III. LE ROYAUME-UNI
Le Royaume-Uni tente depuis plusieurs années de limiter, voire d'empêcher l'accès des enfants aux contenus pornographiques.
En 2016, le ministère du numérique, de la culture, des médias et des sports avait ouvert une consultation sur la mise en place d'un dispositif de vérification de l'âge sur Internet. Le résultat de cette consultation montrait que les avis étaient partagés, avec 44 % des répondants en faveur d'un tel dispositif et 48 % qui étaient défavorables.
Le gouvernement britannique a toutefois conclu que « ne rien faire » n'était pas une option et que la vérification de l'âge, bien que « n'étant pas une panacée » 54 ( * ) , serait introduite via le projet de loi sur l'économie numérique.
Votée en 2017, la partie de cette loi sur la vérification de l'âge pour l'accès aux contenus pornographiques en ligne n'est pas entrée en vigueur. Un nouveau projet de loi, répondant aux mêmes objectifs, est actuellement en cours de discussion au parlement britannique.
A. LA TENTATIVE D'ENCADREMENT PAR LA LOI SUR L'ÉCONOMIE NUMÉRIQUE
Le Royaume-Uni a adopté en 2017 la loi sur l'économie numérique (Digital Economy Act) 55 ( * ) , dont l'un des objectifs consistait à limiter l'accès à la pornographie en ligne. La partie concernée de cette loi n'est cependant jamais entrée en vigueur.
1. Les dispositions de la loi sur l'économie numérique
La troisième partie de la loi sur l'économie numérique impose l'obligation aux sites internet pornographiques commerciaux d'empêcher l'accès des mineurs.
Pour contrôler cette obligation, la loi institue un régulateur chargé de la vérification de l'âge (age-verification regulator) , désigné par le secrétaire d'État, après une procédure parlementaire de validation. Cette fonction peut également être occupée par plusieurs personnes conjointement.
Le régulateur a le pouvoir :
- d'exiger des informations de la part d'un fournisseur de contenu internet ou de toute personne que le régulateur estime être impliquée dans la mise à disposition de matériel pornographique sur Internet à des fins commerciales au Royaume-Uni ;
- d'imposer des pénalités financières s'il estime que quelqu'un contrevient ou a contrevenu aux dispositions ou n'a pas satisfait à une obligation de fournir des informations. Cette pénalité ne peut être imposée si la faute a cessé et au-delà d'un délai de trois ans après sa commission. Le montant de la pénalité est fixé par le régulateur au niveau qu'il estime approprié. Il ne peut cependant pas excéder 250 000 livres (plus de 295 000 euros) ou 5 % du chiffre d'affaires admissible de la personne, selon ce qui est le plus élevé ;
- de notifier une contravention aux prestataires de services en matière de paiement (à l'instar de PayPal) et aux prestataires de services annexes, si ce tiers intervient dans le transfert des fonds dans le cadre d'un paiement pour l'accès à du matériel pornographique ou à du matériel interdit mis à disposition sur Internet par la personne contrevenante ;
- d'ordonner aux fournisseurs de services internet de bloquer l'accès au matériel. L'avis émis doit (i) identifier la personne contrevenante, (ii) indiquer l'infraction commise, (iii) demander au fournisseur de services internet de prendre les mesures précisées dans l'avis ou de mettre en place des dispositions qui paraissent appropriées au fournisseur afin d'empêcher l'accès au matériel incriminé, (iv) fournir toute information susceptible d'aider le fournisseur d'accès à Internet à se conformer à l'avis, (v) fournir des informations sur les modalités de recours, (vi) fournir tout autre détail que le régulateur juge approprié. Le fournisseur d'accès doit se conformer à toute exigence qu'il reçoit de la part du régulateur. Ce dernier doit cependant, au préalable, informer le secrétaire d'État et la personne contrevenante dans un avis motivé.
2. Un dispositif jamais mis en application
Si la loi a reçu la sanction royale ( royal assent ) en avril 2017, la partie 3 n'a cependant pas réellement été mise en application.
En février 2018, le secrétaire d'État a désigné le British Board of Film Classification (BBFC) comme régulateur chargé de la vérification de l'âge. Dans l'exercice de ses fonctions, le BBFC était censé (i) émettre des notifications exigeant des informations de la part des fournisseurs d'accès à Internet ou de toute autre personne impliquée dans la mise à disposition de pornographie en ligne au Royaume-Uni, (ii) émettre des mises en demeure lorsqu'une personne a contrevenu aux dispositions de la loi, (iii) notifier les prestataires de services de paiement et les prestataires de services auxiliaires lorsqu'une personne a enfreint les dispositions de la loi ou mis en ligne du matériel pornographique extrême au Royaume-Uni, (iv) émettre des mises en demeure aux fournisseurs d'accès à Internet leur demandant de bloquer l'accès lorsqu'une personne a enfreint les dispositions de la loi ou rendu du matériel pornographique extrême disponible en ligne au Royaume-Uni, (v) publier un rapport sur l'impact et l'efficacité de la vérification de l'âge et (vi) publier des lignes directrices sur les dispositifs de vérification de l'âge.
Le BBFC a ainsi publié en octobre 2018 des lignes directrices en matière de vérification de l'âge, dans lesquelles il énonçait les critères d'évaluation de la conformité aux exigences de la loi de 2017. Dans ces lignes directrices, le BBFC indiquait qu'il comptait adopter une « approche réglementaire proportionnée » . Il précisait également, s'agissant des normes en matière de vérification de l'âge, qu' « une gamme de solutions pour vérifier l'âge en ligne est actuellement disponible sur les services de pornographie hébergés au Royaume-Uni. Ces solutions s'appuient sur de nombreux ensembles de données, notamment la vérification de l'âge des cartes de crédit, des passeports, des permis de conduire et des téléphones portables. La vérification de l'âge est le plus souvent fournie par des prestataires tiers » 56 ( * ) .
Le BBFC précisait également les critères à partir desquels il examinerait si un dispositif de vérification de l'âge était conforme aux dispositions de la loi de 2017, à savoir :
- l'existence d'un mécanisme de contrôle efficace vérifiant que l'utilisateur final est âgé de 18 ans ou plus au moment de l'inscription ou de l'accès au contenu pornographique ;
- l'utilisation de données pour vérifier l'âge qui ne peuvent ni être raisonnablement connues d'une autre personne sans vol ou utilisation frauduleuse de données ou de documents, ni facilement obtenues ou prédites par une autre personne ;
- l'exigence selon laquelle chaque visite ou accès est subordonné à des contrôles, tels qu'un mot de passe ou des numéros d'identification personnels, et qu'un utilisateur doit être déconnecté par défaut, à moins qu'il ne demande à ce que ses informations de connexion soient mémorisées ;
- la présence de mesures qui authentifient les données de vérification de l'âge et de mesures efficaces pour empêcher l'utilisation par des robots ou algorithmes.
À l'inverse, ne sont pas suffisantes les mesures suivantes, prises isolément : (i) compter uniquement sur l'utilisateur pour confirmer son âge sans recouper les informations, par exemple en utilisant un système de case à cocher ou en demandant à l'utilisateur de saisir sa date de naissance, (ii) utiliser une clause de non-responsabilité générale telle que « toute personne utilisant ce site Web sera considérée comme ayant plus de 18 ans », (iii) accepter la vérification de l'âge par l'utilisation de méthodes de paiement en ligne qui ne requièrent pas que l'utilisateur ait plus de 18 ans et (iv) vérifier avec des informations facilement accessibles au public ou facilement connues telles que le nom, l'adresse et la date de naissance.
Les dispositions relatives à la vérification de l'âge devaient entrer en vigueur le 15 juillet 2019. Toutefois, en juin 2019, le gouvernement britannique a tout d'abord annoncé que la mise en oeuvre de cette partie de la loi serait retardée d'environ six mois, en raison d'un défaut d'information à la Commission européenne. En octobre 2019, le gouvernement a finalement indiqué que la partie 3 n'entrerait pas en vigueur mais que les objectifs de la loi seraient atteints via de nouvelles propositions du gouvernement pour lutter contre les nuisances en ligne 57 ( * ) .
B. UNE NOUVELLE RÉPONSE EN COURS D'ÉLABORATION
Après avoir annoncé que la partie 3 de la loi sur l'économie numérique n'entrerait pas en vigueur, le gouvernement a fait part de son intention de l'abroger en octobre 2020. En parallèle, un autre dispositif-cadre a été imaginé, à la suite de la publication d'un livre blanc sur les nuisances en ligne (online harms white paper) .
1. Le livre blanc sur les nuisances en ligne
Le livre blanc sur les nuisances en ligne répond à l'ambition de faire du Royaume-Uni « l'endroit le plus sûr au monde pour aller sur Internet » et présente les mesures envisagées par le gouvernement britannique en matière de sécurité en ligne. Ce paquet regroupe des mesures législatives et non législatives afin de rendre les entreprises plus responsables de la sécurité de leurs utilisateurs en ligne, en particulier les enfants et autres groupes vulnérables.
Le livre blanc propose d'inscrire dans la loi un nouveau devoir de vigilance envers les usagers, qui sera supervisé par un régulateur indépendant. Les entreprises seront tenues responsables de la lutte contre un ensemble complet de préjudices en ligne, allant des activités et contenus illégaux aux comportements nuisibles mais pas nécessairement illégaux.
Une consultation publique a été ouverte entre avril et juillet 2019 pour recueillir les points de vue sur divers aspects de ce plan, notamment concernant (i) les services en ligne qui entreraient dans le champ d'application, (ii) les options offertes en matière de nomination d'un organisme indépendant pour mettre en oeuvre, superviser et faire respecter le nouveau cadre réglementaire, (iii) les pouvoirs dont disposerait un tel organisme, (iv) les mécanismes de recours ouverts aux utilisateurs et (v) les mesures visant à garantir que le dispositif est ciblé et proportionné.
Dans sa réponse à la consultation publique, le gouvernement britannique a indiqué que :
- sont notamment concernées « les catégories de contenus et d'activités préjudiciables affectant les enfants, telles que la pornographie ou les contenus violents » 58 ( * ) ;
- le dispositif a vocation à être le plus complet possible pour protéger les enfants. En particulier, il reprendra les objectifs de la partie 3 de la loi sur l'économie numérique pour protéger les enfants contre l'accès à la pornographie en ligne, mais aussi contre un éventail plus large de contenus préjudiciables et inappropriés pour leur âge. Les entreprises visées devront évaluer la probabilité que les enfants accèdent à leurs services ;
- seuls les services susceptibles d'être accessibles aux enfants devront se doter de protections supplémentaires. Cette approche est celle adoptée dans l' Age Appropriate Design Code59 ( * ), qui oblige les entreprises à appliquer les 15 normes du code pour la protection des données personnelles des enfants, lorsqu'elles ont évalué que les enfants sont « susceptibles d'accéder » à leur service ;
- l'Office des communications (OFCOM) sera l'autorité de régulation en charge des contenus nuisibles sur Internet.
La réponse du gouvernement à la consultation publique précise que « le cadre réglementaire créera une obligation légale, pour les entreprises exploitant des services susceptibles d'être accessibles aux enfants, de fournir un niveau de protection plus élevé pour les enfants, de prendre des mesures raisonnables pour les empêcher d'accéder à des contenus inappropriés pour leur âge ou préjudiciables, et pour les protéger d'autres activités nuisibles. Cela comprend le fait d'être la cible de délinquants (par exemple, dans les cas d'exploitation sexuelle et d'abus d'enfants). L'approche différenciée met l'accent sur la sécurité des enfants en ligne. Toutes les entreprises visées seront tenues d'évaluer si leur service est susceptible d'être utilisé par des enfants et, le cas échéant, de prendre des mesures pour les protéger. (...) Le gouvernement s'attend à ce que le régulateur accorde la priorité à la protection des enfants dans son approche des mesures d'application » 60 ( * ) .
Le nouveau dispositif législatif fait partie du projet de loi sur la sécurité en ligne, déposé le 17 mars 2022 devant le parlement 61 ( * ) .
2. Le projet de loi sur la sécurité en ligne
À la suite des conclusions du livre blanc, un texte sur la sécurité en ligne a été publié en mai 2021 sous la forme d'un avant-projet. Un comité mixte de députés et de pairs a été créé en juillet 2021 pour effectuer un examen pré-législatif. Ce comité mixte a entendu plus de 50 témoins et a reçu plus de 200 pièces écrites, puis a publié un rapport et des recommandations en décembre 2021. En réponse, le gouvernement a modifié l'avant-projet de loi puis a déposé le projet ainsi modifié le 17 mars 2022. Ce texte est actuellement en cours de discussion à la chambre des Communes.
Dans sa version actuelle, ce projet de loi propose d'imposer des obligations (duties) aux fournisseurs de services internet ou de moteurs de recherche en matière de contenu illégal, de contenu préjudiciable aux enfants et de contenu légal mais préjudiciable aux adultes. Tous les services devraient protéger les utilisateurs contre les contenus illégaux, avec des devoirs supplémentaires pour les services susceptibles d'être accessibles aux enfants, dans la mesure où ils ont un lien avec le Royaume-Uni. Tous les services fournissant du contenu pornographique auraient le devoir d'empêcher les enfants d'accéder à ce matériel (par exemple, par la vérification de l'âge).
Outre l'objectif général selon lequel les fournisseurs de contenus pornographiques en ligne ont l'obligation de veiller à ce que les enfants ne soient « normalement pas en mesure de rencontrer » ce contenu (par exemple en utilisant la vérification de l'âge), il y aurait également une obligation « d'établir et de conserver une trace écrite sous une forme facilement compréhensible » (i) des mesures prises et des politiques mises en oeuvre pour se conformer à l'obligation de non-accessibilité et (ii) de la manière dont le fournisseur, lorsqu'il a décidé et mis en oeuvre les mesures et politiques nécessaires, a tenu compte de l'importance de protéger les utilisateurs du Royaume-Uni contre une violation de toute disposition légale ou règle de droit concernant la confidentialité.
L'OFCOM serait chargée de publier des lignes directrices sur la manière de se conformer à ces obligations. L'OFCOM sera également dotée de pouvoirs d'exécution lui permettant d'infliger des amendes pouvant atteindre 18 millions de livres (21,2 millions d'euros) ou 10 % du chiffre d'affaires mondial de l'entreprise (selon le montant le plus élevé), ainsi que des mesures de restriction des activités après demande auprès d'un tribunal.
* 54 https://researchbriefings.files.parliament.uk/documents/CBP-8551/CBP-8551.pdf
* 55 https://www.legislation.gov.uk/ukpga/2017/30/contents
* 56 https://researchbriefings.files.parliament.uk/documents/CBP-8551/CBP-8551.pdf
* 57 https://questions-statements.parliament.uk/written-statements/detail/2019-10-16/HCWS13
* 58 https://www.gov.uk/government/consultations/online-harms-white-paper/outcome/online-harms-white-paper-full-government-response
* 59 https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-code/
* 60 https://www.gov.uk/government/consultations/online-harms-white-paper/outcome/online-harms-white-paper-full-government-response
* 61 https://bills.parliament.uk/bills/3137