Proposition de loi visant à encourager l'usage du contrôle parental sur certains équipements et services vendus en France et permettant d'accéder à internet

EXAMEN DES ARTICLES

Article 1er

Pré-installation obligatoire d'un dispositif de contrôle parental
sur les appareils connectés

I. La situation actuelle - Malgré l'absence de règle spécifique relative à la pré-installation du contrôle parental, la grande majorité des acteurs économiques concernés proposent déjà gratuitement de tels outils pour les produits qu'ils commercialisent dans le marché intérieur

A. La mise sur le marché des équipements radioélectriques et terminaux est strictement encadrée à l'échelle européenne

La commercialisation des équipements radioélectriques est aujourd'hui encadrée au sein du marché intérieur européen, notamment par la directive du 16 avril 2014 relative à l'harmonisation des législations des États membres concernant la mise à disposition sur le marché d'équipements radioélectriques, dite « directive RED » ^{1 ( * )} . Les dispositions de cette directive européenne ont été transposées en droit interne par l'ordonnance du 21 avril 2016 relative à la mise sur le marché d'équipements radioélectriques.

Les fabricants de smartphones , d'ordinateurs, de tablettes, de consoles de jeux ou encore d'objets connectés, qui sont considérés comme des équipements radioélectriques en raison de la présence de dispositifs de connexion par Wifi ou par Bluetooth par exemple, sont soumis au respect des dispositions de cette directive. Ils doivent ainsi se conformer à des exigences essentielles afin de pouvoir obtenir, notamment, le marquage « CE » permettant la commercialisation au sein du marché intérieur.

Ces exigences essentielles sont définies à l'article L. 32 du code des postes et des communications électroniques (CPCE) et concernent surtout :

- la protection de la santé, des personnes, des biens et des animaux domestiques ;

- l'utilisation efficace des fréquences radioélectriques pour éviter des brouillages préjudiciables ;

- le maintien d'une interopérabilité électromagnétique minimale entre équipements et installations de communications électroniques ;

- la protection des réseaux ;

- la compatibilité avec des accessoires tels que les chargeurs universels ou les dispositifs de lutte contre la fraude ;

- la protection des données à caractère personnel et de la vie privée des utilisateurs et abonnés.

En France, l'Agence nationale des fréquences (ANFR), établissement public de l'État à caractère administratif, est chargée du contrôle du respect des dispositions et des exigences essentielles permettant la mise sur le marché des équipements radioélectriques, dans les conditions prévues par les articles L. 34-9 et L. 43 du CPCE et précisées par le décret du 21 avril 2017 relatif à la mise à disposition sur le marché des équipements radioélectriques.

B. L'installation par défaut d'un dispositif de contrôle parental ne fait pas partie des exigences essentielles des opérateurs économiques qui commercialisent des équipements terminaux

Aujourd'hui, au regard des règles qui encadrent, à l'échelle de l'Union européenne (UE), la mise à disposition sur le marché des équipements radioélectriques et terminaux, il apparaît important de préciser qu'aucune obligation européenne relative à la pré-installation d'un dispositif de contrôle parental sur de tels équipements n'incombe, en principe, aux fabricants commercialisant leurs produits au sein du marché intérieur .

Or, les fabricants, pour des raisons économiques, d'organisation logistique et industrielle, produisent leurs équipements terminaux pour, a minima , l'ensemble du marché intérieur, et non pour un État membre en particulier. Toute évolution des exigences qui s'appliqueraient aux fabricants d'équipements radioélectriques et terminaux doit donc être appréciée au regard de sa bonne articulation avec le marché intérieur .

C. Les fabricants et les fournisseurs de systèmes d'exploitation se sont toutefois engagés depuis plusieurs années en faveur d'un usage renforcé du contrôle parental au regard de l'évolution des usages numériques risqués des enfants et des adolescents

D'une certaine façon, les acteurs dominants du marché ont anticipé les évolutions à venir en matière de renforcement de l'utilisation du contrôle parental . Par exemple, la concentration du marché des fabricants de smartphones et des fournisseurs de systèmes d'exploitation, couplée avec de premiers engagements pris par les acteurs dominants de ce marché en faveur d'une meilleure protection de l'enfance et de l'adolescence, permet une diffusion plus large des dispositifs de contrôle parental.

Le marché est aujourd'hui structuré autour du couple « fabricant-fournisseurs de systèmes d'exploitation » , ce qui est notamment vrai pour Apple , qui a choisi un modèle économique vertical intégré, étant à la fois constructeur et éditeur de logiciel. Google a choisi un autre modèle, la société fournissant une « couche logicielle » de souche de son système d'exploitation Android , accessible en open source , que chaque fabricant peut s'approprier et adapter en interne, ce qui conduit à une plus grande diversité de systèmes d'exploitation que ce que les graphiques ci-dessus suggèrent.

De façon analogue, le marché des constructeurs et des fournisseurs de systèmes d'exploitation pour ordinateurs est également concentré , ce qui favorise la diffusion des outils de contrôle parental dans la mesure où les acteurs dominants de ce marché ont pris des engagements en faveur d'une meilleure protection de l'enfance et de l'adolescence.

Les différentes auditions menées par la rapporteure de la commission des affaires économiques ont mis en évidence une pré-installation de dispositifs gratuits de contrôle parental largement mise en oeuvre par les principaux fournisseurs de systèmes d'exploitation .

Ainsi, sur les équipements terminaux permettant d'accéder à Internet et commercialisés par Apple , des dispositifs de contrôle parental sont déjà installés, mais pas activés, notamment sur Iphone , Mac , Ipad et Apple TV ^{2 ( * )} . Il en est de même pour les équipements terminaux sur lesquels le système d'exploitation Android , développé par Google , est installé avec son outil de contrôle parental Family Link ^{3 ( * )} . Il en est de même pour les ordinateurs, les smartphones et les consoles de jeux vidéo Xbox sur lesquels le système d'exploitation Windows , développé par Microsoft , est installé avec son outil de contrôle parental Microsoft Family Safety ^{4 ( * )} . Il a également été indiqué que les principaux fabricants de consoles de jeux vidéo, qui sont également éditeurs de logiciels, proposent gratuitement des dispositifs de contrôle parental lors de l'activation de leurs consoles ^{5 ( * )} , ce qui est également le cas pour certains fabricants de téléviseurs connectés qui contrôlent également le système d'exploitation de leurs appareils ^{6 ( * )} .

En France, les principaux acteurs économiques concernés ont récemment renforcé leurs engagements en matière de protection de la présence en ligne des personnes mineures, en s'associant notamment à deux protocoles d'engagements, protocoles non contraignants qui reposent sur la « bonne volonté » de leurs signataires.

D'une part, un protocole d'engagements pour la prévention de l'exposition des mineurs aux contenus pornographiques en ligne a été signé en février 2020 par 32 acteurs publics, privés et associatifs.

L'élaboration de ce protocole se justifie par une exposition de plus en plus précoce et involontaire des personnes mineures à la pornographie en ligne . Ainsi, plus de 82 % des mineurs déclarent avoir été exposés à des contenus pornographiques, un jeune sur deux affirme être tombé dessus par hasard, et plus de la moitié estime avoir vu ses premières images pornographiques trop jeune ^{7 ( * )} . En France, il est estimé qu'à 12 ans, près d'un enfant sur trois a déjà été exposé à des contenus pornographiques ^{8 ( * )} .

La mise en oeuvre de ce protocole d'engagements s'est notamment traduite par la création de la plateforme d'informations « Je protège mon enfant » qui vise à sensibiliser les parents à l'exposition de leurs enfants à la pornographie, d'informer sur le recours aux dispositifs de contrôle parental existants et de faciliter le dialogue entre parents et enfants au sujet de l'éducation sexuelle ^{9 ( * )} .

Par ailleurs, un comité de suivi conjoint à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) et à l'Autorité de régulation de la communication audiovisuelle (Arcom) a été mis en place et devrait publier, courant 2022, les résultats d'un sondage de l'IFOP sur l'usage du contrôle parental en France ^{10 ( * )} .

D'autre part, un protocole d'engagements pour un usage raisonné et raisonnable des écrans chez les mineurs a été signé en octobre 2021 et concerne, en très grande partie, les mêmes acteurs que ceux signataires du premier protocole d'engagements.

La mise en oeuvre de ce protocole se justifie par une multiplication de l'exposition des mineurs aux écrans, avec une utilisation quotidienne d'environ quatre écrans différents : l'écran de télévision, l'écran de la tablette familiale, l'écran de la console de jeux et l'écran du téléphone portable de la personne mineure ou de ses parents ^{11 ( * )} . Le temps passé devant les écrans tend donc à augmenter, surtout en grandissant, avec en moyenne trois heures par jour passées devant les écrans pour les 3-17 ans ^{12 ( * )} .

Ainsi, il apparaît que la pré-installation des dispositifs de contrôle parental est largement assurée en France, ce qui s'explique par la forte concentration des marchés des fabricants d'équipements terminaux et des fournisseurs de systèmes d'exploitation, dont les principaux acteurs proposent déjà volontairement et gratuitement de tels dispositifs .

II. Les dispositions de la proposition de loi - La création d'une obligation d'installation par défaut d'un système de contrôle parental sur les équipements terminaux permettant d'accéder à Internet, assortie d'un système de contrôle par les opérateurs économiques concernés et l'ANFR

A. Un périmètre d'application qui, sans être exhaustif, vise les équipements terminaux permettant d'accéder à Internet

L'objectif principal de cette proposition de loi est de faciliter et d'encourager l'utilisation des outils de contrôle parental. Pour cela, le présent article instaure une obligation d'installation par défaut d'un dispositif de contrôle parental sur les équipements terminaux permettant d'accéder à Internet et vendus en France .

Au sens de l'article L. 32 du code des postes et des communications électroniques (CPCE), un équipement terminal désigne : « tout équipement qui est connecté directement ou indirectement à l'interface d'un réseau public de communications électroniques pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ; une connexion est indirecte si un appareil est interposé entre l'équipement terminal et l'interface du réseau public ».

Concrètement, la nouvelle obligation concernerait les smartphones , les ordinateurs portables et fixes, les tablettes, les consoles de jeux vidéo, mais aussi des objets connectés comme des enceintes, des téléviseurs ou des montres .

Il n'existe pas de liste exhaustive, au niveau législatif comme au niveau réglementaire, indiquant les équipements terminaux permettant d'accéder à Internet. Dans le cadre de l'examen de cette proposition de loi, il n'apparaît pas opportun d'établir une telle liste, car les innovations technologiques dans ce secteur sont rapides et difficiles à prévoir.

Les équipements terminaux permettant d'accéder à Internet sont spécifiquement visés, car c'est en ayant la possibilité de naviguer sur Internet que des personnes mineures peuvent accéder à des contenus susceptibles de porter atteinte à leur intégrité physique ou morale.

Le dispositif de contrôle préinstallé doit être « aisément accessible » et proposé aux utilisateurs dès la première mise en service de l'appareil, dans un souci de favoriser l'utilisation du contrôle parental pour les parents qui estimeraient que de tels dispositifs sont trop complexes à rechercher et à installer.

B. Un double processus de certification puis de vérification par les opérateurs économiques chargés de la mise sur le marché des équipements terminaux concernés

Afin de s'assurer du respect de cette obligation par les opérateurs économiques concernés, un double processus de certification puis de vérification est également instauré à l'article 1 ^er de cette proposition de loi.

Dans un premier temps, les fabricants doivent certifier que les équipements terminaux qu'ils mettent sur le marché français intègrent bien un dispositif de contrôle parental .

La notion de « fabricant » est définie par la « directive RED » du 16 avril 2014 comme « toute personne physique ou morale qui fabrique un équipement radioélectrique ou fait concevoir ou fabriquer un équipement radioélectrique, et qui le commercialise sous son nom ou sa marque » ^{13 ( * )} . Cette notion désigne les fabricants de terminaux au sens de la production d'un objet physique, c'est-à-dire la « couche matérielle » des équipements terminaux, ce qui exclut leur « couche logicielle », c'est-à-dire les fournisseurs de systèmes d'exploitation ^{14 ( * )} .

La notion de « mise sur le marché » est également définie par cette même directive comme « la première mise à disposition d'un équipement radioélectrique sur le marché de l'Union » ^{15 ( * )} , ce qui inclut également les importations depuis les pays tiers à l'Union européenne (UE).

Dans un second temps, les distributeurs vérifient la certification des produits mis sur le marché par les fabricants .

La notion de « distributeur » est également définie par la « directive RED » de 2014, comme « toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un équipement radioélectrique à disposition sur le marché de l'Union européenne » ^{16 ( * )} . Cette notion ne fait pas référence à un canal de distribution ou à un type d'entreprise en particulier, ce qui inclut à la fois les réseaux de distribution physique et la vente en ligne ^{17 ( * )} .

C. Des modalités d'application qui doivent être précisées par décret

L'article 1 ^er de la proposition de loi ne précise pas quel type de contrôle parental devrait être obligatoirement proposé aux utilisateurs dès la première mise en service. En effet, le contrôle parental désigne des pratiques et des fonctionnalités diverses, comme la limitation du temps d'écran, le filtrage de contenus, le blocage de certains sites web ou à l'inverse l'autorisation à une liste prédéterminée de sites web .

Les principales fonctionnalités des dispositifs de contrôle parental

Source : CNIL, 8 recommandations pour renforcer la protection des mineurs en ligne, 2021

III. Les modifications adoptées par l'Assemblée nationale - Le périmètre des équipements terminaux concernés a été précisé, le dispositif de contrôle renforcé et les mesures réglementaires d'application augmentées

A. Le périmètre d'application des équipements terminaux concernés a été précisé pour exclure les fournisseurs d'accès à Internet et intégrer les équipements reconditionnés

Premièrement, si le choix demeure de ne pas lister, de manière exhaustive, les équipements terminaux permettant d'accéder à Internet qui seront concernés par cette nouvelle obligation, la commission des affaires culturelles et de l'éducation de l'Assemblée nationale a toutefois adopté un amendement du rapporteur et auteur de cette proposition de loi, M. Bruno Studer, visant à exclure les fournisseurs d'accès à Internet (FAI) du champ de cette obligation .

En effet, les FAI, en tant que fabricants de « box Internet », contestaient la rédaction initiale, arguant qu'une « box Internet » permet indirectement à d'autres équipements d'accéder à un réseau de communications électroniques, mais ne permet pas de naviguer directement sur Internet.

La rédaction de compromis, dont la nuance réside dans l'utilisation du terme « destinés à l'utilisation de services de communication au public en ligne » , plutôt que « permettant à l'accès à des services de communication au public en ligne », permet également d'exclure du champ d'application de l'obligation prévue des objets connectés qui ne permettent pas de naviguer sur Internet, tels que les objets domotiques , c'est-à-dire les techniques de gestion automatisée appliquées aux habitations, qui désignent par exemple les volets contrôlables à distance ou encore les thermostats, les lampes ou les frigos connectés.

Deuxièmement, le périmètre d'application de l'obligation prévue a été élargi aux appareils reconditionnés , qui constituent souvent les premiers équipements des jeunes, pour des raisons environnementales mais surtout économiques, les prix des smartphones neufs, par exemple, étant trop élevés pour de nombreux ménages.

Si cette obligation concernera sans difficulté les équipements terminaux dont la première mise sur le marché sera postérieure à l'entrée en vigueur de l'obligation prévue , ces équipements seront alors équipés d'un dispositif de contrôle parental lors de leur revente en tant qu'appareils reconditionnés. Un régime transitoire a toutefois été introduit pour les équipements dont la première mise sur le marché est antérieure à l'entrée en vigueur de cette obligation .

Pour ces équipements, achetés neufs avant l'entrée en vigueur de la présente proposition de loi puis revendus après l'entrée en vigueur de ce texte, les vendeurs devront seulement respecter une obligation d'information de l'existence de dispositifs de contrôle parental , sans devoir « re-paramétrer » les appareils vendus pour y installer par défaut un tel dispositif.

B. Des dispositions supplémentaires en faveur d'une plus grande utilisation et d'une meilleure sensibilisation des utilisateurs ont été adoptées

La commission des affaires culturelles et de l'éducation de l'Assemblée nationale a adopté plusieurs amendements visant à faciliter l'activation du contrôle parental.

Si la rédaction initiale du texte prévoyait déjà une activation proposée à l'utilisateur dès la mise en service, il est désormais ajouté que cette activation du contrôle parental, comme son utilisation, doivent être gratuites .

Par ailleurs, en séance publique, un amendement a été adopté selon lequel le décret d'application devra préciser les modalités selon lesquelles les fabricants informent les utilisateurs de leurs produits des risques liés aux usages numériques.

C. Le double processus de certification et de vérification a été élargi à davantage d'opérateurs économiques

Premièrement, l'obligation qui pèse sur les fabricants a été élargie à leurs éventuels mandataires , qui désignent « toute personne physique ou morale établie dans l'Union européenne ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l'accomplissement de tâches déterminées » ^{18 ( * )} , au sens de la « directive RED » de 2014. Les mandataires sont surtout désignés par les fabricants non européens qui souhaitent commercialiser leurs produits au sein du marché intérieur.

Deuxièmement, sous l'impulsion de l'Agence nationale des fréquences (ANFR), les importateurs et les prestataires d'exécution de services de commandes ont été ajoutés, aux côtés des distributeurs, à la liste des opérateurs économiques concernés par l'obligation de vérification de la certification des fabricants . Les importateurs, au sens de la même directive européenne, désignent « toute personne physique ou morale établie dans l'Union européenne qui met des équipements radioélectriques provenant d'un pays tiers sur le marché de l'Union européenne » ^{19 ( * )} .

La notion de « prestataires de services d'exécution de commandes » est plus récente, et est notamment définie par le règlement européen du 20 juin 2019 sur la surveillance du marché et la conformité des produits comme « toute personne physique ou morale qui propose dans le cadre d'une activité commerciale, au moins deux des services suivants : entreposage, conditionnement, étiquetage et expédition, sans être propriétaire des produits concernés, à l'exclusion des services postaux et de livraison de colis et de tout autre service postal ou service de transport de marchandises » . Cette définition complémentaire d'une nouvelle catégorie d'opérateur économique a été ajoutée pour mieux prendre en compte l'émergence du commerce en ligne et des nouveaux intermédiaires qui se sont créés le long des chaînes logistiques de distribution de produits manufacturés au sein du marché intérieur.

D. Un décret en Conseil d'État, pris après avis de la CNIL, devra préciser les modalités d'application de l'ensemble du dispositif envisagé

Enfin, alors que le texte initial prévoyait l'adoption d'un décret simple pour préciser les modalités d'application du dispositif envisagé, la commission des affaires culturelles et de l'éducation de l'Assemblée nationale a adopté un amendement pour permettre l'adoption d'un décret en Conseil d'État .

En séance, un amendement complémentaire a été adopté afin que ce décret soit adopté après l'avis de la Commission nationale de l'informatique et des libertés (CNIL), en particulier pour s'assurer de la proportionnalité des précisions réglementaires qui seront apportées concernant les fonctionnalités minimales et les caractéristiques techniques que devront respecter les dispositifs de contrôle parental.

IV. La position de la commission - La commission a adopté la proposition de loi tout en précisant le dispositif envisagé et en renforçant la protection des personnes mineures sur Internet

A. Le renforcement de la protection des personnes mineures sur Internet

L'amendement COM-1 de la rapporteure s'inscrit dans une volonté de renforcer la protection des personnes mineures sur Internet, en élargissant le périmètre des contenus et services pouvant faire l'objet d'un contrôle parental .

Ainsi, la notion d'atteinte à « l'intégrité physique ou morale des personnes mineures » est remplacée par celle « d'épanouissement physique, mental ou moral ». Le présent amendement permet par ailleurs une harmonisation avec les dispositions applicables aux services de communication audiovisuelle, qui concerne surtout la télévision, la radio et les plateformes de partage de vidéos. En effet, la notion d'épanouissement est celle utilisée par la loi relative à la liberté de communication, toujours en vigueur aujourd'hui, ainsi que par la directive européenne relative aux services de médias audiovisuels, dite directive « SMA », dans sa version révisée de 2018.

Face à la multiplicité des risques auxquels sont exposés nos enfants et nos adolescents en naviguant de manière autonome sur Internet, la commission estime nécessaire de retenir une appréciation plus large des conséquences que des contenus violents, choquants, haineux ou illicites peuvent avoir sur les personnes mineures.

L'amendement COM-2 de la rapporteure vise à compléter la rédaction actuelle en précisant que le dispositif de contrôle parental qui devra être pré-installé sur les équipements terminaux permettant d'accéder à Internet soit aisément accessible et compréhensible .

En effet, la notion d'accessibilité renvoie à la simplicité du parcours utilisateur lors de la première mise en service, et à la facilité avec laquelle les utilisateurs peuvent trouver le moyen d'activer le dispositif de contrôle parental. Concrètement, il s'agit de ne pas devoir « cliquer 10 fois » pour activer le dispositif.

La notion de compréhensibilité est complémentaire à celle d'accessibilité, dans la mesure où elle renvoie à la lisibilité et à la simplicité des explications permettant d'activer le dispositif de contrôle parental. Il s'agit, pour les parents, d'avoir des informations simples, vulgarisées et des conditions générales d'utilisation lisibles.

L'amendement COM-3 de la rapporteure interdit le traitement, à des fins commerciales, des données à caractère personnel des personnes mineures, collectées et générées lors de l'activation du dispositif de contrôle parental .

Dans la mesure où l'objectif de cette proposition de loi est de développer l'utilisation du contrôle parental, il y aura forcément davantage de données à caractère personnel qui seront collectées sur nos enfants et nos adolescents.

En effet, lors de l'activation d'un dispositif de contrôle parental sur un smartphone , un ordinateur ou encore une console de jeux, il est souvent demandé aux parents de créer un « profil », adapté à l'âge de la personne mineure, ce qui nécessite de communiquer des informations à caractère personnel sur ses enfants ou ses adolescents, à commencer par leur date de naissance.

Selon une étude récente réalisée sur un échantillon de 46 applications de contrôle parental disponibles sur Android , 34 % de ces applications transmettent des données à caractère personnel sans demander, de manière appropriée, le consentement des personnes mineures concernées, et 72 % transmettent des données à des tiers, notamment à des fins de publicité en ligne ^{20 ( * )} .

Le présent amendement s'inscrit dans la continuité des dispositions prévues par le règlement général sur la protection des données (RGPD), dont le principe de limitation des finalités limite les possibilités de réutilisation des données à caractère personnel collectées qui seraient incompatibles avec la finalité initiale du traitement, en l'espèce le contrôle parental ^{21 ( * )} .

Le présent amendement s'inscrit également dans une volonté de rapprocher les dispositions applicables aux services de communication audiovisuelle et ceux applicables aux services de communication au public en ligne, afin de permettre une protection plus efficace et plus globale de la présence des personnes mineures en ligne. Ainsi, l'ordonnance du 21 décembre 2020 portant transposition de la directive européenne « Services de médias audiovisuels » ^{22 ( * )} prévoit des dispositions similaires.

B. La clarification du dispositif de contrôle proposé afin de responsabiliser l'ensemble des opérateurs économiques concernés

L'amendement COM-4 de la rapporteure apporte des précisions de rigueur afin de clarifier l'ordonnancement et les séquences du processus de certification et de vérification prévu par la présente proposition de loi, en responsabilisant l'ensemble des opérateurs économiques concernés, y compris les fournisseurs de systèmes d'exploitation .

Dans un premier temps, l'obligation d'installer par défaut un dispositif de contrôle parental devrait concerner conjointement les fabricants d'équipements terminaux d'une part, et les fournisseurs de systèmes d'exploitation d'autre part.

Si aujourd'hui peu d'équipements terminaux sont commercialisés sans système d'exploitation, des réflexions sont en cours sur la nécessité d'assurer une plus grande liberté des consommateurs dans le cyberespace, ce qui pourrait par exemple permettre aux utilisateurs de changer de système d'exploitation après l'achat d'un équipement terminal. Des discussions ont par exemple lieu à ce sujet à l'échelle européenne dans le cadre de l'examen du Digital Market Act .

Par ailleurs, la commission des affaires économiques estime nécessaire d'adopter une loi suffisamment souple et pérenne qui demeure applicable malgré les évolutions du marché. Le marché d'aujourd'hui ne sera pas forcément celui de demain. Les réflexions en cours pourraient conduire à une plus grande dissociation entre fabricants et fournisseurs de systèmes d'exploitation, entre constructeurs et éditeurs de logiciel.

Dans un deuxième temps, les fabricants certifient que l'obligation de pré-installation d'un contrôle parental est bien respectée, et transmettent la preuve de cette certification aux importateurs, distributeurs et prestataires de services d'exécution des commandes qui commercialisent leurs produits.

Dans un dernier temps, les importateurs, distributeurs et prestataires de services d'exécution des commandes vérifient la certification des fabricants.

L'amendement COM-5 de la rapporteure précise que le décret en Conseil d'État déterminera les modalités de certification du dispositif de contrôle proposé . En effet, il serait préférable que les modalités de certification soient harmonisées entre les fabricants, et que la preuve de la certification soit transmise aux distributeurs, importateurs et prestataires de services d'exécution des commandes. Il est également important que le processus de certification ne soit pas disproportionné au regard des objectifs poursuivis.

La commission a adopté l'article ainsi modifié.

Article 2 (non modifié)

Compétence de l'Agence nationale des fréquences

I. La situation actuelle - L'Agence nationale des fréquences est compétente pour contrôler la mise sur le marché des équipements radioélectriques

En France, l'Agence nationale des fréquences (ANFR), établissement public de l'État à caractère administratif, est chargée du contrôle du respect des dispositions et des exigences essentielles permettant la mise sur le marché des équipements radioélectriques, dans les conditions prévues par les articles L. 34-9 et L. 43 du code des postes et des communications électroniques (CPCE) et précisées par le décret du 21 avril 2017 relatif à la mise à disposition sur le marché des équipements radioélectriques.

La procédure de surveillance du marché français, notamment mise en oeuvre par le département de surveillance du marché de l'ANFR, des équipements radioélectriques peut être décomposée en quatre étapes principales ^{23 ( * )} :

- dans le cadre de leur mission de contrôle du marché, les agents habilités de l'ANFR disposent de pouvoirs de collecte d'informations et d'enquête . Les contrôles de nature documentaire sont effectués en interne, tandis que les contrôles techniques par prélèvement sont effectués en partenariat avec des laboratoires accrédités ^{24 ( * )} ;

- dans l'éventualité où les dispositions relatives à la mise sur le marché des équipements radioélectriques ne sont pas respectées, l'ANFR peut, à l'issue d'une procédure contradictoire, mettre en demeure les opérateurs économiques concernés de se conformer aux exigences essentielles et aux dispositions applicables en la matière ^{25 ( * )} ;

- dans l'éventualité où le délai d'un mois après la mise en demeure n'a pas permis de mettre fin aux manquements constatés, l'ANFR peut adopter des mesures provisoires pour retirer des équipements, interdire ou restreindre la mise à disposition sur le marché . En cas de manquement grave et persistant, ces mesures peuvent être rendues définitives ^{26 ( * )} ;

- l'ANFR peut également prononcer des amendes administratives à l'encontre des contrevenants dont le montant ne peut excéder 1 500 € pour une personne physique et 7 500 € pour une personne morale ^{27 ( * )} . Des sanctions pénales sont également prévues ^{28 ( * )} .

II. Le dispositif envisagé - L'extension des pouvoirs d'enquête et de sanction de l'Agence nationale des fréquences au contrôle du respect de l'obligation prévue à l'article 1 ^er

Le présent article permet d'étendre la procédure de surveillance de marché ^{29 ( * )} au contrôle du respect l'obligation prévue par l'article L.39-9-3 du CPCE, créé par l'article 1 ^er de la présente proposition de loi.

Concrètement, l'ANFR sera compétente pour contrôler la conformité des équipements terminaux permettant d'accéder à Internet, vendus en France, et sur lesquels un dispositif de contrôle parental devra être installé.

III. À l'Assemblée nationale, seul un amendement de coordination juridique a été adopté en commission

En commission des affaires culturelles et de l'éducation de l'Assemblée nationale, seul un amendement de coordination juridique a été déposé et adopté.

IV. La commission des affaires économiques considère que le choix de l'ANFR est justifié mais formule quelques réserves

Dans la mesure où l'attribution de nouvelles compétences à l'ANFR conduira à une hausse de ses effectifs, avec le recrutement estimé de six à huit personnes supplémentaires pour l'ensemble du territoire ^{30 ( * )} , la commission se montrera vigilante, dans le cadre de l'examen du prochain projet loi de finances, à ce que la hausse du budget de l'ANFR soit proportionnée à l'exercice des nouvelles missions qui lui seront confiées .

Enfin, la commission rappelle que l'extension des compétences de l'ANFR est conditionnée à la réponse de la Commission européenne attestant de la conformité de la présente proposition de loi au droit de l'Union européenne, au sens de la directive de 2015 relative aux services de la société de l'information.

La commission a adopté l'article sans modification.

Article 3

Gratuité des dispositifs de contrôle parental
mis à disposition par les fournisseurs d'accès à Internet

I. La situation actuelle - Les fournisseurs d'accès à Internet ont une obligation d'information vis-à-vis de leurs abonnés

L`article 6 de la loi du 21 juin 2004 ^{31 ( * )} pour la confiance dans l'économie numérique (LCEN) avait instauré, pour les fournisseurs d'accès à Internet (FAI) tels qu'Orange, SFR, Bouygues Telecom ou Free, une obligation d'information à l'égard de leurs abonnés concernant l'existence d'outils de contrôle parental. Ainsi, les FAI doivent proposer à leurs abonnés au moins l'un de leurs outils de contrôle parental existants.

À la suite de l'entrée en vigueur de ces dispositions, une charte a été signée entre le Gouvernement et les FAI afin que ces derniers proposent à titre gratuit l'activation d'un dispositif de contrôle parental.

Aujourd'hui, les FAI proposent l'activation gratuite d'un dispositif de contrôle à leurs abonnés et permettant le filtrage de contenus, mais des offres premium payantes ont également été développées ^{32 ( * )} .

II. Le dispositif envisagé - Le maintien d'une obligation d'information sous réserve de garantir la gratuité et une qualité minimale des dispositifs de contrôle parental proposés

Afin de sécuriser et d'approfondir les engagements pris par les FAI et leurs pratiques actuelles, la proposition de loi précise que l'activation du dispositif de contrôle proposé doit être gratuite , c'est-à-dire sans surcoût pour les utilisateurs et les abonnés.

Par ailleurs, la proposition de loi prévoit qu'un décret précise les fonctionnalités minimales et les caractéristiques techniques auxquelles les différents dispositifs de contrôle parental proposés par les FAI devront se conformer. L'objectif est ici de garantir un standard minimum de qualité .

III. Les modifications adoptées par l'Assemblée nationale - La garantie d'une plus grande souplesse et de la proportionnalité des mesures qui seront prises par voie réglementaire

En commission des affaires culturelles et de l'éducation, un amendement du rapporteur a été adopté afin de préciser que la nature de l'activité des FAI doit être prise en compte pour définir, par voie réglementaire, les caractéristiques techniques et fonctionnalités minimales.

En séance publique, un amendement a été adopté visant à soumettre l'adoption du décret à l'avis de la Commission nationale de l'informatique et des libertés (CNIL) . En effet, les dispositions adoptées par voie réglementaire doivent être proportionnées aux finalités envisagées et ne pas conduire à une collecte massive de données à caractère personnel.

IV. La commission considère que les exigences de gratuité et de qualité minimale imposées aux fournisseurs d'accès à Internet en matière de contrôle parental sont entièrement justifiées

Au regard des modifications votées par l'Assemblée nationale, la commission des affaires économiques du Sénat estime que ces modifications sont cohérentes avec l'objectif poursuivi de faciliter l'usage du contrôle parental sur les appareils connectés en France .

La commission soutient particulièrement les dispositions votées en séance publique visant à soumettre l'adoption des mesures réglementaires d'application à l'avis de la CNIL, un amendement visant à mieux encadrer l'utilisation des données à caractère personnel des personnes mineures ayant par ailleurs été adopté au Sénat.

La commission a adopté l'article sans modification.

Article 3 bis (nouveau)

Entrée en vigueur des dispositions de la proposition de loi

I. La proposition de loi est soumise à un régime de notification préalable à la Commission européenne

La présente proposition de loi se veut « pionnière », car elle imposerait aux fabricants d'équipements terminaux permettant d'accéder à Internet et aux fournisseurs de systèmes d'exploitation un standard en matière de contrôle parental que les opérateurs économiques souhaitant commercialiser leurs appareils connectés en France devront respecter.

Ainsi, cette proposition de loi est soumise à la procédure établie par la directive européenne du 9 septembre 2015 ^{33 ( * )} prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

Cette procédure de notification permet à la Commission européenne et aux autres États membres d'examiner, avant leur adoption, les règlements techniques que les États membres entendent adopter au niveau national concernant les produits et les services de la société de l'information.

Il s'agit de s'assurer que les textes envisagés sont compatibles avec la législation européenne et les principes qui s'appliquent au marché intérieur afin de détecter d'éventuels obstacles à la libre circulation au sein de ce marché.

Cette procédure permet également un dialogue entre les États membres pour identifier les besoins d'harmonisation des législations nationales au niveau de l'Union européenne (UE).

II. La commission des affaires économiques est favorable à une nouvelle notification à la Commission européenne afin de sécuriser juridiquement l'ensemble du dispositif envisagé

Le Gouvernement a notifié cette proposition de loi à la Commission européenne le 19 novembre 2021 ^{34 ( * )} , c'est-à-dire après son dépôt à l'Assemblée nationale, et avant son examen en première lecture à l'Assemblée nationale et au Sénat.

Or, la notification doit être faite à un moment où les grandes lignes du texte ont été définies , c'est-à-dire au moins après la première lecture dans chacune des deux chambres. En l'espèce, le texte notifié correspond à la rédaction initiale de la proposition de loi, sans prendre en compte les modifications apportées par le Parlement.

La commission des affaires économiques se montrera très attentive à ce que cette proposition de loi soit de nouveau notifiée par le Gouvernement à l'issue de son examen au Sénat.

La commission émet également des réserves quant à la compatibilité du dispositif envisagé avec le bon fonctionnement du marché intérieur . En effet, ce dernier pourrait conduire à imposer une obligation de certification à d'autres fabricants de l'UE et commercialisant leurs produits en France. Le dispositif pourrait également conduire à imposer une obligation de vérification à des distributeurs et prestataires de services d'exécution de commandes d'autres pays de l'UE et commercialisant leurs produits en France ^{35 ( * )} .

Par ailleurs, la mise sur le marché des équipements radioélectriques est principalement encadrée à l'échelle de l'UE par la « directive RED » du 16 avril 2014 ^{36 ( * )} , qui fixe des exigences essentielles que les fabricants doivent respecter. L'obligation d'installation par défaut d'un dispositif de contrôle parental pour commercialiser de tels équipements ne fait pas partie des exigences essentielles fixées par cette directive.

Si les États membres peuvent effectivement fixer des exigences supplémentaires, ces motifs sont exhaustivement énumérés, incluant par exemple la santé publique, et concernent la mise en service et l'utilisation des appareils radioélectriques, et non leurs conditions de mise sur le marché.

Dans ce contexte, la commission des affaires économiques demeure prudente et n'a pas obtenu de réponse satisfaisante quant à la compatibilité du dispositif proposé avec le bon fonctionnement du marché intérieur . C'est aussi pour cela que la commission est favorable à une nouvelle notification de cette proposition de loi afin d'obtenir une réponse de la Commission européenne sur le texte voté par le Parlement.

Sur ce point, la commission tient à préciser que par « réponse » de la Commission européenne, il peut être entendu une communication officielle de la Direction générale des entreprises (DGE) à l'attention de l'Assemblée nationale et du Sénat, précisant qu'aucune observation de la part de la Commission européenne ou des autres États membres n'a été transmise à l'issue de la période de statu quo .

Dans un contexte où les procédures de notification à la Commission européenne sont de plus en plus courantes et concernent de plus en plus de secteurs économiques, des précautions juridiques et rédactionnelles peuvent être prises afin de permettre l'adoption, au niveau national, d'un texte de loi, tout en conditionnant son application à la réponse de la Commission européenne. Par exemple, de telles précautions ont été prises dans le cadre de la loi de finances pour 2019 concernant le régime de notification applicable aux aides d'État ^{37 ( * )} , dans le cadre de la loi du 18 octobre 2021 visant à protéger la rémunération des agriculteurs concernant le régime de notification applicable en matière agricole ^{39 ( * )} , ou encore à l'issue de l'examen en première lecture au Sénat de la proposition de loi tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse ^{40 ( * )} .

Le présent article permet donc d'adopter la proposition de loi, mais de la sécuriser juridiquement, en conditionnant son application à la réponse de la Commission européenne attestant de sa conformité avec le droit de l'Union, au sens de la directive du 9 septembre 2015.

La commission a adopté cet article ainsi rédigé.

---

* ¹ Directive 2014/53/UE .

* ² Audition d'Apple du 19 janvier 2022.

* ³ Audition de Google du 14 janvier 2022.

* ⁴ Contribution écrite de Microsoft du 7 janvier 2022.

* ⁵ Contribution écrite à la suite de l'audition du S yndicat des éditeurs de logiciels de loisirs (SELL) du 17 janvier 2022.

* ⁶ Contribution écrite de Samsung du 24 janvier 2022 .

* ⁷ Sondage IFOP, « Les adolescents et le porno : vers une Génération YouPorn », 2018.

* ⁸ Plateforme « Je protège mon enfant ».

* ⁹ Contribution écrite à la suite de l'audition de la DGCS du 17 janvier 2022.

* ¹⁰ Contribution écrite conjointe à l'Arcep et à l'Arcom à la suite de leur audition respective des 12 et 17 janvier 2022.

* ¹¹ Audition de l'UNAF du 12 janvier 2022.

* ¹² Protocole d'engagements pour un usage raisonné et raisonnable des écrans chez les mineurs.

* ¹³ Article R*9 du code des postes et des communications électroniques.

* ¹⁴ Contributions écrites de l'ANFR et de l'Arcep à la suite de leur audition respective du 12 janvier 2022.

* ¹⁵ Ibid.

* ¹⁶ Ibid.

* ¹⁷ Contributions écrites de l'ANFR et de l'Arcep à la suite de leur audition respective du 12 janvier 2022.

* ¹⁸ Article R*9 du code des postes et des communications électroniques.

* ¹⁹ Ibid.

* ²⁰ Álvaro Feal, Paolo Calciati, Narseo Vallina-Rodriguez, Carmela Troncoso, and Alessandra Gorl, « Angel or Devil ? A Privacy Study of Mobile Parental Control Apps », 2020

* ²¹ Contribution écrite de la CNIL à la suite de l'audition du 17 janvier 2022.

* ²² Ordonnance n° 2020-1642 du 21 décembre 2020

* ²³ Contribution écrite de l'ANFR à la suite de l'audition du 12 janvier 2022.

* ²⁴ II de l'article L. 43 du code des postes et des communications électroniques.

* ²⁵ II bis de l'article L. 43 du code des postes et des communications électroniques.

* ²⁶ Article R. 20-21 du code des postes et des communications électroniques.

* ²⁷ II bis de l'article L. 43 du code des postes et des communications électroniques.

* ²⁸ Article R. 20-25 du code des postes et des communications électroniques.

* ²⁹ I, II et II bis de l'article L. 43 du code des postes et des communications électroniques.

* ³⁰ Contribution écrite de l'ANFR à la suite de l'audition du 12 janvier 2022.

* ³¹ Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique .

* ³² Contribution écrite de la Fédération française des télécoms à la suite de l'audition du 20 janvier 2022.

* ³³ Directive européenne 2015/15 35 du 9 septembre 2015 .

* ³⁴ Notification à la Commission européenne du 19 novembre 2021 .

* ³⁵ Contribution écrite de la Direction générale des entreprises du 17 janvier 2022.

* ³⁶ Directive 2014/53/UE .

* ³⁷³⁸ Articles 37, 56, 110, 118, 130, 138, 146 et 150 de la loi n° 2018-1317 du 28 décembre 2018 de finances pour 2019 .

* ³⁹ Article 13 de la loi n°2021-1357 du 18 octobre 2021 visant à protéger la rémunération des agriculteurs .

* ⁴⁰ Article 4 de la proposition de loi tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse . Par erreur, l'objet de l'amendement portant article additionnel a mentionné la « PPL Avia ».