative à la modernisation de la distribution de la presse

● Les kiosques numériques

Le I de l’article 15 de la loi Bichet, dans sa rédaction issue de la loi n° 2019‑1063 du 18 octobre 2019 relative à la modernisation de la distribution de la presse, prévoit une application aux kiosques numériques des grands principes qui ne s’appliquaient jusqu’alors qu’aux seuls kiosques physiques.

Dès lors qu’ils n’ont pas vocation à diffuser les titres d’un seul éditeur et qu’ils diffusent déjà au moins un titre de presse IPG, les kiosques numériques sont tenus de diffuser tous les titres de presse IPG qui en feraient la demande. Les éditeurs demeurent libres de ne pas être diffusés par ce biais mais, s’ils le souhaitent, ils peuvent accéder à ces services à des conditions techniques et financières raisonnables.

Les kiosques numériques y sont par ailleurs définis juridiquement comme étant « les personnes qui proposent, à titre professionnel, un service de communication au public en ligne assurant la diffusion numérique groupée de services de presse en ligne ou de versions numérisées de journaux ou publications périodiques ». Tous les kiosques numériques ne sont donc pas concernés par cette même loi.

● Les agrégateurs de presse en ligne

Le II de l’article 15 de la loi Bichet impose des obligations de transparence renforcées aux agrégateurs d’informations en ligne à propos de leurs choix de classement et de référencement des contenus extraits de publications de presse IPG. Les agrégateurs sont ainsi soumis à des obligations d’information des internautes de façon loyale, claire et transparente :

– sur les conditions d’utilisation du service proposé et les modalités de référencement et de déréférencement des contenus ; sur l’existence d’une relation contractuelle, d’un lien capitalistique ou d’une rémunération à son profit, dès lors qu’ils influencent le classement ou le référencement des contenus ; sur la qualité de l’annonceur et les droits et obligations des parties (mentions prévues au II de l’article L. 111-7 du code de la consommation) ;

–  et sur l’utilisation qui est faite de leurs données personnelles dans le cadre du traitement algorithmique des contenus proposés à chacun.

Les agrégateurs établissent chaque année des éléments statistiques – qu’ils rendent publics –  relatifs aux titres, aux éditeurs et au nombre de consultations de ces contenus.

II.   Le dispositif proposé

Le présent article 33 modifie le II de l’article 15 de la loi n° 47‑585 du 2 avril 1947 précitée.

Le I de l’article L. 111-7 du code de la consommation est abrogé par l’article 26 du présent projet de loi. En conséquence, le 1° du présent article 33 modifie le premier alinéa du II de l’article de l’article 15 de la loi n° 47-585 du 2 avril 1947 précitée afin de substituer à la référence aux « opérateurs de plateformes en ligne mentionnés au I de l’article L. 111-7 du code de la consommation », la référence aux « personnes physiques ou morales proposant, à titre professionnel, un service de communication au public en ligne ». Contrairement aux autres articles du présent projet de loi qui comportent des substitutions terminologiques afin de couvrir les « services de plateformes en ligne » définis à l’article 3 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (RSN), le présent article 33 ne peut définir les agrégateurs comme des plateformes en ligne dès lors que ces agrégateurs participent à la diffusion de contenus mais sans assurer leur stockage.

Le 2° du présent article 33 complète la définition de l’agrégateur de presse afin de préciser que son fonctionnement repose sur le classement ou le référencement «au moyen d’algorithmes informatiques » de publications de presse (leur champ étant inchangé).

L’abrogation du I de l’article 111-7 du code de la consommation conduit par ailleurs à modifier la référence à ce même I au second alinéa du II de l’article 15 (3° du présent article 33).

L’article L. 111-7-1 du code de la consommation est abrogé par l’article 26 du présent projet de loi. En conséquence, au 4° du présent article 33, la référence à cet article au second alinéa du II de l’article 15 de la loi Bichet, qui désigne l’autorité compétente pour son application, est remplacée par la référence à l’article L. 522-1 du code de la consommation, qui mentionne explicitement l’autorité administrative chargée de la concurrence et de la consommation.

III.   Les modifications apportées par le Sénat

L’article 33 du projet de loi a été adopté sans modification par le Sénat.

IV.   Les modifications apportÉes par la commission

La commission spéciale a adopté l’article 33 modifié par un amendement rédactionnel du rapporteur général.

Chapitre IX
Mesures d’adaptation de la loi n° 2017-261 du 1er mars 2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique et du code pénal

Article 34
Adaptations de la loi du 1er mars 2017 visant à préserver l’éthique du sport, du code de la propriété intellectuelle, de la loi du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles et du code pénal

Adopté par la commission avec modification

1.   Le droit en vigueur

Le présent article procède à plusieurs coordinations juridiques afin de tenir compte, d’une part, de l’adoption du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (ci-après « RSN ») et, d’autre part, des modifications du droit national opérées par les articles 22 et 26 du présent projet de loi (voir leurs commentaires supra).

L’article 22 du présent projet de loi réécrit l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « LCEN ») afin de l’adapter au champ et aux définitions du RSN.

L’article 26 du présent projet de loi abroge le I de l’article L. 111-7 du code de la consommation qui définit les opérateurs de plateforme en ligne. La définition des « plateformes en ligne » mentionnée à l’article 3 du RSN est insérée à l’article liminaire du code de la consommation.

Par ailleurs, l’article 28 du présent projet de loi procédant à plusieurs modifications terminologiques, son commentaire (voir supra) fournit les définitions des « fournisseurs de plateformes en ligne », des « moteurs de recherche » et des « plateformes de partage de vidéo », qui couvrent actuellement, dans le droit national, le champ des « opérateurs de plateformes en ligne ».

● L’article 24 de la loi n° 2017-261 du 1er mars 2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs (ci-après «  loi visant à préserver l’éthique du sport ») prévoit que les détenteurs de droits d’exploitation sur des contenus audiovisuels, parmi lesquels peuvent figurer les opérateurs de plateformes en ligne définis à l’article L. 111-7 du code de la consommation, peuvent conclure un ou plusieurs accords relatifs aux mesures et bonnes pratiques qu’ils s’engagent à mettre en œuvre en vue de lutter contre la promotion, l’accès et la mise à la disposition au public en ligne, sans droit ni autorisation – en substance, le piratage –, de contenus audiovisuels dont les droits d’exploitation ont fait l’objet d’une cession.

● L’article L. 137-2 du code de la propriété intellectuelle précise les modalités d’exploitation d’œuvres par les fournisseurs de services de partage de contenus en ligne.

● L’article L. 219-2 du même code comprend des dispositions relatives à l’exploitation des objets protégés par un droit voisin par les fournisseurs de services de partage de contenus en ligne.

● L’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique permet aux autorités administratives indépendantes et aux autorités publiques indépendantes qui interviennent dans la régulation des opérateurs de plateformes en ligne définis à l’article L. 111-7 du code de la consommation de recourir, dans le cadre de conventions, à l’expertise et à l’appui d’un service administratif de l’État désigné par décret en Conseil d’État, le pôle d’expertise de la régulation numérique (PEReN).

● L’article 323-3-2 du code pénal permet de sanctionner un opérateur de plateforme en ligne mentionné à l’article L. 111-7 du code de la consommation qui permettrait des transactions manifestement illicites en restreignant l’accès à sa plateforme en ligne aux personnes utilisant des techniques d’anonymisation des connexions ou en ne respectant pas ses obligations en matière de signalement – par ses utilisateurs – de contenus illicites.

II.   Le dispositif proposé

● Le I du présent article 34 modifie l’article 24 de la loi n° 2017-261du 1er mars 2017 loi visant à préserver l’éthique du sport afin de :

– remplacer la référence aux « opérateurs de plateforme en ligne » par une référence aux « services de plateforme en ligne » au sens du RSN, aux « moteurs de recherche » au sens de ce même règlement et aux « plateformes de partage de vidéos » au sens de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (1°) ;

– remplacer l’expression « éditeurs de services » par celle de « personnes dont l’activité consiste à éditer un service », afin d’adapter la rédaction de cet article à celle de l’article 1-1 de la LCEN, créé par l’article 23 du présent projet de loi (2°).

– supprimer la mention du III de l’article 6 de la LCEN (3°) et modifier la seconde occurrence de la mention de cet article 6 (4°) ;

● De même le IV du présent article 34 substitue, à l’article 323-3-2 du code pénal, la référence faite aux « opérateurs de plateforme en ligne » par une référence aux « services de plateforme en ligne » au sens du RSN.

● De façon similaire au II de l’article L. 137-2 et au II de l’article L. 219-2 du code de la propriété intellectuelle, le II du présent article 34 remplace la référence au régime de responsabilité limitée des services d’hébergement prévue par l’article 6 de la LCEN par une référence aux dispositions du RSN.

●  Au I de l’article 36 de la loi n° 2021‑1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, le III du présent article 34 remplace la référence faite aux « opérateurs de plateforme en ligne » par une référence à « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non un service de plateforme essentiel tel que défini à l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) ou un service de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d’algorithmes informatiques ».

 

III.   Les modifications apportées par le Sénat

L’article 34 du projet de loi a été adopté avec modifications par le Sénat.

En commission spéciale, un amendement ([170]) du sénateur Julien Bargeton a inséré un II bis modifiant l’article L. 131-4 du code de la propriété intellectuelle s’agissant des modalités de rémunération des auteurs cédant leurs droits exclusifs pour l’exploitation de leurs œuvres. Alors que, dans sa rédaction actuelle, cet article prévoit au profit de ceux-ci une « participation » proportionnelle aux recettes provenant de la vente ou de l’exploitation, l’amendement y substitue la notion de « rémunération appropriée ». Cette modification s’inscrit dans le prolongement de la directive 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique qui a créé un droit voisin du droit d’auteur pour les journalistes et les autres auteurs des œuvres présentes dans les publications de presse. L’article L. 218-5 du code de la propriété intellectuelle prévoit ainsi que ces auteurs ont « droit à une part appropriée et équitable de la rémunération » perçue par les éditeurs et des agences de presse au titre du droit voisin.

IV.   Les modifications apportÉes par la commission

La commission spéciale a adopté l’article 34 modifié par un amendement rédactionnel du rapporteur général.

Chapitre X
Dispositions transitoires et finales

Article 35
Habilitation à légiférer par ordonnance pour l’application dans les territoires ultramarins du projet de loi et de plusieurs règlements européens

Adopté par la commission sans modification

I.   Le dispositif proposÉ

Le I du présent article habilite le Gouvernement, pour une durée d’une année, à prendre les mesures relevant du domaine de la loi en vue de l’application dans certains territoires ultramarins ([171]) du présent projet de loi et des trois règlements européens suivants :

– règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance des données (RGD) ;

– règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique (RMN) ;

– et règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (RSN).

Les territoires ultramarins mentionnés sont ceux relevant de l’article 74 de la Constitution ainsi que la Nouvelle-Calédonie, territoires pour lesquels le principe de « spécialité législative » prévaut. En vertu de ce principe, les statuts de ces différentes collectivités fixent notamment les conditions dans lesquelles les lois et règlements sont applicables.

Le II du présent article prévoit que le projet de loi de ratification devra être déposé devant le Parlement dans un délai de trois mois à compter de la publication de l’ordonnance.

Dans son avis, le Conseil d’État a indiqué que ces dispositions n’appelaient pas d’observations particulières de sa part (point n° 71).

II.   Les modifications apportÉes par le Sénat

Le Sénat a adopté le présent article modifié par un amendement présenté en commission par le rapporteur Loïc Hervé qui a réduit d’un an à six mois le délai d’habilitation (COM-155).

III.   Les modifications apportÉes par la commission

La commission a adopté le présent article sans modification.

Article 36
Dispositions d’entrée en vigueur

Adopté par la commission avec modifications

I.   le Dispositif proposé

Le présent article reporte ou aménage l’entrée en vigueur de certaines dispositions du présent projet de loi. Il comprend sept divisions.

Le I porte sur l’article 2 qui transforme la procédure judiciaire de blocage des contenus pornographiques accessibles aux mineurs en procédure administrative. Il dispose que cet article entre en vigueur au 1er janvier 2024, sauf pour les procédures déjà engagées au 31 décembre 2023 qui demeurent régies par la procédure judiciaire de blocage, y compris si les décisions sont rendues après le 1er janvier 2024.

Le II est le III aménagent l’entrée en vigueur de plusieurs dispositions pour l’aligner sur l’entrée en vigueur des dispositions correspondantes du futur règlement européen sur les données.

Le II prévoit ainsi que la suppression des frais liés à un changement de fournisseur de service d’informatique en nuage, prévue à l’article 7, s’applique jusqu’au 15 février 2027. Le Gouvernement anticipe en effet qu’à compter de cette date la disposition correspondante du futur règlement européen sur les données sera en vigueur.

Le III dispose que les articles 8, 9 et 10, relatifs à l’interopérabilité des services d’informatique en nuage, s’appliquent jusqu’au 15 février 2026 c’est-à-dire, comme le précise l’étude d’impact annexée au présent projet de loi, jusqu’à « la date d’entrée en application anticipée des mesures portant sur le même objet prévues par le règlement 2022/0047 (COD) du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données ».

Le IV reporte l’entrée en vigueur des articles 11 et 31 au 24 septembre 2023 pour l’aligner sur celle du règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (DGA).

Le V reporte l’entrée en vigueur de plusieurs dispositions au 17 février 2024 pour l’aligner sur celles des dispositions correspondantes du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques, dit RSN ou DSA (pour partie le C du III de l’article 22, les articles 23, 24, 25 à l’exception de ses I, II et III, l’article 26, l’article 28 à l’exception de son II et les articles 29, 30, 31, 32, 34, 35, 36).

Il convient de souligner que, s’agissant de l’article 31, le IV et le V du présent article sont incompatibles en ce qu’ils prévoient des dates différentes d’entrée en vigueur.

Le VI dispose que le régime de responsabilité des services d’hébergement, défini au C du III de l’article 22, s’applique jusqu’au 17 février 2024, ce qui a pour effet de permettre une entrée en vigueur anticipée de ce régime de responsabilité relevant du RSN.

Enfin, le VII porte sur l’article 17 relatif à la centralisation des données de location de meublés de tourisme. Il dispose que l’article 17, entre en vigueur à une date fixée par décret. Ce report est justifié dans l’étude d’impact pour tenir compte des délais de développement informatique.

Aménagements de l’entrée en vigueur des dispositions du projet de loi (projet de loi initial)

Dispositions	Aménagements
Article 2	Entrée en vigueur reportée au 1er février 2024 sauf pour les procédures en cours.
III de l’article L. 442-12 du code de commerce, dans sa rédaction résultant de l’article 7	S’applique jusqu’au 15 février 2027.
Articles 8, 9 et 10	S’appliquent jusqu’au 15 février 2026.
Articles 11 et 31	Entrée en vigueur reportée au 24 septembre 2023.
Pour partie le C du III de l’article 22, les articles 23, 24, 25 à l’exception de ses I, II et III, l’article 26, l’article 28 à l’exception de son II et les articles 29, 30, 31, 32, 34, 35, 36	Entrée en vigueur reportée au 17 février 2024.
Pour partie le C du III de l’article 22	S’applique jusqu’au 17 février 2027.
Article 17	Entrée en vigueur reportée à une date fixée par décret et, au plus tard, douze mois à compter de la publication de la loi.

Source : commission spéciale.

Dans son avis, le Conseil d’État a estimé que ces dispositions n’appelaient pas d’observations particulières de sa part (point n° 71).

II.   les Modifications apportées par le sénat

Le Sénat a adopté le présent article modifié par trois amendements.

Un premier amendement, présenté en commission par le rapporteur M. Patrick Chaize, a prévu que la suppression des frais liés à un changement de fournisseur de service d’informatique en nuage, prévue à l’article 7, s’applique jusqu’à trois ans à compter de la date d’entrée en vigueur du règlement européen sur les données. Autrement dit, il a prévu une « date glissante » plutôt qu’une date fixe afin de parer à l’éventualité d’une adoption retardée du règlement européen sur les données (COM-156).

Un deuxième amendement, présenté par Mme Nathalie Delattre (Rassemblement démocratique social et européen) lors de l’examen du texte par la commission, a supprimé l’entrée en vigueur anticipée du régime de responsabilité des services d’hébergement, défini au C du III de l’article 22 (COM-69 rect.). Cet amendement a été modifié par un sous-amendement de coordination de M. Patrick Chaize, rapporteur (COM-164), qui a supprimé la mention redondante de l’article 31 au V du présent article.

Enfin, un troisième amendement, présenté en séance par le rapporteur M. Patrick Chaize au nom de la commission, a procédé à diverses coordinations juridiques (n° 142). Il a fait l’objet d’un avis défavorable du Gouvernement. Cet avis défavorable s’explique par le fait que le Gouvernement a présenté un amendement concurrent, qui n’a pas été adopté, tendant à revenir sur la modification des délais d’application de la suppression des frais liés à un changement de fournisseur de service d’informatique en nuage.

Aménagements de l’entrée en vigueur des dispositions du projet de loi (projet de loi adopté par le Sénat)

Dispositions	Aménagements
Article 2	Entrée en vigueur reportée au 1er février 2024 sauf pour les procédures en cours.
III de l’article L. 442-12 du code de commerce, dans sa rédaction résultant de l’article 7	S’applique jusqu’à trois ans à compter de la date d’entrée en vigueur de la proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) – COM (2022) 68 final.
Articles 8, 9 et 10	S’appliquent jusqu’au 15 février 2026.
Articles 11 et 31	Entrée en vigueur reportée au 24 septembre 2023.
5° de l’article 22, les articles 23, 24, 25 à l’exception de ses 1°, 2° et 3°, l’article 26, l’article 28 à l’exception de son II et les articles 29, 30, 32, 34	Entrée en vigueur reportée au 17 février 2024.
Article 17	Entrée en vigueur reportée à une date fixée par décret et, au plus tard, douze mois à compter de la publication de la loi.

Source : commission spéciale.

III.   Les modifications apportÉes par la commission

La commission a adopté le présent article modifié par deux amendements.

Le premier amendement, présenté par les rapporteurs, conduit à reporter d’une année l’entrée en vigueur du dispositif résultant de l’article 2 bis s’agissant des mesures de blocage des applications logicielles permettant d’accéder aux services de réseaux sociaux (CS838).

Le second amendement, également présenté par les rapporteurs, a pour effet de reporter au 1er janvier 2025 l’entrée en vigueur de l’obligation, mise à la charge de l’autorité administrative, de publier la liste des sites concernés par le filtre « anti-arnaque » instauré à l’article 6 (CS954).