Loi SREN : renforcement des pouvoirs de l’ARCOM et de la CNIL au service de la protection des internautes

Généralités. La structure de la loi SREN témoigne de la pluralité de ses objectifs : protection des mineurs en ligne et des citoyens, renforcer la confiance et la concurrence dans l’économie de la donnée ou encore renforcer la gouvernance de la régulation du numérique.

À titre non exhaustif, quelques mesures peuvent être citées. Les services de cloud sont encadrés puisque des normes sont imposées aux fournisseurs pour protéger les données hébergées ; des règles sont fixées en matière de locations touristiques grâce à la création d’un intermédiaire entre les plateformes en ligne et les communes chargées de faire respecter la réglementation, sur les jeux à objets numériques monétisables au regard du risque d’addiction ou encore contre la désinformation par des médias étrangers, ce qui apparaît très à propos notamment au regard de la Russie et de ses constantes ingérences en Europe et aux États-Unis, en particulier à l’occasion d’élections.

Les sanctions pénales encourues en cas de propos haineux, cyberharcèlement, pédopornographie et autres infractions graves sont renforcées grâce à la possibilité conférée au juge pénal, par l’article 131-35-1, I, du code pénal, de prononcer une peine complémentaire de bannissement des réseaux sociaux pour six mois, voire un an en cas de récidive, pour un certain nombre d’infractions exhaustivement listées. L’article 226-8 du code pénal est modifié pour viser spécifiquement les deepfakes par la mention d’un « contenu visuel ou sonore généré par un traitement algorithmique ». Les sanctions à l’égard des deepfakes sont également plus sévères lorsque ceux-ci présentent un caractère sexuel, grâce à l’article 226-8-1. Enfin, l’absence de retrait immédiat des contenus pédopornographiques dans les vingt-quatre heures suivant la demande en ce sens de l’ARCOM est pénalisée plus sévèrement par l’article 6-1-1.-I. de la loi du 21 juin 2004 (1 an d’emprisonnement et 250 000 € d’amende). Le retrait des contenus montrant de la torture ou des actes de barbarie peut également être exigé par l’autorité, « à titre expérimental, pour une durée de deux ans », les hébergeurs et fournisseurs de contenus pouvant recourir au juge administratif pour contester une telle demande, conformément à l’article 5 de la loi SREN.

S’agissant de l’adaptation du règlement relatif aux marchés numériques, dont l’objectif est de lutter contre les pratiques anticoncurrentielles des GAFAM et rééquilibrer leur place sur le marché européen au regard de leur domination actuelle, la loi SREN opère un certain nombre de changements importants grâce notamment à de nouvelles obligations mises à la charge des entreprises et responsables de services d’informatique.

Enfin, le délit d’outrage public créé a été censuré par le Conseil constitutionnel qui a estimé, à juste titre, qu’il portait une atteinte à la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée (Cons. const. 17 mai 2014, n° 2024-866 DC, consid. 69 et s., spéc. 79-80, Loi visant à sécuriser et à réguler l’espace numérique, AJDA 2024. 1048 ; D. 2024. 965, et les obs. ; Légipresse 2024. 273 et les obs. ), notamment en ce que sa caractérisation relevait d’une approche trop subjective de la part de la victime, ce qui fait « peser une incertitude sur la licéité des comportements réprimés » (ibid., consid. 78).

Pouvoirs de l’ARCOM et de la CNIL. En-dehors de ces généralités, la loi SREN se démarque par l’ampleur des pouvoirs conférés aux autorités nationales indépendantes. L’ARCOM (ex-CSA) constitue une autorité publique indépendante (API) tandis que la CNIL, instituée par la loi Informatique et libertés du 6 janvier 1978, est une autorité administrative indépendante (AAI) – la loi SREN confirme et renforce d’ailleurs cette qualité grâce à une modification de l’article 8 de la loi Informatique et libertés. La différence entre les deux réside dans le fait que la première dispose de la personnalité juridique contrairement à la seconde (Rép. dr. pén., v° Autorités administratives indépendantes, par A. Cappello, n° 7), mais elles sont toutes deux chargées de réguler des secteurs. En ce sens, la loi leur attribue un certain nombre de pouvoirs (ibid., n° 2 ; RGPD, art. 58, s’agissant de la CNIL en tant qu’autorité de contrôle), lesquels sont renforcés par la loi SREN (v. déjà à ce propos, J. Schwartz et R. Schlich, Loi SREN : de nouveaux pouvoirs pour la CNIL, Cah. dr. entr. 2024. 15) afin de protéger les individus dans l’espace numérique.

Protection des mineurs en ligne

La loi SREN renforce la protection des mineurs en ligne contre l’accès à des contenus pornographiques (v. sur cette question, H. Fulchiron [dir.], Le contrôle de l’accès à la pornographie en ligne, Dr. fam. 2023. 15), lutte poursuivie ardemment par le gouvernement depuis le début de l’année 2023 suite à un rapport parlementaire portant sur « L’enfer du décor » de la pornographie et à un autre de l’ARCOM sur La fréquentation des sites « adultes » par les mineurs (v. à ce propos, M. Musson, Le blocage de l’accès aux sites pornographiques demandé directement aux fournisseurs d’accès à internet, obs. ss. Civ. 1^re, 18 oct. 2023, n° 22-18.926, D. 2024. 100 , note L. Plantinet ; JA 2023, n° 688, p. 10, obs. X. Delpech ; Légipresse 2023. 588 et les obs. ; ibid....