Loi SREN : Les 10 principales mesures

La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été définitivement adoptée le 10 avril 2024 par l’Assemblée nationale[1].

Cette loi permet de « transposer » dans notre droit les règlements européens DSA[2], DMA[3], et DGA[4], et de mieux lutter contre les infractions en ligne.

Tour d’horizon des 10 principales mesures adoptées :

1/La vérification d’âge pour les sites pornographiques et les réseaux sociaux

Les éditeurs et les plateformes de partage de vidéos en ligne diffusant des contenus pornographiques doivent mettre en place un dispositif technique empêchant l’accès des mineurs[5].

Ce dispositif doit être établi par l’ARCOM sous la forme d’un référentiel. A défaut de le respecter, les éditeurs et plateformes pourront être sanctionnés pécuniairement. L’ARCOM pourra également ordonner le blocage de leur contenu par les fournisseurs d’accès, et leur déréférencement par les moteurs.

Afin de protéger les mineurs, l’ARCOM pourra en outre empêcher le téléchargement des applications permettant l’accès à un contenu pornographique[6].

L’ARCOM pourra enfin empêcher le téléchargement des applications permettant l’accès aux réseaux sociaux qui ne respecteraient pas le référentiel de vérification d’âge, et ce quel que soit le contenu[7].

2/La suppression des contenus pédopornographiques sous 24 h

La LSREN, toujours dans cet objectif de protection des mineurs en ligne, insère dans la LCEN une pénalisation du défaut de retrait de contenu pédopornographique[8].

Si un hébergeur reçoit une telle demande de retrait par une autorité administrative, il devra s’exécuter sous 24 h. A défaut, il encourt une peine d’un an d’emprisonnement et de 250 000 euros d’amende.

3/L’identité numérique

La loi SREN fixe comme objectif à l’Etat, de donner accès à l’identité numérique gratuite à 100 % des Français d’ici 2027[9].

Le texte prévoit la mise en place par l’Etat d’un service uniformisé permettant l’accès à l’ensemble des services publics nationaux et locaux grâce notamment à une « identité numérique régalienne ».

4/La peine de bannissement

La LSREN prévoit une nouvelle peine complémentaire de bannissement insérée à l’article 131-35-1 du Code pénal[10]. Cette peine a pour objet de permettre au tribunal d’ordonner la suspension des comptes d’accès aux plateformes ayant permis l’infraction.

Parmi les infractions visées, on retrouve notamment celles relatives au harcèlement, à l’atteinte à la vie privée, au deepfake, à la diffamation et à l’injure aggravée, à la provocation etc…

La suspension est prononcée pour une durée maximale de six mois laquelle est portée à un an en cas de récidive. Il appartiendra alors à la plateforme de procéder au blocage des comptes, sous peine d’une amende pouvant allant jusqu’à 75 000 euros.

5/Les infractions de deepfake

La loi SREN modifie l’infraction de montage prévue à l’article 226-8 du Code pénal afin de l’adapter au deepfake[11]. Les peines sont aggravées, à hauteur de deux ans d’emprisonnement et 45 000€ d’amende si l’infraction est réalisée en utilisant un service de communication en ligne.

La loi SREN crée en outre une infraction de deepfake à caractère sexuel, réprimée d’une peine de deux ans d’emprisonnement et 60 000€ d’amende (226-8-1 du Code pénal)[12]. Lorsque l’infraction est commise en ligne, la peine encourue est de trois ans d’emprisonnement et 75 000 euros d’amende.

6/Le délit d’outrage en ligne

La loi SREN crée un « délit d’outrage en ligne » (article 222-33-1-2 du Code pénal)[13].

Cette nouvelle infraction vise à sanctionner le fait de diffuser en ligne, tout contenu qui « soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit créé à son encontre une situation intimidante, hostile ou offensante. ».

La peine prévue s’élève à un an d’emprisonnement et 3 750 euros d’amende. En cas de circonstance aggravante, elle est de 1 an de prison et 75 000 euros d’amende. La loi prévoit comme peines complémentaires possibles : la peine de stage ou de blocage de compte. Cette infraction peut également faire l’objet d’une amende forfaitaire allant de 250 à 600 euros.

7/Le filtre anti-arnaque

La loi SREN prévoit un filtre anti-arnaque[14] pour les sites qui sont manifestement conçus pour obtenir frauduleusement les données d’une personne ou pour soutirer de l’argent au moyen d’une infraction[15].

L’autorité administrative informée de l’existence d’un tel site met en demeure son éditeur de cesser l’infraction, et notifie son adresse électronique aux fournisseurs de navigateurs internet.

Ces derniers devront alors, sans délai, afficher à l’adresse du site litigieux un message avertissant l’utilisateur du risque encouru. Si le site litigieux n’a pas de mentions légales, il pourra faire l’objet d’un blocage.

8/ La règlementation de l’informatique en nuage (le Cloud)

La loi SREN consacre un chapitre entier visant à réguler le marché de l’informatique en nuage[16].

Cette régulation vise à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (cloud), vis-à-vis des géants du numérique (notamment Microsoft, Google ou encore Amazon) qui s’imposent actuellement largement sur ce marché.

Il est notamment prévu à la charge de ces fournisseurs une limitation des frais de transfert de données et de changement de fournisseur, ainsi qu’une obligation d’information de leurs clients. La loi prévoit également une obligation d’interopérabilité des services cloud.

9/La règlementation des JONUM

La loi SREN règlemente les jeux à objets numériques monétisables[17].

Il s’agit de jeux de hasard en ligne permettant de gagner, moyennant contrepartie financière, des éléments de jeu monétisables.

Ils ne pourront être autorisés par l’Autorité nationale des jeux que sous certaines conditions : joueurs majeurs, plafonnement des récompenses, prévention de la dépendance, des activités frauduleuses et criminelles.

10/La souveraineté numérique

La loi SREN a pour objectif de renforcer la souveraineté numérique de l’Etat Français et des hébergeurs de donnée de santé vis-à-vis des législations des Etats tiers à l’Union européenne.

Elle fixe des obligations pour les administrations d’Etat et leurs opérateurs qui recourent pour le traitement de leurs « données d’une sensibilité particulière » à un prestataire privé fournissant un service d’informatique en nuage (cloud)[18].

S’il existe notamment un risque d’ordre public, ces administrations doivent veiller à ce que le prestataire mette en œuvre des critères de sécurité garantissant la protection des données contre tout accès non autorisé par des autorités d’Etats tiers à l’Union européenne.

La loi renforce en outre la règlementation de l’activité d’hébergement de donnée de santé en étendant l’obligation de certification à l’archivage électronique[19]. Elle prévoit enfin une meilleure protection des données de santé contre le risque d’accès non autorisé par des Etats tiers à l’Union européenne ou à l’Espace économique européen.

Arnaud DIMEGLIO,

Avocat à la Cour, Docteur en droit, Titulaire des mentions de spécialisation en droit du numérique, de la communication, et de la propriété intellectuelle.

Bureau principal : 8 place St. Côme, 34000 Montpellier,

Bureau secondaire : 10 avenue de l’Opéra, 75001 Paris,

Tel : 04.99.61.04.69, Fax : 04.99.61.08.26

http://www.dimeglio-avocat.com

[1] https://www.assemblee-nationale.fr/dyn/16/textes/l16t0286_texte-adopte-provisoire.pdf

[2] Règlement « Data Service Act » sur les services numériques ; https://www.village-justice.com/articles/reglement-dsa-quels-benefices-risques,47132.html ; Règlement DSA : Quels bénéfices/risques ?

[3] Règlement « Digital Market Act » sur les marchés numériques ; https://dimeglio-avocat.com/2024/03/06/reglements-dsa-dma-cest-parti/

[4] Règlement « Data Governance Act » sur la gouvernance des données ; Règlement DGA & DATA Act

[5] Article 1 et 2 de la loi

[6] Article 3 de la loi

[7] Article 3 de la loi

[8] Article 4 de la loi