La Loi SREN : de la confiance à la sécurité

24 mai 2024
Corinne THIERACHE

La loi visant à sécuriser et réguler l’espace numérique promulguée le 21 mai 2024[1] rappelle, par certains aspects, la loi visant à lutter contre les contenus haineux sur internet du 24 juin 2020, aussi dite loi Avia. À la différence de cette dernière, la loi SREN – pourtant controversée – couvre un périmètre bien plus large et est susceptible, en ce sens, d’intéresser tant particuliers que professionnels œuvrant dans le secteur du numérique.

Pour rappel, épinglés par un avis circonstancié de la Commission européenne fin octobre 2023[2], les parlementaires ont été contraints de réécrire minutieusement le texte, notamment en prenant garde à ne pas se placer en contradiction avec le Règlement sur les services numériques ou « DSA »[3] ni avec son objectif d’harmonisation du marché numérique européen. La loi SREN intervient ainsi dans des domaines couverts tant par le DSA que par le « DMA »[4] ou encore le « DGA »[5].

Cette loi a également fait l’objet d’une décision du Conseil constitutionnel le 17 mai[6] censurant cinq de ses articles dont quatre « cavaliers législatifs » à la suite d’une double saisine parlementaire des 17 et 19 avril derniers.

Il est donc intéressant de se pencher sur les dispositions finalement retenues par le Parlement lors de l’adoption du texte le 10 avril 2024, pour certaines censurées ensuite, qui visent deux objectifs principaux : d’abord, à l’instar de la loi Avia précitée, d’assainir l’espace numérique ; puis, face à l’émergence de nouveaux modes de commercialisation en ligne, encadrer ces pratiques de manière suffisamment souple et large.

Des dispositions visant à assainir l’espace numérique

La loi SREN a pour objectif ambitieux de contenir les pratiques dangereuses – tant pour ceux qui en sont à l’origine que pour autrui – qui ont émergé avec le numérique et qui ont souvent été encouragées par ce dernier. Il s’agit de canaliser un « niveau de violence inacceptable » pour un espace désormais « plus fréquenté que l’espace public par les citoyens », selon les mots du rapporteur à l’Assemblée nationale Paul Midy[7].

À cette fin, plusieurs dispositions viennent directement toucher les acteurs prenant part à la diffusion de contenus sur internet (éditeur, hébergeur, fournisseur d’accès…). Première mesure phare de la loi, est prévu un encadrement plus strict de la diffusion de contenus pornographiques en ligne : les éditeurs de site publiant de tels contenus devront désormais mettre en place des mesures concrètes permettant de s’assurer de l’âge des visiteurs, d’après un référentiel élaboré par l’ARCOM[8]. Cette autorité, si elle venait à constater le non-respect de ce référentiel, serait à même de prononcer une sanction pécuniaire à l’encontre de l’éditeur voire de demander le blocage ou le déréférencement du site selon une procédure jugée conforme par le Conseil constitutionnel, c’est-à-dire après l’envoi d’observations restées sans réponse suivi d’une mise en demeure. Les producteurs de contenus pornographiques simulant une agression sexuelle, un viol ou encore de la pédopornographie devront également afficher, préalablement mais également tout au long de la diffusion desdits contenus, un message d’avertissement rappelant l’illégalité des actes représentés. Les pouvoirs étendus accordés à l’ARCOM lui permettront par ailleurs de lutter contre la diffusion de contenus présentant des actes de torture ou de barbarie en ordonnant leur retrait, leur blocage ou leur déréférencement. Enfin, la loi SREN arme l’ARCOM dans sa lutte contre la désinformation en lui permettant d’enjoindre aux opérateurs de mettre fin à la diffusion sur internet d’un média étranger soumis à des sanctions européennes sous peine de bloquer le site ou de prononcer à leur encontre une amende pouvant aller jusqu’à 4% du chiffre d’affaires ou 250 000 euros.

La loi SREN concerne également de près les particuliers en marquant, notamment, l’inscription de l’intelligence artificielle dans le Code pénal. La loi encadre ainsi sous le même régime que celui des montages non-consentis publiés la pratique visant à diffuser des contenus générés par traitement algorithmique reproduisant « l’image ou les paroles » d’une personne sans son consentement, pénalisant ainsi les deepfakes[9] à hauteur d’un an emprisonnement et de 15 000 euros d’amende. Plus encore, l’auteur d’une telle infraction encourra désormais une peine de deux ans d’emprisonnement et 60 000 euros d’amende lorsque le deepfake a un caractère sexuel. Toutefois, la volonté des parlementaires d’inscrire un nouveau délit d’outrage en ligne dans le Code pénalsanctionnant la diffusion en ligne de« tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante » n’a pas, sans surprise, pu être retenue en l’état. Le Conseil constitutionnel a en effet censuré la disposition concernée à l’aune de la liberté d’expression et de communication, estimant qu’elle était susceptible d’entrer dans le champ d’autres délits couverts par loi de 1881 (diffamation et injure) ou par le Code pénal (violences, harcèlement, atteinte à la vie privée…) et que son incrimination ne comportait, à défaut d’éléments matériels tangibles, qu’une caractérisation subjective soumise à la seule appréciation de la potentielle victime. Enfin, si les parlementaires ont renoncé à la levée de l’anonymat sur internet, une nouvelle peine complémentaire de suspension des réseaux sociaux, allant de 6 mois à un an en cas de récidive, est prévue, notamment en matière de cyberharcèlement, haine en ligne, pédopornographie, proxénétisme et autres infractions graves. La loi SREN confirme ainsi le changement de paradigme faisant des fournisseurs de plateformes, acteurs privés, les relais malheureusement nécessaires pour une véritable effectivité dans la lutte contre les comportements répréhensibles en ligne.

Des dispositions aux contours larges encadrant de nouvelles pratiques numériques commerciales

Un certain nombre de dispositions de la loi SREN ont pour objectif de réguler les pratiques commerciales liées au numérique. Sont notamment touchés par celles-ci (i) de nouveaux responsables de traitement de données, (ii) les fournisseurs de place de marchés (marketplaces), (iii) les fournisseurs de jeux à objets numériques monétisables et (iv) les éditeurs de services au public en ligne. L’ARCOM jouera par ailleurs un rôle significatif dans la régulation de ces pratiques en tant qu’autorité « coordinatrice des services numériques » par le contrôle du respect du DSA par les services numériques au niveau national, la surveillance des très grandes plateformes en ligne et moteurs de recherche et la coordination des autorités nationales entre elles (CNIL, DGCCRF…).

  • La loi SREN prévoit que soit considéré comme un traitement au sens du RGPD le suivi, par un responsable de traitement ou un sous-traitant établi hors l’UE, du comportement de personnes résidant sur le territoire français, notamment par le rapprochement de données personnelles collectées avec des données disponibles en ligne. Le législateur répond ainsi directement à la délibération de la CNIL concernant la société « LUSHA SYSTEMS INC. »[10] ; la CNIL ayant prononcé un non-lieu concernant la société qui permettait pourtant à ses utilisateurs d’obtenir toutes les coordonnées professionnelles des personnes dont ils visitaient le profil sur le réseau LinkedIn ou la plateforme Salesforce.com.
  • La loi SREN met en place une sanction pénale à hauteur de 2 ans d’emprisonnement et 300 000 euros d’amende (voire 6% du chiffres d’affaires mondial, proportionnellement aux avantages tirés du délit) prononçable à l’encontre des fournisseurs de place de marché qui ne respecteraient pas les obligations prévues par le DSA (sur la conception, l’organisation et l’exploitation de leur interface, la traçabilité des professionnels utilisant la plateforme ou encore l’information prévue pour les consommateurs). Cette sanction peut être assortie d’une peine complémentaire d’interdiction d’exercer une profession commerciale ou industrielle pendant 5 ans maximum pour les personnes physiques. La DGCCRF sera également à même d’obtenir des juridictions qu’elles contraignent les plateformes à se mettre en conformité par une astreinte journalière (inférieure à 5% du chiffres d’affaires mondial).Par ailleurs, en application du DMA, le texte encadre les tentatives d’escroquerie en ligne et d’accès frauduleux aux coordonnées personnelles et bancaires en contraignant les navigateurs à afficher un message d’alerte aux utilisateurs lorsque ces derniers s’apprêtent à être redirigés vers un site malveillant après un SMS ou courriel frauduleux.
  • La loi SREN établit également un cadre pour les Jonum ou jeux à objets numériques monétisables, jeux situés entre les jeux vidéo et les jeux d’argent fondés sur la blockchain et les NFTs (déclaration à l’Autorité nationale des jeux, vérification de l’âge des joueurs, prévention de l’addiction, conservation des données relatives aux joueurs afin d’identifier les fraudes, lutte contre le blanchiment d’argent et le financement du terrorisme…).
  • Enfin, la loi SREN entérine une disposition passée plutôt inaperçue lors des débats mais d’importance quant à la transparence liée aux traitements de données à caractère personnel. L’article 48 de la loi SREN modifie en effet la liste des mentions obligatoires imposée par la LCEN du 21 juin 2004, en ajoutant l’obligation, pour les éditeurs de services (sites web, applications…), d’indiquer dans les mentions légales le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service. En d’autres termes, cela signifie que dans l’hypothèse où le site vitrine d’un service est hébergé en théorie dans l’UE, par exemple chez OVHcloud ou Clever Cloud, mais que l’application de ce service nécessite de transférer des données vers des serveurs Azure, AWS ou Google Cloud, il est désormais obligatoire de le préciser dans les mentions légales. Cette disposition a le mérite de rendre plus visible une information habituellement renseignée dans la longue liste de sous-traitants annexée à une Politique de Confidentialité ou un Accord de sous-traitance (lorsque cette liste existe effectivement). Point intéressant : cette disposition concerne également les éventuels transferts de données non personnelles, qui ne faisaient pas l’objet d’une telle exigence de transparence jusque-là.

Les avocats des Départements Droit des technologies et du Numérique et Protection des données personnelles du Cabinet Alerion Avocats se tiennent à votre disposition pour vous accompagner et vous conseiller au mieux pour intégrer ce nouveau cadre législatif dans vos activités et profiter des opportunités qu’il engendre, sans attendre les décrets d’application retardant l’entrée en vigueur de certaines de ses modalités.


[1] LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique

[2] C(2023) 7417 final du 25 octobre 2023 émettant un avis circonstancié au titre de l’article 6, paragraphe 2, de la directive (UE) 2015/1535.

[3] Le Digital Services Act vise à encadrer la mise en ligne de contenus et de produits illicites et à protéger les utilisateurs. Il est entré en application le 25 août 2023 pour les très grandes plateformes et le 17 février 2024 pour toutes les plateformes numériques.

[4] Le Digital Market Act ou Règlement sur les marchés numériques vise à encadre le comportement des « contrôleurs d’accès » du numérique. Il est entré en totale application le 6 mars 2024.

[5] Le Data Governance Act ou Règlement sur la gouvernance des données, à articuler avec le RGPD, incite les entreprises européennes à valoriser économiquement les données dont elles font l’usage, sous le contrôle des citoyens européens. Il est entré en vigueur le 24 septembre 2023.

[6] Décision n° 2024-866 DC du 17 mai 2024.

[7] Paul MIDY, Louise MOREL, Anne LE HÉNANFF, Mireille CLAPOT, Denis MASSÉGLIA (rapporteurs et députés) ainsi que Patrick CHAIZE et Loïc HERVÉ (rapporteurs et sénateurs), Rapport fait au nom de la commission mixte paritaire chargée de proposer un texte sur les dispositions restant en discussion du projet de loi visant à sécuriser et réguler l’espace numérique.

[8] Autorité de Régulation de la Communication Audiovisuelle et Numérique : fusion du CSA et de l’Hadopi.

[9] Le deepfake est une technique de synthèse mono- ou multimédia reposant sur l’intelligence artificielle permettant notamment de superposer ou de fusionner des images, des fichiers vidéo ou audio existants sur d’autres fichiers (montage) mais également de créer artificiellement des contenus ressemblants à des situations réelles à partir de commandes textuelles.

[10] Délibération de la formation restreinte n°SAN-2022-024 du 20 décembre 2022 concernant la société LUSHA SYSTEMS INC.