Article réservé aux abonnés Archimag.com

Loi SREN : de la confiance à la sécurité

Le

  • loi-sren-confiance-securite.jpg

    La loi SREN vise à renforcer la transparence, à sanctionner les manquements à la sécurité des données, et à lutter contre la fraude en ligne, tout en introduisant des obligations spécifiques pour les acteurs du numérique (Freepik).
    • La loi pour la sécurisation et la régulation de l’espace numérique, ou loi SREN, promulguée le 21 mai 2024 (Loi n° 2024-449), couvre un périmètre large susceptible d’intéresser tant les particuliers que les professionnels œuvrant dans le secteur du numérique. 

    enlightenedRETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION
    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Le législateur français a dû veiller à ne pas se placer en contradiction avec le Règlement sur les services numériques ou DSA (Le Digital Services Act vise à encadrer la mise en ligne de contenus et de produits illicites et à protéger les utilisateurs. Il est entré en application le 25 août 2023 pour les très grandes plateformes et le 17 février 2024 pour toutes les plateformes numériques.), ni avec son objectif d'harmonisation  du marché numérique européen.

    La loi SREN intervient dans des domaines également couverts par le Digital Services Act (DSA), qui encadre les services numériques, le Digital Market Act (DMA), ou règlement sur les marchés numériques, qui régule les grandes plateformes numériques appelées « contrôleurs d’accès » (en application depuis le 6 mars 2024), et le Data Governance Act (DGA), ou règlement sur la gouvernance des données, qui complète le RGPD. Ce dernier incite les entreprises européennes à valoriser économiquement les données dont elles font l’usage, sous le contrôle des citoyens européens(en vigueur depuis le 24 septembre 2023).

    La loi SREN poursuit deux objectifs principaux : nettoyer l’espace numérique et encadrer de nouvelles pratiques numériques commerciales.

    Lire aussi : Digital Services Act : Le règlement européen entre en vigueur pour 19 acteurs du web

    1. Assainir l'espace numérique

    La loi SREN a pour objectif ambitieux de contenir les pratiques dangereuses qui ont émergé avec le numérique et qui ont souvent été encouragées par ce dernier. Elle confirme ainsi le changement de paradigme, faisant des fournisseurs de plateformes, acteurs privés, les relais malheureusement nécessaires pour une véritable effectivité dans la lutte contre les comportements répréhensibles en ligne.

    À cette fin, plusieurs dispositions viennent directement toucher les acteurs prenant part à la diffusion de contenus sur internet (éditeur, hébergeur, fournisseur d'accès)   :

    • contenus pornographiques : il est prévu un encadrement plus strict de la diffusion de contenus pornographiques en ligne. Les éditeurs de site devront en effet mettre en place des mesures concrètes permettant de s'assurer de l'âge des visiteurs, d'après un référentiel élaboré par l'Arcom. En cas de violation, cette autorité pourra prononcer une sanction pécuniaire à l'encontre de l'éditeur, voire demander le blocage ou le déréférencement du site après l'envoi d'observations restées sans réponse suivi d'une mise en demeure. Les producteurs de contenus pornographiques simulant une agression sexuelle, un viol ou encore de la pédopornographie devront également afficher, préalablement et tout au long de la diffusion desdits contenus, un message d'avertissement rappelant l'illégalité des actes représentés ;
    • actes de torture ou de barbarie : les pouvoirs étendus accordés à l'Arcom lui permettront par ailleurs de lutter contre la diffusion de contenus présentant des actes de torture ou de barbarie en ordonnant leur retrait, leur blocage ou leur déréférencement ;
    • désinformation : la loi SREN arme également l'Arcom dans sa lutte contre la désinformation en lui permettant d'enjoindre aux opérateurs de mettre  fin à la diffusion sur internet d'un média étranger soumis à des sanctions européennes sous peine de bloquer le site ou de prononcer à leur encontre une amende pouvant aller jusqu'à 4 % du chiffre d'affaires ou 250 000 euros ;
    • deepfakes : la loi SREN concerne les particuliers en inscrivant l'intelligence artificielle dans le Code pénal. La loi encadre ainsi, sous le même régime  que celui des montages non consentis publiés, la pratique visant à diffuser des contenus générés par traitement algorithmique reproduisant « l'image ou les paroles » d'une personne sans son consentement, pénalisant ainsi les deepfakes à hauteur d'un an emprisonnement et de 15 000 euros d'amende. Plus encore, l'auteur d'une telle infraction encourt désormais une peine de deux ans d'emprisonnement et 60 000 euros d'amende lorsque le deepfake a un caractère sexuel ;
    • infractions graves : enfin, une nouvelle peine complémentaire de suspension des réseaux sociaux, allant de 6 mois à un an en cas de récidive, est prévue, notamment en matière de cyberharcèlement, haine en ligne, pédopornographie, proxénétisme et autres infractions graves.

    À noter toutefois que la volonté des parlementaires d'inscrire un nouveau délit d'outrage en ligne dans le Code pénal n'a pas, sans surprise, été retenue. Le Conseil constitutionnel a en effet censuré, dans sa décision du 17 mai 2024, cette disposition à l'aune de la liberté d'expression et de communication, estimant qu'elle était susceptible d'entrer dans le champ d'autres délits déjà couverts par loi de 1881 (diffamation et injure) ou par le Code pénal (violences, harcèlement, atteinte à la vie privée) et que son incrimination ne comportait, à défaut d'éléments matériels tangibles, qu'une caractérisation subjective soumise à la seule appréciation de la potentielle victime. 

    Lire aussi : IA et deepfake : une solution de visioconférence qui vérifie l'identité des interlocuteurs vient d'être lancée

    2. Encadrer largement de nouvelles pratiques numériques commerciales

    Sont concernés par ces nouvelles pratiques de nouveaux responsables de traitement de données, les fournisseurs de place de marchés (marketplaces), les fournisseurs de jeux à objets numériques monétisables et les éditeurs de services au public en ligne :

    • nouveaux responsables de traitement de données : sera ainsi considéré comme un traitement au sens du RGPD le suivi, par un responsable de traitement ou un sous-traitant établi hors l’UE, du comportement de personnes résidant sur le territoire français, notamment par le rapprochement de données personnelles collectées avec des données disponibles en ligne ;
    • fournisseurs de marketplaces : est prévue une sanction pénale à hauteur de 2 ans d’emprisonnement et 300 000 euros d’amende (voire 6 % du chiffre d’affaires mondial, proportionnellement aux avantages tirés du délit) prononçable à l’encontre des fournisseurs de place de marché qui ne respecteraient pas les obligations prévues par le DSA (sur la conception, l’organisation et l’exploitation de leur interface, la traçabilité des professionnels utilisant la plateforme ou encore l’information prévue pour les consommateurs). Cette sanction peut être assortie d’une peine complémentaire d’interdiction d’exercer une profession commerciale ou industrielle pendant 5 ans maximum pour les personnes physiques. La DGCCRF pourra obtenir des juridictions qu’elles contraignent les plateformes à se mettre en conformité par une astreinte journalière (inférieure à 5 % du chiffre d’affaires mondial). Le texte encadre également les tentatives d’escroquerie en ligne et d’accès frauduleux aux coordonnées personnelles et bancaires en contraignant les navigateurs à afficher un message d’alerte aux utilisateurs lorsque ces derniers s’apprêtent à être redirigés vers un site malveillant après un SMS ou courriel frauduleux ;
    • fournisseurs de jeux à objets numériques monétisables : sont régulés les « Jonum » ou jeux à objets numériques monétisables, jeux situés entre les jeux vidéo et les jeux d’argent fondés sur la blockchain et les NFTs (déclaration à l’Autorité nationale des jeux, vérification de l’âge des joueurs, prévention de l’addiction, conservation des données relatives aux joueurs afin d’identifier les fraudes, lutte contre le blanchiment d’argent et le financement du terrorisme...) ;
    • éditeurs de services au public en ligne : est entérinée une disposition pour la transparence liée aux traitements de données à caractère personnel. L’article 48 de la loi SREN modifie la liste des mentions obligatoires imposée par la LCEN du 21 juin 2004, en ajoutant l’obligation, pour les éditeurs de services (sites web, applications), d’indiquer dans les mentions légales le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service.

    L’Arcom sera l’autorité « coordinatrice des services numériques » contrôlant le respect du DSA par les services numériques au niveau national, surveillant les très grandes plateformes en ligne et moteurs de recherche et coordonnant les autorités nationales entre elles (Cnil, DGCCRF).

    L'autrice de cet article, Corinne Thiérache est avocate associée et responsable des départements Propriété intellectuelle et Droit des technologies et du 
    numérique [Alerion Avocats].

    Sur le même sujet: 
    CSA + Hadopi = Arcom
    La loi SREN laborieusement adoptée pour sécuriser et réguler l'espace numérique
    Loi SREN : le Conseil constitutionnel censure 5 articles du texte initial
    0 Commentaire
    GP78
    droit
    confiance numérique
    data gouvernance
    désinformation
    cybersécurité
    À lire sur Archimag
    Les podcasts d'Archimag
    Gilles Pécout a été nommé à la présidence de la Bibliothèque nationale de France au printemps dernier. Au micro de Bruno Texier, pour les podcasts d'Archimag, le nouveau président présente les grandes lignes de son programme à la tête de l'institution, notamment l'apport de l'IA dans le développement de nouveaux services.
    Lire la suite...