La Loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite “SREN”) a été adoptée fin mai en France.
Cette loi, modifiant partiellement la Loi sur la Confiance dans l’Economique Numérique (LCEN) de 2004 et divers codes, modifie différentes dispositions relatives à la protection des enfants en ligne, à l’information des personnes, et à la mise en oeuvre de traitements de données particulières.
Datanaos vous en propose une synthèse de ses éléments les plus importants.
Pornographie en ligne
- La SREN rappelle l’obligation pour les plateformes de service de vidéo en ligne de vérifier l’âge d’un visiteur avant d’afficher ou d’autoriser l’accès à des contenus de nature pornographique.
La sanction encourue pour un manquement à cette obligation est une amende de 150 000 € ou équivalente à 2 % du chiffre d’affaires mondial hors taxe (plafond doublé en cas de récidive dans les 5 ans).
- L’hébergement et la diffusion de contenus pornographiques interdits (contenu impliquant des animaux, des atteintes à la dignité humaine, pratiques dangereuses, …) peuvent maintenant donner lieu à la sanction de la plateforme de service de vidéo en ligne à une amende de 250 000 € ou équivalente à 4 % du chiffre d’affaires mondial hors taxe (plafond réhaussé à 500 000 € ou 6 % du chiffre d’affaires mondial hors taxe en cas de récidive dans les 5 ans).
- En cas de non respect des sanctions et des notifications de non conformité, l’autorité de régulation de la communication audiovisuelle et numérique peut imposer aux Fournisseurs d’Accès Internet d’interrompre les accès aux internautes aux plateformes de service de vidéo en ligne (pour une durée pouvant aller jusqu’à 2 ans).
- Tout producteur d’une oeuvre audiovisuelle à caractère pornographique simulant la commission d’un crime ou d’un délit doit avertir l’internaute du caractère illégal de la scène pendant toute la durée de celle-ci.
Protection des citoyens en ligne
- Le contenu de la formation obligatoire dispensée en première année et dernière année de collège aux élèves est complété, notamment par l’ajout de sensibilisations contre la manipulation commerciale, l’escroquerie sur Internet, l’explosition au contenus illicites et contre la propagation de la haine en ligne et des violences sexuelles et sexistes.
- Dans le cadre de la lutte contre les deepfakes, les sanctions prévues à l’article 226-8 du Code pénal concernant la réalisation et la publication de deepfakes sans autorisation de la personne concernée sont étendues aux personnes partageant ces deepfakes sans mentionner que le contenu a été généré ou modifié algorithmiquement.
- Le code pénal est modifié afin de réinstituer la possibilité pour le juge, lors de la commission de certaines infractions en lien avec l’usage de technologies en ligne, d’ordonner en tant que peine complémentaire la suspension, pour une durée allant jusqu’à 6 mois (1 an en cas de récidive), des comptes d’accès à une plateforme en ligne, ainsi que l’interdiction d’user de la plateforme en ligne par l’intermédiaire d’autres comptes.
Marché de la donnée
- Renforcement de l’obligation pour les prestataires de Cloud d’assurer l’interopérabilité entre les différents services de Cloud, et d’assurer la portabilité des contenues hébergés (données et applications).
- Rappel de l’interdiction pour les administrations, établissements public et certains opérateurs de services sensibles de faire appel à des prestataires de Cloud soumis à un droit étranger autorisant une autorité publique d’un Etat tiers à accéder aux données hébergées, lorsque ces données sont traitées à des fins de sécurité nationale, de maintien de l’ordre public, ou de sauvegarde de la santé et de la vie de personnes.
- Pour une durée de 3 ans, les jeux de hasard en ligne reposant sur le principe des gachas est autorisé, à la condition que les gains proposés ne soient pas monétaires, et ne puissent être revendus à titre onéreux à l’entreprise émettant les gains, ou à un organisme agissant de paire avec l’émetteur des gains.
L’accès et les conditions de participation à ce type de jeux en ligne sont par ailleurs surbordonnées à diverses obligations pesant sur l’organisme émetteur et sur le joueur.
Traitements mis en oeuvre par l’Etat
- La loi SREN donne compétence au Conseil d’Etat pour contrôler la conformité des opérations de traitement de données mises en oeuvre par les juridictions administratives dans le cadre de leurs attributions.
- La loi SREN donne compétence à la Cour de cassation pour contrôler la conformité des opérations de traitement de données mises en oeuvre par les juridictions judiciaires, le ministère public, et le Conseil supérieur de la magistrature, dans le cadre de leurs attributions.
Transparence sur Internet
- Tout site Internet édité et rendu accessible en ligne dans le cadre d’une activité professionnelle doit maintenant indiquer de manière claire et précise les coordonnées et informations de l’éditeur, mais aussi de l’hébergeur, quand bien même l’hébergement serait réalisé à titre gratuit.
Il s’agit des informations devant figurer dans les mentions légales.
- Les Fournisseurs d’Accès Internet doivent fournir de nouvelles informations obligatoires lors de la souscription d’un abonnement, ou de la réalisation de publications à caractère commercial.
A venir…
- L’autorité de régulation de la communication audiovisuelle et numérique a 2 mois à compter de la promulgation de la loi SREN pour publier un référentiel relatif aux mécanismes de vérification de l’âge des internautes.
Les plateformes de service de vidéo en ligne mettant à disposition ou hébergeant du contenu pornographique auront 3 mois, après la publication du référentiel, pour s’y conformer.
- Le Gouvernement doit, dans un délai de 1 an à compter de la promulgation de la loi SREN, remettre au Parlement un rapport sur les actions de prévention menées au collège, ainsi qu’une évaluation de l’opportunité de rendre plus fréquente les sensibilisations menées.
- Le Conseil d’Etat a 6 mois pour déterminer les critères de sécurité et de protection applicables aux prestataires de Cloud hébergeant les données sensibles des administrations, établissements publics et opérateurs de services sensibles.