Sécuriser et réguler l'espace numérique

TEXTE SOUMIS À LA DÉLIBÉRATION

DU CONSEIL DES MINISTRES

ÉTUDE D'IMPACT

PROJET DE LOI

visant à sécuriser et réguler l'espace numérique

NOR : ECOI2309270L/Bleue-1

9 mai 2023

TABLE DES MATIÈRES

INTRODUCTION GÉNÉRALE 6

TABLEAU SYNOPTIQUE DES CONSULTATIONS 8

TABLEAU SYNOPTIQUE DES MESURES D'APPLICATION 12

TABLEAU D'INDICATEURS 17

TITRE I - PROTECTION DES MINEURS EN LIGNE 21

CHAPITRE I^ER - PROTECTION DES MINEURS EN LIGNE 21

SECTION 1 - RENFORCEMENT DES POUVOIRS DE L'AUTORITÉ DE RÉGULATION DE LA COMMUNICATION AUDIOVISUELLE ET NUMÉRIQUE EN MATIÈRE DE PROTECTION EN LIGNE DES MINEURS 21

Article 1^er - Recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l'accès aux sites pornographiques 21

Article 2 - Pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) 39

SECTION 2 - PÉNALISATION DU DÉFAUT D'EXÉCUTION EN VINGT-QUATRE HEURES D'UNE DEMANDE DE L'AUTORITÉ ADMINISTRATIVE DE RETRAIT DE CONTENU PÉDOPORNOGRAPHIQUE 54

Article 3 - Sanction pénale pour défaut d'exécution d'une demande de retrait de contenu pédopornographique 54

Article 4 - Protection des citoyens contre les vecteurs de propagande étrangère manifestement destinés à la désinformation et à l'ingérence 64

Article 5 - Peine complémentaire de suspension de l'accès à un service de plateforme en ligne 74

Article 6 - Déploiement d'un filtre national de cybersécurité grand public 84

TITRE III - RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE 102

CHAPITRE I^ER - PRATIQUES COMMERCIALES DÉLOYALES ENTRE ENTREPRISES SUR LE MARCHÉ DE L'INFORMATIQUE EN NUAGE 102

Article 7 - Encadrement des frais de transfert et des crédits d'informatique en nuage 102

I- Encadrement des crédits d'informatique en nuage 102

II- Interdiction des frais de transfert 118

CHAPITRE II - INTEROPÉRABILITÉ ET PORTABILITÉ DES SERVICES D'INFORMATIQUES EN NUAGE 133

Articles 8, 9 et 10 - Obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage 133

CHAPITRE III - RÉGULATION DES SERVICES D'INTERMÉDIATION DE DONNÉES 150

Articles 11, 12, 13 et 14 - Désignation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse comme autorité compétente pour la supervision des prestataires de services d'intermédiation de données 150

TITRE IV - ASSURER LE DÉVELOPPEMENT EN FRANCE DE L'ÉCONOMIE DES OBJETS DE JEU NUMÉRIQUES MONÉTISABLES DANS UN CADRE PROTECTEUR 159

Article 15 - Article d'habilitation à légiférer par voie d'ordonnance afin de définir les jeux à objets numériques monétisables (JONUM), leurs conditions d'exploitation et fixer le cadre de régulation de ces jeux 160

TITRE V - PERMETTRE À L'ETAT D'ANALYSER PLUS EFFICACEMENT L'ÉVOLUTION DES MARCHÉS NUMÉRIQUES 166

Article 16 - Élargissement des pouvoirs de collecte des données par le Pôle d'Expertise de la Régulation du Numérique (PEReN) pour des activités de recherche publique 166

Article 17 - Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme 178

TITRE VI - RENFORCER LA GOUVERNANCE DE LA RÉGULATION NUMÉRIQUE 202

Article 18 - Coopération du coordinateur pour les services numériques avec le Pôle d'expertise de la régulation numérique 202

TITRE VII - CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L'EXERCICE DE LEUR FONCTION JURIDICTIONNELLE 210

Articles 19, 20, 21- Création des autorités de contrôle RGPD pour l'ordre administratif et pour l'ordre judiciaire 210

TITRE VIII - ADAPTATIONS DU DROIT NATIONAL 220

CHAPITRE I^ER - MESURES D'ADAPTATIONS DE LA LOI N° 2004-575 DU 21 JUIN 2004 POUR LA CONFIANCE DANS L'ÉCONOMIE NUMÉRIQUE 220

Articles 22, 23, 24 et 25 - Adaptations de la loi pour la confiance dans l'économie numérique 220

CHAPITRE II - MODIFICATION DU CODE DE LA CONSOMMATION 240

Article 26 - Mesures d'adaptation du code de la consommation 240

CHAPITRE III - MODIFICATION DU CODE DU COMMERCE 255

Article 27 - Mesures d'adaptation du code du commerce 255

CHAPITRES IV, V, VI, VIII ET IX 268

Articles 28, 29, 30, 33, 34 : Mesures d'adaptations de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, du code électoral, de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques, de la loi n° 2017-261 du 1^er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal 268

CHAPITRE VII - MESURES D'ADAPTATIONS DE LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS 288

Articles 31 et 32 - Mesures d'adaptations de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés 288

CHAPITRE X - DISPOSITIONS TRANSITOIRES ET FINALES 303

Article 35 - Application outre-mer 303

INTRODUCTION GÉNÉRALE

La transition numérique de notre société, de nos usages, de nos tissus économiques et industriels représente à la fois un bouleversement profond de nos anciens modèles et un puissant levier vers de nouvelles voies de progrès et de performances. Face à cette mutation, le rôle de l'Etat est tout autant de stimuler et d'accompagner cette transition que de veiller à la protection des citoyens, de nos valeurs communes et des principes cardinaux de notre contrat social.

L'adoption dans l'Union européenne des deux règlements sur les services et marchés numériques (DSA^1(*) et DMA^2(*)) et du règlement sur la gouvernance des données (DGA)^3(*) constitue une première étape fondamentale. L'Europe est le premier continent à poser une approche inédite et un cadre structurant pour régir l'activité et les impacts des services et des marchés numériques sur son territoire dans le respect et la fidélité à ses valeurs collectives.

Le succès de notre transition numérique collective, tant pour les citoyens, les entreprises ou les services publics, dépend en priorité de notre capacité à créer les conditions d'un environnement numérique propice à la confiance, à la loyauté et à l'équité de l'économie et des échanges sociétaux sur ces nouvelles interfaces technologiques.

Le projet de loi visant à « sécuriser et réguler l'espace numérique » adapte le droit national afin de prendre en compte et assurer la pleine effectivité des règlements européens dans un objectif de gain de clarté et de lisibilité, et comporte des mesures supplémentaires. Celles-ci se structurent autour de trois piliers essentiels :

- La protection de l'enfance en ligne : la littérature académique, notamment le rapport de l'Académie Nationale de Médecine, ainsi que le rapport sénatorial sur l'industrie de la pornographie^4(*) établissent précisément que l'exposition des mineurs aux contenus pornographiques disponibles en ligne entraîne des risques psychologiques et psychopathologiques graves. Le projet de loi traite cette problématique à la source, dans son titre I, avec deux mesures visant à lutter contre l'exposition concrète des mineurs, (i) en opérationnalisant l'obligation de vérification de l'âge pour l'accès aux sites pornographiques et (ii) en donnant à l'Arcom un pouvoir de blocage et de sanction.

- La protection des citoyens dans l'environnement numérique : l'objectif de sécurisation de l'espace numérique englobe tous les citoyens mineurs comme majeurs. A cet effet, le titre II répond directement à deux enjeux du quotidien sur Internet que sont le cyberharcèlement et les arnaques en ligne avec pour le premier (i) une sanction visant les agissements graves de cyberharcèlement et de haine en ligne et pour le second (ii) le déploiement d'un filtre national de cybersécurité à destination du grand public pour avertir d'un risque avéré d'arnaque.

- Le renforcement de la confiance, la souveraineté et la concurrence dans l'économie de la donnée : le secteur du cloud reste un marché dominé par un nombre réduit d'acteurs qui entretiennent des pratiques d'enfermement concurrentiel. Le titre III rassemble les mesures destinées à renforcer la concurrence et la contestabilité des marchés dans l'économie des données. Afin d'assurer l'indépendance des entreprises nationales et de favoriser l'attractivité de l'offre cloud française grâce à un marché plus concurrentiel, trois mesures ont été identifiées : (i) en amont de la signature des contrats en régulant les offres promotionnelles, (ii) en aval en empêchant l'application de frais de sortie prohibitifs et (iii) enfin en favorisant l'interopérabilité entre les services cloud pour développer les solutions hybrides multi-clouds permettant le développement des solutions françaises.

Ensuite, sont exposés les moyens conférés à l'Etat pour assurer le développement en France de l'économie des objets de jeu numériques monétisables (titre IV) et analyser plus efficacement l'évolution des marchés numériques (titre V). A cela s'ajoute le renforcement de la gouvernance de la régulation du numérique, notamment en consolidant les capacités du Coordinateur des services numériques (titre VI). Le titre VII porte les adaptations relatives au contrôle des opérations de traitement de données à caractère personnel effectués par les juridictions dans l'exercice de leur fonction juridictionnelle. L'ensemble des mesures d'adaptation nécessaires sont précisées au titre VIII ; elles alignent les différents corpus législatifs nationaux avec le nouveau cadre établi par les règlements européens sur les services et marchés numériques, ainsi que sur la gouvernance des données, dans un objectif de gain de clarté et de lisibilité. Enfin, les dispositions transitoires et finales de mise en oeuvre de ces articles sont précisées au même titre VIII.

TITRE I - PROTECTION DES MINEURS EN LIGNE

1. ÉTAT DES LIEUX

L'exposition des mineurs aux contenus pornographiques disponibles en ligne pose des risques psychologiques et psychopathologiques graves (voir par exemple, le rapport de l'Académie Nationale de Médecine « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations »^5(*)). Or, une étude Ifop parue en avril 2022 a indiqué que 53 % des adolescents français de 15 à 17 ans ont déjà été exposés à de la pornographie en ligne, en moyenne au cours des derniers 25 jours, dont 41 % en se rendant sur des sites dédiés^6(*). En 2017, l'âge moyen de premier visionnage d'une vidéo pornographique se situait autour de 14 ans et les garçons seraient majoritairement exposés^7(*). L'essentiel de cette consommation s'effectue via des sites gratuits et plus de la moitié des jeunes jugent avoir été exposés trop jeunes à leur premier visionnage^8(*). De ce fait, une crainte croissante et une perte de confiance touchent les parents qui ne considèrent plus l'espace en ligne comme sécurisé pour leurs enfants.

Schéma n° 1 : Taux d'exposition à des images pornographiques en fonction de l'âge et du sexe

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, Sondage Opinionway 2018.

En France, le dispositif législatif actuel encadre pourtant déjà en partie la vérification de l'âge par les sites présentant du contenu à caractère pornographique :

- L' article 227-24 du code pénal interdit la fabrication, le transport et la diffusion, par quelque moyen que ce soit et quel qu'en soit le support, ainsi que le commerce, de tout message « à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Ces infractions sont punies de trois ans d'emprisonnement et de 75 000 euros d'amende.

- Depuis la l oi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, l'article 227-24 du code pénal relatif à l'infraction de diffusion à des mineurs de messages notamment pornographiques ou violents précise que l'infraction est constituée, « y compris si l'accès d'un mineur aux messages [...] résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans ». L'article 23 de la loi du 30 juillet 2020 permet au président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), lorsqu'il constate qu'un site ne respecte pas l'interdiction prévue à l'article 227-24 du code pénal, d'enjoindre au site concerné de prendre toute mesure pour bloquer l'accès aux contenus pornographiques pour les utilisateurs mineurs. En cas d'inexécution de l'injonction dans un délai de 15 jours, et si les contenus litigieux restent accessibles aux mineurs, le président de l'Arcom peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner, selon la procédure accélérée au fond, que les fournisseurs d'accès à Internet bloquent l'accès au service. Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique précise que le président de l'Arcom tient compte dans son appréciation du niveau de fiabilité du procédé technique mis en place par le site pour s'assurer que les utilisateurs souhaitant accéder au service sont majeurs. Il prévoit en outre que l'Arcom peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques. Ces dernières n'ont toutefois pas encore été élaborées.

Les éditeurs des services diffusant un contenu pornographique ont ainsi l'obligation de mettre en place un dispositif de vérification d'âge efficace pour s'assurer que les contenus ne sont pas accessibles aux mineurs et ne peuvent donc plus se contenter d'une réponse positive à la simple question « Avez-vous plus de 18 ans ? ». Or, cette pratique de vérification reste majoritaire chez les éditeurs de sites à contenus pornographiques (cf. exemples présentés dans le schéma n°2).

Schéma n° 2 : Fenêtre d'accueil au moment de l'accès à des sites pornographiques

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, vérifications de la délégation en juillet 2022

La loi du 30 juillet 2020 ne fournit pas de prescriptions spécifiques sur les fonctionnalités et exigences techniques requises sur les systèmes de vérification d'âge employés par les éditeurs de sites à contenus pornographiques. Cette dernière a ainsi été contestée par des opérateurs de sites à contenu pornographique qui, après une assignation de l'Arcom, ont transmis une question prioritaire de constitutionnalité (QPC) sur la conformité de l'article 23 de la loi n°2020-936 de 2020 et de l'article 227-24 du code pénal aux principes de légalité des délits et des peines et de la liberté d'expression et de communication, en arguant de leur imprécision et par suite, de leur inopposabilité, en raison de l'absence de prescriptions définies. La Cour de cassation, par sa décision rendue le 5 janvier 2023^9(*), a estimé qu'il n'y avait pas lieu de transmettre au Conseil constitutionnel la QPC, indiquant que les termes de loi de 2020 étaient « suffisamment clairs et précis pour exclure tout risque d'arbitraire ». Enfin, elle affirme qu'imposer de recourir à un dispositif de vérification de l'âge autre qu'une simple déclaration de majorité, pour accéder à du contenu pornographique, porte une atteinte à la liberté d'expression « nécessaire, adapté et proportionné à l'objectif de protection des mineurs ».

Bien que la Cour de cassation reconnaisse l'opposabilité de la loi, il est proposé d'introduire une disposition législative visant à mandater expressément l'Arcom pour élaborer, après consultation de la Commission nationale de l'informatique et des libertés (CNIL) un référentiel contraignant établissant des exigences techniques en matière de fiabilité du contrôle de l'âge des utilisateurs et de respect de leur vie privée auxquels devront répondre les dispositifs de vérification de l'âge mis en place par les sites pornographiques. Le non-respect de ce référentiel entrainerait une sanction administrative pour l'acteur concerné.

S'agissant de la protection de la vie privée des utilisateurs, afin de permettre un contrôle efficace tout en évitant que les plateformes ne recueillent plus de données personnelles, la CNIL et le PEReN ont préconisé l'utilisation d'une solution de double anonymat : ce mécanisme permet d'empêcher le tiers de confiance vérificateur d'identifier le site ou l'application à l'origine d'une demande de vérification et de faire obstacle à la transmission au site ou à l'application proposant des contenus, de données d'identification relatives à l'utilisateur concerné. Ainsi, aucun prestataire n'a à la fois accès aux données d'identification de l'utilisateur et aux données relatives aux sites consultés en ligne. Des travaux d'expérimentation sont en cours entre la CNIL et le PEReN sur le développement d'une solution de double anonymat.

Schéma n° 3 : Principe du mécanisme de double anonymat avec extension de navigateur

Source : PeRen, rapport, Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ?, mai 2022.

D'autres systèmes de vérifications ont également été examinés par le PEReN mais n'offraient pas les garanties nécessaires en matière d'efficacité (tels que l'auto-déclaration), de protection des données personnelles (tels que le profilage basé sur le contenu publié par l'utilisateur) ou encore de contraintes imposées aux utilisateurs (tels que le contrôle par un bureau de tabac).

Schéma n°4 : Analyse résumée des solutions de vérifications de l'âge

Source : PeRen, rapport, Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ?, mai 2022.

Le recours à un dispositif de double anonymat devrait répondre aux exigences techniques prévues dans les recommandations de l'Arcom en matière de respect de la vie privée.

Afin de s'assurer de la mise en oeuvre effective de ce référentiel par les acteurs, l'Arcom pourra sanctionner, après une mise en demeure, les éditeurs de sites à contenus pornographiques qui ne s'y conforment pas. La sanction administrative ne pourra excéder 75 000 euros ou 1 % du chiffre d'affaires mondial, voire 150 000 euros ou 2 % du chiffre d'affaires mondial en cas de réitération.

La délégation aux droits des femmes du Sénat a recommandé une mesure similaire dans son rapport publié le 27 septembre 2022, qui vise à analyser des principaux contenus pornographiques en ligne aujourd'hui et souligne la consommation massive, banalisée et toxique, chez les enfants et adolescents. Ce rapport invite le gouvernement à « faire de la lutte contre les violences pornographiques et leurs conséquences une priorité de politique publique et pénale »^10(*).

Concernant les différents moyens qui pourraient être avancés lors de l'examen de la constitutionnalité du présent article :

Ø Sur la possibilité de confier à l'Arcom un pouvoir de sanction

Le Conseil constitutionnel juge qu'il est loisible au législateur de charger une autorité administrative indépendante de veiller au respect des principes constitutionnels en matière de communication audiovisuelle et, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, de doter cette autorité indépendante de pouvoirs de sanction dans la limite nécessaire à l'accomplissement de sa mission^11(*).

Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction, dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice de ce pouvoir de sanction est assorti par la loi de mesures destinées à assurer les droits et libertés constitutionnellement garantis. En particulier doivent être respectés les principes de la nécessité et de la légalité des peines, ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle.^12(*)

Ainsi que le souligne le rapport sénatorial sur l'industrie de la pornographie, l'Arcom dispose déjà d'importants pouvoirs de sanctions en matière de lutte contre la haine en ligne. Introduites dans le droit positif par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, ces dispositions permettent à l'Arcom de mettre un opérateur en demeure de se conformer aux obligations découlant de l'article 6-4 de la loi n° 2004-575 du 21 juin 2004 et de répondre aux demandes d'informations qu'il lui a adressées^13(*). Si l'opérateur ne se conforme pas à la mise en demeure qui lui est adressée, l'Arcom peut prononcer une sanction pécuniaire, adaptée à la gravité des manquements et, le cas échéant, à leur caractère réitéré, sans pouvoir excéder 20 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Le Conseil d'Etat, saisi pour avis de la proposition de loi devenue la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet (dite loi Avia), préconisait de restreindre le pouvoir de sanction du Conseil supérieur de l'audiovisuel (CSA) à « l'attitude systémique non coopérative de l'opérateur, après prise en compte des moyens qu'il met en oeuvre pour prévenir la diffusion des contenus odieux manifestement illicites et la faire cesser ». Lors du prononcé d'une sanction, le Conseil d'Etat recommandait au CSA de tenir compte de comportements répétés de refus de retrait ou de retraits timorés, pusillanimes, ou au contraire excessifs. Enfin, si le montant maximal de la sanction fixé à 4% du chiffre d'affaires ne posait pas de difficulté, le législateur devrait préciser explicitement que le montant de la sanction tiendra compte de la gravité des manquements commis et de leur éventuelle réitération^14(*).

La mesure proposée par le gouvernement prévoit bien que le montant de la sanction administrative qui sera prononcée par l'Arcom lorsqu'un éditeur ne se conforme pas à la mise en demeure prenne en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment. En outre, une gradation est bien prévue en cas de récidive : la sanction administrative ne pourra excéder 75 000 euros ou 1 % du chiffre d'affaires mondial, voire 150 000 euros ou 2 % du chiffre d'affaires en cas de réitération.

Ø Sur le cumul des sanctions administratives et pénales et le principe non bis in idem

L'article 227-24 du code pénal sanctionne de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de donner accès à des mineurs à des contenus pornographiques (ainsi qu'à des contenus violents, etc.). En parallèle, la proposition faite au présent article est que l'Arcom édicte un « référentiel » obligatoire relatif aux mesures que doivent prendre les sites pornographiques en matière de contrôle d'accès, qui doivent garantir la fiabilité du contrôle de l'âge des utilisateurs (et donc indirectement la conformité à l'article 227-24 du code pénal), mais aussi offrir des garanties de respect de la vie privée. L'Arcom peut mettre en demeure un site de se conformer à ce référentiel, et à défaut de mise en conformité, elle pourra prononcer une sanction administrative : le montant plafond de la sanction administrative envisagé est de 1% du chiffre d'affaires mondial ou 75 000 euros. Ce cumul de sanctions pourrait poser question au vu de l'interdiction du cumul de poursuites de nature similaire (non bis in idem).

S'agissant du cumul des sanctions, le Conseil constitutionnel juge « que, si l'éventualité d'une double procédure peut ainsi conduire à un cumul de sanctions, le principe de proportionnalité implique, qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ». Il appartient aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence.

Il découle du principe de nécessité des délits et des peines, tiré de l'article 8 de la DDHC, « qu'une même personne ne peut faire l'objet de plusieurs poursuites tendant à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux »^15(*). Pour éviter le cumul des poursuites de nature similaire l'un des critères ci-dessous doit être rempli :

En premier lieu, s'agissant du critère des mêmes faits qualifiés de manière identique, il convient de relever que le référentiel édicté par l'Arcom aura des composantes distinctes : d'une part, la fiabilité du contrôle d'âge, comme l'article 227-24 du code pénal, et d'autre part, le respect de la vie privée des utilisateurs. Ce prisme « vie privée » est absent de l'article 227-24 du code pénal, de sorte qu'un site pourrait assurer sa conformité à la disposition pénale tout en portant atteinte au droit au respect de la vie privée de ses utilisateurs.

En outre, le juge apprécie le critère relatif à la nature des sanctions en comparant les différentes sanctions encourues puis en tenant compte, si nécessaire, de leur sévérité. Il a ainsi considéré que ne peuvent être regardées comme des sanctions de nature différente la sanction pénale pour délit d'initié et la sanction administrative pour manquement d'initié alors que la sanction pénale comprenait une peine de deux ans d'emprisonnement et une amende de 1 500 000 euros. En effet, les pénalités financières infligées en cas de manquement d'initié présentaient une « très grande sévérité »^16(*). La sanction administrative proposée par le gouvernement en cas de non-respect du référentiel de l'Arcom par les éditeurs de sites à contenus pornographiques ne peut excéder 75 000 euros ou 1 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 150 000 euros ou 2 % du chiffre d'affaires mondial hors taxes. Ce montant de sanction administrative apparait suffisamment faible, par comparaison avec les trois ans d'emprisonnement prévus à l'article 227-24 du code pénal, pour considérer que les deux sanctions sont de nature différente.

Au regard de cette grille d'analyse, il apparait que la sanction administrative proposée en cas de non-respect du référentiel de l'Arcom et la sanction pénale prévue à l'article 227-24 du code pénal sont susceptibles de pouvoir se cumuler sans risque d'atteinte à la règle non bis in idem.

Ø S'agissant de la liberté d'entreprendre

En premier lieu, l'appréciation de la proportionnalité de cette disposition avec la liberté d'entreprendre appelle plusieurs observations. La liberté d'entreprendre n'étant pas une liberté constitutionnelle absolue, le contrôle du Conseil constitutionnel porte avant tout sur le caractère proportionné des atteintes au regard de l'objectif d'intérêt général poursuivi : « considérant qu'il est loisible au législateur d'apporter à la liberté d'entreprendre, qui découle de l'article 4 de la Déclaration des droits de l'homme et du citoyen de 1789, des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi »^17(*). Or, l'objectif poursuivi ici est la protection de l'intérêt supérieur de l'enfant, principe constitutionnel du Préambule de la Constitution de 1946 dont le Conseil constitutionnel doit garantir le respect^18(*).

En outre, imposer aux éditeurs de sites à contenus pornographiques de mettre en place un dispositif de contrôle de l'âge apparaît proportionnée notamment au regard des éléments suivants :

- la palette d'offres sur les outils de vérification d'âge ne cesse de s'accroître ;

- les contraintes afférentes à une solution de vérification de l'âge sont technologiquement maîtrisables par les opérateurs de sites à contenu pornographique qui pourront aisément faire appel à des services externes spécialisés dans ces technologies ;

- les performances économiques des sites à contenu pornographique.

Ø S'agissant de la liberté d'expression

Comme indiqué supra, dans sa décision rendue en première chambre civile le 5 janvier 2023^19(*), la Cour de cassation a rappelé que l'atteinte à la liberté d'expression induite par l'obligation de recourir à un dispositif de vérification de l'âge autre qu'une simple déclaration de majorité, pour accéder à du contenu pornographique, était « nécessaire, adapté et proportionné à l'objectif de protection des mineurs ». Le projet du gouvernement s'inscrit dans la poursuite de cet objectif tout en ajoutant une dimension complémentaire de protection de la vie privée de l'ensemble des utilisateurs des sites pornographiques. En ce sens, toute atteinte à la liberté d'expression induite par cette proposition paraît également nécessaire, adaptée et proportionnée à la poursuite de ces deux objectifs d'intérêt général.

En conclusion, le présent article ne présente pas de risque de contrariété avec une règle ou norme à valeur constitutionnelle.

La directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (dite directive « e-commerce ») a pour objet d'établir un cadre général pour couvrir certains aspects juridiques du commerce électronique dans le marché intérieur. A cette fin, cette directive énonce notamment des règles relatives aux obligations imposées aux fournisseurs de services en ligne en matière de communications commerciales ou encore en matière de contrats conclus par voie électronique. Elle prévoit notamment que les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre (principe du pays d'origine, PPO).

Néanmoins le PPO admet des dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive. Elle est soumise à deux conditions : d'une part, la mesure nationale doit être nécessaire à l'ordre public (la protection des mineurs est explicitement reconnue comme un motif d'ordre public qui peut justifier de la nécessité de prendre des mesures dérogatoires au PPO au niveau national, article 3(4)). D'autre part, les restrictions portées par le texte national doivent présenter un caractère proportionné. La disposition limite son champ aux services de communication au public en ligne proposant des contenus pornographiques et sa portée à l'imposition de certaines exigences techniques minimales pour les outils de vérification d'âge desdits sites. Elle semble donc proportionnée.

La mesure proposée par le gouvernement justifie une dérogation au principe du pays d'origine prévu par la directive e-commerce. Pour le respect du principe de sécurité juridique, cet article devra néanmoins être notifié à la Commission européenne conformément à cette même directive.

Au regard de ses effets et des services visés, majoritairement installés hors du territoire national, cette mesure législative devra également faire l'objet d'une notification en application de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

Cette proposition nationale s'inscrit dans un contexte européen plus large d'adoption récente du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques, « Digital Services Act » ou DSA) qui vise à responsabiliser les plateformes en ligne pour que ces dernières prennent les mesures de modération nécessaires afin de lutter efficacement contre les contenus illicites et préjudiciables en ligne. Le DSA prévoit notamment dans son article 35 que les plus grandes plateformes en ligne analysent et atténuent les risques systémiques identifiés, en adoptant des mesures consistant notamment en « l'adoption de mesures ciblées visant à protéger les droits de l'enfant, y compris la vérification de l'âge ».

Ces mesures pourraient apparaître comme se recoupant partiellement avec la disposition nationale qui est proposée. Néanmoins, les dispositions du DSA ne visent que les très grandes plateformes, la vérification de l'âge n'est qu'une mesure d'atténuation possible parmi d'autres mesures que les très grandes plateformes pourront prendre, et ces obligations sont sous la supervision exclusive de la Commission européenne. Le champ de la disposition proposée diffère du DSA et permettra au régulateur national, l'Arcom, de conserver un certain contrôle sur l'effectivité de la protection des mineurs sur les sites pornographiques accessibles sur le territoire français.

Une étude de législation comparée parue le 30 septembre 2022 et commandée par la délégation aux droits des femmes du Sénat^20(*) conclu qu'aucun pays démocratique n'est parvenu à mettre en place une législation pleinement satisfaisante et efficace afin d'interdire l'accès des mineurs aux contenus pornographiques.

Ainsi, faute de solution technique satisfaisante, le Royaume-Uni a dû renoncer en 2019 aux dispositions du Digital Economy Act de 2017 qui imposaient une vérification de l'âge pour l'accès aux contenus pornographiques en ligne. Un projet de loi modifié a été déposé^21(*) le 17 mars 2022 devant le Parlement et est actuellement en cours de discussion. Tous les services fournissant du contenu pornographique auraient le devoir d'empêcher les enfants d'accéder à ce matériel (par exemple, par la vérification de l'âge). L'Office of communication (OFCOM, autorité de régulation) serait chargée de publier des lignes directrices sur la manière de se conformer à ces obligations et pourra également infliger des amendes pouvant atteindre 18 millions de livres (21,2 millions d'euros) ou 10 % du chiffre d'affaires mondial de l'entreprise (selon le montant le plus élevé), ainsi que des mesures de restriction des activités après demande auprès d'un tribunal.

En Allemagne, comme en France, l'offre de contenus pornographiques aux mineurs est interdite par le code pénal mais en pratique les contenus pornographiques sont souvent accessibles sans aucune vérification de l'âge. Néanmoins la Commission pour la protection de la jeunesse dans les médias (Kommission für Jugendmedienschutz, ci-après KJM) joue un rôle central dans l'évaluation des solutions techniques de vérification de l'âge ainsi que dans le contrôle du respect des normes de protection de la jeunesse.

Elle a ainsi développé sa propre procédure d'évaluation positive des solutions techniques de contrôle de l'âge : elle ne communique que sur les évaluations ayant abouti à un résultat positif de conformité avec les exigences de protection de la jeunesse. Elle peut également évaluer les nouvelles solutions techniques des entreprises, à la demande de ces dernières. Constatant le manque d'effectivité de certains systèmes, la KJM a défini différents critères d'évaluation des solutions techniques. Elle exige ainsi que la vérification de l'âge s'effectue en deux étapes interconnectées : une indentification personnelle, permettant de vérifier la majorité, et une authentification lors de chaque session. Au mois de mars 2022, la KJM a conclu à une évaluation positive pour 90 solutions techniques de vérification de l'âge. Parmi ces solutions figure un logiciel d'évaluation de l'âge au moyen de l'intelligence artificielle et de l'apprentissage automatique. Néanmoins la KJM a constaté que les solutions techniques n'étaient pas encore suffisantes lorsque l'utilisation par les enfants et adolescents est faite avec des smartphones.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Au vu de la difficulté à imposer aux éditeurs de sites incriminés la mise en place de tels outils et à s'assurer de leur effectivité, il apparait nécessaire de renforcer le dispositif législatif en prévoyant, d'une part, que le référentiel technique élaboré par l'Arcom sur les solutions de vérification d'âge en ligne soit contraignant à l'égard de ces acteurs et, d'autre part que la non-conformité des sites soit sanctionnée par des amendes dissuasives, ce qui requiert l'intervention du législateur.

Les objectifs de cette disposition sont multiples :

- une confiance et une protection des mineurs renforcés en ligne ;

- consolider l'effectivité de l'article 227-24 applicable aux éditeurs de sites pornographiques et assurer l'efficacité et la sécurité des systèmes de vérification de l'âge mis en place par ces derniers ;

- ce référentiel élaboré par l'Arcom, conjointement avec la CNIL, permettra également de positionner la France à l'avant-garde dans les travaux européens sur la protection des mineurs en ligne ;

- dès lors que ces exigences techniques seront publiées, et l'obligation légale créant une incitation du marché, il est anticipé que les offres et solutions de vérifications d'âge fiables et robustes seront développées par les acteurs les mieux placés.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Il a été envisagé de modifier le décret d'application précité de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales afin de prévoir que l'Arcom édicte des lignes directrices sur les outils reconnus en matière de vérification de l'âge. Toutefois, la voie du décret ne permettait pas de conférer une valeur contraignante à ces lignes directrices.

En outre, inscrire les exigences techniques dans la loi n'apparait pas pertinent au regard des avancées techniques et des pratiques - diverses et évolutives - des acteurs. Le référentiel permet de laisser une certaine souplesse et capacité d'adaptation à l'Arcom pour définir les caractéristiques requises.

Afin de permettre une application efficace de l'interdiction prévue à l'article 227-24 du code pénal et renforcer la protection de la vie privée en ligne, il a été décidé d'introduire une disposition législative visant à mandater expressément l'Arcom pour élaborer, après consultation de la Commission nationale de l'informatique et des libertés (CNIL), un référentiel établissant des exigences techniques en matière de fiabilité du contrôle de l'âge des utilisateurs et de respect de leur vie privée auxquels doivent répondre les systèmes de vérification de l'âge mis en place par les éditeurs de sites pornographiques.

L'Arcom disposera des pouvoirs d'exécution suivants afin d'assurer la mise en oeuvre de cette obligation par les éditeurs : 

- L'Arcom pourra mettre en demeure les éditeurs de sites pornographiques qui ne respectent pas les exigences techniques prévues dans le référentiel de se conformer dans un délai d'un mois à ces dernières ;

- Si l'éditeur ne se conforme pas à la mise en demeure dans le délai indiqué, l'Arcom pourra, dans les conditions prévues à l'article 42-7 de la loi n°86-1067 du 30 septembre relative à la liberté de communication, prononcer une sanction pécuniaire dont le montant ne peut excéder 75 000 euros ou 1% du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu. En cas de réitération dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive, ce montant pourra s'élever à 150 000 euros ou 2% du chiffre d'affaires mondial hors taxes.

Cette disposition permet d'assurer une opposabilité et efficacité de la règle, tout en conservant une souplesse dans le dispositif. Elle sera introduite au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) dans un nouvel article 10.

Ces propositions s'inscrivent également dans la lignée des recommandations faites par le Sénat dans son rapport sur l'industrie pornographique publié le 27 septembre 2022^22(*).

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le choix est fait d'insérer cette disposition au sein de la LCEN, à son article 10, qui fait l'objet d'une restructuration importante.

Comme indiqué supra, cette disposition s'inscrit dans la lignée du règlement européen DSA qui vise notamment à protéger les mineurs, tout en proposant un champ d'application complémentaire à ce règlement. Le PPO prévu par la directive e-commerce admet certaines dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La protection des mineurs est explicitement reconnue comme motif de dérogation au PPO. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive et nécessitera une notification auprès de la Commission européenne, ainsi qu'une notification en application de la directive 2015/1535.

Néant.

Le déploiement des solutions recommandées par l'Arcom engendrerait un coût pour les éditeurs de sites diffusant des contenus pornographiques, en raison :

- à la fois de la baisse d'audience : les mineurs de moins de 15 ans représentaient par exemple plus d'un million de visiteurs uniques en juillet 2019^23(*). En rendant l'accès plus complexe, les solutions de vérification de l'âge pourraient également dissuader certains visiteurs majeurs à se rendre sur ces sites

- et donc de revenus, et des coûts de mise en conformité (notamment en faisant appel à prestataires extérieurs qui développeront ces solutions de vérification de l'âge) avec les solutions recommandées.

Toutefois, l'industrie de la pornographie génère d'importants chiffres d'affaires et connaît une forte croissance. Selon les informations disponibles^24(*) « depuis 2012, le chiffre d'affaires de l'industrie du X a bondi de 50 % pour passer à 7,5 milliards de dollars, et la plupart des grandes entreprises du secteur affichent une santé florissante ». Il est toutefois difficile d'obtenir des informations financières sur ces sociétés, qui tiennent ces informations confidentielles. MindGeek (le groupe qui détient le site leader du marché : Pornhub) par exemple ne divulgue pas d'information financière. Certaines sources évaluent à plus d'un milliard de dollars canadiens le chiffre d'affaires annuel mondial du groupe^25(*).

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure appellera des moyens humains complémentaires pour élaborer le référentiel, notamment en sollicitant de nouvelles compétences. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires pour l'Arcom, la CNIL, mais également le PEReN, associé au dispositif, ou à une réorientation des priorités de ces derniers.

Néant.

La mise en oeuvre de ce nouveau pouvoir normatif et de sanction de l'Arcom élargit le champ de compétence de cette autorité administrative indépendante et suscite une activité supplémentaire pour cette dernière. Des ETP supplémentaires au sein de l'Arcom pourraient s'avérer nécessaires.

L'accès des mineurs à la pornographie a des conséquences désastreuses sur les rapports entre hommes et femmes, sur leur sexualité, sur la construction de leur personnalité et sur leur représentation d'eux-mêmes et d'autrui, ainsi que sur la diffusion de représentations sexistes et violentes dans l'ensemble de la société. Selon plusieurs chercheurs en sociologie, la pornographie entérine les stéréotypes de genre et rend particulièrement difficile l'éducation à l'égalité et la parité. Le rapport de l'Académie Nationale de Médecine rappelle que la pornographie promeut de forts stéréotypes de genre et souligne qu'elle « contribue à une vision du monde moins progressiste en termes d'égalité de genre. »^26(*)

Le rapport du Sénat (n° 900) de 2022 susmentionné, et diverses enquêtes de presse, ont également dressé le constat de productions pornographiques qui « atteignent le paroxysme de violence », notamment à travers une marchandisation du sexe et du corps des femmes (certains producteurs exploitant la vulnérabilité économique et psychologique de jeunes femmes) et des violences sexuelles, physiques et verbales qui se sont massivement répandues. Dès lors, la consommation de pornographie chez les mineurs tendrait à intégrer et normaliser le modèle véhiculé par ces contenus pornographiques et à propager une vision déformée et violente de la sexualité.

D'autres conséquences seraient également nombreuses et inquiétantes chez les mineurs : traumatismes, troubles du sommeil, de l'attention et de l'alimentation, renforcement de l'anxiété, difficultés à nouer des relations avec des personnes du sexe opposé, (hyper) sexualisation précoce, développement de conduites à risques ou violentes, risque d'addiction, etc.

Aussi, limiter l'accès des mineurs à des contenus pornographiques, via un système de vérification d'âge robuste et respectueux de la vie privée, permettrait d'atténuer certaines conséquences néfastes chez les mineurs, et contribuer à la lutte en faveur de l'égalité entre les hommes et les femmes, en prévenant une exposition trop précoce à des contenus inadaptés.

La mise en place de la mesure est également de nature à réduire les préoccupations des familles et des parents quant à l'usage par leurs enfants des médias numériques.

L'imposition d'exigences en matière de respect de l'anonymat des utilisateurs devrait par ailleurs fortement réduire les risques d'atteinte à leur vie privée.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie le 4 avril 2023 pour cet article. Cette consultation est obligatoire.

Les auteurs du rapport du Sénat (n° 900) de 2022 soutiennent la mesure.

Ces dispositions entrent en vigueur au lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie-française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Les présentes dispositions n'appellent aucune mesure d'application.

1. ÉTAT DES LIEUX

L'exposition des mineurs aux contenus pornographiques disponibles en ligne pose des risques psychologiques et psychopathologiques graves (voir par exemple, le rapport de l'Académie Nationale de Médecine « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations »^27(*)). Or, une étude Ifop parue en avril 2022 a indiqué que 53 % des adolescents français de 15 à 17 ans ont déjà été exposés à de la pornographie en ligne, en moyenne au cours des derniers 25 jours, dont 41 % en se rendant sur des sites dédiés^28(*). En 2017, l'âge moyen de premier visionnage d'une vidéo pornographique se situait autour de 14 ans et les garçons seraient majoritairement exposés^29(*). L'essentiel de cette consommation s'effectue via des sites gratuits et plus de la moitié des jeunes jugent avoir été exposés trop jeunes à leur premier visionnage^30(*). De ce fait, une crainte croissante et une perte de confiance touchent les parents qui ne considèrent plus l'espace en ligne comme sécurisé pour leurs enfants.

Schéma n°1 : Taux d'exposition à des images pornographiques en fonction de l'âge et du sexe

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, Sondage Opinionway 2018.

En France, le dispositif législatif actuel encadre pourtant déjà en partie la vérification de l'âge par les sites présentant du contenu à caractère pornographique :

- L' article 227-24 du code pénal interdit la fabrication, le transport et la diffusion, par quelque moyen que ce soit et quel qu'en soit le support, ainsi que le commerce, de tout message « à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Ces infractions sont punies de trois ans d'emprisonnement et de 75 000 euros d'amende.

- Depuis la l oi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, l'article 227-24 du code pénal relatif à l'infraction de diffusion à des mineurs de messages notamment pornographiques ou violents précise que l'infraction est constituée, « y compris si l'accès d'un mineur aux messages [...] résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans ». L'article 23 de la loi du 30 juillet 2020 permet au président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), lorsqu'il constate qu'un site ne respecte pas l'interdiction prévue à l'article 227-24 du code pénal, d'enjoindre au site concerné de prendre toute mesure pour bloquer l'accès aux contenus pornographiques pour les utilisateurs mineurs. En cas d'inexécution de l'injonction dans un délai de quinze jours, et si les contenus litigieux restent accessibles aux mineurs, le président de l'Arcom peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner, selon la procédure accélérée au fond, que les fournisseurs d'accès à Internet bloquent l'accès au service. Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique précise que le président de l'Arcom tient compte dans son appréciation du niveau de fiabilité du procédé technique mis en place par le site pour s'assurer que les utilisateurs souhaitant accéder au service sont majeurs. Il prévoit en outre que l'Arcom peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques. Ces dernières n'ont toutefois pas encore été élaborées.

Les éditeurs des services diffusant un contenu pornographique ont ainsi l'obligation de mettre en place un dispositif de vérification d'âge efficace pour s'assurer que les contenus ne sont pas accessibles aux mineurs et ne peuvent donc plus se contenter d'une réponse positive à la simple question « Avez-vous plus de 18 ans ? ». Or, cette pratique de vérification reste majoritaire chez les éditeurs de sites à contenus pornographiques (cf. exemples présentés dans le schéma n° 2).

Schéma n° 2 : Fenêtre d'accueil au moment de l'accès à des sites pornographiques

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, vérifications de la délégation en juillet 2022

L'article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales prévoit que le président de l' Autorité de régulation de la communication audiovisuelle et numérique (Arcom) peut mettre en demeure un éditeur de service de communication au public en ligne, établi en France ou non, qui permet à des mineurs d'avoir accès à un contenu pornographique, en violation de l' article 227-24 du code pénal. Ce dispositif a été complété par le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique.

L'intervention du président de l'Arcom à l'égard de l'éditeur prend la forme d'une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. Le président de l'Arcom peut, en cas d'inexécution de l'injonction et si le contenu reste accessible aux mineurs, saisir le président du tribunal judiciaire de Paris afin que ce dernier ordonne le blocage technique de l'accès au service en cause par les fournisseurs d'accès à Internet (FAI), ou toute mesure destinée à faire cesser le référencement du service par un moteur de recherche. Comme évoqué supra dans l'étude d'impact de l'article 1, en novembre 2021, les cinq principaux sites pornographiques en France ont été sommés par l'Arcom de bloquer leur accès aux moins de dix-huit ans. Face à l'inefficacité de ces mises en demeure et malgré des constats d'huissiers, l'Arcom a alors été contraint de saisir le président du tribunal judiciaire de Paris pour demander le blocage immédiat des plateformes récalcitrantes.

L'action de l'Arcom est freinée par plusieurs limites : d'une part, ses agents ne sont pas assermentés pour constater les manquements des sites pornographiques, l'obligeant à recourir à des huissiers pour faire constater les infractions et faire valoir juridiquement les manquements auprès du juge, d'autre part, la nécessité de saisir le juge judiciaire pour faire bloquer les sites litigieux entraîne des longs délais, incompatibles avec l'impératif d'une action rapide.

Concernant les différents moyens qui pourraient être avancés lors de l'examen de la constitutionnalité du présent article :

Le Conseil constitutionnel juge qu'il est loisible au législateur de charger une autorité administrative indépendante de veiller au respect des principes constitutionnels en matière de communication audiovisuelle et, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, de doter cette autorité indépendante de pouvoirs de sanction dans la limite nécessaire à l'accomplissement de sa mission^31(*).

Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction, dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice de ce pouvoir de sanction est assorti par la loi de mesures destinées à assurer les droits et libertés constitutionnellement garantis. En particulier doivent être respectés les principes de la nécessité et de la légalité des peines, ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle.^32(*)

Ainsi que le souligne le rapport sénatorial sur l'industrie de la pornographie, l'Arcom dispose déjà d'importants pouvoirs de sanctions en matière de lutte contre la haine en ligne. Introduites dans le droit positif par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, ces dispositions permettent à l'Arcom de mettre un opérateur en demeure de se conformer aux obligations découlant de l'article 6-4 de la loi n° 2004-575 du 21 juin 2004 et de répondre aux demandes d'informations qu'il lui a adressées^33(*). Si l'opérateur ne se conforme pas à la mise en demeure qui lui est adressée, l'Arcom peut prononcer une sanction pécuniaire, adaptée à la gravité des manquements et, le cas échéant, à leur caractère réitéré, sans pouvoir excéder 20 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Le Conseil d'Etat, saisi pour avis de la proposition de loi devenue la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet (dite loi Avia), préconisait de restreindre le pouvoir de sanction du Conseil supérieur de l'audiovisuel (CSA) à « l'attitude systémique non coopérative de l'opérateur, après prise en compte des moyens qu'il met en oeuvre pour prévenir la diffusion des contenus odieux manifestement illicites et la faire cesser ». Lors du prononcé d'une sanction, le Conseil d'Etat recommandait au CSA de tenir compte de comportements répétés de refus de retrait ou de retraits timorés, pusillanimes, ou au contraire excessifs. Enfin, si le montant maximal de la sanction fixé à 4% du chiffre d'affaires ne posait pas de difficulté, le législateur devrait préciser explicitement que le montant de la sanction tiendra compte de la gravité des manquements commis et de leur éventuelle réitération^34(*).

L'article 227-24 du code pénal sanctionne de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de donner accès à des mineurs à des contenus pornographiques (ainsi qu'à des contenus violents, etc.). En parallèle, la proposition faite à l'article 2 du présent projet de loi prévoit également des sanctions administratives (avec pour plafond : 250 000 euros ou une somme équivalente à 4% du chiffre d'affaires mondial hors taxe) pour non-respect par les éditeurs des obligations prévues à l'article 227-24 du code pénal.

S'agissant du cumul des sanctions, le Conseil constitutionnel juge « que, si l'éventualité d'une double procédure peut ainsi conduire à un cumul de sanctions, le principe de proportionnalité implique, qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ». Il appartient aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence.

Il découle du principe de nécessité des délits et des peines, tiré de l'article 8 de la DDHC, « qu'une même personne ne peut faire l'objet de plusieurs poursuites tendant à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux »^35(*). Pour éviter le cumul des poursuites de nature similaire l'un des critères ci-dessous doit être rempli :

Aussi, il est possible de cumuler un régime de sanction administrative avec un régime de sanctions pénales, comme proposé au présent article, pourvu que la somme des deux n'excède pas les plafonds.

En outre, les sanctions proposées en cas de non-respect de cet article apparaissent proportionnées et adaptées selon la situation :

- Le texte prévoit que le montant de la sanction prend en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment.

- En outre, ce montant varie selon le la gravité du manquement : les sanctions pour défaut de blocage des FAI ou défaut de déréférencement par les moteurs de recherche ou des annuaires s'élèvent à 1% du CA ou 75 000 euros maximum. Ces sanctions sont donc moins importantes, au vu de la gravité du manquement qui apparait moindre en comparaison du manquement de l'éditeur de sites à contenus pornographiques qui ne met pas en place de mécanisme conforme de vérification d'âge et qui pourra être sanctionné à hauteur de 4% ou 250 000 euros d'amende maximum.

- Enfin, le dispositif prévoit des aggravations en cas de réitération : les sanctions peuvent s'élever à hauteur de 2% et 150 000 euros maximum pour les FAI, moteurs de recherche et annuaires et 6% ou 500 000 euros d'amende maximum pour les éditeurs.

La proposition au présent article est de substituer le blocage administratif au blocage judiciaire existant à l'article 23 de la loi n°2020-936 visant à protéger les victimes de violences conjugales.

Le droit positif montre qu'un certain nombre d'autorités administratives disposent d'un tel pouvoir.

L'article 6-1 de la LCEN confère à une autorité administrative le pouvoir de restreindre, pour la protection des utilisateurs d'internet, l'accès à des services de communication au public en ligne lorsque sont diffusées des images de pornographie infantile ou des contenus à caractère terroriste. Selon le Conseil constitutionnel, « en instituant un dispositif permettant d'empêcher l'accès aux services de communication au public en ligne diffusant des images pornographiques représentant des mineurs, le législateur n'a commis aucune erreur manifeste d'appréciation ». Il relève que la décision prise par l'autorité administrative peut être contestée à tout moment et par toute personne intéressée devant la juridiction compétente, le cas échéant en référé. Ainsi, ce pouvoir de blocage assure une conciliation qui n'est pas disproportionnée entre la sauvegarde de l'ordre public et liberté de communication^36(*).

L' article L. 521-3-1 du code de consommation confère à la Direction générale de la consommation, de la concurrence et de la répression des fraudes (DGCCRF) le pouvoir de procéder au blocage des sites qui contreviendraient aux règles de ce code.

Au regard de ces précédents, il apparaît dès lors possible de confier à l'Arcom un pouvoir de blocage administratif des sites internet donnant accès à du contenu pornographique aux mineurs. En effet, la lutte contre l'accès des mineurs à la pornographie justifie un tel mécanisme.

En outre, la procédure de blocage administratif prévue au présent article respecte les principes suivants :

- le respect des droits de la défense car elle laisse un délai suffisant à la personne concernée pour présenter ses observations : les éditeurs de site disposent en effet d'un délai de quinze jours pour présenter leurs observations suite à une mise en demeure par l'Arcom. En cas de non-respect entrainant une injonction de l'Arcom, ces derniers disposent de nouveau d'un délai d'exécution d'au moins quinze jours avant la demande de blocage par les FAI ;

- la mesure de blocage est encadrée dans le temps : la durée maximale est de vingt-quatre mois et est réévaluée, d'office ou sur demande, au minimum tous les douze mois ;

- les éditeurs, ainsi que les FAI, moteurs de recherche et annuaires, disposent également d'un droit à un recours juridictionnel effectif.

En conclusion, le présent article ne présente pas de risque de contrariété avec une règle ou norme à valeur constitutionnelle.

La directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (dite directive « e-commerce ») a pour objet d'établir un cadre général pour couvrir certains aspects juridiques du commerce électronique dans le marché intérieur. A cette fin, cette directive énonce notamment des règles relatives aux obligations imposées aux fournisseurs de services en ligne en matière de communications commerciales ou encore en matière de contrats conclus par voie électronique. Elle prévoit notamment que les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre (principe du pays d'origine, PPO).

Néanmoins le PPO admet des dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive. Elle est soumise à deux conditions : d'une part, la mesure nationale doit être nécessaire à l'ordre public (la protection des mineurs est explicitement reconnue comme un motif d'ordre public qui peut justifier de la nécessité de prendre des mesures dérogatoires au PPO au niveau national, article 3(4)). D'autre part, les restrictions portées par le texte national doivent présenter un caractère proportionné.

La mesure proposée par le gouvernement justifie une dérogation au principe du pays d'origine prévu par la directive e-commerce. Cet article devra néanmoins être notifié à la Commission européenne conformément à cette même directive.

Au regard de ses effets et des services visés, majoritairement installés hors du territoire national, cette mesure législative devra également faire l'objet d'une notification en application de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

Cette proposition nationale s'inscrit dans un contexte européen plus large d'adoption récente du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques, (« Digital Services Act » ou DSA) qui vise à responsabiliser les plateformes en ligne pour que ces dernières prennent les mesures de modération nécessaires afin de lutter efficacement contre les contenus illicites et préjudiciables en ligne. Le DSA laisse le régime des injonctions administratives entièrement sous le système juridique des Etats-Membres, aussi cette disposition est bien compatible avec le DSA.

En Allemagne, la Commission pour la protection de la jeunesse (Kommission für Jugendmedienschutz, ci-après KJM), qui relève des Länder, est directement compétente pour prononcer des mesures de blocage de sites pornographiques. Ainsi, en mars 2022, à la suite d'une première demande, la KJM a décidé d'une mesure de blocage par les FAI à l'encontre du site pornographique le plus utilisé en Allemagne, qui n'a pas su mettre en place un système de contrôle de l'âge pour empêcher les personnes mineures d'accéder à son catalogue Néanmoins, le fournisseur de la plateforme pornographique a contourné ce blocage en changeant de nom de domaine, la décision ne s'appliquant pas automatiquement à tous les domaines distribuant des contenus identiques, à la différence des dispositions prévues au présent article qui visent également les sites miroirs.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Afin de remédier aux lourdeurs constatées dans les actions de l'Arcom contre les sites contrevenants, il est nécessaire que la loi, d'une part, habilite les agents de l'Arcom à procéder aux constats des manquements, et d'autre part, confère directement à l'Arcom les pouvoirs d'injonction de blocage des sites pornographiques, à la place du juge.

Ces dispositions relèvent du domaine de la loi.

L'objectif poursuivi est de permettre à l'Arcom de disposer de pouvoirs d'enquêtes et d'interventions efficaces et rapides pour l'accomplissement de sa mission.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Plusieurs possibilités ont été étudiées :

- la possibilité d'introduire une sanction administrative (soit par substitution, soit en plus de la sanction judiciaire). Cette introduction posait néanmoins certaines difficultés s'agissant des voies d'exécution de cette sanction administrative et le respect du principe de non-cumul des sanctions, dès lors que l'infraction pénale est actuellement punie de trois ans d'emprisonnement et de 75 000 euros d'amende.

- En sus, la possibilité de demander le blocage administratif du site en plus du blocage judiciaire (ou par substitution).

Il a été décidé de remplacer la procédure de blocage judiciaire par une procédure de blocage administrative, accompagnée d'une sanction pécuniaire. Le constat est aujourd'hui assez partagé sur les avantages en termes d'efficacité des régimes de sanction administrative en comparaison des sanctions judiciaires (gains de temps et économie de moyens) et certaines limites des poursuites judiciaires, comme l'a illustré le contentieux entre l'Arcom et les sites pornographiques, et la médiation ordonnée par l'autorité judiciaire^37(*)..

En outre, l'ensemble du régime du règlement sur les services numériques^38(*) est fondé sur la sanction administrative et le projet de loi prévoit bien un régime de sanctions administratives pour toutes les infractions au règlement sur les services numériques sous compétence de l'Arcom.

Les pouvoirs de l'Arcom seront donc renforcés à plusieurs niveaux :

- En premier lieu, en prévoyant que les agents de l'Arcom puissent être assermentés pour constater directement les infractions des sites pornographiques de manière accélérée et à moindre coût. Ceci permettrait d'accélérer et de réduire les coûts de ces constatations.

- En second lieu, le présent article confère à l'Arcom des pouvoirs d'injonctions directs contre les sites litigieux (et auprès des fournisseurs d'accès à internet et des moteurs de recherche) sans être contrainte de solliciter l'intervention préalable du juge :

Cette procédure s'inspire de celle prévue à l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) s'agissant des pouvoirs d'injonctions de blocage et de déréférencement de l'autorité administrative (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication - OCLCTIC) pour lutter contre les contenus terroristes et pédopornographiques. Les dispositions relatives au contrôle des injonctions par une personnalité qualifiée n'ont, en revanche, pas été reprises, car l'autorité compétente ici est une autorité administrative indépendante (Arcom) et de telles garanties ne semblent donc pas nécessaires.

Comme pour l'article 1^er du présent projet, ces propositions s'inscrivent dans la lignée des recommandations faites par le Sénat dans son rapport sur l'industrie pornographique, publié le 27 septembre 2022^39(*).

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Ces dispositions modifient l'article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Les dispositions viennent compléter les dispositions prévues par le règlement DSA, qui renforce également les compétences de l'Arcom pour lutter contre les contenus illicites et préjudiciables en ligne et renforcer la protection des mineurs.

Néant.

Néant.

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure entraînera vraisemblablement la création d'un contentieux initié. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires ou une réorientation des priorités de l'Arcom.

Néant.

La mesure envisagée permettra d'améliorer l'efficacité procédurale et contentieuse de l'Arcom. Toutefois, ces pouvoirs seront également assortis d'une activité supplémentaire (dont une activité contentieuse). Des ETP supplémentaires pourraient dès lors s'avérer nécessaires à l'Autorité.

L'accès des mineurs à la pornographie a des conséquences désastreuses sur les rapports entre hommes et femmes, sur leur sexualité, sur la construction de leur personnalité et sur leur représentation d'eux-mêmes et d'autrui, ainsi que sur la diffusion de représentations sexistes et violentes dans l'ensemble de la société. Selon plusieurs chercheurs en sociologie, la pornographie entérine les stéréotypes de genre et rend particulièrement difficile l'éducation à l'égalité et la parité. Le rapport de l'Académie Nationale de Médecine rappelle que la pornographie promeut de forts stéréotypes de genre et souligne qu'elle « contribue à une vision du monde moins progressiste en termes d'égalité de genre. »^40(*)

Le rapport du Sénat (n° 900) de 2022 susmentionné, et diverses enquêtes de presse, ont également dressé le constat de productions pornographiques qui « atteignent le paroxysme de violence », notamment à travers une marchandisation du sexe et du corps des femmes (certains producteurs exploitant la vulnérabilité économique et psychologique de jeunes femmes) et des violences sexuelles, physiques et verbales qui se sont massivement répandues. Dès lors, la consommation de pornographie chez les mineurs tendrait à intégrer et normaliser le modèle véhiculé par ces contenus pornographiques et à propager une vision déformée et violente de la sexualité.

D'autres conséquences seraient également nombreuses et inquiétantes chez les mineurs : traumatismes, troubles du sommeil, de l'attention et de l'alimentation, renforcement de l'anxiété, difficultés à nouer des relations avec des personnes du sexe opposé, (hyper) sexualisation précoce, développement de conduites à risques ou violentes, risque d'addiction, etc.

Aussi, limiter l'accès des mineurs à des contenus pornographiques, via un système de vérification d'âge robuste et respectueux de la vie privée, permettrait d'atténuer certaines conséquences néfastes chez les mineurs, et contribuer à la lutte en faveur de l'égalité entre les hommes et les femmes, en prévenant une exposition trop précoce à des contenus inadaptés.

V. éléments supra.

Néant.

V. éléments 4.5.

V. éléments 4.5.

Sans objet.

La mise en place de la mesure est également de nature à réduire les préoccupations des familles et des parents quant à l'usage par leurs enfants des médias numériques.

L'imposition d'exigences en matière de respect de l'anonymat des utilisateurs devrait par ailleurs fortement réduire les risques d'atteinte à leur vie privée.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie le 4 avril 2023 pour cet article. Cette saisine est obligatoire. Elle s'est prononcée par la délibération n° 2023-036 du 20 avril 2023.

Le Conseil supérieur des tribunaux administratifs et des cours administratives d'appel connaît des questions intéressant le fonctionnement et l'organisation des tribunaux administratifs et des cours administratives d'appel dans les conditions prévues à l'article L. 232-3 du code de justice administrative. À ce titre, celui-ci est « consulté sur toute question relative à la compétence, à l'organisation et au fonctionnement des tribunaux administratifs et des cours administratives d'appel ». Par un avis du 20 avril 2023, le CSTACAA s'est prononcé sur les dispositions de l'article 2 de ce projet de loi.

L'article 2 entre en vigueur le 1er janvier 2024. Toutefois, les procédures déjà engagées au 31 décembre 2023 restent régies par les dispositions de l'article 23 de la loi n° 2020-936 du 30 juillet 2020 dans sa version en vigueur à cette date.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure proposée telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Un décret en Conseil d'Etat est prévu pour l'application des présentes mesures.

1. ÉTAT DES LIEUX

Afin de lutter contre la diffusion des contenus à caractère terroriste et pédopornographique en ligne, l'article 6-1 de la loi n° 2004-575 pour la confiance dans l'économie numérique (LCEN)^41(*) permet à l'autorité administrative^42(*) de demander aux hébergeurs et éditeurs de retirer les contenus provoquant à des actes terroristes ou en faisant l'apologie (en violation de l'article 421-2-5 du code pénal) et ceux à caractère pédopornographique (en violation de l' article 227-23 du code pénal).

Le non-respect de cette demande dans les vingt-quatre heures ne fait toutefois l'objet d'aucune sanction. Ce dispositif n'est donc pas contraignant. Il entraîne seulement la possibilité pour l'autorité administrative, si le retrait des contenus illicites précités n'est pas effectué dans le délai de rigueur de vingt-quatre heures, de demander aux fournisseurs d'accès à internet de procéder au blocage administratif ou au déréférencement du site mettant à la disposition du public ces contenus illicites.

Une copie de la demande de retrait est transmise à la personnalité qualifiée désignée en son sein par l'Autorité de régulation de la communication audiovisuelle et numérique. En cas d'irrégularité constatée, et si l'autorité administrative refuse d'y mettre fin, la personnalité qualifiée peut exercer un recours devant la juridiction administrative compétente, conformément aux procédures de droit commun prévues par le code de justice administrative.

En 2022, la plateforme PHAROS du ministère de l'intérieur et des outre-mer a procédé aux demandes suivantes :

S'agissant des seuls contenus à caractère terroriste, le dispositif a été récemment enrichi par le règlement (UE) 2021/784 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (dit « TCO »)^43(*) qui permet à la même autorité administrative de délivrer une injonction de retrait, dans un délai d'une heure, de certains contenus à caractère terroriste à l'encontre des fournisseurs de services d'hébergement au public en ligne ; dispositif introduit aux articles 6-1-1 et suivants de la LCEN par la loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne. A la différence du dispositif prévu par l'article 6-1, cette injonction s'applique aux seuls contenus terroristes, à l'exclusion donc des contenus pédopornographiques, et sa violation par un hébergeur est pénalement sanctionnée (un an d'emprisonnement et 250 000 euros d'amende). En outre, les injonctions de retrait sont susceptibles de recours devant le tribunal administratif afin de garantir le droit au recours effectif imposé par le règlement (UE) 2021/784 précité. $

Le mécanisme de lutte contre la diffusion des contenus à caractère terroriste et pédopornographique prévu à l'article 6-1 de la LCEN a fait l'objet de plusieurs contrôles de constitutionnalité.

Dans sa décision n° 2011-625 DC du 10 mars 2011 relative à la loi d'orientation et de programmation pour la performance de la sécurité intérieure, le Conseil constitutionnel a déclaré conforme à la Constitution le dispositif de blocage administratif des sites prévu par le deuxième alinéa de l'article 6-1.

En revanche, dans sa décision n° 2020-801 DC du 18 juin 2020 relative à la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet, le Conseil constitutionnel a censuré un dispositif d'injonction aux hébergeurs et éditeurs de retirer dans un délai d'une heure les contenus à caractère terroriste et pédopornographique. Le Conseil a en effet considéré qu'il en résultait une atteinte qui n'était pas adaptée, nécessaire et proportionnée au principe de la liberté d'expression, au motif que : « le dispositif proposé soumet la détermination du caractère illicite du contenu en cause à la seule appréciation de l'administration, alors que le recours contre la décision de retrait de l'administration n'est pas suspensif, que l'accès au juge est impossible dans le délai de retrait en 1h, que la peine encourue dès le premier manquement est lourde. »

Toutefois, le Conseil constitutionnel a récemment validé le mécanisme d'injonction de retrait des contenus terroristes en une heure prévu par l'article 6-1-1 de la LCEN introduit par la loi n° 2022-841 DC du 13 août 2022 (cf. 1.1), aux motifs, notamment, qu'il s'agissait d'une mesure d'adaptation d'un règlement européen en vigueur laissant aux Etats membre le soin de définir la nature de sanctions applicables, que le contenu terroriste était suffisamment défini et limité, que l'injonction contenait une motivation suffisamment détaillée, que la personnalité qualifiée de l'ARCOM exerçait un contrôle de régularité, que les recours prévus présentaient des garanties suffisantes et qu'aucune sanction pénale n'était prévue lorsque l'inexécution du fournisseur découle d'un cas de force majeure, d'une impossibilité de fait qui ne lui est pas imputable ou des erreurs manifestes ou de l'insuffisance des informations que comporte l'injonction^44(*).

Le règlement (UE) 2021/784 du 7 juin 2022 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne « TCO » a conduit à insérer dans notre droit national une procédure d'injonction de retrait en une heure pour les contenus à caractère terroriste, applicable à l'encontre des fournisseurs de services d'hébergement (articles 6-1-1 et suivants de la LCEN, introduits par la loi n° 2022-1159 du 16 août 2022).

De plus, la Commission européenne a présenté le 11 mai 2022 une proposition de règlement visant à prévenir et à combattre les abus sexuels sur les enfants (règlement dit « ASM »)^45(*). Ce dernier complètera la directive 2011/93/UE du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie^46(*), et remplacera le règlement (UE) 2021/1232 du 14 juillet 2021^47(*) (dérogatoire à la directive ePrivacy^48(*)) dont la durée d'application était limitée à trois ans, pour permettre aux opérateurs de continuer à pouvoir détecter et signaler, de manière volontaire, les contenus à caractère pédopornographique. Le règlement s'appliquera à tous les fournisseurs de services de la société de l'information (fournisseurs d'hébergement, fournisseurs d'accès à internet, fournisseurs de boutiques d'applications logicielles, fournisseurs de services de communications interpersonnelles). Outre des obligations d'évaluation et d'atténuation des risques, de signalement, de retrait et de blocage de contenus, le projet de règlement ASM introduit une nouvelle forme d'injonction de détecter des contenus à caractère pédopornographique, imposée à certains fournisseurs de service, lorsque des risques importants de détournement de leurs services à des fins d'abus sexuels sur mineurs ont été identifiés.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Tant le dispositif en vigueur de lutte contre la diffusion des contenus pédopornographiques (article 6-1 LCEN) que l'introduction d'une sanction pénale relèvent du domaine de la loi, conformément à l'article 34 de la Constitution.

Le Gouvernement souhaite aligner au maximum, pour ce qui concerne les hébergeurs, le régime de répression du non-respect des demandes de retrait des contenus pédopornographiques sur celui relatif aux contenus terroristes prévu par l'article 6-1-1 de la LCEN, ainsi que la procédure de recours dérogatoire prévue par l'article 6-1-5 de la loi précitée en cas de recours devant la juridiction administrative, cette dernière disposition d'adaptation du droit national au règlement (UE) 2021/784 ayant été récemment validée par le Conseil constitutionnel, et anticiper ainsi sur l'entrée en vigueur du règlement relatif à la lutte contre les abus sexuels sur mineur en cours de négociation.

En premier lieu, l'écart actuel entre la pénalisation du non-respect des injonctions de retrait de contenus terroristes (en une heure) et l'absence de sanction pénale en cas de non-respect des demandes de retrait de contenus pédopornographiques (en vingt-quatre heures) n'est pas fondé. Le législateur a d'ailleurs considéré que ces deux infractions (contenus à caractère terroriste ou pédopornographique) étaient d'une gravité suffisamment comparable pour leur appliquer le même mécanisme administratif de retrait et de blocage prévu par l'article 6-1 LCEN.

En second lieu, il serait incohérent de maintenir une disharmonie entre les deux régimes de recours exercés l'un contre des injonctions de retrait de contenus à caractère terroriste et l'autre contre des demandes de retrait de contenus à caractère pédopornographique. En effet, le projet de règlement européen relatif à la lutte contre les abus sexuels commis sur des mineurs en ligne prévoit l'obligation pour les Etats membres de garantir, dans leur droit national, des voies de recours effectives contre les demandes de retrait des contenus pédopornographiques. Pour satisfaire à cette exigence, et comme cela est actuellement prévu pour les contenus terroristes, il est donc nécessaire de transposer aux contenus pédopornographiques le régime de recours prévu en matière de contenus terroristes par l'article 6-1-5 de la LCEN.

L'objectif, d'intérêt général, de cette disposition, est de rendre ces contenus pédopornographiques inaccessibles au public dans les plus brefs délais.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Il a d'abord été envisagé un dispositif de sanction pénale pour non-retrait de contenus pédopornographiques en vingt-quatre heures visant aussi bien les fournisseurs de services d'hébergement que les éditeurs de ces contenus.

L'option d'une sanction pénale pesant sur les éditeurs a toutefois été écartée aux motifs que le droit de l'Union européenne ne prévoit aucun mécanisme de retrait des contenus pénalement sanctionné mis à la charge des éditeurs et que les éditeurs sont d'ores et déjà responsables en qualité d'auteurs des contenus illicites en application de l'article 42 de la loi 29 juillet 1881 sur la liberté de la presse.

En outre, il a initialement été envisagé de rendre applicables les voies de recours de droit commun prévues par le code de justice administrative, sans dispense de conclusions du rapporteur public lors de l'audience et sans renvoyer au pouvoir règlementaire le soin de fixer les modalités spécifiques d'exercice de ces recours (détermination de la compétence territoriale des juridictions notamment).

Il a été choisi de cibler la nouvelle sanction pénale pour non-respect d'une demande de retrait d'un contenu pédopornographique émise en application de l'article 6-1 LCEN sur les hébergeurs. Les contenus en ligne étant toujours hébergés, une sanction visant les hébergeurs est apparue suffisante pour atteindre l'objectif poursuivi.

Ce régime de sanction pénale est assorti de nombreuses garanties tenant compte de l'évolution récente du contexte juridique :

- Une sanction adaptée à l'objectif poursuivi : le champ infractionnel visé est strictement limité aux contenus à caractère pédopornographique ;

- Un délai de retrait de vingt-quatre heures ;

- Des garanties de proportionnalité inhérentes à l'article 6-1 de la LCEN :

- Des garanties reprises du dispositif d'injonction de retrait de contenu terroriste prévu par le règlement TCO dont l'adaptation en droit national a été validé en 2022 par le Conseil constitutionnel :

S'agissant du régime contentieux applicable aux demandes de retrait, le choix a été fait de s'aligner sur celui prévu en matière de contenus terroristes par l'article 6-1-5 de la LCEN :

- Obligation pour le fournisseur de services d'hébergement d'informer le fournisseur des contenus du retrait de ces derniers, notamment des motifs du retrait et des voies de recours qui lui sont ouvertes, et de transmettre une copie de la demande émise par l'autorité administrative ;

- Maintien de la possibilité de recourir aux procédures de référés prévus aux articles L. 521-1 et L. 521-2 du code de justice administrative ;

- Ouverture d'un recours au fond aux fournisseurs d'hébergement ainsi qu'aux fournisseurs de contenus dans un délai de 48 heures, le tribunal administratif disposant de 72 heures pour statuer ;

- L'audience est publique et se déroule sans conclusions du rapporteur public compte tenu des délais extrêmement resserrés précités ;

- Appel possible dans un délai de dix jours à compter de la notification de la décision des juges du fond ;

- Renvoi à un décret en Conseil d'Etat de la détermination des modalités d'application du recours dérogatoire exercé, au fond mais à bref délais, devant le tribunal administratif ;

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le présent article :

- modifie l'article 6-2 de la LCEN s'agissant des formalités préalables à une demande de retrait d'un contenu pédopornographique et de l'obligation des fournisseurs de services d'hébergement d'informer les fournisseurs de contenus du retrait opéré aux fins de leur permettre d'exercer, le cas échéant, un recours ;

- introduit un article 6-2-1 pour créer la nouvelle sanction pénale ;

- crée un article 6-2-2 relatif à l'exercice des recours dérogatoires applicables devant le tribunal administratif.

La disposition envisagée vise à anticiper l'entrée en vigueur du règlement relatif à la lutte contre les abus sexuels sur mineurs publié par la Commission européenne le 11 mai 2022. Ce projet de règlement prévoit la possibilité pour les autorités nationales compétentes d'émettre des injonctions de retrait des contenus à caractère pédopornographique dans un délai de 24 heures, étant précisé que le non-respect de cette obligation devra faire l'objet d'une sanction en droit interne.

La disposition envisagée est en outre cohérente avec une autre règlementation sectorielle, celle du règlement (UE) 2021/794 relatif à la lutte contre les contenus terroristes en ligne (TCO), adaptée en droit français par la loi du 16 août 2022 précitée, qui prévoit la possibilité pour une autorité administrative de délivrer des injonctions de retrait à l'encontre de certains contenus à caractère terroriste sous peine de sanction pénale.

Néant.

Le présent article rendant ainsi contraignantes les demandes de retrait en vingt-quatre heures de contenus pédopornographiques, les entreprises qui fournissent un service d'hébergement devront être en capacité de répondre à ces demandes et devront probablement augmenter leurs capacités de réaction. En effet, les entreprises devront être en mesure de traiter l'ensemble des demandes de retrait dans un délai de 24 heures pour éviter une sanction pénale. En raison de la subsidiarité des demandes prévue à l'article 6-1 LCEN, il peut être estimé que les demandes de blocage et de déréférencement représentent les contenus qui n'ont pas été retirés par les services d'hébergement. En 2022, ces contenus représentent 4% des contenus ayant fait l'objet d'une demande de retrait. Les services d'hébergement devront être en capacité de traiter sous 24 heures, soit de manière automatique ou manuelle l'ensemble des contenus signalés.

Néant.

Néant.

L'impact sur l'autorité administrative sera limité car sa pratique de délivrance d'une demande de retrait sera inchangée.

Toutefois, la création d'une sanction pénale aura pour effet de faire peser une charge supplémentaire sur l'autorité judiciaire chargée de la prononcer.

En outre, la consécration de voies de recours dérogatoires aura pour effet d'imposer une contrainte supplémentaire à la juridiction administrative chargée de rendre une décision, sur le fond, dans un délai resserré de 72 heures.

Néant.

Néant.

La mesure contribuera à renforcer la lutte contre la diffusion d'images pédopornographiques et plus largement la protection des mineurs.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les dispositions de l'article 3 du projet de loi qui définissent des sanctions pénales ont vocation à s'appliquer dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, sous réserve des ajustements nécessaires à leur application (actualisation des dispositions pertinentes de la LCEN).

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25. 

Les dispositions du IV du nouvel article 6-2-2 renvoient les modalités d'application de la procédure contentieuse ad hoc à un décret en Conseil d'Etat.

Titre II - Protection des citoyens dans l'environnement numérique

1. ÉTAT DES LIEUX

A la suite de l'invasion de l'Ukraine par la Fédération de Russie, l'Union européenne a adopté des mesures restrictives d'une ampleur inédite à l'encontre des personnes et entités proches du pouvoir russe. Certains règlements édictent des interdictions de diffusion des contenus produits par les médias sanctionnés, d'autres prononcent le gel de leurs avoirs. Ces mesures s'appliquent sur le territoire de l'Union européenne, aussi bien aux Etats membres qu'aux opérateurs économiques établis sur le territoire de l'UE.

C'est dans ce contexte que la diffusion d'une quinzaine de médias russes tels que les chaînes Russia Today ou Sputnik a été interdite sur le territoire de l'UE par modifications successives du Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine. D'autres mesures restrictives prises à l'encontre de groupes médiatiques russes et prévoyant un gel de leurs avoirs impliquent par ailleurs l'interdiction de diffusion des contenus, une telle diffusion étant assimilée à un moyen de mise à disposition de fonds ou ressources économiques de ces entités.

Les règlements européens relatifs aux mesures restrictives s'appliquent directement et sans délai aux Etats et aux opérateurs économiques de l'Union européenne^49(*), sans qu'une transposition en droit national ne soit nécessaire.

Au cours de l'année 2022, plusieurs contournements des mesures restrictives visant les médias ont été identifiés, notamment par l'intermédiaire de sites internet. Ainsi, plusieurs plateformes domiciliées hors de l'UE (Etats-Unis et Canada), comme ODYSEE ou RUMBLE, ont rediffusé et partagé les contenus de RT FRANCE, l'une des chaînes russes visées par les sanctions. Ces cas de contournement ont mis en évidence l'absence de dispositif idoine garantissant la mise en oeuvre efficace de ces mesures restrictives.

En France, il n'existe en effet pas de dispositif dédié garantissant la mise en oeuvre des mesures restrictives européennes visant les médias.

Les dispositions de l'article 4 respectent les principes de liberté d'expression et d'opinion garantis par l'article 11 de la Déclaration des droits de l'homme et du citoyen^50(*). L'atteinte qu'elles portent à ces principes est proportionnée au regard de l'objectif de valeur constitutionnelle de sauvegarde de l'ordre public, les dispositions permettant de protéger les personnes de la diffusion de contenus médiatiques produits par des vecteurs de propagande et destinés à la désinformation du public.

Il est rappelé qu'à la différence du dispositif envisagé par la proposition de loi n° 1785 relative à la lutte contre la haine en ligne et qui avait fait l'objet de l'avis du Conseil d'Etat n° 397368, le dispositif envisagé conduit au retrait de contenus qui sont prohibés par le droit de l'Union.

Les dispositions introduites par l'article 4 sont compatibles avec la liberté d'expression et d'opinion et avec la liberté de communiquer des informations garanties par l'article 10 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales^51(*). L'atteinte à ces principes est en effet justifiée et proportionnée au regard de l'objectif, consistant à garantir la sécurité nationale, la sûreté publique et la protection de la morale.

Du reste, dans un arrêt du 27 juillet 2022 (T-125-22), le Tribunal de l'Union européenne a jugé que la nature et l'étendue de l'interdiction temporaire de diffusion qui concernait le média Russia Today respectait « le contenu essentiel de la liberté d'expression et ne remett[ait] pas en cause cette liberté en tant que telle ».^52(*) Il a également jugé que « les limitations à la liberté d'expression de la requérante que les mesures restrictives en cause sont susceptibles de comporter sont proportionnées, en ce qu'elles sont appropriées et nécessaires, aux buts recherchés ».

En Suède, deux administrations se partagent la charge de la mise en oeuvre des sanctions visant les médias en fonction des opérateurs. L'Autorité de la presse et de la diffusion (Myndigheten för press, radio och tv) régule les opérateurs de radio et de télévision, et l'Autorité des postes et des télécommunications (Post-och telestyrelsen) suit les opérateurs de communication au public en ligne. Leurs compétences sont détaillées dans la loi Radio et Télévision (2010:968) et la loi sur les Communications électroniques (20022:482). Les sanctions pour la mise à disposition de fonds ou de ressources économiques au profit d'une personne sanctionnée sont détaillées dans la loi (1996:95) sur certaines sanctions internationales et incluent des amendes ou des peines de prison allant jusqu'à quatre ans.

Le système allemand s'appuie sur l'obligation de mise en oeuvre des sanctions par les opérateurs économiques. Aucune des administrations en charge de la supervision des contenus médiatiques ne délivre d'injonctions aux opérateurs. Néanmoins la Bundesnetzagentur, l'agence fédérale des réseaux, a publié une liste des sites internet que les fournisseurs d'accès à internet doivent bloquer.

En cas de défaillance d'un fournisseur d'accès internet, le procureur peut entamer des poursuites à son encontre.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

A la suite de cas de contournement des sanctions visant les médias et de l'absence d'outils à la main des pouvoirs publics à y mettre fin, il est apparu nécessaire pour la France de se doter d'un dispositif lui permettant de respecter ses obligations en matière de mise en oeuvre des sanctions et de faire cesser rapidement la diffusion d'un média sanctionné.

Aucune administration n'est aujourd'hui dotée d'outils juridiques pour prendre des mesures permettant de faire cesser en France et dans l'immédiat la diffusion de contenus d'un média russe visé par des sanctions européennes, aussi bien sur un site Internet que par satellite ou par un distributeur de chaînes de télévision. Le cadre juridique ne confère à aucune administration les compétences nécessaires pour garantir la bonne application des sanctions visant les médias.

La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (dite « Loi Léotard ») qui définit les pouvoirs et les compétences de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) n'inclut en effet pas la mise en oeuvre des sanctions européennes visant les médias.

De même, les dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (dite « LCEN ») ne sont pas adaptées à la mise en oeuvre des mesures restrictives. Les mécanismes préventifs de retrait, blocage et déréférencement des contenus illicites en application des articles 6-1, 6-1-1 et 6-3 de la LCEN visent pour leur part seulement les contenus à caractère terroriste ou pédopornographique, uniquement sur internet.

Par ailleurs, si le juge judiciaire peut, sur le fondement de l'article 4 de la loi pour la confiance dans l'économie numérique (LCEN), ordonner toute mesure propre à empêcher l'accès au contenu visé par les sanctions, cette procédure peut prendre plusieurs semaines et ne permet pas de clarifier la question de l'autorité compétente pour veiller à la bonne application des mesures restrictives.

Enfin, l'article 459 du code des douanes, qui permet de sanctionner d'une peine de cinq ans d'emprisonnement la violation des sanctions internationales après enquête des services douaniers et dépôt d'une plainte du ministre des finances, ne permet pas de faire cesser rapidement la diffusion de médias sanctionnés.

Dans ce contexte, l'Arcom apparaît comme l'autorité appropriée pour assurer la mise en oeuvre efficace des mesures restrictives. Régulateur historique de la communication audiovisuelle régie par la loi n° 86-1067 précitée et régulateur pour partie de la communication au public en ligne régie par la LCEN, l'Arcom dispose, en sa qualité d'autorité publique indépendante, aussi bien de l'expertise technique que de la connaissance des acteurs médiatiques et numériques nécessaires.

Pour ce faire, l'élargissement des compétences de l'Arcom, en modifiant la loi Léotard n° 86-1067 du 30 septembre 1986 et la loi LCEN n° 2004-575 du 21 juin 2004, paraît nécessaire.

L'objectif poursuivi est de faire cesser dans un délai très rapide la diffusion de contenus produits par des médias visés par les mesures restrictives prises par l'UE, quel que soit leur canal de diffusion (télévision, radio, sites internet). Le dispositif permettra à l'Arcom :

- d'enjoindre à un opérateur étranger ou français de faire cesser la diffusion d'un contenu faisant l'objet d'une mesure restrictive sur le territoire national ;

- de demander à un opérateur français d'arrêter la diffusion d'un contenu faisant l'objet d'une mesure restrictive européenne dans d'autres Etats.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Le cadre juridique en vigueur ne permet pas de garantir la mise en oeuvre des mesures restrictives européennes visant les médias. Dans ce contexte, la création d'un dispositif spécifique garantissant la mise en oeuvre des sanctions à l'encontre des médias est apparue nécessaire.

Option 1 : création d'un dispositif inspiré de l'article 6-1 de la LCEN pour tous les opérateurs (écartée)

Il a été initialement envisagé de créer un dispositif inspiré de l'article 6-1 de la LCEN qui aurait permis à l'Arcom d'émettre des injonctions en cas de non-respect des sanctions visant les médias à l'encontre de tous les opérateurs intervenant dans la diffusion de contenus médiatiques, aussi bien en ligne que via des canaux plus classiques comme la télévision ou la radio.

Cette option a finalement été écartée car il a été jugé plus pertinent de s'appuyer sur le dispositif existant à l'article 42 de la loi Léotard n° 86-1067 du 30 septembre 1986 et applicable aux opérateurs de communication audiovisuelle, et de ne créer un nouveau dispositif que pour les opérateurs de communication au public en ligne.

Dispositif retenu : un dispositif s'appuyant sur deux outils adaptés à deux catégories d'acteurs concernés, à savoir les opérateurs de communication audiovisuelle et les opérateurs de communication au public en ligne.

Les dispositions des articles 42 et suivants de la loi du 30 septembre 1986 sont étendues afin d'inclure les opérateurs de communication audiovisuelle pour les cas de méconnaissance des mesures restrictives visant les médias. L'Arcom pourra dès lors mettre en demeure les opérateurs de faire cesser la diffusion des contenus sanctionnés. En l'absence d'exécution, l'Arcom pourra prononcer une sanction ou mettre en oeuvre la procédure de « référé audiovisuel » prévue par l'article 42-10 de la loi susmentionnée, qui permet au président de la section du contentieux du Conseil d'Etat d'ordonner toute mesure propre à faire cesser un manquement. Son injonction peut être assortie d'une astreinte.

En ce qui concerne les opérateurs de communication au public en ligne, le nouveau dispositif créé s'inspire des dispositions de l'article 6-1 LCEN. L'Arcom peut délivrer des injonctions aux acteurs qui assurent ou permettent la diffusion de contenus sanctionnés afin que cette diffusion cesse dans un délai de soixante-douze heures, délai durant lequel ils pourront lui adresser des observations et saisir le juge des référés du Conseil d'Etat^53(*). En l'absence d'exécution, et lorsque le contenu est en ligne, l'Arcom pourra enjoindre aux fournisseurs d'accès à Internet de bloquer le site internet diffusant le contenu. En cas de méconnaissance de l'obligation de retirer les contenus ou de faire cesser leur diffusion par les opérateurs, l'Arcom pourra prononcer une sanction pécuniaire à leur encontre, tenant compte de la gravité du manquement ou de la réitération. Pour les personnes fournissant des services d'hébergement ou d'édition de service de communication au public, le montant de la sanction ne peut excéder 4% du chiffre d'affaires ou 250 000 euros ou, en cas de réitération, 6% du chiffre d'affaires ou 500 000 euros. Pour les fournisseurs d'accès internet, la montant de la sanction peut atteindre 75 000 euros ou 1% du chiffre d'affaires, et en cas de réitération 150 000 euros ou 2% du chiffre d'affaires. Lorsque sont prononcées une amende administrative et une amende pénale en application de l'article 459 du code des douanes^54(*) (pouvant aller de 450 euros à 225 000 euros) à l'encontre de la même personne, le montant global des amendes ne dépasse pas le maximum légal le plus élevé des sanctions encourues.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le présent article vient, en premier lieu, modifier l'article 42 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, et étendre les compétences de l'Arcom sur les éditeurs et distributeurs de services de communication audiovisuelle, les opérateurs de réseaux satellitaires et les prestataires techniques en ce qui concerne le respect de la règlementation européenne prise sur le fondement de l'article 215 du traité sur le fonctionnement de l'Union européenne portant sur l'interdiction de diffusion de contenus de services de communication audiovisuelle.

En deuxième lieu, les présentes dispositions ajoutent un article 11 à la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Il crée la possibilité pour l'Arcom de demander aux opérateurs de communication au public en ligne de retirer les contenus produits par des médias visés par les mesures restrictives européennes, et en cas d'absence d'obtempération dans un délai de soixante-douze heures, de s'adresser aux fournisseurs d'accès internet pour bloquer l'accès à ces contenus. Il introduit également des sanctions en cas de non-respect de ses injonctions, tant pour les opérateurs de communication au public que les fournisseurs d'accès internet.

Les dispositions introduites par le présent article découlent des obligations énoncées par les règlements européens, en particulier les dispositions prises sur le fondement de l'article 215 du Traité sur le fonctionnement de l'Union européenne qui peuvent entraîner l'interdiction de diffusion de contenus de services de communication audiovisuelle.

A titre d'exemple, le règlement (UE) du Conseil n° 833/2014 du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine introduit à l'article 2 septies une interdiction de diffusion de certains médias désignés en annexe du règlement. De surcroît, d'autres règlements tels que le règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l'intégrité territoriale, la souveraineté et l'indépendance de l'Ukraine ou le règlement (UE) n° 359/2011du Conseil concernant des mesures restrictives à l'encontre de certaines personnes, entités et organismes au regard de la situation en Iran introduisent des mesures restrictives à l'encontre de groupes médiatiques susceptibles d'impliquer des interdictions de diffusion de leurs contenus par des opérateurs économiques européens.

Ces règlements sont, en vertu du deuxième alinéa de l'article 288 du Traité sur le fonctionnement de l'Union européenne (TFUE), obligatoires dans tous leurs éléments et directement applicables dans tout État membre au jour de leur publication au Journal officiel de l'Union européenne et aucune mesure nationale n'est requise pour qu'ils puissent s'appliquer.

Le présent article crée un dispositif qui garantit la mise en oeuvre efficace des mesures restrictives visant les médias en France par l'Arcom et répond ainsi aux exigences du droit européen.

Les dispositions introduites par le présent article ne devraient pas avoir d'impacts macroéconomiques significatifs étant donné que les contournements de mesures restrictives européennes visant les médias restent à ce stade d'ampleur limitée au regard de l'ensemble des contenus diffusés par les opérateurs médiatiques, qui se conforment très largement à leurs obligations au regard des règlements de sanctions.

Les dispositions introduites dans cet article ne devraient pas avoir d'impact significatif sur les entreprises du secteur, qui doivent déjà appliquer les règlements européens susmentionnés.

Néanmoins, l'extension des compétences de l'Arcom à la mise en oeuvre des sanctions visant les médias et la possibilité d'adresser des injonctions aux opérateurs ne respectant pas leurs obligations en la matière devraient avoir un effet dissuasif sur l'ensemble des acteurs concernés. De même, la possibilité pour l'Arcom de prononcer des amendes en cas de non-respect de ses injonctions à faire cesser la diffusion de contenus de médias sanctionnés devrait renforcer l'effet de dissuasion pour les opérateurs de communication audiovisuelle et de communication au public en ligne.

L'impact budgétaire apparaît limité pour l'Arcom au regard du nombre restreint de contournements répertoriés.

Néant.

Les impacts pour l'Arcom devraient être limités puisque jusqu'à présent, peu de cas de contournements des sanctions visant les médias ont été répertoriés. L'Arcom sera amenée à former ses personnels impliqués dans ce dispositif.

Les cas de contournements des sanctions étant a priori limités, il n'est pas envisagé d'augmentation du volume du contentieux porté devant les juridictions administratives ou judiciaires.

Le dispositif introduit au présent article permettra de garantir l'efficacité des mesures restrictives décidées au niveau européen, notamment s'agissant de la protection de la population contre la désinformation, quel que soit leur vecteur de diffusion.

Néant.

Néant.

Néant.

Néant.

Le dispositif introduit par le présent article aura pour conséquence d'empêcher des particuliers d'accéder à des contenus médiatiques produits par des médias sanctionnés, si les opérateurs ne se sont pas conformés d'eux-mêmes à leurs obligations au regard du droit de l'UE.

Le dispositif ne vise que les contenus diffusés au public et non ceux partagés par l'intermédiaire de messages privés.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

L'Arcom a été consultée tout au long de l'élaboration du dispositif et pour la rédaction des dispositions de l'article 4, en application de l'article 9 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication qui dispose : « L'Autorité de régulation de la communication audiovisuelle et numérique est consultée sur les projets de loi et d'actes réglementaires relatifs au secteur de la communication audiovisuelle. »

Les dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut. En vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Les présentes dispositions ne requièrent aucun texte d'application.

1. ÉTAT DES LIEUX

Aujourd'hui, lorsque les fournisseurs de services de plateformes en ligne constatent des infractions à leurs conditions générales d'utilisation (CGU) ou à la loi, ils suspendent et suppriment des comptes d'accès à leurs services sous certaines conditions.

Par exemple, en cas d'infractions graves^55(*), Facebook peut désactiver des comptes sans qu'ils ne puissent être restaurés. En cas de suspicion d'un comportement qui enfreint les CGU, la plateforme désactives temporairement les comptes concernés. Il est d'ailleurs précisé dans ses CGU qu'en cas de désactivation du compte, les utilisateurs acceptent de ne pas en créer un nouveau sans l'autorisation de la plateforme.^56(*)

Le cyber harcèlement constitue une forme spécifique de harcèlement commis en ligne. Le cyber harcèlement constitue une infraction prévue par l'article 222-33-2-2 du code pénal qui réprime le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale. Ces faits sont punis de deux ans d'emprisonnement et de 30 000 euros d'amende notamment lorsqu'ils ont été commis par l'utilisation d'un service de communication au public en ligne ou par le biais d'un support numérique ou électronique. Les peines peuvent être portées à trois ans d'emprisonnement et 45 000 euros d'amende lorsque les faits ont été commis dans au moins deux des circonstances mentionnées aux 1° à 5° de l'article 222-33-2-2 du code pénal.

Il existe peu de chiffres sur les nombres de comptes suspendus d'initiative par les plateformes de réseaux sociaux et aucun sur la durée des suspensions et les potentiels remises en ligne de comptes. Seul le réseau social Twitter communique sur le nombre de comptes suspendus, les autres plateformes communiquant sur les contenus retirés. Au niveau européen, 72 139 comptes ont ainsi été suspendus pour avoir enfreint les règles de Twitter relatives au cyber harcèlement (« abusive behaviour ») et 127 954 comptes ont été suspendus pour avoir enfreint les règles de la plateforme relatives à la haine en ligne à caractère discriminatoire (« hateful conduct ») - soit un total de plus de 200 000 comptes suspendus.

Le principe de nécessité et de proportionnalité des peines est garanti par l'article 8 de la Déclaration des Droits de l'Homme et du Citoyen du 26 août 1789. Il implique que toute peine édictée en répression d'une infraction pénale doit être « strictement et évidemment » nécessaire. Selon la formule habituelle du Conseil constitutionnel, « si la nécessité des peines attachées aux infractions relève du pouvoir d'appréciation du législateur, il incombe au Conseil constitutionnel de s'assurer de l'absence de disproportion manifeste entre l'infraction et la peine encourue »^57(*).

La protection constitutionnelle de la liberté d'expression et de communication se fonde sur l'article 11 de la Déclaration des Droits de l'Homme et du Citoyen du 26 août 1789.

Ainsi que l'a jugé le Conseil Constitutionnel, « en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication en ligne ainsi qu'à l'importance prise par ces services pour la participation à la vie démocratique et l'expression des idées et des opinions, ce droit implique la liberté d'accéder à ces services et de s'y exprimer »^58(*). Les atteintes qui peuvent y être portées ne sont possibles que si elles sont motivées par un objectif d'intérêt général, au nombre desquels figure l'ordre public, dont la protection de la dignité humaine est l'une des composantes^59(*), et à condition qu'elles apparaissent, sous le contrôle du juge, comme nécessaires, adaptées et proportionnées.

Le Conseil constitutionnel a ainsi estimé que l'instauration d'une peine complémentaire obligatoire d'inéligibilité de cinq à dix ans à l'encontre de toute personne coupable de certains délits de presse punis d'une peine d'emprisonnement portait une atteinte disproportionnée à la liberté d'expression^60(*).

En revanche, le Conseil constitutionnel a déclaré conformes à la Constitution des dispositions organisant la répression pénale de l'apologie du terrorisme. Il a jugé, en premier lieu, que « le législateur a entendu prévenir la commission de tels actes [de terrorisme] et éviter la diffusion de propos faisant l'éloge d'actes ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur. Ce faisant, le législateur a poursuivi l'objectif de valeur constitutionnelle de prévention des atteintes à l'ordre public et des infractions, dont participe l'objectif de lutte contre le terrorisme ». En second lieu, l'atteinte portée à la liberté d'expression et de communication était nécessaire, adaptée et proportionnée à un tel objectif. À cet égard, le Conseil a relevé, d'une part, que « l'apologie publique, par la large diffusion des idées et propos dangereux qu'elle favorise, crée par elle-même un trouble à l'ordre public. Le juge se prononce en fonction de la personnalité de l'auteur de l'infraction et des circonstances de cette dernière, notamment l'ampleur du trouble causé à l'ordre public »^61(*).

Le Conseil constitutionnel a également considéré que la peine complémentaire de suspension de l'accès à internet, pour une durée d'un an, de toute personne rendue coupable de contrefaçon, assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un service de même nature auprès de tout opérateur, instaurée à l' article L. 335-7 du code de la propriété intellectuelle, ne méconnaissait aucune règle ni aucun principe constitutionnel^62(*). La sanction prévue à l' article 434-41 du code pénal, qui punit de deux ans d'emprisonnement et de 30 000 euros d'amende la méconnaissance, par le condamné, de l'interdiction de souscrire un nouveau contrat d'abonnement à un service de communication au public en ligne résultant de cette peine complémentaire n'a pas été jugée manifestement disproportionnée par le Conseil constitutionnel^63(*).

Le pouvoir de prononcer une telle mesure de suspension de l'accès à internet, s'agissant d'une sanction conduisant à restreindre l'exercice, par toute personne, de son droit de s'exprimer et de communiquer librement, notamment depuis son domicile, ne saurait toutefois être confié à une autorité administrative, qui n'est pas une juridiction^64(*)

La liberté d'expression est protégée par l'article 10 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. La Cour européenne des droits de l'homme estime que les limitations que les Etats parties peuvent apporter à cette liberté sont d'une interprétation étroite, quoique l'article 17 de la Convention permette de leur accorder une marge de manoeuvre plus étendue lorsque les propos litigieux incitent à l'usage de la violence à l'égard d'un individu ou d'une partie de la population^65(*).

S'agissant des sanctions restreignant la liberté d'expression, la Cour, qui considère l'intervention d'un juge indispensable, estime que l'interdiction d'accès à un média peut être regardée comme justifiée et proportionnée dès lors notamment qu'il existe d'autres possibilités de diffusion des idées par le biais d'autres médias ou d'autres canaux^66(*). Elle a ainsi écarté comme irrecevables les griefs dirigés à l'encontre du blocage d'accès au site Myspace, dès lors que le requérant était seulement privé d'une possibilité parmi d'autres d'exercer sa liberté d'expression^67(*).

Les décisions de censure pour inconventionnalité^68(*) sont surtout intervenues dans les cas où les mesures de blocage de l'accès à certains services (Google, YouTube) ne reposaient sur aucune base légale nationale habilitant les autorités publiques à agir de façon proportionnée.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Les fournisseurs de services de plateformes en ligne suspendent déjà, sous certaines conditions, les comptes d'accès à leurs services. Toutefois, la désactivation du compte est laissée à la libre appréciation du fournisseur de service de plateforme en ligne concerné. Il n'existe actuellement aucun moyen à la disposition des autorités publiques permettant de le contraindre à prendre une telle mesure.

Par ailleurs, il reste relativement aisé pour les détenteurs de comptes supprimés de recréer un compte en utilisant d'autres informations : les auteurs de haine en ligne ou cyber-harcèlement continuent donc d'agir, rendant inopérantes les mesures mises en place par les plateformes.

Dès lors, il apparait nécessaire de créer un mécanisme permettant d'empêcher les utilisateurs dont les comptes sont suspendus pour des actes de haine en ligne ou cyber-harcèlement, de se recréer un compte. Le dispositif va au-delà de la seule suspension du compte en appelant les plateformes à empêcher également la création par la personne condamnée d'un nouveau compte de substitution.

Il s'agit d'établir un dispositif permettant de lutter plus efficacement contre la haine en ligne et le cyber-harcèlement en évitant que les utilisateurs condamnés pour ces types de délits puissent se créer de nouveaux comptes lorsque le compte utilisé pour commettre les délits a été suspendu par le service de plateforme en ligne.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Une première option consisterait à confier à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) la possibilité de demander au juge judiciaire d'enjoindre les plateformes de bannir un compte et de prendre les mesures nécessaires pour éviter que l'utilisateur puisse se recréer un compte. En outre, l'Arcom pourrait demander directement aux plateformes d'empêcher l'accès aux comptes « miroirs » crées par des utilisateurs dont un compte a été bannis par décision de justice.

Le dispositif bénéficierait alors de la légitimité renforcée de l'intervention du juge, saisi par l'Arcom, et s'inscrirait dans le prolongement des prérogatives conférées au président du tribunal judiciaire en matière d'interdiction des sites miroirs sur le fondement du 8 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) introduit par l'article 39 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République. Un tel dispositif permettrait d'assurer la bonne mise en oeuvre de la décision du juge grâce à la possibilité pour l'Arcom de demander administrativement le blocage des comptes « miroirs ».

Cette option n'a pas été retenue car elle ne présente pas suffisamment de garanties permettant d'assurer la proportionnalité du dispositif. En effet, un tel dispositif revêt un champ d'application trop large car il n'est pas réservé aux personnes condamnées pour des infractions de cyber-harcèlement ou de haine en ligne.

L'option retenue introduit une peine complémentaire de suspension du compte d'accès à un service de plateforme en ligne, pour les utilisateurs condamnés pour certaines infractions de haine en ligne ou de cyber-harcèlement commises au moyen du service de plateforme en ligne. Cette peine complémentaire de suspension peut être prononcée par le juge pour une durée maximale de six mois, cette durée étant portée à un an dans le cas où la personne condamnée se trouve en état de récidive légale.

Cette peine complémentaire, prévue dans un nouvel article 131-35-1 du code pénal, est réservée aux infractions les plus graves commises au moyen d'un service de plateforme en ligne. Elle s'applique aux faits de cyber-harcèlement et de haine en ligne.

Le champ d'application de cette peine complémentaire recouvre les infractions suivantes :

- L'ensemble des délits de harcèlement prévus aux articles 222-33 (harcèlement sexuel), 222-33-2-1 (harcèlement par conjoint), 222-33-2-2 (harcèlement moral), 222-33-2-3 (harcèlement scolaire), au deuxième alinéa de l'article 222-33-3 (diffusion de l'enregistrement d'images relatives à la commission d'une atteinte volontaire à l'intégrité de la personne) ;

- Certains délits portant une atteinte particulière à l'ordre public et à la dignité de la personne susceptibles d'être commis par internet, prévus aux articles 225-4-13 (pratiques visant à modifier ou réprimer l'orientation sexuelle ou l'identité de genre d'une personne), 225-5 (proxénétisme) et 225-6 (infractions assimilées au proxénétisme), 227-23 (diffusion, offre, cession images pédopornographiques), 227-24 (fabrication, transport, diffusion, de message violent, pornographique, ou contraire à la dignité, accessible à un mineur) et 421-2-5 du code pénal (provocation et apologie du terrorisme) du code pénal ;

- Les délits de presse les plus graves prévus aux cinquième, septième et huitième alinéas de l'article 24 (apologie publique de certaines crimes prévus par le code pénal, des crimes de guerre, des crimes contre l'humanité, des crimes de réduction en esclavage, ou des crimes et délits de collaboration avec l'ennemi ; provocation à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée ; provocation à la haine ou aux discrimination ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap) et à l'article 24 bis (négationnisme) de la loi du 29 juillet 1881 sur la liberté de la presse.

La décision de condamnation est signifiée au fournisseur de service de plateforme en ligne concerné. Ce dernier doit, à compter de la signification de la décision et pendant toute la durée de l'exécution de la peine, bloquer le compte ayant fait l'objet de la suspension.

En outre, le fournisseur de service de plateforme en ligne concerné met en oeuvre des mesures permettant de procéder au blocage des autres comptes d'accès à son service éventuellement détenus par la personne condamnée et d'empêcher la création de nouveaux comptes par la personne condamnée.

Le non-respect, par le fournisseur de service de plateforme en ligne concerné, de son obligation de procéder au blocage du compte ayant fait l'objet d'une suspension est puni de 75 000 euros d'amende.

Plusieurs garanties sont prévues afin d'assurer la proportionnalité de cette peine complémentaire.

- En premier lieu, le prononcé de cette peine complémentaire revêt un caractère facultatif, laissé à l'appréciation du juge.

- En deuxième lieu, cette peine complémentaire n'est encourue qu'en cas de condamnation pour des infractions graves commises au moyen d'un service de plateforme en ligne. Il s'agit de délits portant atteinte à l'ordre public et aux droits des tiers, et spécifiquement à la dignité de la personne.

- En troisième lieu, la peine de suspension des comptes ne concerne que les services de plateforme en ligne ayant été utilisés pour commettre l'infraction.

- En dernier lieu, la personne condamnée peut solliciter le relèvement de cette peine à l'expiration d'un délai de trois mois après la décision initiale de condamnation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L'article 131-35-1 du code pénal est rétabli.

Les plateformes sont soumises à des obligations imposées par le règlement « DSA »^69(*) concernant les suspensions de comptes. L'article 23 et le considérant 64 établissent des mesures de lutte et de protection contre les utilisations abusives. Les plateformes ont l'obligation de suspendre temporairement leurs services aux utilisateurs qui fournissent fréquemment des contenus manifestement illicites. Le DSA précise que cela n'empêche pas les plateformes de prendre des mesures plus strictes comme la suspension définitive.

Il n'apparait pas que la peine complémentaire de suspension contrevienne aux dispositions du droit de l'Union européenne.

Les présentes dispositions n'entraînent pas en elles-mêmes d'impact macroéconomique.

Les fournisseurs de service de plateforme en ligne dont les utilisateurs sont concernés par la peine complémentaire de suspension devront, pendant toute la durée de l'exécution de la peine, bloquer le compte d'accès à leur service.

Ils devront aussi mettre en oeuvre des mesures permettant de procéder au blocage des autres comptes éventuellement détenus par la personne condamnée et d'empêcher la création de nouveau comptes par celle-ci.

Les fournisseurs de service de plateforme en ligne disposent déjà d'outils leur permettant de bloquer les comptes d'utilisateurs, notamment lorsqu'ils constatent que ces derniers ne respectent pas les conditions générales d'utilisation de leurs services. L'application des présentes dispositions ne devrait donc pas représenter une charge supplémentaire pour les fournisseurs de service de plateforme en ligne.

Les présentes dispositions n'entraînent pas en elles-mêmes d'impact budgétaire.

Néant.

Néant.

Obliger les plateformes en ligne à bloquer les comptes des utilisateurs ayant déjà fait l'objet de mesure de suspension de compte contribue à faire cesser des actes de haine en ligne et de cyber-harcèlement.

En effet, cette peine complémentaire de suspension de compte dissuade les utilisateurs dont les comptes ont déjà été suspendus à récidiver et également d'autres utilisateurs qui pourraient être tentés de se livrer à des comportements similaires.

L'obligation pour les plateformes d'empêcher la création de nouveaux comptes par ces utilisateurs récidivistes prévient d'autant plus de tels comportements et protège les utilisateurs de contenus néfastes et préjudiciables.

Ainsi, le présent dispositif contribue à faire des plateformes en ligne des espaces numériques sécurisés et de confiance.

Néant.

Néant.

Néant.

Néant.

La disposition renforce les sanctions à l'encontre des particuliers auteurs des délits visés, qui, au-delà des peines prévues par le code pénal, seront privés de l'usage de leurs comptes de réseau social pendant six mois. En miroir, les usagers de ces plateformes pourront bénéficier d'une plus grande protection vis-à-vis des contenus de cyber-harcèlement et d'espaces numériques plus sûrs.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

Le présent projet de loi entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. S'agissant de dispositions pénales plus sévères, elles ne seront applicables qu'aux faits commis après leur entrée en vigueur.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les dispositions de l'article 5 du projet de loi, qui relèvent du domaine du droit pénal, ont vocation à s'appliquer dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, sous réserve des ajustements nécessaires à leur application (actualisation des compteurs afférents).

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25. 

Les présentes dispositions n'appellent aucune mesure d'application.

1. ÉTAT DES LIEUX

A la faveur de la démocratisation des équipements et usages numériques, les Français sont de plus en plus exposés à des tentatives d'arnaque, de fraude ou de vols de données personnelles et financières.

Ainsi, la plateforme Cybermalveillance.gouv.fr, opérée par le Groupement d'Intérêt Public Action contre la Cybermalveillance (GIP ACYMA), rencontre une très nette augmentation des demandes d'assistance depuis plusieurs années :

- 2020 : 1,2 millions de visiteurs et 105 000 parcours d'assistance ;

- 2021 : 2,4 millions de visiteurs et 173 000 parcours d'assistance, soit + 65 % ;

- 2022 : 3,8 millions de visiteurs et 280 000 parcours d'assistance, soit + 62 %.^70(*)

Le Ministère de l'Intérieur a mis en place la plateforme THESEE visant à permettre un dépôt de plainte en ligne pour les victimes d'arnaques sur internet. Lancée en mars 2022, la plateforme dénombrait déjà près de 60 000 déclarations en ligne mi-octobre 2022.

Face à cette recrudescence de la cybercriminalité du quotidien (92% des recherches d'assistance concernant les particuliers dont 38% pour des cas de hameçonnage^71(*)), il est impératif de passer d'une logique unique de traitement des flux de victimes a posteriori à une logique préventive, sur le modèle de certains Etats occidentaux numériquement avancés.

Dans cette perspective, le Président de la République a pris l'engagement, lors de la campagne électorale de 2022, de mettre en place un filtre anti-arnaque qui « avertira en temps réel tous les usagers d'Internet avant qu'ils ne se rendent sur un site potentiellement piégé ».

Les arnaques en ligne couvertes par le dispositif sont centrées dans le faits sur les actes de cybermalveillance basés sur des tentatives de hameçonnage, qui sont qualifiables en droit des infractions prévues aux articles 226-4-1 (usurpation d'identité), 226-18 (collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite) et 323-1 (accès frauduleux à un système de traitement automatisé de données) du code pénal, ainsi qu'à l'article L. 163-4 (usage frauduleux de moyen de paiement) du code monétaire et financier.

L'articulation entre la présente disposition et le respect de la liberté d'entreprendre, de la liberté d'expression et de la liberté de communication appelle l'intervention du pouvoir législatif au sens de l'article 34 de la Constitution, selon lequel la loi fixe notamment les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.

Le dispositif envisagé permet à des agents de l'autorité administrative spécialement désignés et habilités à cette fin d'identifier une liste de sites malveillants et de demander aux fournisseurs de navigateur internet, à titre conservatoire, d'afficher un message d'alerte lorsqu'un utilisateur tente de se connecter à ces sites. Lorsque l'éditeur du site ne peut être identifié, l'autorité administrative peut demander aux fournisseurs de navigateur internet, aux fournisseurs d'accès internet et aux fournisseurs de systèmes de résolution de nom de domaine de prendre toute mesure pour empêcher l'accès à ce site par les utilisateurs. Pour les éditeurs de sites internet, la présence de leur site sur cette liste les expose à ce que l'internaute tentant d'y accéder soit redirigé vers un message exposant les risques encourus et que cet internaute n'accède pas au site.

Au regard de ses finalités de neutralisation préventive de la menace, le dispositif procédera à la classification du site internet puis à son filtrage immédiat et à titre conservatoire, sur la base d'une qualification préalable de son caractère manifestement malveillant par des agents de l'autorité administrative spécialement désignés et habilités à cette fin.

Par ses modalités, ce dispositif est à rapprocher du dispositif de filtrage prévu au 1° de l'article L. 521-3-1 du code de la consommation^72(*), permettant aux agents de la DGCCRF d'ordonner, selon des conditions et modalités particulières^73(*), aux opérateurs de plateformes en ligne, aux fournisseurs d'accès à internet ainsi qu'aux exploitants de navigateurs internet d'afficher un message avertissant les consommateurs du risque de préjudice encouru s'ils accèdent au contenu manifestement illicite, et au b du 2° du même article, qui leur permet d'ordonner à ces mêmes opérateurs et aux hébergeurs de prendre toute mesure utile destinée à limiter l'accès à ces contenus.

Ce dispositif de filtrage déjà existant permet de limiter l'accès des utilisateurs à des sites internet ou à des applications dont les contenus sont de nature à porter atteinte à la loyauté des transactions commerciales ou à l'intérêt des consommateurs, en imposant la disparition de leurs adresses électroniques dans le classement ou le référencement mis en oeuvre par les opérateurs de plateforme en ligne. La mesure ne s'applique que lorsqu'il est constaté la mise en ligne de contenus présentant un caractère manifestement illicite et que l'auteur de la pratique frauduleuse constatée sur l'interface n'a pu être identifié ou qu'il n'a pas déféré à une injonction de mise en conformité prise après une procédure contradictoire.

Le Conseil constitutionnel s'est prononcé, dans sa décision QPC n° 2022-1016^74(*), sur la mesure de déréférencement prévue au 2°, a), de ce même article L. 521-3-1 qui présente, par ses effets, des similitudes avec le dispositif projeté.

Au vu de la décision précitée du Conseil constitutionnel et compte tenu de la proximité du dispositif projeté avec celui examiné dans cette décision, le juge constitutionnel devrait l'appréhender selon un contrôle de proportionnalité analogue.

S'il devait juger que la disposition relative au filtre national de cybersécurité porte effectivement atteinte au libre exercice d'une activité ainsi qu'à la liberté d'expression ou de communication, il s'assurerait que ces atteintes ne sont pas pour autant contraires à la Constitution au vu, d'une part, de l'objectif d'intérêt général poursuivi (en l'espèce : nécessité d'assurer une protection en temps réel des internautes) et, d'autre part, de leur caractère adapté et proportionné à l'objectif poursuivi. Il vérifierait, sur ce dernier point, le caractère suffisant des garanties prévues par le législateur (en l'espèce, notamment : caractère manifeste des infractions, supervision du dispositif par une personnalité qualifiée disposant d'un pouvoir d'injonction, recours effectif avec effet suspensif immédiat).

En l'espèce, le dispositif de filtrage envisagé est construit en s'efforçant de reproduire soigneusement les garde-fous et garanties évoquées par la jurisprudence constitutionnelle.

Le dispositif envisagé a un champ d'application précis et limité^75(*), prévoit des garanties suffisantes pour assurer la proportionnalité de la mesure, telles que la possibilité d'un recours effectif, l'intervention d'une autorité administrative indépendante chargée de contrôler l'action de l'autorité compétente^76(*), ou encore la mise en place d'une procédure contradictoire préalable pendant laquelle les éditeurs de sites identifiables peuvent faire valoir leurs observations, ainsi qu'un réexamen régulier de la nécessité de la mesure^77(*) (cf. 3.2.2).

Les principaux textes européens visant la cybersécurité sont :

- La directive 2016/1148 NIS 1^78(*) destiné à assurer un niveau de sécurité des réseaux et des systèmes d'information minimal dans l'Union ;

- La directive 2022/2555 NIS 2^79(*) venant élargir le périmètre des secteurs soumis à la directive NIS 1 ;

- Le règlement 2019/881 CSA^80(*) venant définir le statut de l'agence européenne pour la cybersécurité et venant définir un cadre commun de certification de cybersécurité.

Le dispositif proposé s'inscrit en bonne articulation avec ces différents textes ayant pour chacun des champs d'application différents de celui de la présente mesure. En effet, les directives NIS1 et NIS2 ont pour principal objectif de renforcer la sécurité des opérateurs de services essentiels (c'est-à-dire des entreprises, quel que soit leur secteur d'activité) qui opèrent un service justifiant une sécurité renforcée. Le présent dispositif est a contrario et de manière complémentaire destiné à protéger le grand public.

De même, le règlement CSA a défini un cadre de certification des produits de sécurité afin de permettre aux utilisateurs de pouvoir déterminer aisément le niveau de sécurité correspondant à un produit donné. Si ce règlement concourt à améliorer la sécurité des citoyens européens en les éclairant sur le niveau de sécurité des produits de sécurité qu'ils utilisent, il n'a pas de vocation à prescrire des moyens précis de protection des utilisateurs et se situe donc dans un champ différent de la présente mesure.

Le principe de neutralité d'Internet, consacré en droit positif par le Règlement « internet ouvert »^81(*), garantit l'égalité de traitement des contenus sur Internet, et donc leur libre circulation. Il est notamment affirmé par le règlement (UE) 2015/2120 du 25 novembre 2015^82(*).

Le règlement (UE) 2015/2120 précité prévoit néanmoins des exceptions à ce principe, mentionnées aux considérants 13 à 15 de son préambule. En particulier, le principe ne fait pas obstacle à la mise en place de dispositifs législatifs de restriction d'accès à un service de communication au public en ligne, s'ils sont justifiés par un impératif de sauvegarde de l'ordre public. Par exemple, des dérogations au principe sont autorisées lorsqu'elles sont « nécessaires pour protéger l'intégrité et la sécurité du réseau, par exemple en prévenant les cyberattaques qui se produisent par la diffusion de logiciels malveillants ou l'usurpation d'identité des utilisateurs finaux qui résulte de l'utilisation de logiciels espions ».

La solution proposée s'inspire des modèles utilisant la solution DNS en particulier le modèle belge, en le complétant techniquement pour être plus exhaustif en couverture des différents moyens de navigation internet. Le modèle belge ne vise que les fournisseurs d'accès internet (FAI) quand la proposition française visera les fournisseurs d'accès internet mais également les fournisseurs de résolveurs DNS et fournisseurs de navigateurs internet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Des dispositifs de filtrage, par voie judiciaire ou administrative, existent déjà en droit positif pour protéger les internautes contre certaines catégories de contenus ou sites particulièrement préjudiciables : les contenus haineux sur internet ou les atteintes aux personnes^83(*), les atteintes au droit d'auteur^84(*), les pratiques commerciales déloyales, trompeuses ou agressives^85(*) , l'apologie du terrorisme^86(*) , la diffusion de contenus pédopornographiques^87(*) et les activités en ligne de nature à altérer la sincérité des scrutins à venir^88(*). 

Toutefois, aucun de ces dispositifs ne vise le périmètre couvert par le dispositif proposé.

La disposition envisagée s'appuie sur le constat selon lequel il n'existe pas de précédent identifiable en droit français permettant de répondre à la préoccupation de lutter préventivement contre les actes de cybermalveillance visés par le dispositif et de façon aussi rapide et efficace que les modes opératoires standardisés, évolutifs et extrêmement réactifs des cybercriminels.

Ces derniers sont en effet organisés en de véritables entreprises, avec des fonctions RH, support et marketing dédiées, et ils recourent à des outils de phishing clés en main accessibles sur le web non indexé (dark web) à faible coût. Une campagne d'hameçonnage peut aujourd'hui être orchestrée en quelques clics, à l'aide de bases de données personnelles compromises qui servent à diffuser des messages trompeurs pour diriger les victimes vers un site internet frauduleux où elles seront par exemple incitées à effectuer des démarches, renseigner des informations personnelles sensibles ou effectuer des paiements sans contrepartie. Ces sites frauduleux sont généralement construits puis désactivés quelques heures après la diffusion massive et automatisée des messages d'hameçonnage, une fois que le cybercriminel aura estimé avoir touché un nombre suffisant de cibles.

Pour faire face à la standardisation et à l'industrialisation des pratiques des cybercriminels, il est nécessaire d'inventer un nouveau modèle de réponse en s'inspirant pour partie des dispositifs de blocages de sites illicites en vigueur et des exemples de dispositifs actuellement mis en oeuvre à l'étranger (Belgique, Canada, USA, Royaume-Uni, Espagne).

Pour ce faire, la logique retenue au sein du dispositif proposé consiste à s'inspirer de l'idée de mesures conservatoires en dotant des agents de l'autorité administrative spécialement désignés et habilités à cette fin d'un pouvoir d'injonction permettant d'imposer une mise en oeuvre immédiate du filtrage, assorti de fortes garanties procédurales ex ante et de contrôle ex post.

Plus précisément, le dispositif prévoit une procédure contradictoire préalable de cinq jours pendant laquelle l'éditeur du site concerné, à la condition qu'il soit identifiable et puisse être contacté, peut faire valoir ses observations et contester la qualification retenue tout en ne s'exposant qu'à une seule mesure conservatoire possible : l'affichage d'un message avertissant l'internaute sur les risques encourus, l'internaute restant en capacité d'accéder s'il le souhaite au site malgré ces risques.

En outre, au cours des consultations menées avec les acteurs concernés par la disposition du présent projet de loi ainsi que lors des travaux juridiques conduits au sein du groupe de travail interministériel, il est apparu qu'il est nécessaire de légiférer afin d'assurer une application proportionnée du dispositif et prévoir des garanties suffisantes en matière de protection des libertés fondamentales. Au vu de l'impact potentiel d'un tel dispositif sur les libertés d'expression et d'entreprendre garanties par la Constitution, le recours à la loi est prescrit aux termes de l'article 34 de la Constitution.

La cybermalveillance est devenue un phénomène de masse en quelques années, qui sape la confiance des citoyens dans la société numérique. Cette menace provoque une insécurité culturelle, source de désaffiliation, qui prive de facto nos concitoyens de la possibilité d'exploiter pleinement les potentialités des technologies numériques.

Le filtre de cybersécurité a pour principal objectif de protéger les Français en limitant la capacité des cybercriminels à exploiter facilement les vecteurs habituels de diffusion d'une cyberattaque et en perturbant leurs modèles d'affaires. Le dispositif rehaussera le coût et l'effort à assumer pour attaquer nos concitoyens, ce qui aura pour effet de réduire la cybermalveillance qui vise les internautes en France.

En ce sens, l'objectif de diminution du nombre de victimes d'actes de cybermalveillance est indissociable d'un objectif d'alerte rapide aux utilisateurs.

La disposition retenue poursuit l'objectif d'assurer aussi bien la proportionnalité des atteintes aux libertés fondamentales en cause que de permettre une très forte réactivité dans la gestion des cas de blocage indus de sites légitimes.

Elle repose sur l'établissement, par des agents spécialement désignés et habilités de l'autorité administrative, d'une liste de sites manifestement cybermalveillants transmise aux fournisseurs d'accès internet (FAI), fournisseurs de résolveurs DNS et fournisseurs de navigateurs internet.

Cette liste est ensuite exploitée par ces trois catégories de professionnels pour protéger les utilisateurs contre les actions malveillantes de ces sites.

Le scénario typique contre lequel le dispositif vise à se prémunir est le suivant : un utilisateur reçoit un message (courriel, SMS) l'invitant à cliquer sur un lien imitant un service public ou un service marchand. Si l'utilisateur clique sur le lien, le site auquel il accède va le plus souvent tenter de lui soutirer des informations personnelles (informations d'état civil, informations bancaires etc.) ou tenter de compromettre le terminal de l'utilisateur.

Le dispositif mis en place vise à faire en sorte que, lorsqu'il clique sur ce lien réputé malveillant, l'utilisateur ne soit pas re-dirigé vers le site malveillant mais vers une page l'avertissant de sa tentative de connexion vers un lien malveillant.

Le dispositif mis en place repose sur deux mécanismes complémentaires :

- Dans les cas où les éditeurs de sites malveillants sont identifiables et peuvent être contactés afin d'engager une procédure de contradictoire préalable, un dispositif mis en place par les fournisseurs de navigateur à titre conservatoire pour une durée n'excédant pas sept jours, avant confirmation par l'intervention d'une nouvelle décision motivée de l'autorité administrative. L'accès à internet se fait le plus souvent au moyen d'un navigateur internet installé sur le système d'exploitation du terminal de l'utilisateur. Le dispositif mis en place prévoit que les fournisseurs de navigateur intègrent à leur navigateur une fonctionnalité qui filtre l'accès aux sites web manifestement cybermalveillants afin d'afficher un message d'avertissement contournable avant qu'une connexion vers ce site n'ait lieu. L'utilisateur reste libre, s'il le souhaite, malgré les risques dont il a été averti, d'accéder au site ;

- Dans les cas où les éditeurs de sites malveillants ne sont pas identifiables ou si le constat d'infraction est toujours valable à l'issue de la période de contradictoire, un dispositif mis en place par les FAI et les fournisseurs de résolveurs DNS : lorsqu'un utilisateur se connecte à un site web via son adresse web, encore appelée URL, (exemple : www.gouvernement.fr/test), son terminal se connecte à un résolveur DNS (fourni par son FAI ou par un fournisseur alternatif) qui transforme le nom de domaine ( www.gouvernement.fr) associé à cette adresse web en adresse IP (ex : 185.11.125.117) ce qui permettra au terminal de l'utilisateur de déterminer comment acheminer des flux vers ce site. Le dispositif mis en place prévoit que les FAI et fournisseurs de résolveurs DNS lorsqu'ils reçoivent sur leurs résolveurs une requête associée à un site manifestement cybermalveillant, ne communiquent pas l'adresse de ce site mais celle d'une page statique d'avertissement.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Le scénario consistant à opter pour des dispositifs incitatifs se heurte à des difficultés tenant à un niveau insuffisant de maturité de la population générale par rapport au risque cyber, si bien que l'incertitude pesant sur l'adoption desdits dispositifs compromettrait l'objectif de protection recherché. Il en va notamment ainsi d'une option consistant pour les pouvoirs publics à développer une application ou une extension dédiée pour un navigateur web ou un terminal qui ne permettrait pas de couvrir de manière large l'ensemble de la population.

Une autre solution technique permettant d'empêcher l'accès à un site internet consiste à intervenir sur les règles de transmission (routage) des flux sur internet pour empêcher l'acheminement des flux vers les sites cybermalveillants.

Les solutions reposant sur une modification des règles de transmission des flux n'ont pas été retenues dans la mesure où elles engendrent des risques importants en matière d'acheminement du trafic légitime en cas d'erreur dans la configuration des règles de filtrage^89(*).

Cette solution consiste à s'appuyer sur le système de gestion des noms de domaines des fournisseurs d'accès à internet. Elle consiste à transmettre au client une réponse différente de celle stockée par le serveur de nom faisant autorité.

Le filtre serait alors opéré uniquement au niveau du fournisseur d'accès à internet et serait transparent pour le bénéficiaire.

Cette solution présente l'avantage d'un déploiement rapide avec un taux de couverture large, l'adossement à une infrastructure existante permettant de réduire les coûts et de faciliter l'implémentation technique à court terme.

Les infrastructures des opérateurs télécoms disposent d'une capacité native à absorber la charge de traitement des sites cybermalveillants signalés et cette solution permet, le cas échéant, un élargissement de la couverture vers d'autres menaces (command & control, machines zombies).

Toutefois, elle présente plusieurs limites qui ont conduit à ne pas pouvoir la considérer comme auto-suffisante :

- Précision limitée du filtrage (au niveau du domaine et non d'une adresse complète - URL), qui conduit à couvrir nécessairement moins de menaces afin de prévenir les phénomènes de sur-blocage ;

- Evolution de marché tendant à une décroissance du recours aux DNS des opérateurs au profit du protocole DNS over HTTPS (DoH) ;

- Impossibilité d'afficher la page d'avertissement en cas de requête adressée vers un site HTTPS (50% des cas), mais affichage d'une page d'erreur tant que certaines extensions au protocole DNS, qui sont actuellement en cours de développement, n'auront pas été implémentées.

Cette solution consiste à s'appuyer sur les services de détection et de filtrage des domaines et des sites malveillants intégrés au sein des navigateurs internet (ex : Google Safe Browsing, Microsoft SmartScreen). Elle présente des avantages similaires à la solution de filtrage reposant sur le système de résolution DNS des fournisseurs d'accès à internet en matière de déploiement, d'adossement à une infrastructure existante et d'absorption de la charge.

La possibilité d'une meilleure précision de filtrage, d'un filtrage effectif sur n'importe quel navigateur et l'absence de restriction d'affichage de la page d'avertissement constituent en outre des avantages supplémentaires.

Toutefois, l'implémentation technique de cette solution est jugée plus complexe et plus longue à mettre en oeuvre que la solution DNS, si bien qu'elle n'a pas pu être considérée comme une solution auto-suffisante.

Les principes de fonctionnement du dispositif retenu sont les suivants : réactif, accessible, gratuit, simple à utiliser, et reposant essentiellement sur une réorientation de l'internaute vers une page de signalement en lieu et place du site cybermalveillant.

Le dispositif reposera sur une base technologique socle permettant d'agréger les noms de domaine et adresses de sites préalablement signalés comme cybermalveillants par un groupe d'acteurs publics et privés spécialisés et reconnus dans la lutte contre la cybercriminalité ou susceptibles de collecter des informations sectorielles pertinentes, certains d'entre eux pouvant être assimilés aux « signaleurs de confiance » au sens du règlement sur les services numériques (DSA), avant vérification du caractère manifestement cybermalveillant par l'autorité administrative chargée d'émettre les injonctions de filtrage.

Acteurs publics :

- Direction générale de la concurrence, de la consommation et de la répression des fraudes qui a pour mission d'enquêter et de sanctionner les pratiques commerciales abusives, mensongères ou trompeuses, visant particuliers et entreprises ;

- Autorité de contrôle prudentiel et de résolution qui, dans sa mission de protection des particuliers, émet des alertes et publie une liste d'acteurs non autorisés à prester en matière bancaire ou assurantiel ;

- Autorité des marchés financiers qui, dans sa mission de mise en garde des épargnants, dispose d'une liste noire des sites non autorisés ;

- Sous-direction de la lutte contre la cybercriminalité de la police nationale, composée de 150 agents répartis entre l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), d'une division de la preuve numérique, d'une division de l'anticipation et de l'analyse et d'un bureau de coordination stratégique ;

- Commandement de la gendarmerie dans le cyberespace (COMCyberGEND), qui vise à animer, coordonner et renforcer les capacités de la gendarmerie dans le domaine cyber, à travers quatre divisions fonctionnelles (proximité numérique, enquête numériques, appui aux opérations numériques et stratégie, prospective et partenariats) ;

- Agence nationale de la sécurité des systèmes d'information (ANSSI) ;

- Groupement d'intérêt public « action contre la cybermalveillance » (ACYMA) dont les membres institutionnels sont : le ministère de l'Intérieur, le ministère de la Justice, le ministère de l'Économie et des Finances, le ministère de l'Education, le ministère des Armées, l'Agence nationale de sécurité des systèmes d'informations, et qui opère la plateforme de prévention et d'assistance aux victimes « cybermalveillance.gouv.fr » ;

- Mission d'appui au patrimoine immatériel de l'Etat qui propose un accompagnement stratégique et opérationnel aux services de l'État concernant les actifs immatériels.

Acteurs privés chargés de missions d'intérêt public :

- L'association loi de 1901 « Signal Spam » qui exploite un service de signalement des mails indésirables.

Ces acteurs alimenteront dans un premier temps la base socle au travers des signalements de sites cybermalveillants.

Les faux sites visés en priorité par le filtre anti-arnaque se présentent sous la forme de :

- Typo-squatting : consiste à usurper à des fins d'escroquerie le nom et l'apparence d'un site en vue de commettre un acte de cybermalveillance ;

- Phishing : vise à leurrer dans l'offre d'un service en vue d'un vol de données personnelles ou d'identifiants en ligne, à des fins d'attaque ou d'escroquerie ultérieures ou d'utilisation frauduleuse des moyens de paiement.

Conformément à l'analyse réalisée par le groupe de travail des différentes options techniques envisageables, la solution retenue permet d'engager en parallèle le déploiement d'une solution de filtrage s'appuyant sur la résolution de noms de domaine par les résolveurs DNS des fournisseurs d'accès à internet (FAI) et le déploiement d'une solution de filtrage s'appuyant sur les services proposés par les éditeurs de navigateur internet.

Ce déploiement simultané est justifié par l'existence d'avantages et d'inconvénients liés à ces deux solutions techniques et à la nécessité de minimiser les risques de mise en oeuvre en faisant levier sur leur complémentarité, dans une logique itérative.

Le dispositif envisagé doit fonctionner en deux temps, avec un filtrage immédiat à titre conservatoire pour une durée limitée, et une confirmation de la mesure à l'issue d'un contradictoire plus renforcé.

Un premier constat de cyber malveillance sera délivré par un agent spécialement désigné et habilité de l'autorité administrative. Celle-ci le notifiera immédiatement à l'éditeur du site concerné, sous réserve qu'il ait mis à disposition des informations de contact le permettant, afin qu'il puisse faire valoir ses observations dans un délai de cinq jours. Simultanément, l'autorité administrative notifiera l'adresse du site aux fournisseurs de navigateurs en vue de l'affichage sans délai d'un message d'avertissement pendant une durée de sept jours. Pendant cette période, l'utilisateur reste libre d'accéder au site malgré les risques encourus dont il a été averti.

Si, après avoir pris connaissance des observations de l'éditeur du site, l'autorité administrative constate l'absence d'infraction, elle devra demander sans délai la levée des mesures conservatoires.

Si les observations ne remettent pas en cause le constat de l'existence d'une infraction, ou en l'absence d'observations dans le délai imparti, ou si l'éditeur n'avait pas publié ses coordonnées, l'autorité administrative pourra adopter une décision motivée, qu'elle notifiera à l'éditeur si elle a ses coordonnées, par laquelle elle demandera aux FAI, aux fournisseurs de système de résolution de noms de domaine et aux fournisseurs de logiciels de navigation, de bloquer l'accès au site. Elle pourra demander à tout instant aux personnes concernées de lever les mesures de blocage/filtrage s'il apparaît que le constat sur lequel elles étaient fondées n'est plus valable.

Les notifications et la liste de sites cyber-malveillants ayant fait l'objet de ces mesures seront transmises sans délai à une personnalité qualifiée désignée au sein de la CNIL, qui s'assurera de leur régularité et pourra recommander de mettre fin aux mesures conservatoires et/ou de blocage/filtrage. Cette personnalité qualifiée pourra saisir le collège de la CNIL, lorsque l'enjeu le justifie, et pourra à tout moment enjoindre l'autorité administrative de mettre fin aux mesures qu'elle a prises sur la base du constat de cybermalveillance.

Lorsque l'éditeur du site en cause saisit la personnalité qualifiée désignée au sein de la CNIL d'un recours, les mesures de blocage sont immédiatement suspendues le temps de l'instruction de ce recours.

Conformément aux recommandations techniques, la disposition inclut dès lors les FAI, les fournisseurs de système de résolution de noms de domaine et les éditeurs de navigateurs internet dans le champ des acteurs auxquels l'autorité administrative peut adresser des injonctions à filtrer les domaines et URL qu'elle a préalablement qualifiés comme malveillants.

Il s'agit de se placer dans des situations de risque de cyber malveillance limité aux tentatives de phishing, où l'autorité administrative a relevé des agissements caractérisés et manifestement constitutifs d'une infraction.

Afin de pouvoir faire un lien suffisamment direct entre le contenu de la page concernée et l'existence d'une infraction, il est proposé de s'appuyer sur les infractions mentionnées aux articles 226-4-1 (usurpation d'identité), 226-18 (collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite) et 323-1 (accès frauduleux à un système de traitement automatisé de données) du code pénal, ainsi qu'à l'article L. 163-4 (usage frauduleux de moyen de paiement) du code monétaire et financier, qui sont généralement retenues par le juge dans les affaires de hameçonnage.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La mesure envisagée crée un nouvel article 12 au sein de la loi pour la confiance en l'économie numérique.

La mise en oeuvre de la solution de filtrage consistant à s'appuyer sur les navigateurs internet nécessitera de faire reconnaître une dérogation au « principe du pays d'origine » tel qu'établi dans la directive 2000/31/CE^90(*) dite « e-commerce » pour les services de la société de l'information et de notifier les dispositions en cause à la Commission européenne.

En effet, les principaux exploitants de navigateurs utilisés sont Google, Microsoft, Apple et Mozilla, et ces exploitants ont établi leur siège social européen hors de France, ce qui les rend justiciables, en vertu du principe du pays d'origine, de la juridiction de l'Etat membre où le siège social est implanté.

La mise à disposition d'un filtre anti-arnaque sous la forme d'un service public accessible gratuitement pourrait permettre une réduction importante du nombre de cyber arnaques.

Le dispositif devrait également avoir un effet positif sur la posture cyber générale de la population et conduire à un accroissement de la vigilance individuelle face au risque cyber, engendrant ainsi un renforcement de la confiance dans l'économie numérique.

Un effet parallèle pourrait être la réduction du coût des polices d'assurances (notamment bancaire) et ce faisant un soutien indirect au développement de polices d'assurance destinées à couvrir le risque cyber.

Enfin, le renforcement de la mutualisation de la connaissance sur les sites cybermalveillants entre les différents services de l'Etat intervenant sur ces questions aura un effet positif sur l'efficacité des services de l'Etat intervenant dans le domaine cyber.

L'impact sur les entreprises se limiterait à un impact sectoriel visant les fournisseurs d'accès à internet (FAI), les fournisseurs de systèmes de résolution de domaine et les navigateurs.

Les fournisseurs d'accès à internet auraient à charge d'assurer le déploiement des listes de sites transmises en s'appuyant sur leurs solutions de filtrage existantes s'appuyant sur leurs résolveurs DNS.

Les éditeurs de navigateur internet auraient à charge d'assurer le déploiement d'une solution de filtrage s'appuyant sur leurs services préexistants (ex : Google Safe Browsing, Microsoft SmartScreen).

Les FAI, résolveurs et navigateurs auraient également à assurer la bonne application et le suivi du blocage ou du message d'alerte sur la base des notifications, confirmations et/ou demandes de levées provenant de l'autorité administrative en charge du filtre anti-arnaque.

L'impact sur ces entreprises serait similaire à celui demandé aux fournisseurs d'accès internet dans le cas d'autres dispositifs impliquant des mesures de filtrage pour lutter contre les contenus haineux sur internet ou les atteintes aux personnes^91(*), les atteintes au droit d'auteur^92(*), les pratiques commerciales déloyales, trompeuses ou agressives^93(*), l'apologie du terrorisme^94(*), la diffusion de contenus pédopornographiques^95(*) et les activités en ligne de nature à altérer la sincérité des scrutins à venir^96(*).

D'après le bilan qui a été dressé par le groupe de travail et le GIP ACYMA, le coût de développement du service par l'autorité administrative est estimé à 1 115 000 euros pour ce qui est de l'investissement initial, sans inclure les frais de maintenance pour l'année 2023 et 2024.

L'autorité administrative qui sera désignée par voie réglementaire pour piloter la mise en place du dispositif devra être dotée des moyens humains nécessaires à la réalisation de ses missions : pilotage du développement et de la maintenance de l'outil informatique, contrôles devant être effectués pour vérifier les blocages, vérification de la qualité des données transmises, etc.

Le dispositif aura pour effet positif d'offrir aux particuliers une protection renforcée lors de leurs activités en ligne et d'accroître leur confiance dans les services numériques.

Toutes choses égales par ailleurs, la mise en place du filtre de cybersécurité devrait ainsi permettre une réduction significative du nombre de particuliers qui sont victimes d'actes de cybercriminalité, et notamment de tentatives d'hameçonnage.

Les atteintes à la liberté de navigation des particuliers seront limitées dans la mesure où l'accès ne sera filtré que si la requête mène vers un site inscrit sur la liste noire de sites qualifiés comme manifestement cybermalveillants par l'autorité administrative compétente.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Pour préparer la mise en oeuvre de cette mesure, le ministre délégué chargé de la Transition numérique et des Télécommunications a demandé à un groupe de travail interministériel d'évaluer les enjeux techniques, juridiques, organisationnels et budgétaires devant éclairer la décision politique.

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie pour avis sur ce dispositif

L'Arcep a également été consultée sur la base de l'article L. 36-5 du code des postes et des communications électroniques, dès lors qu'elle est envisagée comme autorité administrative indépendante au sein de laquelle une personnalité qualifiée sera en charge de la supervision du dispositif.

Le dispositif entrera en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française. Il ne sera applicable qu'à compter du lendemain de la publication du texte d'application au Journal officiel de la République française. 

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Les modalités d'application du dispositif seront précisées par décret en Conseil d'Etat, notamment le contenu et les modalités de présentation du message d'avertissement ainsi que la désignation de l'autorité administrative compétente pour qualifier les sites devant être intégrés aux solutions de filtrage.

TITRE III - RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE

1. ÉTAT DES LIEUX

Le marché des services d'informatique en nuage revêt une importance stratégique en matière de souveraineté numérique et de compétitivité économique, en particulier au regard de la forte croissance anticipée au cours des prochaines années :

- Au niveau mondial : le marché du cloud public s'élève à environ 384 milliards d'euros en 2022^97(*) (il s'agit du segment le plus dynamique) et l'écosystème cloud dans son ensemble pèsera environ 1 247 milliards d'euros en 2025^98(*) ;

- En Europe : les revenus du marché du cloud étaient de 65 milliards d'euros en 2021^99(*) et pourraient atteindre 560 milliards d'euros en 2030, soit près de 10 fois plus qu'en 2021^100(*) ;

En France : les revenus du marché du cloud étaient de 16 milliards d'euros en 2021 et pourraient atteindre 27 milliards d'euros en 2027^101(*). La croissance annuelle devrait donc être en moyenne de 14%.

Toutefois, un enjeu de rattrapage du retard de l'économie et des entreprises françaises en matière d'adoption des services d'informatique en nuage se pose. Les entreprises françaises utilisent peu l'informatique en nuage par rapport à l'ensemble des entreprises européennes : en 2021, le pourcentage d'entreprises qui utilisent des services d'informatique en nuage est de 41% dans l'ensemble de l'Union Européenne contre seulement 29% en France^102(*). Il ressort que ce sont les petites et moyennes entreprises (PME) qui sont les moins bien équipées avec en moyenne 53% des entreprises de taille intermédiaire et 38% des petites entreprises qui utilisent l'informatique en nuage, en Europe^103(*). Pourtant, l'utilisation de l'informatique en nuage est un vecteur central de compétitivité pour les entreprises utilisatrices, en leur permettant de bénéficier de nombreux avantages : optimisation des coûts informatiques, accès à des produits et services compétitifs de nature à favoriser l'innovation, meilleure protection contre les risques cyber, etc.

Il apparaît nécessaire d'assurer des conditions favorables au recours accru aux solutions d'informatique en nuage pour l'ensemble des entreprises, et en particulier des PMEs françaises et européennes.

Ainsi, la concentration du marché de l'informatique en nuage autour d'un nombre restreint d'acteurs (cf. graphique n°1) - en France, 71% des parts de marché sont détenues par les trois fournisseurs dominants : AWS possède 46% des parts de marché, Azure (Microsoft) 17% et Google Cloud Platform (GCP) 8%^104(*) - appelle à un encadrement des pratiques commerciales restrictives afin de mettre fin à l'enfermement propriétaire au sein de l'environnement des fournisseurs dominants, et de renforcer la liberté de choix des entreprises utilisatrices.

Graphique 1 : les principaux acteurs du marché du cloud au niveau mondial.

Source : « Cloud : 10 acteurs se partagent 77% du marché », Siècle Digital (6 avril 2021).

Les autres fournisseurs américains et européens se partagent les 29 % restants du marché. Il s'agit notamment d'OVHcloud, IBM, Oracle, Orange Business Services, Scaleway, T-Systems, 3D Outscale (groupe Dassault), Capgemini et Atos. Ces acteurs minoritaires ont réalisé une croissance de 23% en 2021^105(*). Ces plus petits fournisseurs se concentrent sur des segments spécifiques du marché quand les fournisseurs dominants sont présents sur toutes les couches de l'informatique en nuage. Ils sont notamment spécialisés dans la cybersécurité, les plateformes applicatives, le cloud souverain, la gestion de cloud hybride et du multicloud.

La pratique consistant à offrir des services gratuits pendant une certaine période, par le biais de crédits, est courante sur le marché de l'informatique en nuage, mais elle n'est ni réglementée ni transparente. Bien que l'octroi de crédits d'informatique en nuage puisse constituer une pratique vertueuse, en favorisant l'adoption des technologies d'informatique en nuage pour les entreprises et administrations ayant des contraintes économiques importantes, le déséquilibre concurrentiel observé sur le marché de la prestation de services appelle à un encadrement.

Au regard de la nécessité de maintenir un environnement concurrentiel favorisant l'innovation et la compétitivité, il apparaît nécessaire de limiter les effets pervers engendrés par l'absence d'encadrement des crédits cloud, au bénéfice des utilisateurs ainsi que des fournisseurs de service.

Les avoirs d'informatique en nuage faussent le libre jeu de la concurrence sur le marché, en incitant les utilisateurs, dans les conditions d'utilisation, à choisir des services, non sur la base de critères objectifs, mais en fonction du fournisseur dont l'offre d'avoirs sera la plus généreuse, au détriment de leur compétitivité, et plus globalement de l'innovation. Cette pratique introduite par ces fournisseurs dominants fait désormais partie intégrante des pratiques de marché attendues par les utilisateurs, obligeant l'ensemble des acteurs du marché à proposer ces offres gratuites. En outre, les fournisseurs de services dominants visent en particulier les utilisateurs les plus contraints en matière de ressources financières à consacrer aux dépenses informatiques, en particulier les start-ups françaises prometteuses, pour lesquels ces avoirs sont particulièrement attractifs. À titre d'exemple, les start-ups prennent davantage en compte la gratuité des offres que le prix réel de la solution d'informatique en nuage qui devra être payée, une fois les avoirs d'informatique en nuage épuisés. Ce manque de corrélation entre le coût effectif des services proposés et le prix payé par l'utilisateur engendre un risque de surdimensionnement des besoins réels des utilisateurs et fait peser un risque économique sur les plus petits acteurs bénéficiant de ces avoirs.

Par ailleurs, les fournisseurs d'informatique en nuage dominants exploitent leur puissance de marché pour proposer des avoirs d'informatique en nuage dont les montants sont inégalables pour les fournisseurs de services d'informatique en nuage concurrents, posant un véritable enjeu de concurrence.

Les avoirs d'informatique en nuage sont également utilisés par les fournisseurs de services pour retenir les utilisateurs, et les dissuader de recourir aux services de fournisseurs concurrents. Ainsi, certains grands fournisseurs d'informatique en nuage ont compensé l'augmentation du prix de certaines de leurs licences en proposant des avoirs d'informatique en nuage pour leurs couches logicielles plus basses. D'autres fournisseurs ont été amenés à renforcer leurs offres d'avoirs d'informatique en nuage avec l'objectif de rester compétitifs avec les fournisseurs dominants sur le marché, au détriment de l'innovation et de la qualité des services qui sont commercialisés.

Les pratiques des fournisseurs de service concernant les avoirs d'informatique en nuage diffèrent de manière substantielle en matière de volumes, en particulier au regard du déséquilibre concurrentiel observé sur le marché : jusqu'à 100 000 dollars sur un an offerts par AWS^106(*) et Google^107(*), 150 000 dollars par Azure^108(*), 500 dollars et 70% de réduction offerts pendant les deux premières années pour toutes les start-ups par Oracle^109(*) ; contre maximum 36 000 dollars sur un an offerts par Scaleway^110(*) et pour maximum 50 start-ups sélectionnées. En outre, les montants affichés peuvent s'avérer plus élevés en pratique et ne comprennent pas toujours l'intégralité des avantages proposés, tels que l'offre de services supplémentaires gratuits, le renouvellement des programmes d'avoirs à des étapes stratégiques de la relation commerciale, ou encore la mise à disposition d'équivalent temps plein (ETP) gratuitement pour assurer le support technique et l'accompagnement, pendant un certain nombre de mois. Les divergences en matière d'octroi d'avoirs se traduisent ainsi aussi bien en matière de fréquence et de volume de distribution, que de nombre de bénéficiaires concernés.

Ces avoirs sont également étalés dans le temps, le plus souvent sur 1 an, dépassant ainsi la simple période d'essai. Pendant cette période, les start-ups, principales bénéficiaires de ces offres, disposent des délais nécessaires pour développer leurs activités commerciales avec les outils du primo-fournisseur, générer des données (création de valeur) et monter en compétence sur l'utilisation des outils. Conjugué à l'obstacle commercial à la migration engendré par la facturation de frais de transfert dissuasifs (cf. infra), les start-ups se retrouvent captives du primo-fournisseur d'informatique en nuage. En France, 71 % des start-ups utilisaient des services d'informatique en nuage en 2020^111(*). Au regard des volumes distribués par les fournisseurs de services dominants, cela signifie qu'a minima la moitié des start-ups françaises pourraient faire l'objet de pratiques d'enfermement propriétaire, au détriment de la concurrence sur le marché et de l'innovation (cf. tableau n° 1).

Tableau 1 : les start-ups et le cloud en France en 2019 et 2020.

Source : enquêtes TIC entreprises 2020 et 2021, Insee (traitement DGE).

Dans l'hypothèse où le juge constitutionnel examinerait la constitutionnalité de dispositions de droit national prises pour renforcer les conditions d'équité du marché de l'informatique en nuage, le présent article ne présente pas de risque de contrariété avec une règle ou norme de valeur constitutionnelle.

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique préjudiciable et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus (Décision n° 2012-280 QPC, 12 octobre 2012, cons. 11), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de la capacité préservée des fournisseurs à proposer d'autres offres commerciales et promotionnelles

Afin de préserver la liberté d'entreprendre des fournisseurs de service d'informatique en nuage, l'encadrement des avoirs d'informatique en nuage prévoit l'exclusion de toute autre offre promotionnelle commerciale du champ d'application de la mesure au travers de l'utilisation du terme « avoir d'informatique en nuage ». Ainsi, des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées.

Les travaux européens vont dans le sens d'un encadrement renforcé du marché de l'informatique en nuage. En atteste, le projet de règlement sur les données (Data Act)^112(*), qui prévoit des dispositions visant à lever les barrières commerciales et techniques à la migration, par un encadrement renforcé des services d'informatique en nuage, à l'instar de la suppression des frais liés au transfert de données et à la migration (article 25), ou de l'encadrement des conditions contractuelles liées à la migration (articles 23 et 24). Toutefois, malgré le travail de conviction mené par les autorités françaises dans le cadre des négociations du projet de règlement, l'encadrement des avoirs d'informatique en nuage est insuffisamment traité dans les mandats de négociation adoptés respectivement au Conseil et au Parlement européen.

Par ailleurs, d'autres travaux européens, et non-européens, notamment de l'Autorité de la concurrence néerlandaise (août 2022)^113(*) et de la Chambre des représentants des Etats-Unis (2020)^114(*), identifient les avoirs d'informatique en nuage comme un phénomène qui participe à l'enfermement propriétaire des utilisateurs et au maintien de fortes barrières à l'entrée du marché des services d'informatique en nuage.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe selon lequel les Etats membres ne peuvent restreindre la libre prestation des services de la société de l'information en Europe pour des raisons relevant du domaine coordonné. Si le cadre général repose sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union, celui-ci prévoit des possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Par ailleurs, est précisé au i de l'article 2 de la même directive que le domaine coordonné a trait aux exigences que le prestataire doit satisfaire et qui concernent l'accès à l'activité d'un service, ou l'exercice de l'activité d'un service « telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service ». Compte tenu de la nature de l'encadrement des crédits d'informatique en nuage proposé, qui ne modifie ni le contenu, ni la qualité du service, la présente mesure ne relève pas du domaine coordonné et, par conséquent, ne constitue pas une entrave à la libre prestation de service et au principe du pays d'origine au sens de la directive 2000/31. 

En outre, la mesure visant à l'encadrement des avoirs d'informatique en nuage répond à la condition de proportionnalité nécessaire à justifier une dérogation aux principes de libre prestation et du pays d'origine : la capacité des fournisseurs à proposer d'autres offres commerciales et promotionnelles est préservée ainsi que la possibilité laissée aux fournisseurs de renouveler ces crédits. Le champ de la mesure d'encadrement est strictement rapporté à celui des avoirs d'informatique en nuage et exclue toutes autres catégories d'offres promotionnelles et commerciales. Ainsi, des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées.

Enfin, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»^115(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la France.Le gouvernement est à cet égard résolument engagé à soutenir la compétitivité du marché français et vise à un rééquilibrage des conditions de concurrence entre les fournisseurs. Cette stratégie nationale pour le cloud^116(*), présentée en novembre 2021, se déploie sur trois piliers essentiels : la doctrine d'informatique en nuage au centre, qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance. L'évolution du contexte réglementaire européen (règlement sur les marchés numériques^117(*) et règlement sur les données^118(*) notamment) fournit aujourd'hui l'opportunité de disposer d'un levier économique supplémentaire puissant : la mise en oeuvre de mesures de rétablissement des conditions de concurrence équitables entre les fournisseurs en mettant fin aux pratiques commerciales et techniques déloyales employées par certains fournisseurs. . Le fluidification du marché français du cloud, passant par un desserrement des contraintes associées à la migration d'un fournisseur à un autre pour un client, se concrétisera par l'instauration de mesures ayant trait à l'environnement commercial et technique dans lequel les services de cloud se déploient . Le levier réglementaire pour supprimer les obstacles économiques et commerciaux à la migration s'avère à ce titre indispensable. De plus, la mesure envisagée en matière d'encadrement des avoirs d'informatique en nuage est nécessaire à la préservation de l'ordre public économique, en ce qu'elle garantit le rétablissement de conditions équitables entre les fournisseurs de services d'informatique en nuage et les utilisateurs.

De plus, les entreprises, notamment les petites et moyennes, sont amenées à utiliser massivement les services d'informatique en nuage pour réaliser leur transition numérique, facteur central de compétitivité. La forte dépendance vis-à-vis des acteurs américains pose donc un réel enjeu de souveraineté numérique.

La Commission européenne met en avant dans différentes études (notamment l'étude d'impact de la proposition de règlement sur les données^119(*)) que les barrières à la migration et les pratiques déloyales qui entraînent la captivité des entreprises au sein des écosystèmes d'informatique en nuage des grands fournisseurs ont pour effet direct de réduire la concurrence, le choix des consommateurs et d'augmenter les prix.

En outre, le rapport d'information n° 755 (2021-2022) déposé le 6 juillet 2022 au nom de la commission des affaires économiques du Sénat (Mmes Sophie Primas, Amel Cacquerre et M. Franck Montaugé) souligne que les stratégies d'octroi de crédits cloud constituent un levier pour les grands fournisseurs destiné à capter des parts de marchés dès la création de jeunes entreprises innovantes^120(*).

Ainsi, il est nécessaire d'encadrer les avoirs d'informatique en nuage afin d'harmoniser les pratiques, rétablir des conditions commerciales équitables entre les fournisseurs sur le marché de l'informatique en nuage, à la faveur d'un marché plus compétitif et innovant.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

L'encadrement de cette pratique prédatrice de marché vise à rétablir des conditions de concurrence équitables entre les fournisseurs. D'une part, encadrer les avoirs d'informatique en nuage vise à rétablir des conditions équitables entre les fournisseurs de services d'informatique en nuage qui bénéficieront de conditions de marché plus saines. Sans de tels avoirs, les entreprises utilisatrices seront incitées à identifier les outils dont elles ont réellement besoin (sans être obligées d'acheter des offres groupées standards) et à comparer les coûts réels, entre les services proposés par les différents fournisseurs. D'autre part, encadrer les avoirs d'informatique en nuage a pour objectif d'assurer une liberté de choix aux entreprises françaises pour mener leur stratégie d'informatique en nuage ainsi qu'une indépendance technologique vis-à-vis des grands fournisseurs.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Option 1 : Interdiction d'octroyer des avoirs d'informatique en nuage (écartée)

Une interdiction pour les fournisseurs de services d'informatique en nuage de distribuer des avoirs d'informatique en nuage a été envisagée mais rapidement écartée en raison de l'incompatibilité avec le principe de liberté commerciale et de l'impératif de proportionnalité de la mesure.

Option 2 : Encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs (écartée)

Un encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs a été envisagé. Une limite de montant autorisé d'avoirs d'informatique en nuage par entreprise bénéficiaire aurait été fixée par décret. L'option a été écartée en raison de la difficulté de déterminer un montant-plafond pertinent pour l'ensemble des situations contractuelles entre les fournisseurs de services d'informatique en nuage et les entreprises.

Option 3 : Encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs et temporels (écartée)

Un encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs et temporels a été envisagé afin d'éviter que les fournisseurs de services d'informatique en nuage ne contournent une mesure d'encadrement des avoirs d'informatique en nuage en compensant une limite de montant par des avoirs d'informatique en nuage qui s'étalent sur les premières années du contrat ou inversement. L'option a été écartée pour les mêmes raisons qui ont conclu à écarter l'option 2. En outre, il n'est pas forcément nécessaire d'encadrer les avoirs d'informatique en nuage au moyen d'un double plafond car le montant importe moins dans le cas d'une limite temporelle.

Option 4 : Encadrement des avoirs d'informatique en nuage au moyen de plafond temporels (retenue)

L'option retenue pour encadrer les avoirs d'informatique en nuage est de limiter la durée pendant laquelle les fournisseurs pourraient proposer de tels avantages financiers. La loi renvoie au décret pour définir ce seuil temporel.

Cet encadrement temporel évite les avoirs d'informatique en nuage ou avantages financiers équivalents étendus sur les premières années du contrat, ce qui permet de maintenir une logique d'offres d'essai. L'actuelle absence d'encadrement des délais durant lesquels les entreprises bénéficient de ces avoirs d'informatique en nuage les désincite à véritablement évaluer leurs besoins en matière de services d'informatique en nuage, résultant in fine en une surconsommation de services d'informatique en nuage qui se révèlent trop onéreux une fois les réductions expirées.

Cette orientation élude la question de la détermination du montant-plafond tout en assurant l'efficacité du dispositif, se rapprochant d'une logique d'offres d'essai. En outre, le montant importe moins dans le cas d'une limite en durée. Par exemple, 100 000€ d'avoirs ne peuvent être utilisés par des jeunes entreprises en 1 ou 2 mois car celles-ci ne sont pas encore assez développées ni ne génèrent assez de données pour utiliser un tel montant durant une courte période de temps. Les offres promotionnelles seraient limitées dans le temps et par entreprise bénéficiaire afin d'éviter tout phénomène de contournement de la mesure au travers de multiples contractualisations.

Dans le cadre de l'option retenue, l'encadrement des avoirs d'informatique en nuage s'applique à l'ensemble des avoirs qui peuvent être proposés au cours de la relation commerciale, à la signature du contrat mais également à toute étape du contrat si l'utilisateur n'en a pas bénéficié au préalable, ou si l'avoir d'informatique en nuage est renouvelé dans les conditions prévues par l'encadrement. Afin de préserver la liberté commerciale des fournisseurs de service d'informatique en nuage, le dispositif exclut les autres offres promotionnelles commerciales du champ d'application de la mesure au travers de l'utilisation de la terminologie « avoir d'informatique en nuage ». Ainsi, encadrer la pratique des avoirs d'informatique en nuage en durée et clarifier que ceux-ci n'incluent pas d'autres avantages promotionnels permet d'assurer la proportionnalité du dispositif car des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées ce qui préserve la liberté commerciale des fournisseurs d'informatique en nuage. Par ailleurs, afin d'assurer la proportionnalité du dispositif au regard de la situation concurrentielle sur le marché, la mesure envisagée prévoit la possibilité de renouveler l'offre d'avoirs dans des conditions précisément définies par décret.

Le non-respect de l'interdiction de distribuer des avoirs d'informatique en nuage ou d'avantages financiers équivalents qui dépassent la durée définie par décret est passible d'une amende administrative dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d'euros pour une personne morale. Le maximum de l'amende encourue est porté à 400 000 euros pour une personne physique et deux millions d'euros pour une personne morale en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La création d'un dispositif d'encadrement des avoirs d'informatique en nuage implique l'ajout d'un nouvel article L. 442-12, après l'article L. 442-11 du code de commerce. En particulier, il convient de créer ce nouvel article pour prévoir les définitions (« service d'informatique en nuage » et « avoir d'informatique en nuage ») ainsi que l'encadrement des avoirs d'informatique en nuage et les sanctions encourues.

Un décret en Conseil d'Etat précisera la durée de validité des avoirs d'informatique en nuage et les conditions dans lesquelles ceux-ci peuvent être renouvelés.

Dans le cadre des négociations européennes du projet de règlement sur les données au Conseil, les autorités françaises ont défendu l'encadrement des crédits cloud.

En outre, cette disposition ne rentre pas en contradiction avec le cadre juridique, et s'inscrit dans une logique d'aiguillon des négociations européennes en cours, afin de positionner la France comme cheffe de fil de la réflexion.

Les revenus du marché de l'informatique en nuage s'élèvent à 16 milliards d'euros en 2021 et les fournisseurs français représentent moins de 30% des parts du marché français de l'informatique en nuage^121(*). L'impact attendu en matière de compétitivité de l'offre française de services d'informatique en nuage au travers de l'encadrement des avoirs d'informatique en nuage, combiné aux autres mesures de l'article 7 (interdiction de la facturation de frais de transfert à l'exception des frais de migration liés au changement de fournisseur ) et celles de l'article 8 (obligations d'interopérabilité à la charge des services d'informatique en nuage) du projet de loi, serait un gain de 10% à 13% des parts de marché de l'informatique en nuage pour les fournisseurs français^122(*) ainsi qu'une hausse de leurs revenus d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%.

L'impact de l'encadrement des avoirs d'informatique en nuage est de réduire les coûts liés au recours à des services d'informatique en nuage par les entreprises, d'en moyenne 20%. Partant du constat que les entreprises prennent davantage en compte la gratuité des offres que le prix réel des solutions d'informatique en nuage et que les offres françaises d'informatique en nuage sont en moyenne 30% moins chères, la suppression des avoirs d'informatique en nuage incitera les grands fournisseurs à réduire leurs prix d'au moins 15% pour rester compétitifs.

La réduction des coûts des entreprises utilisatrices de services d'informatique en nuage, d'une part, et l'augmentation des revenus des fournisseurs français d'informatique en nuage, d'autre part, permettra à moyen terme d'accroître leurs ressources et investissements en R&D, renforçant in fine le niveau d'innovation.

L'encadrement des avoirs d'informatique en nuage avec un délai temporel n'est pas de nature à faire peser un poids disproportionné sur les TPE/PME, car les coûts de mise en conformité avec cette mesure pour les fournisseurs de services d'informatique en nuage sont nuls. Les fournisseurs de services d'informatique en nuage qui offrent actuellement des sommes importantes en avoirs d'informatique en nuage pourront réemployer les ressources financières générées par la limitation des avoirs d'informatique en nuage pour accroître et diversifier leurs investissements, notamment en R&D.

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est attendu. La mise en oeuvre de la mesure appellera des contrôles par les services de la direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) habilités par le code du commerce. Cette nouvelle disposition engendrera une mobilisation des services et des moyens supplémentaires de la DGCCRF (cf. infra), dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur, conformément aux orientations stratégiques de la direction dans le domaine de l'économie numérique.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française avec, d'une part, le développement du secteur numérique et, d'autre part, le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Au sein de cette demande, le volume final d'emplois nécessaires au contrôle du respect des dispositions relatives à l'encadrement temporel des avoirs d'informatique en nuage est en cours de définition, en fonction du volume et des modalités de contrôles qui seront retenus.

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

Néant.

Le ministère de l'Économie sera chargé de s'assurer de la mise en oeuvre de cet article qui relève de la régulation des pratiques commerciales restrictives. La DGCCRF dispose d'une compétence reconnue en cette matière et d'une expérience conséquente dans la mise en oeuvre de mesures pro-concurrentielles. Elle aura une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Au regard de l'objectif concurrentiel de la mesure d'encadrement des avoirs d'informatique en nuage prévue à l'article 7 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

La mesure envisagée s'appliquera dès le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable). Par conséquent, ces dispositions ne seront pas applicables dans ces territoires. Les articles L. 930-1 (pour la Nouvelle-Calédonie), L. 940-1 (pour la Polynésie française) et L. 950-1 du code de commerce (pour les îles Wallis-et-Futuna) précisent également les dispositions applicables dans ces territoires. Le titre IV du livre IV du code du commerce dans lequel est placée la mesure envisagée y est exclu pour la Nouvelle-Calédonie et la Polynésie française. Certains articles du titre IV du livre IV sont toutefois applicables aux îles Wallis-et-Futuna, une ordonnance pourra donc venir compléter afin de la rendre applicable dans ce territoire.

L'encadrement des avoirs d'informatique en nuage nécessite l'adoption d'un décret en Conseil d'État précisant la durée maximale durant laquelle des avoirs d'informatique en nuage peuvent être distribués et les conditions de leur renouvellement.

1. ÉTAT DES LIEUX

L'imposition de frais pour transférer les données vers un autre fournisseur d'informatique en nuage fait partie intégrante du modèle commercial des principaux fournisseurs d'informatique en nuage. Ces frais s'appliquent également dans l'hypothèse où un utilisateur souhaiterait recourir simultanément à plusieurs fournisseurs de services d'informatique en nuage, voire même à plusieurs services d'informatique en nuage commercialisés par le même fournisseur. Néanmoins, les fournisseurs dominants imposent des frais de migration et de sortie très élevés, qui ne reflètent pas le coût réel nécessaire pour extraire et transférer les données, afin de dissuader leurs utilisateurs de migrer.

La méthodologie de calcul de ces coûts de sortie est opaque et rarement prévisible. Les frais sont dix fois plus importants chez les trois principaux fournisseurs d'informatique en nuage que chez les autres fournisseurs, et certains fournisseurs français d'informatique en nuage ne facturent aucun frais.

Les prix affichés par les grands fournisseurs d'informatique en nuage semblent limités, compte tenu du fonctionnement du modèle basé sur un taux s'appliquant aux volumes de données/d'actifs numériques concernés par la migration. Toutefois, les frais de transfert facturés atteignent des montants dissuasifs. Les frais sont dix fois plus importants chez les trois principaux fournisseurs de cloud (AWS, Azure et Google) que chez OVHcloud ou Oracle^123(*). Par exemple, AWS, Azure et Google facturent respectivement 4300$, 3450$ et 3392$ pour l'extraction de 50 tera-bits de données en dehors de leurs écosystèmes, contre aucun frais facturé par Scaleway et OVH. Aussi, pour un grand compte hébergé chez un grand fournisseur de services d'informatique en nuage, le coût de migration peut représenter plusieurs millions d'euros. Pourtant, les coûts réels supportés par le fournisseur de service dans le cadre d'un processus de migration pour transférer les données vers un fournisseur tiers sont limités, et ont vocation à décroître au regard de l'évolution du marché de la bande passante. Les frais de transfert facturés aux utilisateurs par les fournisseurs de service sont ainsi décorrélés de leurs coûts réels. De plus, au cours des dix dernières années, les prix de gros du transit ont baissé en moyenne de 23 % par an ; cumulée sur cette période, la bande passante de gros est 93 % moins chère qu'il y a dix ans. En outre, les frais sont injustifiés car les coûts sont absorbés par les abonnements payés par les entreprises. Ainsi, il est à constater qu'aujourd'hui, la facturation des frais de transfert est un modèle d'affaire à part entière pour les grands fournisseurs d'informatique en nuage. Cela représente, par exemple, 16% des revenus de la branche d'informatique en nuage du premier fournisseur mondial, sans qu'aucune production de valeur n'en découle. Il s'agit d'une rente arbitraire maintenue artificiellement à un niveau élevé et permise par la position dominante de certains fournisseurs d'informatique en nuage, au détriment des utilisateurs.

Aussi, les fournisseurs d'informatique en nuage ne savent pas justifier les coûts facturés pour la migration ou la sortie des données. Par exemple, aucun frais d'entrée n'est facturé alors que la bande passante mobilisée est similaire, à volume égal, à celle utilisée pour le transfert des données.

Enfin, le manque de prévisibilité des coûts de sortie constitue un frein supplémentaire à la libre circulation des données. Les coûts de sortie restent abstraits pour les entreprises clientes qui ne connaissent, au moment de la souscription du contrat, ni le volume de données qui sera hébergé chez le fournisseur d'informatique en nuage choisi, ni la fréquence de migration de ces données. Le montant des frais dont ils doivent s'acquitter lors d'un changement de fournisseur ou d'une utilisation de plusieurs services d'informatique en nuage (multi-cloud) est donc largement imprévisible et dissuade toute migration des données.

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique restrictive et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus^124(*), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de (i) la capacité des fournisseurs à absorber les coûts engendrés par l'interdiction (ii) son périmètre restreint

La proportionnalité de l'interdiction de facturer des frais de transfert de données au regard de la liberté d'entreprendre et du principe de libre prestation de service se justifie au travers du périmètre restreint de la mesure. L'interdiction introduite par le présent projet de loi est strictement limitée aux frais facturés au titre du transfert des données des utilisateurs vers une autre infrastructure, et assure la possibilité pour les fournisseurs de service de continuer à facturer des frais au titre de l'ensemble des coûts techniques, organisationnels et contractuels engendrés par le processus de migration dans son ensemble, à l'instar des frais liés à la mobilisation d'équivalents temps plein supplémentaires ou à la fourniture de prestations de conseil additionnelles.

Par ailleurs, les pratiques en matière de facturation des frais de transfert de données divergent de manière substantielle entre les fournisseurs de service dominants et les autres fournisseurs de service. Pour rappel, les frais sont dix fois plus importants chez les trois principaux fournisseurs de cloud (AWS, Microsoft Azure et Google Cloud Platform) que chez OVHcloud ou Oracle^125(*), bien que les coûts réels supportés par ceux-ci dans le cadre du transfert de données soient équivalents en ce qu'ils reposent principalement sur le coût de la bande passante nécessaire au transfert.

Enfin, les fournisseurs de service ne facturant pas de tels frais ont indiqué que l'interdiction de facturation de ces frais de transfert pourrait aisément être absorbée. Scaleway et OVH ne facturent d'ores et déjà aucun frais de transfert de données ou presque nuls.

La proportionnalité de la mesure, au regard de la liberté d'entreprendre et du principe de libre prestation de service s'apprécie en observant que le projet de règlement européen sur les données^126(*), qui prévoit une interdiction identique de ces frais.

La proposition de règlement européen sur les données (Data Act) présenté par la Commission européenne, en cours de négociation, prévoit des dispositions visant à encadrer et progressivement interdire les frais de sortie et de migration, trois années après l'entrée en vigueur du règlement.

En anticipation de l'adoption du règlement européen sur les données, le projet de loi porte les ambitions françaises d'une suppression immédiate des frais de transfert imposés par les fournisseurs de services d'informatique en nuage. Néanmoins, une disposition d'extinction est introduite à l'article 36 du projet de loi qui prévoit que le présent article cessera de s'appliquer le 15 février 2027, soit 36 mois après l'entrée en vigueur anticipée du règlement européen sur les données.

Le projet de règlement européen sur les données (Data Act) présenté par la Commission européenne, en cours de négociation, prévoit des dispositions visant à encadrer et progressivement interdire les frais de sortie et de migration, trois années après l'entrée en vigueur du règlement.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe de la libre prestation des services de la société de l'information en Europe. Le cadre général repose donc sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union tempérée par certaines possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Par ailleurs, est précisé au i de l'article 2 de la même directive que le domaine coordonné a trait aux exigences que le prestataire doit satisfaire et qui concernent l'accès à l'activité d'un service, ou l'exercice de l'activité d'un service « telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service ». Compte tenu de la nature de l'encadrement des crédits d'informatique en nuage proposé, qui ne modifie ni le contenu, ni la qualité du service, la présente mesure ne relève pas du domaine coordonné et, par conséquent, ne constitue pas une entrave à la libre prestation de service et au principe du pays d'origine au sens de la directive 2000/31. 

Conformément à leurs obligations, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

Par ailleurs, dans l'éventualité où la présente mesure était considérée comme relevant du domaine coordonné, celle-ci remplit les justifications dérogatoires aux principes de libre prestation de service et au principe du pays d'origine. En particulier, l'article 3 de la directive 2000/31 prévoit que les Etats membres peuvent déroger au principe de la libre circulation des services de la société de l'information au titre, entre autres, « de la protection des consommateurs, y compris des investisseurs » et de « l'ordre public ».

En outre, la mesure visant à l'interdiction des frais de transfert répond à la condition de proportionnalité : le périmètre de l'interdiction est strictement réduit aux frais de transfert de données, à l'exclusion de tous autres frais de migration et la capacité des fournisseurs à absorber les coûts engendrés par l'interdiction est démontrée.

La pratique de facturation de frais de migration et de sortie a fait l'objet d'études étayées par plusieurs institutions étrangères. Dans un rapport datant d'octobre 2020, la chambre des représentants des États-Unis^127(*) estime qu'imposer des frais de transfert est une technique courante pour verrouiller les clients. La Commission japonaise des pratiques commerciales déloyales a souligné dans un rapport de l'été 2022^128(*) que les frais de sortie et de migration font partie des actes susceptibles de nuire à la concurrence dans le domaine des services d'informatique en nuage. L'Autorité néerlandaise de la concurrence a également publié, en septembre 2022^129(*), une enquête sectorielle sur le marché de l'informatique en nuage dans laquelle elle indique notamment que des investissements de plusieurs millions d'euros sont parfois nécessaires pour changer de fournisseur et que cet investissement est parfois égal à l'investissement initial réalisé pour utiliser les services d'informatique en nuage. Enfin, l'Autorité française de la concurrence mène actuellement une enquête sur le marché de l'informatique en nuage qui s'intéresse notamment à l'impact des frais de sortie et de migration sur la concurrence.

Si les enjeux économiques liés à la facturation de frais de transfert de données ont été traités par plusieurs rapports, aucune interdiction de ces frais n'a encore été mise en oeuvre aux niveaux européen et mondial. Le projet de règlement européen sur les données fait ainsi figure de précurseur dans le traitement de la problématique, et à ce titre également la France en s'inscrivant en anticipation de la législation européenne.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»^130(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la France. Le gouvernement est à cet égard résolument engagé à soutenir la compétitivité du marché français et vise à un rééquilibrage des conditions de concurrence entre les fournisseurs

La stratégie nationale pour le cloud, publiée en novembre 2021 traduit un engagement fort de soutien à l'offre française d'informatique en nuage et vise à un rééquilibrage en faveur des acteurs nationaux. Cette stratégie^131(*) se déploie sur trois piliers essentiels : la doctrine « cloud au centre », qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance. L'évolution du contexte réglementaire européen (règlement sur les marchés numériques et règlement sur les données notamment) fournit aujourd'hui l'opportunité d'un levier économique supplémentaire puissant avec la mise en oeuvre de conditions de concurrence équitable entre les différents fournisseurs sur le marché français du cloud. . Le rétablissement de conditions de concurrence équitable se traduisant par la facilitation de la procédure migration des entreprises d'un fournisseur à un autre ne pourra être véritablement opérationnel que si l'environnement et les conditions techniques à cette migration sont réunis. Le levier réglementaire pour supprimer les obstacles économiques et commerciaux à la migration s'avère à ce titre indispensable. La mesure envisagée en matière de suppression des frais de transfert est nécessaire à la préservation de l'ordre public économique, en ce qu'elle garantit le rétablissement de conditions équitables entre les fournisseurs de services d'informatique en nuage et les utilisateurs.

La pratique d'enfermement propriétaire par la facturation de frais de transfert est une barrière commerciale à la migration et au développement d'un environnement qui permet aux utilisateurs de recourir à plusieurs fournisseurs de service d'informatique en nuage de manière simultanée. Les utilisateurs sont donc captifs du premier fournisseur d'informatique en nuage utilisé, ce qui entraîne des situations de dépendance technologique. En effet, recourir à plusieurs fournisseurs de service d'informatique en nuage engendre des frais constants de transfert de données d'un service à l'autre. Le prix à payer est élevé comparé à la valeur ajoutée d'utiliser des services de plusieurs fournisseurs.

Par ailleurs, l'interdiction des frais de transfert est nécessaire car ces frais devraient augmenter - puisque le volume de données créées, analysées et stockées devrait croître de 20 % par an jusqu'en 2025 - cette pratique représentera un obstacle de plus en plus important au changement de fournisseur de services d'informatique en nuage dans les années à venir.

Ce verrouillage est également problématique car un fournisseur de services d'informatique en nuage peut augmenter ses prix, une fois les utilisateurs captifs, et baisser la qualité de ses produits, sans que les utilisateurs puissent choisir de changer de fournisseur, les coûts liés à la migration étant dissuasifs. À titre d'exemple, pour un grand compte hébergé chez un grand fournisseur de services d'informatique en nuage, le coût de migration peut représenter plusieurs millions d'euros.

Une autre problématique identifiée suite aux importants frais facturés est l'incapacité de certains acteurs à se conformer au droit de l'Union européenne. Pour transférer des données d'un centre de données basé aux États-Unis à un autre basé en Europe, même au sein d'un même fournisseur d'informatique en nuage, des frais peuvent être imposés. Ainsi, certains acteurs sont contraints, pour des raisons financières, de maintenir les données de leurs utilisateurs dans des centres de données situés aux États-Unis, alors même que cela peut mettre l'utilisateur dans l'illégalité vis-à-vis des normes européennes en vigueur, par exemple en matière de protection des données personnelles.

Dans le prolongement des propositions formulées par le rapport d'information n° 755 de la commission des affaires économiques du Sénat^132(*), la mesure vise à encadrer les conditions de migration des actifs numériques d'un utilisateur d'un fournisseur à un autre. Il convient à cet égard de souligner que le dispositif a pour objet d'anticiper les termes d'une norme européenne - le règlement européen sur les données (Data Act) - et d'aiguillonner le débat européen sur le sujet. Pour les autorités françaises, il est primordial de marquer leur ambition sur les enjeux de concurrence soulevés sur les marchés d'informatique en nuage.

Compte tenu du dynamisme du marché français de l'informatique en nuage et du renforcement de la position dominante de certains fournisseurs via l'emploi de mesures commerciales déloyales, il apparait opportun d'agir à cet égard en anticipation de la proposition de règlement sur les données, dont les mesures relatives n'entreront pleinement en application que 36 mois après l'entrée en vigueur de cette dernière. La mise en oeuvre rapide d'une suppression des frais de transferts contribuera ainsi à accroître la compétitivité du marché français et à réduire les coûts d'utilisation de services d'informatique en nuage pour les entreprises utilisatrices à la faveur également de leur compétitivité.

En mettant fin dans de brefs délais à la facturation de frais de transferts de données par les fournisseurs de services d'informatique en nuage à leurs clients, un gain de compétitivité pour les entreprises est attendu par le jeu d'un effet de prix. En supprimant rapidement et totalement cette barrière financière de plus en plus identifiée par les entreprises, le recours à des solutions d'informatique en nuage, facteur de productivité et de maîtrise des coûts, va gagner en attractivité pour les entreprises françaises. L'usage accru des technologies de l'informatique en nuage, résultant de la suppression de cette barrière dissuasive à l'emploi de ce type de services, se traduira par un gain de productivité et d'efficacité pour les entreprises françaises, qui gagneront ainsi en compétitivité sur les marchés européens et mondiaux.

La mise en oeuvre rapide de l'interdiction de ces frais de transferts permettra également aux entreprises utilisatrices une meilleure maîtrise de leurs dépenses en informatique en nuage. Compte tenu de l'effet dissuasif de ces frais à la migration d'un fournisseur à un autre pour un utilisateur, les utilisateurs sont parfois conduits à rester chez un fournisseur bien que ce dernier augmente le prix de ses services. En levant cette barrière qui contribue à l'enfermement des utilisateurs, ces derniers seront en capacité de migrer plus facilement leurs actifs numériques selon les prix pratiqués par les différents fournisseurs, et pourront ainsi ajuster leurs dépenses en informatique en nuage selon leurs besoins. Cette meilleure maîtrise des coûts se traduira par une compétitivité accrue des entreprises utilisatrices.

Aussi, cette interdiction se traduira par une concurrence renforcée entre les fournisseurs de services, lesquels ne seront plus en mesure de facturer des frais de transferts dissuasifs afin de retenir leurs utilisateurs. Cette concurrence accrue aura un effet prix à la faveur d'une baisse du prix des services d'informatique en nuage et stimulera l'innovation, au profit d'un gain de compétitivité pour les entreprises utilisatrices.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

Supprimer les frais de transfert vise à assurer une liberté de choix aux entreprises françaises utilisatrices de services d'informatique en nuage ainsi qu'une indépendance technologique vis-à-vis des grands fournisseurs de services d'informatique en nuage dont elles sont captives.

La mesure vise également à réduire le coût du changement de fournisseur d'informatique en nuage et plus généralement les coûts liés au déploiement de leur stratégie d'utilisation des services d'informatique en nuage.

Enfin, la suppression des frais de transfert vise à favoriser la croissance et la compétitivité du marché français en instaurant un jeu concurrentiel ouvert. . En rétablissant des conditions de concurrence équitables entre les fournisseurs, les acteurs non-dominants peuvent ainsi accroitre leur part de marché.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Option 1 : Suppression des frais liés au transfert des données et à la migration avec un encadrement des autres frais relatifs à la migration des données (écartée)

Une suppression des frais strictement liés à l'extraction et au transfert des données dans le cadre du processus de migration vers un autre fournisseur d'informatique en nuage et un encadrement des autres frais engendrés par la migration des données, tels que la prestation de services et la conduite d'opérations techniques par des équipes du fournisseur d'origine nécessitant le déploiement d'équivalents temps plein nécessaire à la migration ont été envisagées. .Les frais relatifs à la migration des données (autre que l'extraction et le transfert de données) auraient été encadrés avec l'obligation qu'ils soient prévisibles, transparents, objectivables, si possibles stipulés contractuellement au préalable et facturés à l'utilisateur à un prix strictement égal aux coûts engendrés par le processus de migration concerné et supportés par le fournisseur de service d'informatique en nuage d'origine.

Cette option a été écartée en raison des difficultés à définir et identifier les frais liés à la migration entre plusieurs fournisseurs de service, qui diffèrent des frais de transfert. Par ailleurs, les frais de migration peuvent correspondre à des frais légitimes pour les fournisseurs de service. Bien que leur suppression soit prévue par le projet de règlement sur les données, les autorités françaises ont défendu un encadrement basé sur les coûts afin d'éviter de faire peser un poids disproportionné sur les fournisseurs de service français et européens, qui seraient davantage impactés en raison de la difficulté à amortir ces coûts via leurs bases de clients moins larges. La suppression des frais de migration engendrerait des conséquences négatives pour la compétitivité des fournisseurs français et européens.

Option 2 : Interdire la facturation des frais de sortie et de migration à l'ensemble des fournisseurs (écartée)

Une interdiction de facturer des frais de sortie et de migration à destination de tous les fournisseurs d'informatique en nuage a été envisagée. Cette option n'a pas été retenue en raison du caractère disproportionné de l'interdiction au regard de la capacité des plus petits fournisseurs d'informatique en nuage, notamment les micros, petits et moyens fournisseurs, à absorber les coûts résultant de cette suppression des frais de sortie et de migration.

Option 3 : Interdire la facturation des frais de sortie et de migration, à l'exception des fournisseurs se qualifiant en tant que micro, petites et moyennes entreprises (écartée)

Une interdiction de facturer des frais de sortie et de migration à destination de tous les fournisseurs d'informatique en nuage, assortie d'une exemption des fournisseurs de services se qualifiant comme micros, petites et moyennes entreprises, a été envisagée. Cette option n'a pas été retenue en raison de la difficulté à définir de manière suffisamment précise le champ d'application des frais de migration, et au regard de la nécessité d'assurer la cohérence avec le cadre règlementaire européen en cours de négociation.

Option 4 : Interdire aux fournisseurs d'informatique en nuage la facturation des frais de transfert (retenue)

L'option retenue vise à interdire la facturation de frais de transfert, à l'exception des frais de migration liés au changement de fournisseur, dans les contrats conclus entre un fournisseur de service d'informatique en nuage et une personne, physique ou morale, exerçant des activités de production, de distribution ou de services. Cette interdiction ne s'appliquera qu'aux contrats conclus postérieurement à l'entrée en vigueur du projet de loi, afin de préserver la sécurité juridique aux situations légalement acquises.

Le non-respect de l'interdiction de facturer des frais de transfert dans les contrats est passible d'une amende administrative dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d'euros pour une personne morale. Le maximum de l'amende encourue est porté à 400 000 euros pour une personne physique et deux millions d'euros pour une personne morale en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La création d'un dispositif d'interdiction des frais de transfert pourra utilement être transcrit dans un nouvel article L. 442-12 après l'article L. 442-11 du code de commerce. En particulier, il convient de créer, dans ce nouvel article, l'interdiction de facturer les transferts et les sanctions encourues en cas de non-respect de cette interdiction. L'article 36 du présent projet de loi prévoit une clause d'extinction assurant l'écrasement du dispositif une fois que les dispositions du règlement sur les données portant sur le même objet seront entrées en application (36 mois après la date d'entrée en vigueur anticipée du règlement européen sur les données).

Le projet de règlement sur les données (Data Act)^133(*) présenté par la Commission le 23 février 2022 vise à établir des règles harmonisées relatives à l'accès et à l'utilisation équitable des données. La loi sur les données permettra la levée des barrières à la circulation des données au profit des entreprises, des citoyens et des administrations publiques. Le projet de règlement prévoit notamment de nouvelles règles établissant les conditions permettant aux clients de migrer efficacement entre différents fournisseurs de services d'informatique en nuage afin de de rétablir des conditions de concurrence équitables sur le marché européen. Le projet de règlement est toujours en cours de négociations au niveau européen, les trilogues devant débuter le 29 mars 2023.

S'agissant des frais de transfert, le projet de règlement prévoit (article 25) une suppression progressive de ceux-ci. Pendant une période de trois ans suivant la date d'entrée en vigueur du règlement, les fournisseurs de services d'informatique en nuage doivent réduire les frais de transfert, de manière à ce qu'ils n'excèdent par les coûts supportés par le fournisseur de service d'informatique en nuage et directement liés au transfert des données et au processus de migration ou de sortie. Ensuite, une interdiction de facturer tous frais de migration et de transfert s'applique trois ans après l'entrée en vigueur du règlement.

En l'état des discussions au Conseil de l'UE et au Parlement européen, un délai de 36 mois, à partir de sa publication au JOUE, est prévu pour la mise en application des dispositions relatives à la suppression des frais de migration et de transfert. Ainsi, même si le processus d'adoption du texte par les co-législateurs aboutit dès le quatrième trimestre 2023, la mise en oeuvre de cette mesure n'interviendrait qu'à partir de 2026.

La suppression des frais de transfert, combiné aux autres mesures de l'article 7 (encadrement des frais de transfert et des crédits d'informatique en usage) et à celles de l'article 8 (obligations d'interopérabilité à la charge des services d'informatique en nuage) du projet de loi, permettra de favoriser une migration facile et peu coûteuse des données pour laisser libre choix aux entreprises françaises d'utiliser des offres d'informatique en nuage selon leurs besoins.

L'interdiction de facturer des frais au titre du transfert de données doit permettre un renforcement de la compétitivité des fournisseurs qui ne facturent pas de tels frais. Par exemple, l'impact estimé de ce renforcement s'élève à entre 10% et 13% de gain de parts de marché^134(*) pour les fournisseurs français ainsi qu'une hausse de leurs revenus annuels d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%. Cette hausse de parts de marché et de revenus permettra de renforcer le niveau d'investissement en recherche et développement des fournisseurs de services d'informatique en nuage afin de maintenir leur niveau de compétitivité dans un contexte propice au rétablissement de conditions équitables de concurrence entre tous les fournisseurs.

La suppression des frais de transfert incitera davantage les entreprises françaises à adopter les technologies d'informatique en nuage et à adopter une stratégie de recours à des prestataires multiples d'informatique en nuage, ce qui permettra de renforcer la concurrence sur le marché des services d'informatique en nuage et d'augmenter le niveau d'innovation dans ce marché en constante évolution.

La suppression des frais de transfert profitera en premier lieu aux entreprises utilisatrices de services d'informatique en nuage en réduisant le coût du changement de fournisseur et plus généralement les coûts liés au recours à des services d'informatique en nuage d'en moyenne 20%.

Les coûts de changement de fournisseur s'élèvent actuellement à 125 % des coûts d'abonnement annuels^135(*) et 60 % des clients des services d'informatique en nuage sont confrontés à des dépassements de coûts^136(*). Une enquête d'International Data Corp^137(*) a révélé que 99 % des utilisateurs de services d'informatique en nuage ont déclaré avoir encouru des frais de transfert représentant en moyenne 6 % de leurs coûts d'utilisation de services d'informatique en nuage. En outre, 78% des décideurs en charge des technologies de l'information dans les entreprises estiment sous-exploiter les technologies d'informatique en nuage et leurs ressources à cause de ce phénomène de frais de transfert.

D'autre part, cette réduction de coût entraînée par la suppression des frais de transfert incitera les entreprises à migrer vers des solutions d'informatique en nuage alternatives et à opérer une stratégie « multi-cloud », ce qui représentera un bénéfice immédiat pour les entreprises françaises qui fournissent des services d'informatique en nuage (cf. infra - gains d'environ 10% supplémentaires de parts de marché et hausse d'environ 50% des revenus).

Enfin, la suppression des frais de transfert aura un impact mesuré sur les revenus des fournisseurs de services d'informatique en nuage qui facturent actuellement de tels frais. En effet, ces fournisseurs ont la capacité d'absorber les coûts résultant de cette suppression, qui sont plutôt des manques à gagner, avec les abonnements payés par les entreprises utilisatrices des services d'informatique en nuage qui constituent une base d'utilisateurs très large. Il est estimé que les coûts réels des frais de transfert sont très faibles par rapport aux coûts de fourniture du service, malgré des tarifs pratiqués parfois importants et sans relation avec les coûts.

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est attendu. La mise en oeuvre de la mesure appellera des contrôles par les services de la direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) habilités par le code du commerce. Cette nouvelle disposition engendrera une mobilisation des services et des moyens supplémentaires de la DGCCRF (cf. infra), dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur, conformément aux orientations stratégiques de la direction dans le domaine de l'économie numérique.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française, avec d'une part le développement du secteur numérique, et d'autre part le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Au sein de cette demande, le volume final d'emplois nécessaires au contrôle du respect des dispositions relatives à l'encadrement temporel des avoirs d'informatique en nuage est en cours de définition, en fonction du volume et des modalités de contrôles qui seront retenus.

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

Néant.

Le ministère de l'Economie sera chargé de s'assurer de la mise en oeuvre de cet article qui relève de la régulation des pratiques commerciales restrictives. La DGCCRF dispose d'une compétence reconnue en cette matière et d'une expérience conséquente dans la mise en oeuvre de mesures pro-concurrentielles. Elle aura une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Au regard de l'objectif concurrentiel de la mesure d'encadrement des frais de transfert prévue à l'article 7 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

La mesure envisagée entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. Cette mesure ne s'appliquera toutefois qu'aux contrats conclus postérieurement à l'entrée en vigueur du projet de loi, afin de préserver la sécurité juridique aux situations légalement acquises.

La mesure s'appliquera jusqu'au 15 février 2027, correspondant à la date d'entrée en application anticipée des mesures relatives à l'interdiction des frais de transfert prévues par le règlement 2022/0047 (COD) du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable). Par conséquent, ces dispositions ne seront pas applicables dans ces territoires. Les articles L. 930-1 (pour la Nouvelle-Calédonie), L. 940-1 (pour la Polynésie française) et L. 950-1 du code de commerce (pour les îles Wallis-et-Futuna) précisent également les dispositions applicables dans ces territoires. Le titre IV du livre IV du code du commerce dans lequel est placée la mesure envisagée y est exclu pour la Nouvelle-Calédonie et la Polynésie française. Certains articles du titre IV du livre IV sont toutefois applicables aux îles Wallis-et-Futuna, une ordonnance pourra donc venir compléter afin de la rendre applicable dans ce territoire.

Les présentes dispositions n'appellent aucune mesure d'application.

1. ÉTAT DES LIEUX

Le marché des services d'informatique en nuage revêt une importance stratégique en matière de souveraineté numérique et de compétitivité économique, en particulier au regard de la forte croissance anticipée au cours des prochaines années :

- Au niveau mondial : le marché du cloud public s'élève à environ 384 milliards d'euros en 2022^138(*) (il s'agit du segment le plus dynamique) et l'écosystème cloud dans son ensemble pèsera environ 1 247 milliards d'euros en 2025^139(*) ;

- En Europe : les revenus du marché du cloud étaient de 65 milliards d'euros en 2021^140(*) et pourraient atteindre 560 milliards d'euros en 2030, soit près de 10 fois qu'en 2021^141(*) ;

- En France : les revenus du marché du cloud étaient de 16 milliards d'euros en 2021 et pourraient atteindre 27 milliards d'euros en 2027^142(*). La croissance annuelle devrait donc être en moyenne de 14%^143(*).

Toutefois, un enjeu de rattrapage du retard de l'économie et des entreprises françaises en matière d'adoption des services d'informatique en nuage se pose. Les entreprises françaises utilisent peu l'informatique en nuage par rapport à l'ensemble des entreprises européennes : en 2021, le pourcentage d'entreprises qui utilisent des services d'informatique en nuage est de 41% dans l'ensemble de l'Union Européenne contre seulement 29% en France^144(*). Il ressort que ce sont les petites et moyennes entreprises (PME) qui sont les moins bien équipées avec en moyenne 53% des entreprises de taille intermédiaire et 38% des petites entreprises qui utilisent l'informatique en nuage, en Europe^145(*). Pourtant, l'utilisation de l'informatique en nuage est un vecteur central de compétitivité pour les entreprises utilisatrices, en leur permettant de bénéficier de nombreux avantages : optimisation des coûts informatiques, accès à des produits et services compétitifs de nature à favoriser l'innovation, meilleure protection contre les risques cyber, etc.

Il apparaît nécessaire d'assurer des conditions favorables au recours accru aux solutions d'informatique en nuage pour l'ensemble des entreprises, et en particulier des PMEs françaises et européennes.

Ainsi, la concentration du marché de l'informatique en nuage autour d'un nombre restreint d'acteurs (cf. graphique n°1) appelle à un encadrement des pratiques commerciales et techniques restrictives afin de mettre fin à l'enfermement propriétaire au sein de l'environnement de certains fournisseurs, et de renforcer la liberté de choix des entreprises utilisatrices.

Graphique 1 : les principaux acteurs du marché du cloud au niveau mondial.

Source : « Cloud : 10 acteurs se partagent 77% du marché », Siècle Digital (6 avril 2021).

Les autres fournisseurs américains et européens se partagent les 29 % restants du marché. Il s'agit notamment d'OVHcloud, IBM, Oracle, Orange Business Services, Scaleway, T-Systems, 3D Outscale (groupe Dassault), Capgemini et Atos. Ces acteurs minoritaires ont réalisé une croissance de 23% en 2021^146(*).Ces plus petits fournisseurs se concentrent sur des segments spécifiques du marché quand les fournisseurs dominants sont présents sur toutes les couches de l'informatique en nuage. Ils sont notamment spécialisés dans la cybersécurité, les plateformes applicatives, le cloud souverain, la gestion de cloud hybride et du multicloud.

Au-delà des barrières commerciales au changement de fournisseur d'informatique en nuage appréhendées par l'article 7, des barrières techniques existent et sont causées par un manque d'interopérabilité entre les différents services d'informatique en nuage. En particulier, un des principaux obstacles techniques à la portabilité et l'interopérabilité est l'absence de langage commun pour décrire les données, leurs modalités d'hébergement et les moyens techniques qui permettent à un fournisseur de service d'y accéder. À titre d'exemple, les interfaces de programmation applicatives (application programming interface (API)) constituent le principal moyen d'accès aux données pour les utilisateurs et fournisseurs de service tiers. La normalisation de ce type d'outils, notamment par le biais de la définition d'un langage commun pour décrire les interfaces et leurs modalités d'accès, est nécessaire afin de permettre aux fournisseurs de service tiers de transformer des requêtes génériques en requêtes spécifiques à l'API du fournisseur d'origine. Ce langage commun permettra aux fournisseurs tiers de s'interconnecter avec les APIs mises à disposition des fournisseurs d'origine sans engendrer de développements logiciels substantiels de leur part.

L'interopérabilité permet de garantir la capacité de reproduire ou redéployer des services à fonctionnalités égales d'un fournisseur d'informatique en nuage à un autre, et donc la capacité des utilisateurs à recourir à plusieurs fournisseurs de services d'informatique en nuage en fonction de leurs besoins et de leurs contraintes de sécurité. L'utilisation de plusieurs services d'informatique en nuage de manière simultanée (multi-cloud) offre de nombreux avantages, notamment la limitation de la dépendance et la résilience accrue des systèmes informatiques.

Plusieurs fournisseurs d'informatique en nuage de taille modeste développent leurs solutions en source ouverte (open source) via des logiciels libres lorsque les fournisseurs de services d'informatique en nuage dominants développent des applications basées sur des technologies propriétaires, engendrant des coûts pour les autres fournisseurs qui doivent adapter leurs services afin de les rendre interopérables avec les couches standards des grands fournisseurs. Les technologies propriétaires développées par les fournisseurs dominants s'imposent ainsi comme des standards de marché, repris par l'ensemble des fournisseurs tiers, pour lesquels l'interopérabilité et le « multi-cloud » font partie intégrante de leur stratégie de développement.

Le manque d'interopérabilité incite les vendeurs de logiciels indépendants à développer leurs services sur des infrastructures qui appartiennent aux fournisseurs de services d'informatique en nuage les plus utilisés afin de toucher une large clientèle. Ce phénomène accentue l'enfermement des clients et l'exclusivité en faveur des fournisseurs de services d'informatique en nuage qui dominent le marché. Ainsi, les entreprises sont enfermées dans un écosystème de services d'informatique en nuage intégrés qui ne fonctionnent de façon optimale qu'entre eux et qui appartiennent à un seul fournisseur. Ces écosystèmes sont donc très difficilement contestables par des acteurs émergents qui ne peuvent proposer la même qualité de service sur l'utilisation de plusieurs services d'informatique en nuage concomitamment (multi-cloud).

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage au travers du renforcement de l'interopérabilité et de la portabilité, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique restrictive et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus (Décision n° 2012-280 QPC, 12 octobre 2012, cons. 11), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de (i) des décisions de précision qui seront adoptées par l'autorité (ii) de l'approche retenue reposant sur la valorisation des travaux de normalisation développés par l'écosystème.

Les mesures d'interopérabilité reposent sur une obligation de conformité avec trois exigences : l'interopérabilité, la portabilité, toute deux assurées dans des conditions sécurisées, et la mise à disposition des utilisateurs et des fournisseurs tiers par le fournisseur de service d'origine des interfaces nécessaires à la portabilité et l'interopérabilité. Ces exigences sont précisées par des décisions adoptées par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse au travers de la publication de spécifications techniques ouvertes et de standards harmonisés. L'autorité compétente s'appuiera en priorité sur les normes d'ores et déjà développées et utilisées par les acteurs de l'écosystème, et pourra, au besoin, mandater des organismes de standardisation nationaux afin de définir des standards de préciser encore davantage ces exigences , en lien étroit avec l'écosystème fournisseurs et utilisateurs, et les initiatives de normalisation déjà lancées. Ces modalités usuelles de concertation interprofessionnelle pour la mise en oeuvre de standards assurent la proportionnalité de l'obligation de conformité, en ce qu'elles garantissent un alignement systématique avec les pratiques techniques vertueuses développées par les fournisseurs.

Les fournisseurs de service sont soumis à une deuxième obligation de publication et de mise à jour d'une offre de référence technique qui détaille la mise en oeuvre des exigences , en s'appuyant, le cas échéant, sur les décisions de précision adoptées par l'autorité compétente. Cette obligation permet d'accroître la transparence et le libre-choix des utilisateurs, notamment en précisant les conditions techniques et tarifaires de mise en oeuvre des exigences .

Le manquement aux exigences instaurant une obligation d'interopérabilité et de portabilité pour les services d'informatique en nuage sera sanctionné, le cas échéant, sur la base des décisions de précision adoptées par l'Autorité, garantissant à la fois la proportionnalité de la mesure et la cohérence avec les dispositions correspondantes prévues dans le projet de règlement européen sur les données.

Par ailleurs, l'obligation de faciliter l'équivalence fonctionnelle dans le service de destination introduite au III de l'article 9 est limitée aux fournisseurs de services relevant de la catégorie IaaS (Infrastructure-as-a-Service), conformément aux dispositions du projet de règlement européen sur les données, garantissant la proportionnalité de la mesure au regard des contraintes techniques et de la complexité de prestation de services d'informatique en nuage.

Enfin, les décisions prises par l'autorité compétente en matière d'interopérabilité seront susceptibles de contestation et recours dans les conditions de droit commun applicables aux décisions de ladite autorité.

Le projet de règlement européen sur les données (Data Act) présenté par la Commission européenne le 23 février 2022 est actuellement négocié au niveau des institutions européennes. Il prévoit des dispositions qui poursuivent l'objectif de donner naissance à une économie de la donnée innovante et compétitive. Dans cet esprit, le projet de règlement européen sur les données prévoit des mesures en matière de régulation des données et d'interopérabilité des services d'informatique en nuage, notamment au travers de la mise en oeuvre d'obligations pour les fournisseurs de services d'informatique en nuage :

(i) de mettre à disposition des interfaces de programmation à des fins de portabilité et d'interopérabilité auprès de leurs clients et des fournisseurs tiers auxquels les utilisateurs souhaitent donner l'accès,

(ii) de la mise en conformité de leurs services avec de standards et spécifications techniques ouvertes d'interopérabilité.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe de la libre prestation des services de la société de l'information en Europe. Le cadre général repose donc sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union, tempérée par certaines possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Ainsi, dans l'éventualité où la présente mesure était considérée comme relevant du domaine coordonné au titre de leur impact potentiel sur l'exercice de l'activité du service de la société d'information, celle-ci remplit les justifications dérogatoires aux principes de libre prestation de service et au principe du pays d'origine. En particulier, l'article 3 de la directive 2000/31 prévoit que les Etats membres peuvent déroger au principe de la libre circulation des services de la société de l'information au titre, entre autres, « de la protection des consommateurs, y compris des investisseurs » et de « l'ordre public ».Les mesures répondent à un objectif d'ordre public économique, le rétablissement des conditions nécessaires à une concurrence loyale sur le marché du cloud (comme exposé supra au point 1.2).

De plus, ces mesures poursuivent l'objectif premier de favoriser la libre circulation des services en garantissant la capacité de transférer des actifs numériques et de reproduire des services à fonctionnalités égales d'un fournisseur d'informatique en nuage à un autre et, par conséquent, de maintenir la liberté de choix des utilisateurs.

Par ailleurs, les mesures portant les obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage répondent à la condition de proportionnalité. Les exigences d'interopérabilité et de portabilité seront précisées par voie de décisions de l'Arcep. L'autorité s'appuiera en priorité sur les normes d'ores et déjà développées et utilisées par les acteurs de l'écosystème, et pourra, au besoin, mandater des organismes de standardisation nationaux afin de définir des standards de préciser encore davantage ces exigences , en lien étroit avec l'écosystème fournisseurs et utilisateurs, et les initiatives de normalisation déjà lancées. Ces modalités usuelles de concertation interprofessionnelle pour la mise en oeuvre de standards assurent la proportionnalité de l'obligation de conformité, en ce qu'elles garantissent un alignement systématique avec les pratiques techniques vertueuses développées par les fournisseurs. Les décisions prises par l'autorité en matière d'interopérabilité seront par ailleurs susceptibles de contestation et recours dans les conditions de droit commun applicables aux décisions de ladite autorité

Enfin, conformément à leurs obligations, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»^147(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la FranceLa stratégie sur les services d'informatique en nuage est au centre des priorités de souveraineté numérique du gouvernement. En effet, le gouvernement engage une action résolue de soutien à l'offre française d'informatique en nuage et vise à un rééquilibrage en faveur des acteurs nationaux. Cette stratégie, présentée en 2021, se déploie sur trois piliers essentiels : la doctrine « cloud au centre », qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance.

L'évolution du contexte réglementaire européen (règlement sur les marchés numériques et règlement sur les données notamment) fournit aujourd'hui l'opportunité de rééquilibrer les conditions de concurrence sur le marché de l'informatique en nuage, laquelle est entravée par des obstacles de diverses natures. Le levier réglementaire pour supprimer ces obstacles techniques à la migration s'avère à ce titre indispensable.

Le présent projet de loi constitue une opportunité pour la France de porter cette ambition en matière d'interopérabilité au niveau national, et d'anticiper les travaux de définition de standards d'interopérabilité qui seront nécessaires suite à l'adoption du projet de règlement européen sur les données.

Si les mesures proposées par la France en matière d'interopérabilité sont intégrées dans le règlement européen sur les données, un travail de normalisation sera lancé au niveau européen à compter de son entrée en vigueur. Afin d'anticiper ces travaux européens et de positionner l'autorité compétente comme aiguillon dans ce cadre, des travaux de normalisation seraient lancés de manière similaire au niveau français à la suite de l'adoption du présent projet de loi, sous la conduite de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), et seraient ensuite écrasés par le cadre européen une fois celui-ci adopté.

Compte tenu du dynamisme du marché français de l'informatique en nuage et du renforcement de la position dominante de certains fournisseurs via l'emploi de mesures commerciales déloyales, il apparait opportun d'agir à cet égard en anticipation de la proposition de règlement sur les données, dont les mesures relatives qui n'entreront pleinement en application que 18 à 24 mois après l'entrée en vigueur de cette dernière. En l'état des discussions au Conseil et au Parlement européen, un délai oscillant entre 18 et 24 mois est en effet prévu pour la mise en application du texte à partir de sa publication au JOUE, qui devrait intervenir au plus tôt à la fin de l'année 2023. Ce délai d'entrée en application retarde encore davantage la mise en oeuvre effective des mesures d'interopérabilité, justifiant une intervention rapide au niveau national afin de lancer promptement les travaux de normalisation et mobiliser l'écosystème des fournisseurs de service.

La mise en oeuvre rapide d'exigences en matière d'interopérabilité et de portabilité favorisant la liberté de choix des utilisateurs permettra à ces derniers d'élaborer une stratégie de recours à l'informatique en nuage répondant précisément à leurs besoins. En facilitant le changement de fournisseur et en permettant plus facilement aux utilisateurs de recourir simultanément à des services proposés par plusieurs fournisseurs, les entreprises utilisatrices pourront opérer une meilleure gestion de leurs coûts et opter pour des services parfaitement calibrés pour leurs besoins. Cette maîtrise des coûts, couplée au recours de solutions plus adaptées aux besoins, permettra aux utilisateurs d'engranger rapidement des gains de compétitivité.

Aussi, la possibilité offerte aux utilisateurs de recourir, avec agilité, aux services de plusieurs fournisseurs constitue un facteur d'attractivité à l'usage des technologiques d'informatiques en nuage. Une hausse du taux d'utilisation des services d'informatique en nuage renforcera la compétitivité de nos entreprises.

La levée rapide des barrières techniques à l'interopérabilité et la portabilité des actifs numériques entre différents fournisseurs contribuera significativement à la fin de l'enfermement propriétaire dans lequel se trouvent de nombreux utilisateurs, au profit d'une concurrence accrue entre les fournisseurs. Cette concurrence accrue aura un effet prix à la faveur d'une baisse du prix des services d'informatique en nuage et stimulera l'innovation, au profit d'un gain de compétitivité pour les entreprises utilisatrices.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

L'interopérabilité entre les services d'informatique en nuage vise au rétablissement de conditions favorables à un jeu concurrentiel plus ouvert. En effet, l'interopérabilité des services d'informatique en nuage aura de nombreux bénéfices pour l'ensemble des fournisseurs de services, en particulier pour les offreurs de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS), qui bénéficieront de conditions de marché plus saines et pourront proposer leurs services à des clients qui utilisent des infrastructures d'autres fournisseurs, notamment les plus encrés sur le marché.

Obliger les fournisseurs d'informatique en nuage à mettre à disposition des interfaces d'interopérabilité au bénéfice des offres tierces alternatives, est un puissant moyen de rompre l'exclusivité qui se traduit par un continuum d'offres liées entre les infrastructures, les plateformes et les logiciels en tant que services (IaaS-PaaS-SaaS). En effet, selon l'étude d'impact de la Commission européenne relative au projet de règlement européen sur les données, l'absence d'interface de programmation permettant l'interopérabilité est la cause technique la plus importante de l'enfermement propriétaire des entreprises dans les services d'informatique en nuage, notamment en ce qui concerne les solutions de plateformes en tant que services (PaaS) et de logiciels en tant que services (SaaS). Ainsi, le présent article a pour objectif de permettre aux offres françaises d'offrir leurs services dans un continuum avec l'écosystème des fournisseurs d'informatique les plus utilisés du marché, augmentant ainsi leur attractivité auprès des utilisateurs.

Les présentes dispositions visent également à permettre aux utilisateurs de bénéficier de services d'informatique en nuage plus innovants et compétitifs. En effet, l'interopérabilité des services d'informatique en nuage favorisera l'adoption des technologies d'informatique en nuage pour les utilisateurs, en leur permettant de bénéficier d'une plus grande liberté de choix et d'une meilleure qualité de service. Les PME et startups françaises s'appuient parfois intégralement sur des solutions d'informatique en nuage opérées par un seul fournisseur pour réaliser leur transformation numérique. La possibilité d'adopter des solutions provenant de plusieurs fournisseurs (multi-cloud) permettra donc d'éviter les situations de dépendance vis-à-vis d'un seul fournisseur, faisant souvent partie des acteurs dominants du marché, et de recourir aux solutions les plus adaptées aux différents besoins des utilisateurs.

Enfin, l'objectif de la mesure est de permettre aux entreprises clientes de tirer un avantage en termes de qualité de service dans la mesure où les fournisseurs d'informatique en nuage ne seront dès lors plus en compétition sur des outils mais bien sur la qualité des services et l'interopérabilité de ces services.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Option 1 : Obligation pour les fournisseurs de services d'informatique en nuage de mettre publiquement des interfaces de programmation à disposition des fournisseurs de services d'informatique en nuage tiers (écartée)

Cette option a été écartée en raison des effets de bords potentiels d'une ouverture publique des interfaces de programmation des fournisseurs d'informatique en nuage sur la sécurité, l'intégrité et le bon fonctionnement des services au regard du nombre important de services pouvant librement utiliser les interfaces de programmation mise à disposition publiquement.

En outre, cette option diffère substantiellement du projet de règlement européen sur les données en cours de négociation car elle introduit une obligation disproportionnée au regard des objectifs du texte et de la plus-value qu'elle apporterait. Le principal risque lié à cette obligation serait de faire peser un poids économique disproportionné sur les fournisseurs de service, qui devraient maintenir de manière continue des interfaces de programmation applicatives ouvertes à la disposition des fournisseurs tiers, au détriment des petits et moyens fournisseurs qui ne disposent pas des ressources nécessaires à mettre en oeuvre cette mesure.

Option 2 : obligation pour les fournisseurs de services d'informatique en nuage d'assurer la conformité de leurs services avec des exigences d'interopérabilité et de portabilité détaillées dans une offre de référence technique d'interopérabilité publique (retenue)

L'option retenue fixe une obligation pour les fournisseurs d'informatique en nuage d'assurer la conformité de leurs services avec les exigences suivantes :

- l'interopérabilité, dans des conditions sécurisées, de leurs services ;

- la portabilité, dans des conditions sécurisées, de leurs services ;

- la mise à disposition des interfaces nécessaires à la portabilité et l'interopérabilité des services.

Une offre technique d'interopérabilité et de portabilité, mise à disposition publiquement par les fournisseurs de service, détaille la mise en oeuvre de ces exigences, afin d'accroître la transparence sur les pratiques des fournisseurs de service, au bénéfice de la liberté de choix des utilisateurs. Cette offre technique doit également comprendre la documentation relative aux interfaces de programmation nécessaires à la portabilité et à l'interopérabilité, afin de permettre aux fournisseurs d'informatique en nuage alternatifs de développer des services interopérables.

À ces obligations de conformité avec les exigences prévues au II de l'article 8 du projet de loi et de publication d'une offre technique de référence, s'ajoute l'obligation pour les fournisseurs de services d'informatique en nuage relevant de la catégorie d'infrastructure en tant que service, (Infrastructure-as-a-Service - IaaS) de prendre les mesures en leur pouvoir afin de faciliter l'équivalence fonctionnelle, telle que définie au I de l'article 8, dans l'utilisation du service de destination. La définition de l'équivalence fonctionnelle ainsi que la limitation de l'obligation aux fournisseurs de services d'informatique en nuage IaaS est pleinement conforme à l'approche proportionnée retenue dans le cadre du projet de règlement européen sur les données.

Les exigences font l'objet de décisions de précisions par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. Dans le cadre de ce travail de précision, l'Autorité peut s'appuyer sur les normes et travaux de normalisation effectués au niveau national ou européen dans le cadre du Règlement 1025/2012 relatif à la normalisation européenne^148(*) et qui régit la coopération entre les organisations européennes de normalisation, les organisations nationales de normalisation, les États membres et la Commission européenne. L'Autorité peut également, au besoin, s'appuyer sur des organismes français de normalisation, à l'instar de l'AFNOR, en émettant une demande d'élaboration d'une norme nationale pour définir les exigences d'interopérabilité et de portabilité. Pour la mise en oeuvre de ces obligations, l'Autorité dispose de deux leviers :

- Un mécanisme de règlement des différends relatifs à la mise en oeuvre des obligations de conformité et de publication d'une offre technique d'interopérabilité, dont elle peut être saisie par l'une des parties ;

- Un pouvoir de sanctions en cas de manquements à ces mêmes obligations, exercé dans les conditions prévues à l'article 36-11 du CPCE. Dans ce cadre, l'autorité peut prononcer des sanctions pécuniaires aux fournisseurs de services d'informatique en nuage en cause.

Cette option a été retenue car elle est cohérente avec le projet de règlement européen sur les données, l'interopérabilité des services d'informatique en nuage se fait à la demande des fournisseurs de services d'informatique en nuage tiers désireux de s'interopérer avec un autre fournisseur et, enfin, la précision des exigences au travers de spécifications techniques et de standards assurent la proportionnalité et la sécurité juridique de l'obligation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La création d'un dispositif d'interopérabilité des services d'informatique en nuage n'implique pas d'abroger, compléter ou modifier les normes existantes de l'ordre juridique interne. Un dispositif autonome est directement inséré dans la présente loi. Les articles 8 et 9 et 10 du projet de loi prévoient les définitions, les modalités d'application de l'interopérabilité entre les services d'informatique en nuage, les pouvoirs de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dans l'application du dispositif ainsi que les sanctions encourues en cas de manquement aux obligations d'interopérabilité.

Le projet de règlement sur les données (Data Act) présenté par la Commission le 23 février 2022 vise à établir des règles harmonisées relatives à l'accès et à l'utilisation équitable des données. La loi sur les données permettra la levée des barrières à la circulation des données au profit des entreprises, des citoyens et des administrations publiques. Le projet de règlement prévoit notamment de nouvelles règles établissant les conditions permettant aux clients de migrer efficacement entre différents fournisseurs de services d'informatique en nuage afin de de rétablir des conditions de concurrence équitables sur le marché européen. Le projet de règlement est toujours en cours de négociations au niveau européen, les trilogues ayant débuté le 29 mars 2023.

Le projet de règlement européen sur les données prévoit des mesures ambitieuses en matière d'interopérabilité des services d'informatique en nuage, notamment au travers de la mise en oeuvre de standards et spécifications techniques ouvertes. Le projet de règlement sur les données prévoit également l'obligation pour les fournisseurs de service de mise à disposition d'interfaces de programmation à des fins de portabilité et d'interopérabilité auprès de leurs clients et des fournisseurs tiers auxquels les utilisateurs souhaitent donner l'accès.

L'ambition des présentes dispositions est donc d'anticiper la mise en oeuvre de ces obligations et de développer une solide compétence française en matière d'encadrement de l'interopérabilité sur les marchés de l'informatique en nuage afin de positionner la France comme cheffe de file sur ces sujets au niveau européen.

En l'état des discussions au Conseil de l'UE et au Parlement européen, un délai oscillant entre 18 et 24 mois est prévu pour la mise en application du texte à partir de sa publication au JOUE, qui devrait intervenir au plus tôt à la fin de l'année 2023. Ainsi, tenant compte du fait que le présent article pourrait entrer en conflit avec cette future norme européenne, il sera assorti d'une clause d'extinction prévue à l'article 36 du projet de loi permettant de faire cesser son application le 15 février 2026. Cela correspond à la date d'entrée en application anticipée des articles du projet de règlement européen sur les données qui prévoient des mesures en faveur de l'interopérabilité des services d'informatique en nuage.

En termes d'impacts macroéconomiques, cette obligation de permettre une interopérabilité entre les services d'informatique en nuage facilitera l'adoption de services d'informatique en nuage par les entreprises, faisant augmenter la demande sur le marché français d'environ 10,9% en 2025 (soit 7,1 milliards d'euros)^149(*). Cette hausse de la demande est estimée en lien avec les impacts des mesures de l'article 7 du présent projet de loi.

Aussi, un régime d'interopérabilité permettra une plus grande concurrence sur le marché des services d'informatique en nuage via la diminution des barrières techniques au changement de fournisseurs. Ainsi, les fournisseurs alternatifs auront accès à une plus grande part du marché, avec un gain estimé entre 10% et 13%^150(*) des parts de marché de l'informatique en nuage pour les fournisseurs français ainsi qu'une hausse de leurs revenus d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%. Ces évolutions permettront d'accroître leurs ressources et leurs investissements en R&D, renforçant in fine le niveau d'innovation.

D'une part, l'interopérabilité des services d'informatique en nuage aura de nombreux bénéfices pour les fournisseurs de services d'informatique en nuage car ils bénéficieront de conditions de marché plus saines et pourront proposer leurs services à des entreprises qui utilisent les services de fournisseurs tiers. En termes d'attractivité des technologies de l'informatique en nuage la possibilité d'offrir des services dans un continuum avec l'écosystème des différents fournisseurs de services d'informatique en nuage constitue un levier important d'accroissement du marché français du cloud cf.supra.

D'autre part, les mesures d'interopérabilité des services d'informatique en nuage auront des impacts positifs pour les entreprises utilisatrices de solutions d'informatique en nuage, notamment en matière de liberté de choix, de quantité d'offres disponibles et de qualité de service. L'interopérabilité leur permettra d'utiliser, en même temps, plusieurs services d'informatique en nuage en fonction de leurs besoins précis, créant ainsi des combinaisons sur mesure de solutions d'informatique en nuage. Aussi, les mesures d'interopérabilité rétabliront des conditions de concurrence équitables entre les fournisseurs de services d'informatique en nuage cf. supra, avec comme impact positif pour les entreprises utilisatrices de baisser les prix et d'augmenter la qualité des services suite à la hausse du niveau d'innovation.

Le poids économique que la mise en oeuvre des obligations prévues par les présentes dispositions fera peser sur les fournisseurs de services d'informatique en nuage sera proportionné au regard du mécanisme d'adoption de spécifications techniques et de standards, qui garantira la définition suffisamment précise et circonscrite des exigences , en lien étroit avec les pratiques du marché et les travaux de normalisation d'ores et déjà engagés. L'étude d'impact^151(*) menée par la Commission européenne dans le cadre du règlement européen sur les données indique à ce titre qu'une approche de normalisation se reposant sur les travaux réalisés par l'industrie devrait limiter les coûts pour les fournisseurs, en particulier lorsque les offres de services des fournisseurs contiennent déjà des logiciels pour faciliter l'exportation des données. Cela incitera également les développeurs de logiciels à prévoir des fonctions d'exportation de données dès le début de la conception de leurs applications. Toutefois, les coûts initiaux devraient être compensés par les avantages que les fournisseurs tireront de la demande supplémentaire de services en nuage, et ceux-ci bénéficieront par ailleurs d'une réduction des coûts liés au (re)formatage nécessaire pour transmettre et utiliser les données sur le marché.

Enfin, en cas de manquement aux obligations définies aux II de l'article 8 et aux I et II de l'article 9 , l'ARCEP peut prononcer à l'encontre du prestataire de services d'informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

Aucun impact budgétaire direct n'est relevé, néanmoins l'application de ces mesures devra être prise en compte dans le dialogue budgétaire.

Les collectivités territoriales utilisatrices de services d'informatique en nuage bénéficieront au même titre que l'ensemble des utilisateurs des conditions renforcées de portabilité et d'interopérabilité, à la faveur d'un recours accru à ces services. L'utilisation de services d'informatique en nuage est un facteur déterminant de performance et de sécurité, qui permettra aux collectivités territoriales d'améliorer la gestion de leurs ressources dédiées à l'informatique.

L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse sera responsable de la mise en oeuvre de ce dispositif. Elle dispose à la fois d'une expertise reconnue en matière de régulation économique et d'une compétence technique, en particulier en matière de normalisation.

Compte tenu de la nécessité de mettre en oeuvre une régulation tenant compte des problématiques techniques et économiques des acteurs du marché, et qui favorise l'innovation et une concurrence accrue dans le secteur de l'informatique en nuage, l'ARCEP pourra s'appuyer à la fois sur son expérience reconnue en matière de régulation économique, et sur son expertise en matière d'interopérabilité technique, acquise dans le champ des télécommunications. En effet, la mise en oeuvre des mesures d'interopérabilité requiert une expertise technique et une maîtrise des enjeux liés à la normalisation des services, afin d'assurer que l'adoption et l'élaboration de standards d'interopérabilité des services d'informatique en nuage soient à la fois suffisamment ambitieuses pour déverrouiller la circulation des données, et permette de répondre aux problématiques de concurrence sur le marché des services d'informatique en nuage en favorisant le développement de services innovants.

Le renforcement des conditions de portabilité et d'interopérabilité, et les progrès qu'il permettra en matières d'innovation et de compétitivité, impactera positivement la croissance économique du marché français du cloud, et le niveau d'emploi du secteur.

Le recours simultané à plusieurs fournisseurs de cloud, et plus généralement le recours accru aux services d'informatique en nuage, permettront le renforcement de la cybersécurité, et de la protection des données non-personnelles et personnelles des citoyens.

Néant.

Néant.

Néant.

Néant.

Les particuliers bénéficieront de manière similaire aux entreprises de conditions de portabilité et d'interopérabilité renforcées, au profit d'une plus grande liberté de choix en matière de fournisseurs de service.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

En application de l'article L. 36-5 du code des postes et des communications électroniques, les dispositions du présent article ont été soumises à la consultation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse qui a rendu son avis le 20 avril 2023.

En outre, au regard de l'objectif concurrentiel des mesures prévues aux articles 8, 9 et 10 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

La mesure envisagée entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. Elle s'appliquera jusqu'au 15 février 2026, correspondant à la date d'entrée en application anticipée des mesures portant sur le même objet prévues par le règlement 2022/0047 (COD) du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (articles 26, 28 et 29).

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance à l'article 35 du présent projet de loi. 

Les présentes dispositions nécessitent l'adoption de plusieurs décrets simples précisant la mise en oeuvre des dispositions relatives aux décisions de précision adoptées par l'autorité et (ii) à la publication d'une offre technique d'interopérabilité prévues à l'article 9 du présent projet de loi.

1. ÉTAT DES LIEUX

La stratégie européenne pour les données^152(*) est une composante de la priorité « Une Europe adaptée à l'ère du numérique »^153(*) de la Commission européenne. Cette stratégie se donne pour objectif de faire en sorte que l'UE devienne un modèle et un acteur majeur d'une société dont les moyens d'action sont renforcés par les données. Notamment, la création d'un marché unique des données permettra la libre circulation de ces dernières au sein de l'UE et entre les secteurs, dans l'intérêt des entreprises, des chercheurs et des administrations publiques.

Dans le cadre de cette stratégie européenne pour les données, la Commission européenne a d'une part déployé des moyens financiers (au sein du Programme pour une Europe numérique ou `Digital Europe Program'^154(*)) contribuant principalement au soutien au développement des espaces de données^155(*) à hauteur de 410 M€^156(*) en 2021-2022 et 113M€^157(*) en 2023-2024 et d'autre part présenté des instruments juridiques, sous la forme de deux règlements (Data Governance Act et Data Act), destinés à accroitre le partage des données. La Commission européenne juge que le potentiel économique de l'utilisation des données est considérable, en termes de nouveaux produits et services basés sur de nouvelles technologies, de production plus efficace et de moyens de lutte contre les défis sociétaux.

Les autorités françaises ont favorablement accueilli cet ensemble d'initiatives et ont participé aux négociations du Data Governance Act et du Data Act.

Publié au Journal Officiel de l'Union européenne sous la Présidence française du Conseil de l'UE le 30 mai 2022, le Data Governance Act (règlement (UE) n° 2022/868) entrera en application en septembre 2023. Ce règlement ambitionne de mettre en place des mécanismes solides pour (i) faciliter la réutilisation de certaines catégories de données protégées du secteur public, (ii) renforcer la confiance dans les services d'intermédiation de données (objet du présent article) et (iii) favoriser l'altruisme en matière de données dans l'ensemble de l'UE.

Une plus large réutilisation des données protégées du secteur public : le règlement sur la gouvernance des données crée un mécanisme permettant de réutiliser en toute sécurité certaines catégories de données du secteur public soumises à des droits d'autrui. Il s'agit notamment des secrets d'affaires, des données à caractère personnel et des données protégées par des droits de propriété intellectuelle. Les organismes du secteur public autorisant ce type de réutilisation devront être dûment équipés, sur le plan technique, afin que le respect de la vie privée et la confidentialité soient pleinement préservés.

Un nouveau modèle commercial pour l'intermédiation de données : le règlement sur la gouvernance des données crée un cadre visant à promouvoir un nouveau modèle commercial - les services d'intermédiation de données - qui fournira un environnement sûr dans lequel les entreprises ou les particuliers pourront partager des données. Pour les entreprises, ces services peuvent prendre la forme de plateformes numériques qui permettront le partage volontaire de données entre entreprises et faciliteront le respect des obligations en matière de partage de données fixées par cette loi mais également d'autres législations, qu'elles soient européennes ou nationales. Grâce à ces services, les entreprises pourront partager leurs données sans craindre qu'elles soient utilisées de manière abusive ni risquer de perdre leur avantage concurrentiel.

Les prestataires de services d'intermédiation de données devront être inscrits dans un registre de manière à ce que leurs clients sachent qu'ils peuvent leur faire confiance. Les prestataires de services ne seront pas autorisés à utiliser les données partagées à d'autres fins. Ils ne pourront pas tirer parti des données, en les vendant par exemple. Ils pourront en revanche facturer les transactions qu'ils effectuent.

Le règlement sur la gouvernance des données définit (article 2, 11) un « service d'intermédiation de données » comme un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d'une part, et d'utilisateurs de données, d'autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l'exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l'exclusion au minimum de ce qui suit :

a) des services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d'en accroître substantiellement la valeur et concèdent une licence d'utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données ;

b) des services axés sur l'intermédiation de contenus protégés par le droit d'auteur ;

c) des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d'utiliser les données qu'il détient, ou qui sont utilisés par des personnes morales multiples au sein d'un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d'objets et de dispositifs connectés à l'internet des objets ;

d) des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales.

Un bon exemple de plateforme de données qui serait désireuse d'obtenir le nouveau statut de services d'intermédiation de données est AgDataHub, entreprise qui cherche à se positionner comme l'intermédiaire de référence pour la circulation des données agricoles en France et en Europe : https://agdatahub.eu/.

Altruisme en matière de données pour le bien commun : le règlement sur la gouvernance des données rend également plus facile pour les particuliers et les entreprises la mise à disposition volontaire de données pour le bien commun, dans le cas de projets de recherche médicale, par exemple. Les entités qui cherchent à collecter des données pour des finalités d'intérêt général peuvent demander à être inscrites dans un registre national des organisations reconnues en ce qui concerne l'altruisme en matière de données. Les organisations enregistrées seront reconnues dans toute l'UE.

La Commission Européenne a par ailleurs publié le 23 février 2022 la proposition de règlement sur les données (Data Act). Ce texte est une déclinaison législative de la stratégie européenne pour les données, qui complétera le règlement sur la gouvernance des données (Data Governance Act). L'ambition du règlement est :

- d'une part de poser un cadre homogène dans l'Union en matière de partage de données privées de type : « Business to Government » (B2G), « Business to Business » (B2B), et « Business to Consumer » (B2C) ;

- d'autre part de proposer un cadre de régulation des services d'hébergement de données en nuage sur leur interopérabilité et leur exposition aux législations extraterritoriales.

Le Conseil et le Parlement ont respectivement adopté leur mandat de négociation le 24/03 et le 14/03.

La désignation des autorités compétentes ainsi que les mesures d'adaptation du droit français, nécessaires en prévision de l'entrée en application du règlement sur la gouvernance des données, est conforme à l'exigence constitutionnelle résultant de la décision n° 2004-496, 22 juin 2004^158(*).

La mise en oeuvre en droit national des mesures pro-concurrentielles portées par le règlement 2022/868 qui tendent à imposer un cadre de régulation à cette nouvelle catégorie d'acteurs poursuit un objectif d'ordre public économique, conforme à la Constitution, s'inscrivant dans la jurisprudence constitutionnelle^159(*).

La mise en oeuvre des dispositions législatives intervient dans le cadre de l'entrée en application du règlement sur la gouvernance des données (UE) 2022/868 du 30 mai 2022.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Au titre de ses obligations découlant du droit de l'Union européenne, il incombe au gouvernement de procéder aux ajustements nécessaires en l'entrée en application du règlement sur la gouvernance des données. Compte tenu du choix, pour la supervision des dispositions relatives aux prestataires de services d'intermédiation de données, de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, une Autorité administrative indépendante donc les objectifs et moyens d'action sont fixés dans la loi, il est nécessaire de recourir à un vecteur législatif.

La désignation des autorités compétentes au titre de l'entrée en application du règlement sur la gouvernance des données et les ajustements législatifs associés visent à instaurer un cadre de confiance et en faveur de l'innovation pour le développement des services de prestataires d'intermédiation de données, afin d'atteindre les objectifs de développement de l'économie de la donnée.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Option 1 :

Il a été envisagé de désigner l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse pour la supervision et le contrôle des prestataires de services d'intermédiation de données.

Option 2 :

Il a été également envisagé de désigner la Commission nationale de l'informatique et des libertés pour la supervision et le contrôle des prestataires de services d'intermédiation de données comme autorité compétente en matière de services d'intermédiation de données au sens de l'article 13 du règlement (UE) 2022/868 du 30 mai 2022, et pour l'application de son chapitre III.

Compte tenu de la typologie de données que seront amenées à traiter ces acteurs émergents, essentiellement des données non-personnelles, et au regard de la dimension pro-concurrentielles du cadre règlementaire applicables aux intermédiaires de données, la désignation de la CNIL a été écartée.

Compte tenu des exigences pro-concurrentielles retenues par le règlement sur la gouvernance des données concernant la désignation des autorités compétences pour les prestataires de services d'intermédiation de données, et de l'ambition pro-innovation affichée pour cette nouvelle typologie d'acteurs, il est proposé de retenir l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le véhicule législatif n'emporte de modification substantielle du code des postes et des communications électroniques, néanmoins des ajustements mineurs sont à prévoir concernant les pouvoirs de la formation restreinte de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dévolus par l'article L. 130 dudit code. 

La désignation de l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse interviendra au titre de l'entrée en application du règlement sur la gouvernance des données.

La Commission européenne a produit une étude d'impact détaillée qui aborde en détail les impacts économiques du règlement européen sur les données^160(*). Au global, le règlement 2022/868 pourrait permettre un gain de croissance au niveau de l'Union européenne de l'ordre de 10,9 Mds€, soit 0,079% du PIB de l'UE, à horizon 2028. Plus spécifiquement, la mise en oeuvre des mécanismes de partage orchestrés par les prestataires de services d'intermédiation de données labélisés doit permettre un gain de PIB au niveau de l'Union de l'ordre de 700 M€ par an.

Il n'a pas été possible de déterminer un impact national différencié.

L'instauration d'un système de labélisation des entreprises de services d'intermédiation de données doit permettre à ses acteurs une accélération de leur développement commercial de l'ordre de 25% à 50%^161(*).

Aucun impact budgétaire direct n'est identifié.

Néanmoins, un impact budgétaire indirect est envisageable. Cette désignation appellera des contrôles par les services de l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires à définir.

Il n'y a pas d'impact sur les collectivités territoriales en tant que telles, néanmoins celles-ci pourront bénéficier du développement des services d'intermédiation de données.

L'impact sur les services de l'Arcep se traduira par le traitement des notifications portées par les prestataires de services d'intermédiation selon l'article 11 du règlement 2022/868, et le contrôle du respect des exigences applicables à ces acteurs en vertu du l'article 12 du même règlement. Le contrôle de ces exigences, essentiellement pro-concurrentielles et de nature économique, recouvre les contrôles effectués par l'Arcep dans le cadre du secteur des télécommunications, et recouvrira également les nouveaux pouvoirs de l'Autorités résultant des articles 8 et 9 du présent projet de loi.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

En application de l'article L. 36-5 du code des postes et des communications électroniques, les dispositions du présent article ont été soumises à la consultation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse qui a rendu son avis le 20 avril 2023.

En outre, au regard de l'objectif concurrentiel des mesures du règlement 2022/868, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

L'article 11 entrera en vigueur le 24 septembre 2023.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 35 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35.

Un décret d'application sera nécessaire pour fixer les conditions de traitement des demandes formulées par les prestataires de services d'intermédiation de données au titre du paragraphe 9 de l'article 11 du DGA.

TITRE IV - ASSURER LE DÉVELOPPEMENT EN FRANCE DE L'ÉCONOMIE DES OBJETS DE JEU NUMÉRIQUES MONÉTISABLES DANS UN CADRE PROTECTEUR

Le développement rapide et la mise à disposition de technologies dites « Web 3.0 », telles que la blockchain et les jetons non-fongibles (JNF), constituent de puissantes opportunités de développement pour le secteur du jeu, particulièrement créatif et innovant. De très nombreux jeux émergent ou sont en phase de développement, en France comme dans d'autres pays.

Il s'agit principalement de jeux dans lesquels est proposé l'achat d'objets numériques de jeu (sous forme de carte JNF par exemple), nécessaires pour participer au jeu. Si le joueur gagne, il peut se voir offrir comme gain ou récompense des actifs numériques ou de nouveaux objets de jeu qu'il est possible de revendre à des tiers soit sur la plateforme de l'éditeur du jeu soit sur une place de marché secondaire. Le web 3.0 a fait naître le modèle des « play to earn », qui suppose d'avoir la « propriété » sur ses objets et de pouvoir les monétiser en dehors du jeu. Dans ce modèle, l'éditeur finance le développement du jeu par l'émission des premiers objets numériques (par exemple, des cartes sous forme de JNF) et tire un revenu régulier de l'émission de nouvelles séries d'objets. Il peut en outre prélever de façon automatique une commission sur l'échange des JNF par les joueurs, même si ces échanges n'ont pas lieu sur une plateforme qu'il gère, si cette règle a été fixée dès la création du JNF.

Si le troc d'objets numériques est ancien dans l'univers du jeu vidéo, le fonctionnement des jeux antérieurs au Web 3.0 était caractérisé par une « boucle fermée » : les objets échangés ne pouvaient pas être revendus, ils restaient dans le jeu.

Le web 3.0 facilite l'introduction des objets numériques échangeables, cessibles et monétisables et constitue un nouveau type de jeux en ligne, dans lequel les objets sont désormais en « boucle ouverte » et peuvent être revendus en dehors du jeu. Dès lors, ces jeux peuvent mêler plusieurs motivations : le plaisir de jouer mais aussi la volonté de gagner de l'argent en remportant des objets numériques revendables.

En raison de leur caractère attractif auprès des mineurs et de la nécessité de protéger ceux-ci, des possibilités qu'ils ouvrent en matière de blanchiment des capitaux et de financement du terrorisme et afin de prévenir d'éventuelles atteintes à l'ordre public et à l'ordre social telles que l'addiction aux jeux, ces jeux émergents doivent faire l'objet d'un encadrement juridique spécifique en fixant des conditions d'exploitation strictes.

Si réguler un secteur encore émergent n'est pas aisé au regard de l'incertitude sur l'impact que ces jeux peuvent avoir sur la société, il importe d'élaborer, en recourant éventuellement à l'expérimentation, un cadre juridique tempérant la préservation des capacités d'innovation agile d'un secteur qui renouvelle l'expérience de divertissement par la transposition adaptée de mécanismes protecteurs déjà bien connus dans l'univers des jeux d'argent et de hasard.

1. ÉTAT DES LIEUX

Le développement rapide et la mise à disposition de technologies dites « Web 3.0 », telles que la blockchain^162(*) et les jetons non-fongibles (JNF)^163(*), constituent de puissantes opportunités de développement pour le secteur du jeu en ligne. En effet, les caractéristiques des JNF, jetons numériques uniques auxquels peuvent être associés des droits et utilisables dans des jeux, rendent possible la création de marchés secondaires pour de tels objets numériques, intéressant d'autres joueurs ou des collectionneurs. Ces objets numériques acquièrent donc une valeur marchande et sont monétisables.

Ainsi, de très nombreux jeux émergent ou sont en phase de développement, en France comme dans d'autres pays. D'après l'Autorité nationale des jeux (ANJ), de l'ordre de deux mille jeux dits « Play to earn » étaient en 2022 en cours de développement dans le monde et sont destinés notamment aux joueurs français. Par ailleurs, douze milliards de dollars ont été investis dans les jeux utilisant des JNF en 2022 dans le monde. Leur création est facilitée par les avancées des technologies de la blockchain qui rendent le développement de ses applications plus simple, plus rapide et plus économique.

Ils constituent un levier de développement important pour le secteur du jeu vidéo français, qui est l'un des plus dynamiques en Europe et dans le monde (près de 5 milliards d'euros de chiffre d'affaires, plus de 18 000 emplois en 2022).

Cependant, la législation actuelle n'est pas adaptée à ces nouveaux jeux, qui empruntent des caractéristiques à la fois aux jeux de loisirs (gaming) et aux jeux d'argent (gambling) et qui interrogent la pertinence des catégories actuelles de jeux et la sécurité juridique offerte aux acteurs du secteur.

Aussi, certains de ces jeux pourraient être requalifiés comme des jeux d'argent et de hasard illégaux, sauf lorsqu'ils ont été autorisés conformément à la loi, en application de l'article L. 320-1 du code de la sécurité intérieure. Ce cadre très restrictif n'est pas conçu pour les spécificités des jeux en cours de développement. Inversement, les jeux vidéo qui intègrent des objets numériques monétisables peuvent créer des risques nouveaux pour les joueurs ainsi qu'en matière de blanchiment des capitaux et de financement du terrorisme.

Les entreprises qui proposent des jeux avec des objets numériques monétisables (dits « JONUM ») exerceront une activité nouvelle. Il s'agit principalement de jeux dans lesquels est proposé l'achat d'objets numériques de jeu (sous forme de carte JNF par exemple), nécessaires pour participer au jeu ou pour avancer plus rapidement dans le jeu. Si le joueur gagne, il peut se voir offrir comme gain ou récompense de nouveaux objets de jeu qu'il est possible de revendre à des tiers soit sur la plateforme de l'éditeur du jeu soit sur une place de marché secondaire. Selon de premières études récentes, ces jeux présenteraient des risques d'ordre public et d'ordre social, tels que des risques d'addiction ou de fraude, pour certains proches de ceux des jeux d'argent et de hasard, au motif notamment que les objets numériques peuvent être cédés à titre onéreux. En outre, sans interdiction prévue par la loi, ces jeux seraient accessibles aux mineurs.

Il convient de définir ces nouveaux jeux, leurs conditions d'exploitation, un encadrement de l'activité des entreprises qui souhaitent proposer des JONUM et de fixer des modalités de contrôle et de régulation adaptées aux spécificités de ces jeux, à la technologie utilisée (web 2.0 ou web 3.0) et aux risques associés. Ces nouveaux jeux pourront être autorisés à titre expérimental.

L'article 38 de la Constitution prévoit que « Le Gouvernement peut, pour l'exécution de son programme, demander au Parlement l'autorisation de prendre des mesures par ordonnances, pendant un délai limité ».

La régulation d'un secteur économique porte atteinte à la liberté d'entreprendre protégée par la Constitution. Le Conseil constitutionnel a confirmé dans sa décision n° 2012-285 QPC du 30 novembre 2012 que la liberté d'entreprendre comprend deux objets, à savoir : « non seulement la liberté d'accéder à une profession ou à une activité économique mais également la liberté dans l'exercice de cette profession ou de cette activité ». Des limitations peuvent néanmoins lui être apportées si elles sont justifiées au regard des risques d'atteintes à l'ordre public et à l'ordre social notamment les risques de fraude et de blanchiment de capitaux et de financement du terrorisme^164(*).

Dans de nombreuses décisions, le Conseil constitutionnel a considéré :

"(...) 13. (...) qu'il est loisible au législateur d'apporter à la liberté d'entreprendre, qui découle de l'article 4 de la Déclaration des droits de l'homme et du citoyen de 1789, des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ; (...)»^165(*)

Les articles 56 et suivants du traité de fonctionnement de l'Union européenne (TFUE) prohibent toute restriction à la libre prestation des services. Néanmoins, des restrictions peuvent être justifiées par des raisons impérieuses d'intérêt général à la condition qu'elles soient proportionnées.

L'émergence de ces nouveaux jeux et technologies est une problématique très récente, à laquelle sont confrontés les pays dont le secteur du jeu vidéo est innovant. Beaucoup de ces pays réfléchissent à un cadre de régulation ad hoc. C'est notamment le cas de l'Espagne, qui envisage un encadrement spécifique, plus souple que celui des jeux d'argent et de hasard, pour les « coffres à butin » (lootboxes)^166(*).

Ainsi, l'Espagne envisage d'encadrer les seuls « coffres à butin », ou lootboxes, dont le gain serait « échangeable ». Cette caractéristique est appréciée de manière large par les Espagnols considérant qu'il s'agit d'une simple interchangeabilité, soit par échange avec d'autres participants aux jeux, soit par son échange contre de l'argent ou contre d'autres types d'objets virtuels, quels qu'ils soient. Un avant-projet de loi a été publié par le ministère espagnol de la consommation le 1^er juillet 2022.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Le Gouvernement souhaite être habilité à prendre par ordonnance, en application de l'article 38 de la Constitution, toute mesure relevant du domaine de la loi permettant de définir le régime, les objectifs et les modalités d'encadrement, de régulation et de contrôle des entreprises qui commercialisent les JONUM.

Aujourd'hui, l'Autorité nationale des jeux, autorité française de régulation des jeux d'argent et de hasard, considère que certains des jeux proposant des objets numériques monétisables (JNF ou non) répondent aux quatre critères cumulatifs de définition des jeux d'argent et de hasard prohibés de l'article L. 320-1 du code de la sécurité intérieure : une opération offerte au public, un sacrifice financier, une espérance de gain due même partiellement au hasard.

Sans évolution législative, sauf à arrêter leur activité ou à obtenir un agrément au titre des jeux d'argent et de hasard (au prix d'une dénaturation du jeu proposé), ces entreprises s'exposent aux risques de blocage administratif d'accès à leur site internet, et encourent des sanctions pénales de trois ans d'emprisonnement et de 90 000 € d'amende ainsi que des peines complémentaires pour les personnes physiques^167(*).

En outre, la mesure proposée vient fixer un encadrement de l'exploitation d'un nouveau secteur économique, les jeux utilisant des objets numériques monétisables (dits « JONUM »), soumis à des obligations commerciales ou en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme spécifiques, ce qui justifie de définir cette nouvelle activité par la loi en application à l'article 34 de la Constitution.

La présente mesure vise à fixer par ordonnance la définition des JONUM, leurs conditions d'exploitation et un encadrement propre à concilier principalement trois objectifs :

- Favoriser l'innovation et le développement de nouvelles activités pour le secteur du jeu en ligne, grâce à un cadre juridique adapté. Pour ce faire, la législation proposée se veut neutre technologiquement (adaptée aux technologies du web 3.0, ou antérieures (web 2.0 notamment), ou à venir).

- Offrir une sécurité juridique suffisante aux éditeurs de ces nouveaux jeux et aux investisseurs, ainsi qu'aux opérateurs agréés du secteur des jeux d'argent et de hasard.

- Protéger les joueurs et le secteur des risques accompagnant une commercialisation insuffisamment contrôlée de ces jeux, alors même que le marché est encore émergent et les risques, par voie de conséquence, encore peu étudiés. Il s'agit notamment d'atténuer les risques en matière de blanchiment des capitaux et de financement du terrorisme posés par le secteur.

L'ordonnance définira les jeux autorisés et les modalités d'encadrement et de contrôle des entreprises qui commercialisent les JONUM ainsi que les modalités de la régulation. Ces modalités de régulation incluent les règles applicables en vue de prévenir les risques d'atteinte à l'ordre public dont la fraude et le blanchiment d'argent et de protéger la santé et les mineurs.

L'enjeu réside à encadrer de manière proportionnée un nouveau secteur d'activité et à prévenir les risques de développement d'atteintes à l'ordre public.

Le recours à l'expérimentation pour la commercialisation de ces nouveaux jeux sera envisagé.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

L'inclusion de l'ensemble du régime des JONUM et des modalités de régulation de ce nouveau secteur économique dans le projet de loi initial a été envisagée. Pour autant, au regard des enjeux d'ordre public, du nombre de dispositions nécessaires pour encadrer ce nouveau marché, de leur technicité et de leur nouveauté, un délai incompressible sera nécessaire pour consulter l'ensemble des administrations et autorités de régulation potentiellement concernées (CNIL^168(*), Tracfin^169(*), ARCOM^170(*), AMF^171(*), ACPR^172(*), ADLC^173(*), MILDECA^174(*), etc.) et poser le cadre le plus adapté aux spécificités de ces nouveaux jeux et aux risques associés.

L'habilitation à prendre une ordonnance permet au Gouvernement de consulter dans des délais suffisants les administrations concernées par cette industrie naissante, les acteurs du secteur et des secteurs voisins (jeux vidéo et jeux d'argent et de hasard) et de mettre en place un travail interministériel afin d'établir un cadre proportionné aux enjeux de cette activité économique nouvelle et aux risques associés et de réfléchir à l'opportunité d'avoir recours à l'expérimentation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L'analyse précise des conséquences attendues de la mesure sera effectuée dans la fiche d'impact exposant les dispositions de l'ordonnance prise sur le fondement de la présente habilitation. Néanmoins, ainsi que le prévoit le dispositif d'habilitation qui définit certains des objectifs poursuivis pour l'ordonnance, il peut d'ores et déjà être fait état des impacts suivants :

1° l'ordonnance aura pour objectif de protéger les mineurs en prévoyant des obligations pour empêcher l'accès à des jeux dont l'objectif pour le joueur ne serait pas la seule activité de loisir mais d'essayer de s'enrichir.

2° l'ordonnance fixera des règles pour protéger les joueurs des risques de jeu excessif et encadrera la promotion de ces jeux. Les JONUM peuvent en effet engendrer des risques d'addiction. Les premières études disponibles, encore rares et portant sur des champs limités, montrent que ces jeux présentent des risques comportementaux, notamment du fait de l'intérêt économique qu'ils procurent, et qu'ils sont susceptibles d'attirer des joueurs ayant une pratique de jeu excessive entrainant une perte de contrôle^175(*).

3° l'ordonnance définira les obligations des entreprises à même de prévenir le développement sur leur site d'actions frauduleuses ou de tentatives de blanchiment d'argent et de financement du terrorisme et les obligations en matière d'intégrité et de transparence de l'offre de jeu.

5. JUSTIFICATION DU DÉLAI D'HABILITATION

Concernant l'habilitation donnée au Gouvernement de prendre par ordonnance les mesures prévues au présent article, un délai d'habilitation de quatre mois est nécessaire compte tenu de la technicité des dispositions à prendre et des consultations obligatoires à mener.

Un projet de loi de ratification devra être déposé devant le Parlement dans un délai de trois mois à compter de la publication de l'ordonnance.

TITRE V - PERMETTRE À L'ETAT D'ANALYSER PLUS EFFICACEMENT L'ÉVOLUTION DES MARCHÉS NUMÉRIQUES

1. ÉTAT DES LIEUX

L'émergence et le développement économique du modèle de la plateforme numérique, notamment au travers des plus grandes d'entre elles (Google, Apple, Meta, Amazon, Microsoft, Baidu, Alibaba, Tencent dont l'offre commerciale couvre la quasi-totalité des services essentiels, a mécaniquement conduit ces acteurs globaux à disposer de données et d'informations surpassant largement, en nombre et en qualité, celles jusque-là accessibles aux autorités publiques pour les besoins de l'élaboration et de la conduite des politiques dont elles ont la responsabilité.

Pour tenter de résoudre cette asymétrie d'information, plusieurs dispositifs juridiques ont été mis en place permettant à quelques autorités publiques d'obtenir certaines des données collectées sur les plateformes numériques. Deux types de dispositifs sont recensés à l'heure actuelle, en fonction des finalités auxquelles ils répondent.

Une première catégorie de dispositifs se rattache aux missions de régulation, contrôle et sanction des administrations. On y trouve notamment :

- Le droit d'enquête, de visite et de saisie dont disposent, notamment, les administrations fiscale^176(*) et douanière^177(*), comme la plupart des autorités administratives ou publiques indépendantes^178(*). Il ne vise certes pas spécifiquement les données numériques, ni même les plateformes, mais il les inclut nécessairement.

- Le droit de communication applicable aux données de connexion dont disposent -sensiblement - les mêmes autorités publiques^179(*). Il porte de manière spécifique sur des données numériques non publiques, mais reste limité aux seules données de connexion des opérateurs de communication électronique.

- Le droit de communication non nominatif créé en 2014 en matière fiscale^180(*) et sociale^181(*)

Ces dispositifs ont pour caractéristique d'être contraignants pour les personnes visées, mais la nature et l'étendue des données pouvant être recueillies, comme les conditions et les limites de leur utilisation sont strictement bornées. Les évolutions jurisprudentielles récentes qui ont eu pour effet de restreindre drastiquement les possibilités d'accès aux données de connexion par les autorités publiques l'attestent^182(*).

Une seconde catégorie de dispositifs juridiques permet l'accès aux données d'opérateurs de plateforme pour les besoins de l'élaboration des politiques publiques. Il s'agit en particulier de :

- La législation relative aux statistiques publiques^183(*) qui permet un accès complet aux données agrégées issues des bases de données privées, sous réserve d'une procédure rigoureuse et pour les besoins exclusifs d'études statistiques obligatoires^184(*).

Depuis 2016^185(*), la loi de 1951 en matière de statistiques permet au ministre chargé de l'économie d'imposer aux personnes privées, à peine de sanction, de communiquer les informations contenues dans les bases de données qu'elles détiennent, sous réserve de quatre séries de conditions :

- l'obligation n'est applicable que pour les besoins des enquêtes que le programme statistique annuel déclare obligatoires ;

- la mise en oeuvre est précédée d'une concertation avec les opérateurs concernés ;

- les données sont agrégées, non identifiantes et ne peuvent être utilisées qu'à des fins statistiques ;

- les données reçues par le dépositaire ne peuvent faire l'objet d'aucune communication à des tiers (sous réserve de l'application de la loi « archives »)

Plusieurs législations sectorielles, notamment dans le domaine des transports, imposent aux opérateurs de plateforme de rendre accessibles certaines de leurs données aux autorités publiques en charge de l'élaboration des politiques publiques.

- Un dispositif européen impose aux opérateurs de transport et aux fournisseurs services de partage de véhicules et cycles de rendre accessibles, notamment aux autorités publiques, et réutilisables, les données statiques et dynamiques sur les déplacements et la circulation ainsi que les données historiques concernant la circulation^186(*).

- La loi « Climat et résilience » a imposé aux services numériques d'assistance au déplacement (toutes les plateformes proposant des services de transport ou d'itinéraires) de rendre accessible aux autorités en charge des transports les données pertinentes relatives aux déplacements et à la circulation qu'ils détiennent^187(*). Les décrets d'application sont à l'ordre du jour^188(*). Le non-respect de l'obligation est puni d'une amende de 300 000 euros.

- En matière ferroviaire, la loi prévoit que l'Etat et les autorités publiques responsables ont accès aux informations relatives au trafic ferroviaire et aux données économiques nécessaires à la conduite d'études et de recherches^189(*).

Plusieurs dispositifs autorisent la mise en oeuvre, par des autorités publiques, de traitements de chalutage (« scraping ») de données publiquement disponibles sur certaines plateformes numériques. Le « scraping » le fait de collecter, emmagasiner et traiter toutes ou partie des données ouvertes des plateformes au moyen d'outils d'analyse avancés. Les données sont certes incomplètes par comparaison avec les données non publiques. Toutefois, sous réserve de la possibilité pour les autorités publiques d'ouvrir un compte sur les plateformes concernées et de pouvoir traiter de manière systématique et automatisée l'ensemble des données qui n'ont pas été explicitement « privatisées » par les utilisateurs (y compris éventuellement les commentaires), cette technique peut permettre d'aboutir à des résultats d'analyse portant sur des échantillons statistiques importants. Elle peut aussi permettre de disposer de données en quantité suffisante pour entraîner des systèmes d'apprentissage automatisés - des outils d'IA avancés comme Chat GPT et Notion ont été réalisés par l'entraînement supervisé de systèmes d'IA au moyen de données publiquement disponibles collectées sur internet. Les données agrégées par ces traitements peuvent ensuite être réutilisées de plein droit pour les besoins de l'élaboration des politiques publiques^190(*) :

- Chalutage des données manifestement rendues publiques par les utilisateurs de plateformes en ligne aux fins de lutte contre la fraude fiscale et douanière^191(*).

- Collecte et l'exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne^192(*), y compris lorsque l'accès à ces plateformes requiert une inscription à un compte, dans le but d'identifier les ingérences numériques étrangères^193(*).

- Collecte automatisée des données publiquement accessibles des plateformes en ligne, y compris lorsque l'accès requiert l'ouverture d'un compte, autorisant le PEReN à concevoir ou évaluer des outils techniques ayant pour strict objet la réflexion portant sur la régulation des opérateurs de plateforme en ligne^194(*).

Ces dispositifs représentent une vision agrégée des différents leviers à la disposition des pouvoirs publics pour collecter des données sur les plateformes numériques.

Sur le plan constitutionnel, le dispositif proposé s'appuie sur le pouvoir de collecte des données accessibles publiquement déjà reconnu au PEReN par la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique. S'agissant de données publiquement accessibles, le risque d'atteinte au secret des affaires, paraît donc très réduit et maitrisé également par les modalités d'organisation opérationnelles garantissant que l'accès du PEReN aux données et leur traitement ne portera pas atteinte à ce secret.

Le dispositif garantit que les données collectées resteront exclusivement destinées à des activités de recherche publique et ne feront l'objet d'aucune diffusion ultérieure. L'atteinte au droit de propriété peut donc être regardée comme proportionnée.

Le risque d'atteinte disproportionnée au droit au respect de la vie privée et à la liberté d'expression et de communication est nul car le champ du dispositif se limite aux données publiques. La création d'un traitement de données à caractère personnel ne nécessite plus aujourd'hui, en principe, de dispositions législatives particulières, sous réserve que le traitement respecte les exigences du règlement général sur la protection des données (RGPD) et de la loi n° 78-18 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés^195(*).

La proposition de règlement Data Act présenté par la Commission européenne prévoit, à ce stade des négociations, une procédure de « réquisition » des détenteurs de données au bénéfice des organismes du secteur public, sur demande, lorsqu'est démontré l'existence d'un besoin exceptionnel^196(*). Cette notion recouvre notamment les situations d'urgence publique (crise sanitaire, ...) mais également celles dans lesquelles l'organisme établit que la mission d'intérêt public qu'il poursuit nécessite des données qu'il ne peut obtenir par d'autres moyens et établit qu'il ne peut obtenir les mêmes données autrement, notamment en les acquérant sur le marché privé. Y compris dans cette dernière situation, la procédure conserve un caractère exceptionnel.

Le Digital Services Act (DSA) prévoit explicitement à son article 40 plusieurs dispositifs d'accès obligatoire des régulateurs et de chercheurs aux données publiques ou non publiques des très grandes plateformes numériques. Cette ouverture a pour finalités exclusives de contrôler l'application du DSA et de mener des recherches relatives aux risques systémiques, au regard notamment des droits fondamentaux, que suscite l'activité des très grandes plateformes dans l'Union.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'Etat et les services d'Etat sont aujourd'hui sous-équipés en matière d'accès aux données et aux systèmes d'information des grandes plateformes numériques, ce qui entrave leurs missions de stratèges et concepteurs de la politique publique de régulation de ces grandes plateformes. Or, le traitement des données publiques des plateformes est une solution permettant d'offrir des résultats pertinents pour l'élaboration des politiques publiques. Les données publiquement disponibles sur les plateformes sont une source d'information, certes incomplète, mais potentiellement riche d'enseignements pour améliorer l'élaboration et la mise en oeuvre des politiques publiques.

En revanche, cette technique est sous-utilisée, faute d'un encadrement juridique clair. L'analyse des données publiques, moins attentatoire aux droits et libertés que celle des donnés non publiques, est en l'état très peu utilisée par les administrations publiques, du fait de l'insécurité juridique de l'encadrement normatif actuel. A s'en tenir aux seules techniques ayant fait l'objet de dispositions législatives ou réglementaires ad hoc, quatre seulement seraient mis en oeuvre : le « scraping » de l'administration fiscale ayant pour finalité d'orienter les contrôles, l'analyse en temps réel de détection des ingérences étrangères par Viginum, le « scraping » du PEReN pour des finalités de recherche, et l'analyse en temps réel de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) aux fins d'identification des actes de piratage informatique.

Alors même que le PEReN exprime de réels besoins de recours à des techniques d'analyse des données publiques des plateformes, il estime que les restrictions du cadre juridique actuel ne permettent pas de sécuriser la légalité de la collecte de données.

Deux facteurs principaux d'insécurité juridique ont pu être identifiés :

- L'analyse selon laquelle la mise en oeuvre de techniques d'analyse des données publiques des plateformes ne peut être réalisée à moins que des dispositions juridiques particulières ne l'autorisent expressément ;

- Les incertitudes quant au degré de norme nécessaire pour édicter une telle autorisation. Elle tient notamment au fait que le Conseil constitutionnel a reconnu la valeur législative^197(*) des dispositions de la loi de finances pour 2020 autorisant à titre expérimental le scraping de l'administration fiscale aux fins de recherche de fraudes et de manquements en matière fiscale et douanière (article 154 de la loi), alors que le Conseil d'Etat a ultérieurement considéré que la mise en oeuvre d'un traitement d'analyse de données publiques des plateformes (Viginum) pouvait être autorisée par voie réglementaire, sur le fondement de la loi « informatique et liberté » et du RGPD et sans qu'il soit besoin d'adopter d'autres dispositions législatives particulières^198(*).

Ainsi, si les législations nationales comme européennes, notamment avec le DSA et le Digital Markets Act (DMA), consolident le droit d'accès des autorités indépendantes de supervision aux données en aval, le cadre juridique actuel apporte encore peu d'appui aux services de l'Etat qui conçoivent la régulation, en amont. Or, le décideur public, pour forger sa stratégie et ses orientations de politique publique sur la régulation du numérique, a besoin de connaissances robustes et opérationnelles, qui dépendent intrinsèquement de ses capacités de pénétration et de compréhension des systèmes d'information des grandes plateformes.

Il est proposé d'introduire dans le projet de loi le renforcement proportionné du pouvoir autonome du PEReN d'accès aux données publiques exploitées par les grandes plateformes en assurant aussi la sécurité juridique et l'applicabilité.

Le PEReN a aujourd'hui un accès limité aux données publiquement accessibles sur les plateformes numériques. L'article 36 de la loi du 25 octobre 2021 précitée permet des traitements de données publiques limités pour fins d'expérimentation d'outils ou de recherche.

L'objectif est de faciliter et sécuriser la collecte, le traitement et la conservation des données accessibles sur les plateformes numériques pour le PEReN. Le cadre actuel limite les projets que le PEReN peut réaliser, du fait du caractère très restrictif de l'expérimentation d'outils, qui ne répond pas toujours aux besoins des services partenaires, notamment dans le cadre de l'élaboration des politiques publiques.

Cet accès renforcé aux données publiques permettra une amélioration des traitements de données utilisés par le PEReN dans le cadre ses travaux :

- Le « ratissage » ou « chalutage » ou « scraping » des données publiques,

- L'analyse en « boîte noire ». Elle consiste, en substance, à créer et tester des scénarios de chemins utilisateurs, en comparant les sorties avec les résultats normalement attendus. Outre sa rapidité et la simplicité de sa mise en oeuvre, elle offre l'avantage de permettre d'analyser de manière externe et objective (sans influence de l'opinion du développeur) des systèmes dont le fonctionnement interne n'est pas connu et/ou le code source inaccessible. S'agissant des plateformes, elle nécessite non seulement de créer des comptes utilisateurs, mais aussi de pouvoir faire entrer des données massives sur les plateformes sans identification du fait qu'il s'agit d'un même utilisateur, par exemple en faisant varier régulièrement les adresses IP de l'utilisateur (technique dite de « IP rotating »).

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Deux options ont été envisagées puis écartées.

Une première option était de confier au PEReN un pouvoir autonome de collecte des données publiques et non publiques des plateformes numériques à des fins d'expertise et d'aide à la conception de politiques publiques pour les administrations commanditaires.

Cette option a été abandonnée en raison des difficultés juridiques pour assurer le caractère proportionné de la collecte de données et l'explicitation précisément restreinte des finalités d'accès. Les traitements massifs de données nécessitent des dispositions législatives qui précisent de manière suffisante les finalités de ces traitements, les administrations et les personnes (grades etc.) accédant aux données ainsi que les principales conditions de conservation des données. Or, le dispositif qui était envisagé visait le PEReN, c'est-à-dire le relai technique d'obtention et d'analyse des données, et non les futures administrations commanditaires.

Une deuxième option était de conférer au PEReN le statut de chercheur agréé défini à l'article 40 du règlement du 19 octobre 2022 relatif à un marché unique des services numériques, qui ouvre un droit d'accès aux données des très grandes plateformes^199(*). Cela aurait conféré au PEReN un accès aux données publiques et non publiques des très grandes plateformes numériques mais « à la seule fin de procéder à des recherches contribuant à la détection, au recensement et à la compréhension des risques systémiques dans l'Union ».

Cette option paraissait juridiquement envisageable mais a été abandonnée en raison des difficultés opérationnelles et politiques pouvant intervenir. En effet, attribuer au PEReN le statut de chercheur agréé au sens du DSA semblait complexe et n'aurait conféré qu'un accès restreint aux données non publiques des plateformes. Le DSA n'autorise l'accès aux données non publiques qu'à des projets de recherche préalablement agréés par le coordinateur des services numériques de l'Etat d'établissement et portant exclusivement sur les risques systémiques dans l'Union européenne. En plus des évolutions organisationnelles qui viennent d'être envisagées, l'obtention de l'agrément impliquerait, au regard des conditions prévues par le DSA, que le PEReN soit adossé à un organisme de recherche public - par exemple un établissement public de recherche tel que le Centre national de la recherche scientifique (CNRS), l'Institut national de recherche en sciences et technologie du numérique (INRA), etc. Cet organisme aurait alors la responsabilité d'élaborer le projet de recherche, conjointement avec l'administration commanditaire et de conduire le projet.

En outre, la détermination de l'autorité chargée d'agréer les projets de recherche qui, dans le champ interne, permettrait d'accéder aux données non publiques est apparue délicate. Si l'on étend à l'ensemble du dispositif national la compétence du coordinateur des services numériques, cela pourrait conduire ce dernier à se prononcer sur des questions entièrement hors du champ de ses compétences définies en droit national.

Un élargissement des pouvoirs de collecte des données publiques du PEREN pour des fins de recherche a été retenu. Les missions de recherche publique du PEReN sont définies par l'article L. 112-1 du code de la recherche comme « le développement d'une capacité d'expertise et d'appui aux associations et fondations, reconnues d'utilité publique, et aux politiques publiques menées pour répondre aux défis sociétaux, aux besoins sociaux, économiques et du développement durable ».

Depuis la loi du 25 octobre 2021 susmentionnée, le PEReN peut, dans le cadre de ses activités d'expérimentation d'outils, intervenir en tant que responsable de traitement au sens de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et peut mettre en oeuvre des méthodes proportionnées de collecte automatisée de données publiquement accessibles, y compris lorsque l'accès à ces données nécessite la connexion à un compte. Les plateformes numériques ne peuvent opposer au service ni refus d'accès aux interfaces de programmation qu'elles ont développées et rendues accessibles aux tiers, ni de limites d'extraction des bases de données publiquement accessibles, ni d'interdictions prévues par les conditions générales d'utilisation des services mettant les données visées à la disposition du public. Les données collectées sont détruites à l'issue des travaux, et au plus tard neuf mois après leur collecte.

Les dispositions proposées permettront au PEReN d'agir en tant que responsable de traitement au sens de la loi du 6 janvier 1978 pour ses missions de recherche publique comme pour ses missions d'expérimentation d'outils. Cela permettra au PEReN de bénéficier des mêmes pouvoirs de collecte dans les deux cas et donc de sécuriser juridiquement ses travaux selon les mêmes modalités, quelles que soient les finalités. Il bénéficie de l'accès aux données des fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les mesures proposées entrainent une modification de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et la protection de l'accès aux oeuvres culturelles, en l'abondant avec les dispositions au point 3.2 supra.

Les dispositions présentées, adaptant le pouvoir de collecte du PEReN se réfèrent à ses missions de recherche publique définies par la loi du 25 octobre 2021 précitée dont le périmètre diffère de celui des missions de recherche évoquées à l'article 40 du DSA, ou de celui défini pour l'accès aux données non publiques tel que prévu par la proposition de règlement Data Act.

Néant.

En matière d'accès aux données publiques, la nature du pouvoir de collecte de données publiquement accessibles est inchangée à l'égard des plateformes numériques. L'impact additionnel sera donc réduit, mais la collecte de leurs données publiques par le PEReN sera vraisemblablement élargie et plus fréquente.

L'élargissement des pouvoirs de collecte du PEReN ne demande pas de ressources budgétaires supplémentaires au service pour la réalisation de ses missions.

Néant.

Les dispositions proposées pourront être assurées par les effectifs actuels du PEReN, sans besoin d'équivalent temps plein supplémentaires.

Le renforcement du pouvoir de collecte des données publiques permettra une amélioration des traitements de données utilisés par le PEReN mais aussi l'émergence de nouveaux projets. Ces nouveaux travaux permis par l'extension des pouvoirs de recherche vont in fine favoriser l'élaboration et la mise en oeuvre des politiques publiques répondant aux défis numériques systémiques.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

La Commission nationale de l'informatique et des libertés (CNIL) a été consultée, le 4 avril 2023, sur la rédaction des dispositions du présent article, conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

La mesure s'appliquera dès le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Concernant la Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna qui sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable), aucune mention expresse d'application de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique n'est prévue pour ces territoires. Par conséquent, ces dispositions n'y seront donc pas applicables. Elles pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Un décret en Conseil d'Etat devra être pris après avis public motivé de la CNIL pour préciser la mise en oeuvre des méthodes de collecte de données.

1. ÉTAT DES LIEUX

Si les meublés de tourisme existent depuis de nombreuses années, ils ont cependant pris un nouvel essor avec le développement des outils numériques. On estime ainsi à près de 800 000 le nombre de meublés en France^200(*). Selon une étude de l'Insee^201(*), en 2019, les hôtes ont passé plus de 554 millions de nuits dans un hébergement réservé par l'intermédiaire des plateformes comme Airbnb, Booking, Expedia Group ou encore Tripadvisor dans l'Union européenne (UE). Cette même étude révèle que près de 109 millions de nuitées^202(*) ont été enregistrées en 2019 dans les hébergements proposés par des particuliers en France via les principales plateformes internationales, soit près de 20 % de l'ensemble des nuitées européennes. La France se classe au deuxième rang européen, juste derrière l'Espagne (111 millions de nuitées) et devant l'Italie (82 millions de nuitées). En particulier, deux villes françaises se classent parmi les dix premières villes touristiques européennes : Paris, première ville touristique d'Europe avec 15 millions de nuitées réalisées, et Nice, qui comptabilise près de 5,3 millions de nuitées et se positionne au neuvième rang européen. En tout, huit villes françaises^203(*) figurent parmi les cinquante villes de l'UE les plus visitées par des touristes hébergés via les plateformes et concentrent à elles seules plus de 25 % des nuitées réalisées en meublés de tourisme sur le territoire national.

Il est admis que les plateformes de réservation en ligne proposant des meublés de tourisme à la location peuvent constituer une opportunité pour les particuliers et les territoires. En ce sens, elles peuvent favoriser le développement touristique et économique, compléter l'offre d'hébergements classiques et permettre aux particuliers d'améliorer leurs revenus, par exemple grâce à la location occasionnelle de leur résidence principale. Toutefois, en l'absence de régulation, cet essor des meublés de tourisme peut aussi parfois être source d'inquiétudes pour les territoires et les riverains, lorsque le développement de ces hébergements entre en concurrence avec l'offre destinée aux habitants permanents^204(*) ou lorsque l'augmentation du nombre de visiteurs nécessite pour la collectivité d'adapter l'offre de services qu'elle propose aux habitants^205(*).

Pour répondre à ces enjeux, un cadre juridique a été progressivement construit au travers de divers textes de loi.

La loi Alur^206(*) (2014) a ainsi prévu que la location d'un logement comme meublé de tourisme constituait un changement d'usage (cf. article 16 de la loi) et a mis à la charge des plateformes de location des obligations d'information des loueurs^207(*) (cf. article 11 de la loi). Avec l'article 51 de la loi pour une République numérique^208(*) (2016), a été créée une procédure visant à imposer aux loueurs une déclaration donnant lieu à enregistrement de leur bien locatif auprès des communes tandis que les plateformes se sont vu imposer l'obligation de limiter à 120 jours la location par leur intermédiaire d'une résidence principale. L'article 145 de la loi Elan^209(*) (2018) a rappelé cette limite des 120 jours à l'égard des loueurs, a clarifié la définition des meublés de tourisme^210(*) et a institué une procédure de transmission d'informations aux communes qui appliquent le dispositif d'enregistrement des meublés^211(*). Enfin, L'article 55 de la loi « engagement et proximité »^212(*) (2019) a entraîné la création d'une procédure d'autorisation pour la location de locaux commerciaux comme meublés de tourisme.

Aujourd'hui, ce cadre fournit de nombreux outils, en grande partie à disposition des communes. C'est ainsi à ces collectivités qu'il appartient de choisir de mettre en oeuvre ces dispositifs de régulation, de les adapter à leur situation particulière et de maîtriser en conséquence le développement des meublés de tourisme sur leur territoire, en cohérence avec leurs besoins et objectifs propres. Le tableau ci-après donne un aperçu de ces divers dispositifs.

Source : Guide pratique de la réglementation des meublés de tourisme à destination des communes, ministère chargé du logement, janvier 2022.

Actuellement, la réglementation des meublés de tourisme s'appuie principalement sur les articles L. 631-7 à 631-9 et L. 651-2 du code de la construction et de l'habitation (CCH), pour la réglementation du changement d'usage, ainsi que sur les articles L. 324-1 à L. 324-2-1 et D. 324-1 à R. 324-3 du code du tourisme (CT), pour la définition des meublés de tourisme, les procédures de déclaration et d'enregistrement, les échanges de données entre communes et plateformes numériques, la limite de 120 jours de location d'une résidence principale et l'autorisation de location d'un local commercial.

En ce qui concerne plus particulièrement la procédure de changement d'usage, il s'agit d'un dispositif relativement ancien qui vise à lutter contre la pénurie de logements. Sa mise en oeuvre a pour effet de soumettre à autorisation la transformation de tout logement en un local à autre usage, notamment, mais pas uniquement, en meublé de tourisme. Cette procédure, qui ne s'applique pas aux résidences principales louées au maximum 120 jours par année civile, interdit en revanche la location, sans avoir obtenu l'autorisation de changement d'usage, d'une résidence secondaire, quelle que soit la durée de cette location. La délivrance d'une autorisation de changement d'usage peut être soumise à compensation.

Cette procédure de changement d'usage s'applique de plein droit dans les onze communes de plus de 200 000 habitants^214(*), ainsi que dans les communes des Hauts-de-Seine, de Seine-Saint-Denis et du Val-de-Marne^215(*). Dans les autres communes, cette procédure doit être mise en oeuvre par une délibération de l'établissement public de coopération intercommunale (EPCI) compétent en matière de plan local d'urbanisme ou, à défaut, du conseil municipal. Une autorisation administrative (préfectorale) est, en outre, nécessaire dans les communes n'appartenant pas à des zones d'urbanisation continue de plus de 50 000 habitants, dont la liste est fixée par décret^216(*).

Les communes qui appliquent le changement d'usage (que cette application soit facultative ou non) ont, par ailleurs, la faculté de mettre en oeuvre par délibération un dispositif renforcé de contrôle et de suivi des meublés de tourisme ; il s'agit d'une procédure de déclaration donnant lieu à enregistrement et se traduisant notamment par la délivrance d'un numéro d'enregistrement attribué aux meublés concernés^217(*). L'obtention du numéro d'enregistrement, qui doit intervenir avant toute location d'un meublé de tourisme et pour chaque local à mettre en location, ne dispense pas du respect des autres aspects de la réglementation, notamment, le cas échéant, de l'obtention d'une autorisation de changement d'usage ou de mise en location d'un local commercial. Par ailleurs, lorsque le numéro d'enregistrement est appliqué, il devient obligatoire, pour les loueurs comme pour les plateformes, de faire figurer ce numéro sur toute annonce relative au bien, y compris sur la plateforme (article L. 324-2 du code du tourisme). Dans ces communes qui appliquent la procédure d'enregistrement^218(*), il appartient en outre aux plateformes d'empêcher la location par leur intermédiaire d'une résidence principale au-delà de 120 jours (II de l'article L. 324-2-1 du code du tourisme).

Les communes qui appliquent la procédure de changement d'usage et le numéro d'enregistrement peuvent en outre, une fois par an, demander aux plateformes offrant à la location des biens situés sur leur territoire la transmission d'un état récapitulatif du nombre de nuitées de location de chaque local pendant l'année en cours et l'année précédente. Cet état précise également le nom du loueur, si le local constitue ou non sa résidence principale, ainsi que le numéro d'enregistrement et l'adresse précise du local. Ces demandes ont pour objectif de contrôler le respect de la réglementation relative au changement d'usage et au numéro d'enregistrement. Ainsi, les communes peuvent s'en servir pour s'assurer que les locaux mis en location ont bien obtenu un numéro d'enregistrement ou, le cas échéant, une autorisation de changement d'usage s'il s'agit d'une résidence secondaire, ou encore que les résidences principales ne sont pas louées au-delà de 120 jours par an. Le défaut de transmission, par une plateforme, des données demandées par une commune dans ce cadre est passible d'une amende maximale de 50 000 € par annonce faisant l'objet du manquement.

Comme il a été rappelé supra, l'article 16 de la loi pour l'accès au logement et un urbanisme rénové de 2014 (dite loi Alur) a complété le code de la construction et de l'habitation par l'introduction de l'application du régime d'autorisation préalable de changement d'usage à la location de meublés de courte durée, de la mise en place d'un régime d'autorisation temporaire pour ce type de location, ainsi que de la possibilité pour les « communes appartenant à une zone d'urbanisation continue de plus de 50 000 habitants définie à l'article 232 du code général des impôts » et les communes tierces de mettre en place ce système d'autorisation préalable par décision de l'autorité administrative sur proposition du maire ou par une délibération municipale.

Le Conseil constitutionnel a été saisi de ces dispositions pour statuer sur la contrainte excessive et disproportionnée qu'elles auraient pu représenter au regard des motifs d'intérêt général poursuivis, ainsi que sur l'atteinte à la liberté contractuelle. Par une décision du 20 mars 2014^219(*), le juge constitutionnel a considéré que les dispositions de l'article 16 de la loi ALUR n'étaient entachées d'aucune inintelligibilité et ne méconnaissaient aucune autre exigence constitutionnelle aux motifs qu'elles répondaient à l'objectif poursuivi. Elles ont donc été déclarées conformes à la Constitution.

Par un arrêt du 5 juillet 2018^220(*), la Cour de cassation a refusé de transmettre une question prioritaire de constitutionnalité (QPC) soulevant l'atteinte au droit de propriété causée par l'amende encourue en cas de non-respect de l'obligation de changement d'usage d'un local d'habitation proposé à la location de courte durée. Le juge a retenu que l'amende encourue constituait une sanction ayant le caractère de punition, en lien direct avec le non-respect sanctionné et ne paraissait pas manifestement disproportionnée au regard de l'objectif de lutte contre la pénurie de logements destinés à la location dans certaines zones déterminées. Ce régime de sanctions ne portait donc pas d'atteinte disproportionnée au droit de propriété.

Comme il a été vu précédemment, la loi portant évolution du logement, de l'aménagement et du numérique (dite loi Elan) a introduit, en son article 145, la possibilité pour les communes dotées d'un régime d'autorisation préalable de changement d'usage d'instaurer une procédure d'enregistrement des meublés de tourisme. Si le Conseil constitutionnel a été saisi pour statuer sur la conformité à la Constitution de certains des articles de cette loi, il ne s'est pas prononcé explicitement sur ces dispositions^221(*).

Au niveau de l'Union européenne, l'activité des plateformes de location de courte durée est qualifiée de service de la société de l'information^222(*) au sens de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015^223(*) et se voit donc appliquer le corpus régissant de tels services, en particulier la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000^224(*). Cette directive sur le commerce électronique a en particulier consacré le principe selon lequel les opérateurs de ces services ne font l'objet d'une réglementation (liée à l'accès et à l'exercice de ces services) que dans le pays de l'Union européenne (UE) où ils ont leur siège statutaire - et non dans le pays où sont situés les serveurs, courriers électroniques et boîtes postales qu'ils utilisent. Elle prévoit par ailleurs que les État membres ne peuvent restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre que pour des motifs tenant à l'ordre public, à la protection de la santé publique, à la sécurité publique ou à la protection des consommateurs. Ce corpus a récemment été complété par le règlement sur les services numériques et par celui sur les marchés numériques, aux dispositions desquels le présent projet de loi vise à adapter le droit national. Ainsi, les opérateurs de plateformes de locations de courte durée se verront appliquer les règles relatives à la lutte contre les contenus illicites ainsi qu'à l'absence d'obligation générale de surveillance prévues par le règlement sur les services numériques^225(*). Le règlement sur les marchés numériques^226(*) met quant à lui en place des outils de régulation pour créer une concurrence loyale entre les acteurs du numérique. Il pourra s'appliquer à certaines plateformes importantes de location de meublés de tourisme qui pourraient se voir attribuer la qualification de « contrôleurs d'accès ».

S'agissant de l'activité de location de meublés, le juge européen a confirmé qu'elle relevait elle-même du champ d'application de la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur^227(*). Il a par ailleurs jugé que la réglementation nationale était bien conforme à cette directive en considérant que la soumission de certaines activités de location de courte durée à un régime d'autorisation préalable applicable dans certaines communes où la tension sur les loyers était particulièrement marquée était justifiée par une raison impérieuse d'intérêt général tenant à la lutte contre la pénurie de logements destinés à la location et proportionnée à l'objectif poursuivi^228(*).

Par ailleurs, le règlement général sur la protection des données^229(*) s'applique à la collecte, au traitement et au partage des données à caractère personnel détenues par les plateformes^230(*) et communiquées aux autorités qui ont à en connaître.

Enfin, ayant constaté le manque de fiabilité des données disponibles ainsi que l'hétérogénéité et la fragmentation des réglementations en la matière, la Commission européenne a présenté en novembre 2022 une proposition de règlement concernant la collecte et le partage des données relatives aux services de location de logements de courte durée. Ce cadre européen aura pour objectifs d'harmoniser les exigences en matière d'enregistrement des locations de courte durée et de rationaliser le partage des données entre les plateformes numériques et les autorités publiques (voir § 4.1.2 infra).

Au sein de l'Union européenne, vingt-trois Etats membres^231(*) disposaient à la fin de l'année 2022 d'une réglementation encadrant la location de meublés de tourisme par des procédures d'enregistrement ou des demandes de transmission d'informations entre autorités compétentes et plateformes numériques. Une telle législation était en cours de préparation dans un Etat, la Roumanie.

Certains Etats membres disposent d'une législation encadrant les locations de meublés de tourisme plus souple que la réglementation nationale française, notamment en matière d'obligations pour les loueurs. Par exemple, le Danemark n'impose pas de procédure d'enregistrement mais exige une transmission d'informations par les plateformes aux autorités fiscales.

D'autres Etats membres ont mis en place un système d'enregistrement abouti, à l'image de la législation française. En Espagne, la réglementation touristique relevant de la compétence de l'Etat et des régions autonomes, plusieurs normes existent, variant selon les zones géographiques et les besoins locaux. Au niveau national, la limitation ou l'interdiction des locations saisonnières au sein des immeubles d'habitation ainsi que la modification de la répartition des frais de copropriété peuvent se faire sans l'unanimité de la copropriété^232(*). La location de meublés de tourisme nécessite l'obtention d'une licence touristique locale. L'établissement doit être inscrit auprès de la communauté autonome concernée, qui met en place une procédure qui lui est propre. Des textes réglementaires différents déterminent les démarches obligatoires pour les loueurs. Sans la licence touristique, l'activité de location n'est pas reconnue comme légale et elle est sanctionnée par une amende administrative ; il n'est par ailleurs pas possible d'être référencé sur les plateformes numériques. En complément de la législation nationale, les municipalités peuvent adopter des programmes d'urbanisme propres à leur territoire. Ainsi, des villes comme Madrid ou Valence ont instauré des systèmes de compensation restrictifs (tels que l'obligation de louer en rez-de-chaussée ou l'interdiction de laisser en libre accès le logement) ainsi que des zones d'application délimitées pour la location touristique^233(*). A Barcelone, les plateformes doivent informer les loueurs des obligations locales et vérifier l'existence et l'affichage des numéros d'enregistrement conformément aux listes qu'elles tiennent.

En Belgique, les régions et communautés réglementent les locations de meublés de tourisme (dont la définition française d'un logement à l'usage exclusif du locataire correspond au terme de « résidence de tourisme » dans le droit local). La location de meublés de tourisme est soumise à déclaration préalable auprès de la ville, avec l'attribution d'un numéro d'enregistrement devant être affiché pour pouvoir exercer cette activité. La transmission d'informations par les plateformes dépend quant à elle des réglementations locales. A titre d'exemple, la région de Bruxelles réglemente l'hébergement touristique et impose aux loueurs de meublés de tourisme une déclaration préalable, un enregistrement et l'attribution d'un numéro avant toute publication d'annonce, sous peine d'amendes administratives^234(*).

A l'inverse, l'Italie a introduit l'enregistrement des meublés de tourisme de manière uniforme sur son territoire, afin d'obtenir un suivi régulier de l'activité des loueurs via une base de données centralisée.

Seuls trois Etats membres n'ont mis en oeuvre aucune législation encadrant la location des meublés de tourisme, soit l'Estonie, la Finlande et la Suède.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'application du cadre juridique relatif à la transmission de données depuis les opérateurs numériques vers les collectivités territoriales présente des limites, révélant des difficultés opérationnelles importantes, tant pour les plateformes de location que pour les communes.

Actuellement, seules les communes sont habilitées à demander aux opérateurs numériques les données relatives aux locations de meublés de tourisme. La communication entre les communes et ces opérateurs n'est pas intermédiée, le II de l'article L. 324-2 du code du tourisme disposant que « la commune peut, jusqu'au 31 décembre de l'année suivant celle au cours de laquelle un meublé de tourisme a été mis en location, demander à la personne mentionnée au I du présent article [soit la plateforme de location] [...] de lui transmettre le nombre de jours au cours desquels ce meublé de tourisme a fait l'objet d'une location par son intermédiaire ».

Ces demandes sont formulées par voie électronique et mettent en relation, par le biais d'échanges bilatéraux, toutes les communes habilitées à formuler une telle demande et l'ensemble des plateformes concernées (voir schéma ci-après).

Source : Direction générale des entreprises.

Avec un tel dispositif, les collectivités éprouvent des difficultés à consolider et à exploiter des données qui émanent de multiples acteurs et dont la qualité est perfectible, ce qui engendre des coûts de traitement élevés^235(*). L'identification d'un même meublé de tourisme mis en location par l'intermédiaire de plusieurs opérateurs numériques s'avère également problématique, ce qui complique la vérification de la limite des 120 jours applicable à la location des résidences principales. La multiplicité des interlocuteurs fait obstacle à une automatisation plus poussée des processus administratifs, qui pourrait se traduire par des gains de temps et d'efficacité. Enfin, l'absence de chiffres fiables ne permet pas aux élus locaux d'étayer de manière satisfaisante les décisions à prendre en matière de régulation des meublés de tourisme, faute de pouvoir mesurer précisément l'impact de ces hébergements sur le territoire.

Les opérateurs numériques connaissent quant à eux des difficultés pour identifier les communes habilitées à les solliciter en matière de transmission d'informations. Ils notent également le manque de fiabilité des données saisies par les loueurs sur les plateformes et la charge que représente le traitement manuel des demandes formulées par les communes^236(*). Ils font enfin mention d'une augmentation du nombre de collectivités qui ont recours au dispositif^237(*), même si cette augmentation est difficile à vérifier, car il n'existe pas, pour le moment, de liste des communes ayant demandé une transmission d'informations. Cependant, le développement significatif et continu^238(*) du nombre d'annonces de meublés de tourisme, en particulier dans les grandes villes, traduit également le nombre croissant de territoires (communes, EPCI) pouvant bénéficier de ce dispositif.

Face à ces limites, une expérimentation a été engagée par l'administration^239(*) entre février et septembre 2022. Ce dispositif expérimental, dénommé « API meublés », a consisté à développer et à tester une plateforme pour faciliter les échanges de données entre opérateurs numériques de location de meublés de tourisme (ou « intermédiaires de location ») et communes, et à faciliter leur exploitation. Ce projet avait plus particulièrement pour objectifs :

- l'harmonisation et la simplification des échanges entre communes et intermédiaires de location ;

- la numérisation et l'automatisation des échanges pour accélérer et faciliter la mise à disposition de l'information ;

- la mutualisation de l'effort de correction et de réconciliation des données pour les communes.

Cette expérimentation a pris la forme d'un essai d'un prototype (développé par le PEReN) ayant associé cinq communes^240(*) ainsi que cinq plateformes de location^241(*) sur le fondement de conventions multipartites.

Le bilan de l'expérimentation, produit à la clôture du dispositif en septembre 2022, s'est révélé positif. Il a permis de mieux mettre en évidence les besoins et les attentes des différents acteurs de ce dispositif de transmission de données, besoins présentés dans le tableau ci-après :

Source : Direction générale des entreprises.

Ce bilan s'est également efforcé d'évaluer le prototype réalisé au regard des besoins répertoriés. Il a ainsi été démontré que ce prototype avait bien mis à la disposition des acteurs un outil unique de contrôle proposant un fichier consolidé de données conformes à la réglementation. Des besoins non couverts ont également été identifiés, tels que la nécessité d'une amélioration de la fiabilité et de la structuration des données ou encore d'une automatisation accrue des processus administratifs ; des évolutions ont été recommandées, portant notamment sur un dimensionnement plus important de certaines briques logicielles en cas de mise à l'échelle ou sur une amélioration des conditions de sécurité des traitements.

Le bilan réalisé a surtout montré qu'une plateforme de centralisation des données pouvait répondre tant aux besoins des communes (qui ont pu visualiser les données de près de 10 000 logements) que des intermédiaires de location de meublés de tourisme, qui sollicitent une pérennisation du dispositif.

Dans le prolongement de cette expérimentation, il est donc envisagé de confier à un organisme spécialement désigné à cet effet la gestion d'un guichet unique centralisant les données adressées aux collectivités par les plateformes de location de meublés. Contrairement au dispositif actuel où chaque commune doit saisir chaque plateforme de location pour récupérer les informations relatives aux locations, cet organisme deviendra l'interlocuteur unique de ces plateformes et des collectivités concernées.

Les objectifs poursuivis par ce nouveau dispositif sont :

- un allégement de la charge administrative en faveur des acteurs concernés, grâce notamment à une gestion centralisée des demandes des communes, à une transmission des données par interface de programmation applicative (API) ou à l'automatisation de certaines tâches ;

- une amélioration du contrôle du respect de la réglementation, grâce à la fiabilisation et à la structuration des données rendues possibles par un traitement des données par l'outil visant à contrôler et à enrichir ces dernières ;

- in fine, une facilitation des décisions des autorités locales au sujet de leurs politiques en matière de lutte contre la pénurie de logements, grâce à la fiabilisation des informations disponibles et à des dispositifs de visualisation des données.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La réforme vise à permettre l'intervention d'un acteur tiers, qui servirait d'intermédiaire entre les opérateurs numériques et les communes, pour recueillir et ventiler selon le schéma ci-après les informations devant être transmises^242(*).

Source : Direction générale des entreprises.

Or, cette intervention n'est pas actuellement juridiquement permise.

Si l'expérimentation a pu être déployée sur le fondement de conventions liant les différents acteurs concernés, c'est essentiellement parce qu'elle portait sur des données qui avaient déjà été transmises selon les modalités prévues par la réglementation. Le dispositif expérimental n'avait ainsi pas vocation à se substituer aux flux imposés par les dispositions du code du tourisme mais visait seulement à éprouver la pertinence d'une centralisation des transmissions d'informations.

L'option d'une poursuite des modalités juridiques ayant permis la mise en oeuvre de l'expérimentation n'était donc pas pertinente, d'autant plus qu'elle reposait sur un dispositif contractuel particulièrement contraignant^243(*) et qu'elle ne pouvait permettre d'offrir aux collectivités y participant l'assurance de pouvoir disposer de l'ensemble des données pour leur territoire étant donné le caractère volontaire de la participation des opérateurs numériques à l'expérimentation.

Il seyait par conséquent de recourir à une intervention normative visant à généraliser ce vecteur de transmission à la fois pour les collectivités et pour les plateformes, vecteur appelé à se substituer aux échanges bilatéraux actuel. Il y avait plus particulièrement lieu de modifier une disposition législative du code du tourisme, l'article L. 324-2-1 précité, afin de prévoir la possibilité d'une intermédiation entre les opérateurs numériques et les collectivités territoriales.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La mesure envisagée modifie le II de l'article L. 324-2-1 du code du tourisme, qui prévoit à l'heure actuelle la faculté pour les communes où s'applique la procédure d'enregistrement de demander aux opérateurs numériques la communication du nombre de jours au cours desquels un meublé de tourisme a fait l'objet d'une location par leur intermédiaire.

La réforme anticipe partiellement sur la mise en oeuvre d'un projet de règlement européen proposé en novembre 2022 par la Commission européenne sur la collecte et le partage des données relatives aux services de location de logements de courte durée. Partant du constat que les données provenant des plateformes numériques actives sur le marché de la location de logements de courte durée ne sont actuellement pas normalisées en raison de la diversité des règles et des méthodes établies par les États membres, les autorités européennes proposent la création d'un cadre, harmonisé au niveau de l'Union européenne, pour la collecte et le partage de ces données au niveau national, qui devrait comprendre également des dispositions visant à mieux tenir compte des systèmes d'enregistrement déjà en place dans les États membres.

Les ministres, réunis au sein du Conseil « Compétitivité », sont convenus le 2 mars 2023 d'un mandat de négociation (orientation générale) à l'égard de ce règlement. L'orientation générale arrêtée donne mandat à la présidence du Conseil pour entamer les négociations avec le Parlement européen une fois que ce dernier aura arrêté sa position. A ce stade, le projet de règlement prévoit que les États membres qui exigent des plateformes qu'elles leur communiquent des données devront mettre en place un « point d'entrée numérique unique » au niveau national pour la transmission de données entre les plateformes numériques de location de courte durée et les autorités publiques. La centralisation des échanges d'informations voulue au niveau national dans le cadre du dispositif présenté ici s'inscrit dans la logique de la création future de ce point d'entrée numérique unique.

Il convient d'ajouter que le projet de règlement, en l'état actuel des négociations, prévoit la tenue de deux listes au niveau national : celle des autorités ayant mis en place l'enregistrement et celle des autorités demandant la transmission d'informations.

De plus, en modifiant le seul code du tourisme, le dispositif présenté concerne exclusivement la location des meublés de tourisme, et non l'ensemble des locations de courte durée visées par le projet de règlement européen. En effet, il existe d'autres locations de courte durée (baux mobilité, chambres chez l'habitant, etc.) qui sont actuellement dans le champ d'application du projet de règlement et qui relèvent en France d'autres réglementations que celle qui figure au sein du code du tourisme.

Le droit français devra donc être de nouveau adapté une fois le règlement européen définitivement adopté, tant dans le code du tourisme que dans d'autres réglementations nationales applicables à des locations de courte durée différentes des locations de meublés de tourisme.

La mise à disposition de données relatives aux meublés de tourisme se base sur le principe d'une « régulation dynamique », soutenu par Quattrone et al. (2016)^244(*), c'est-à-dire une régulation qui s'appuie sur de grands ensembles de données pour s'adapter à l'évolution de la demande. Dans ce cadre, la mise en place d'une plateforme de centralisation des données permettra un suivi amélioré de l'offre de meublés de tourisme sur le territoire national (distribution géographique, concentration de l'offre par certains acteurs, nombre de jours de location des meublés de tourisme).

Par ailleurs, les sources de données existantes, issues de la méthode du moissonnage^245(*), suggèrent qu'une partie de l'offre de meublés de tourisme n'est pas conforme à tout ou partie de cette réglementation existante (par exemple, on estime le volume d'offre non-conforme au cadre réglementaire à près de 34 % de l'offre totale à Paris, 46 % sur le marché lyonnais).

En matière de communication des informations relatives aux locations de meublés de tourisme par leur intermédiaire, la nature de l'obligation est inchangée à l'égard des opérateurs numériques. En revanche, au lieu de devoir répondre à une multitude d'interlocuteurs (les communes où une procédure d'enregistrement des meublés s'applique et qui formulent une demande de transmission de données), ces opérateurs pourront adresser leurs données à un point d'entrée numérique unique, qui se chargera de les mettre à la disposition des collectivités demanderesses. Il devrait en résulter une diminution substantielle de la charge administrative pour les plateformes numériques. Sous l'hypothèse de 350 communes bénéficiaires de ce dispositif de centralisation des données, le nombre de procédures administratives traitées globalement par les plateformes et les communes devraient diminuer de 3 500^246(*) (situation actuelle) à 370^247(*) (après le déploiement du dispositif).

Par ailleurs, l'amélioration de la transparence et de la fiabilité des données sectorielles porte un double enjeu, tant pour les plateformes de locations de meublés que pour les entreprises de secteurs concurrents. Des acteurs du secteur de l'hébergement touristique traditionnel s'inquiètent du manque de traçabilité de l'activité de meublés de tourisme et dénoncent la pression concurrentielle exercée par les particuliers offreurs des plateformes d'hébergement de courte durée, s'interrogeant sur les conditions d'exercice de cette concurrence en raison d'une réglementation ou d'une fiscalité jugées asymétriques. Si le dispositif de centralisation des données, présenté ici, ne constitue pas un encadrement de l'exercice de l'activité des meublés, il est de nature de permettre à la puissance publique de mieux adapter le cadre normatif.

En améliorant la collecte d'information, ce dispositif facilitera la réalisation d'études sur le secteur et donc, indirectement, permettra aux différentes entreprises du tourisme d'avoir une meilleure connaissance du marché des meublés de tourisme, se traduisant par une diminution des coûts de recherche et de prospection.

D'après le bilan qui a été dressé de l'expérimentation, le coût estimé de développement de la plateforme de centralisation est de quelque 300 000 euros pour ce qui est de l'investissement initial, correspondant à 160 jours-hommes^248(*), pour un développement de l'interface de programmation applicative (API) sur huit mois. Les frais de maintenance annuels sont évalués à 80 000 euros^249(*).

La réforme projetée devrait permettre de faciliter la caractérisation, le contrôle et la sanction des fraudes par les services des collectivités territoriales. Les difficultés opérationnelles identifiées grâce à l'expérimentation susrappelée, telles que la fourniture d'un numéro d'enregistrement erroné ou l'existence de deux numéros identiques, devraient être palliées par la centralisation des données. Les collectivités territoriales auront la faculté de disposer des informations que les plateformes transmettront au guichet unique. Au lieu d'échanges bilatéraux engendrant une charge administrative non négligeable, elles n'auront plus à formuler une demande par plateforme numérique mais pourront disposer de données centralisées en un seul point de contact. Il sera également plus aisé d'identifier les manquements des loueurs à leurs obligations de déclaration et au respect du seuil 120 jours de location par an applicable aux résidences principales.

Jusqu'à 350 communes pourraient être concernées par le dispositif, avec une charge de réalisation des contrôles pouvant représenter de 0,5 ETP (petite ville et ville moyenne, avec une population inférieure à 5 000 habitants^250(*)) à deux agents (Paris)^251(*). Le niveau de charge de réalisation des contrôles (en ETP) est fortement corrélé au volume d'activité des meublés de tourisme, en particulier la taille du parc de meublés de tourisme et leur taux d'occupation annuel moyen, ainsi que le nombre de plateformes via lesquelles les hôtes publient leur annonce. Paris comptant près de 65 000 annonces sur la plateforme Airbnb, occupés près de 64 jours/an^252(*), dans ce cadre, les missions de contrôles de conformité réglementaire nécessitent des moyens humains et techniques particulièrement importants. Pour les petites et moyennes villes, l'offre est significativement plus faible (entre trois à six fois moins en moyenne)^253(*) que sur les principaux marchés français, où l'offre de meublés de tourisme est particulièrement développée (Paris, Nice, Marseille, Cannes, Montpellier, Bordeaux, Bayonne...). Mécaniquement, les charges de réalisation des contrôles seront près de quatre fois plus faibles pour les petites villes que pour les principaux marchés de meublés de tourisme en France.

Globalement, la réduction des moyens de contrôle de conformité bénéficiera autant aux petites et moyennes communes qu'aux métropoles, pour lesquelles la centralisation des données de location de meublés de tourisme permettra de diminuer le nombre d'heures de travail des chargés d'instruction, des chargés d'analyse ou des ingénieurs de données dans le cadre du traitement, de l'analyse et du contrôle des données.

Enfin, la quantification de l'offre au niveau des territoires devrait permettre aux communes et EPCI d'améliorer le recouvrement de certaines taxes locales, à l'instar de la taxe de séjour^254(*).

L'organisme qui sera désigné par voie réglementaire pour opérer la plateforme de centralisation devra être doté des moyens humains nécessaires à la réalisation de ses missions : pilotage ou gestion du développement et de la maintenance de l'outil informatique, contrôles devant être effectués pour vérifier le respect, par les collectivités, des conditions les habilitant à formuler des demandes de données, vérification de la qualité des données transmises, assistance technique et administrative fournie aux utilisateurs du point d'entrée numérique unique.

La charge liée au fonctionnement de l'API meublés est estimée à deux développeurs ainsi qu'à deux emplois de maintenance informatique.

La création de cette plateforme de centralisation des données permettra d'améliorer la régulation des meublés de tourisme en fournissant des informations fiables et complètes aux décideurs locaux. Elle favorisera la mise en oeuvre de politiques adaptées à cette régulation, sécurisées sur le plan juridique et visant à prévenir les effets négatifs d'une concentration excessive de meublés de tourisme, notamment dans les communes connaissant une forte tension sur le marché du logement : loyers ou prix de l'immobilier élevés, inadaptation de l'offre de services publics ou commerciaux, nuisances de voisinage...

Si le concept de gentrification établit par Ruth GLASS^255(*) en 1964 préexistait au marché des locations saisonnières, l'intensification des locations de courte durée, aux dépens des locations résidentielles opère et amplifie ce phénomène dans certaines villes ou certains quartiers, aux dépens des populations résidentielles aux plus faibles revenus Lopez-Gay (2020)^256(*). L'augmentation de l'offre locative dans les villes pourrait réduire les tensions sur les prix, facilitant l'accès au logement.

Dans les grandes villes touristiques sous tension locative, où les plateformes sont particulièrement implantées (Paris, Nice, Lyon, Bordeaux, Toulouse, Strasbourg et Montpellier concentrent 25% des offres du marché français), un tel recalibrage pourrait favoriser la mixité sociale, et la vie de quartier en général. Ces différents marchés connaissent une augmentation continue du prix de l'immobilier, tant sur le marché locatif que sur le marché de l'achat. En dix ans, les prix effectifs sur les marchés parisien, bordelais, rennais et strasbourgeois ont augmenté de plus de 40 %^257(*).

Aucun impact identifié.

Aucun impact identifié.

Aucun impact identifié.

Aucun impact identifié.

Pour ce qui est des offreurs de meublés non professionnels, le dispositif envisagé permettra une amélioration du contrôle réglementaire par les pouvoirs publics. Il constituera donc une incitation forte à ne pas dépasser la durée légale de location de 120 jours lors de la publication d'annonces, voire entraînera des régularisations autonomes pour d'éventuels contrevenants.

Pour ce qui est des impacts environnementaux, le dispositif envisagé permettra une diminution significative de la consommation électrique induite par l'utilisation des infrastructures numériques (informatique, stockage, traitement des données). La centralisation des données vers un point d'accès unique réduira le volume d'activité des outils informatiques de traitement et de stockage utilisés au niveau des communes. La diminution des procédures administratives réalisées par les communes et les plateformes aura un impact direct sur la durée d'utilisation des infrastructures numériques utiles à la transmission, au traitement et au contrôle des données relatives aux meublés de tourisme. Bien que la consommation d'énergie d'un ordinateur se révèle être hétérogène (en fonction de ses caractéristiques intrinsèques), les données disponibles suggèrent qu'un ordinateur de bureau tout équipé (imprimante, enceintes, accès à Internet, disque dur) consomme en moyenne annuelle entre 75 kWh (une heure d'utilisation quotidienne) et 730 kWh (dix heures d'utilisation quotidienne)^258(*). La diminution du nombre de procédures traitées par les communes et les plateformes aura un impact linéaire direct sur le niveau de consommation d'électricité. Les bénéfices environnementaux seront d'autant plus élevés que le nombre de communes et de plateformes bénéficiaires du dispositif le sera également.

Par ailleurs, il est loisible de considérer^259(*) que l'amélioration de la fiabilité et de la quantité de données disponibles sur la location de meublés de tourisme permettra aux collectivités de mieux évaluer l'empreinte écologique de ce type d'hébergement.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été obligatoirement soumises à l'avis du Conseil national de l'évaluation des normes. Ce dernier a émis un avis favorable à l'unanimité sur ce dispositif, lors de sa séance du 6 avril 2023.

Il est prévu, aux termes du III de l'article 26 du présent projet de loi, un différé d'entrée en vigueur de douze mois au maximum à compter de la promulgation de la loi, notamment pour permettre de réaliser les développements informatiques nécessaires à la réalisation de la plateforme de centralisation des données.

Le dispositif s'applique de plein droit en France métropolitaine et dans les collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative. Elles se voient donc appliquer le droit commun, dont le code du tourisme, sous réserve de dispositions spécifiques d'adaptation « tenant aux caractéristiques et contraintes particulières de ces collectivités ». Les dispositions du présent article seront applicables à ces collectivités. Il est par ailleurs rappelé qu'en application de l'article L. 661-1 du code de la construction et de l'habitation, sont applicables à ces collectivités les articles L. 631-7 à L. 631-9 du même code, qui déterminent les zones dites de « tension » sur le marché du logement et la procédure d'autorisation de changement d'usage, procédure sur laquelle se fonde la possibilité de mettre en oeuvre l'obligation d'enregistrement des meublés et la communication des informations concernant la location de ces hébergements.

Saint-Barthélemy et Saint-Martin, collectivités régies par l'article 74 de la Constitution, fixent les règles applicables en matière de tourisme, en vertu, respectivement, des dispositions des I de l'article LO 6214-3 et de l'article LO 6314-3 du code général des collectivités territoriales (CGCT). Les dispositions du présent article ne seront donc pas applicables à ces deux collectivités.

Les dispositions statutaires de Saint-Pierre-et-Miquelon, autre collectivité régie par l'article 74 de la Constitution, en particulier celles de l'article LO 6414-1 du CGCT, n'attribuent pas à cette collectivité de compétence en matière de tourisme. Le code du tourisme est y donc applicable sous réserve des dispositions spécifiques d'adaptation. En la matière, l'article L. 362-1 du code du tourisme dispose que « ne sont pas applicables à Saint-Pierre-et-Miquelon les articles [...] L. 324-1 à L. 324-2 ». Cette absence d'application est issue de la codification en 2005, au moment de la création de la partie législative du code du tourisme, des dispositions de l'article 58 de la loi de finances pour 1966 (n° 65-997 du 29 novembre 1965), concernant les meublés de tourisme et non applicable à Saint-Pierre-et-Miquelon (il s'agissait de dispositions antérieures à la départementalisation et non étendues après celle-ci). La réglementation relative aux meublés de tourisme ne s'est ainsi jamais appliquée à cette collectivité^260(*) et il en sera de même des dispositions du présent article. Il est précisé par ailleurs que, jusqu'à l'intervention de la loi n° 2022-217 du 21 février 2022 relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale, l'article L. 661-1 du code de la construction et de l'habitation prévoyait la non-application des articles L. 631-7 à L. 631-9 de ce même code à Saint-Pierre-et-Miquelon^261(*).

Les collectivités du Pacifique, soit Wallis-et-Futuna, la Polynésie française et la Nouvelle-Calédonie, sont compétentes en matière de tourisme en vertu, respectivement, de l'article 40 du décret n° 57-811 du 22 juillet 1957 relatif aux attributions de l'assemblée territoriale, du conseil territorial et de l'administrateur supérieur des îles Wallis-et-Futuna, dont le 26° attribue cette compétence à la collectivité, ainsi que de l'article 14 de la loi organique n° 2004-192 du 27 février 2004 portant statut d'autonomie de la Polynésie française et de l'article 21 de la loi n° 99-209 organique du 19 mars 1999 relative à la Nouvelle-Calédonie, qui n'énumèrent pas le tourisme comme compétence relevant de l'Etat au sein de ces territoires. Les dispositions du présent article ne seront donc pas applicables à ces collectivités. Par ailleurs, en application de l'article L. 662-1 du code de la construction et de l'habitation, les articles L. 631-7 à L. 631-9 de ce même code ne sont pas applicables à la Polynésie française.

En conséquence, l'article L. 324-2-1 modifié sera applicable aux seules collectivités régies par l'article 73 de la Constitution.

Un décret en Conseil d'Etat désignera l'organisme chargé de la gestion de la plateforme de centralisation des données et détaillera ses missions. Il précisera par ailleurs la nature, la fréquence et les modalités techniques de transmission et de conservation des informations recueillies auprès des opérateurs numériques en vue de leur communication aux collectivités. Ces paramètres tiendront compte des caractéristiques des communes, de leurs besoins pour effectuer les contrôles de l'application de la réglementation des meublés de tourisme et de la capacité des opérateurs numériques à satisfaire à leurs obligations de transmission. Une mesure décrétale pourra également, le cas échéant, prévoir une entrée en vigueur du dispositif antérieure au différé de douze mois prévu par la loi.

TITRE VI - RENFORCER LA GOUVERNANCE DE LA RÉGULATION NUMÉRIQUE

1. ÉTAT DES LIEUX

Le règlement sur les services numériques, dit DSA (Digital Services Act), définit à son article 49 les modalités de désignation des autorités compétentes pour assurer son application dans les Etats membres. Ces derniers doivent également désigner, parmi les autorités compétentes, un coordinateur pour les services numériques qui a pour mission d'assurer une surveillance et une exécution efficace du règlement tant au niveau national qu'européen.

En France, le DSA sera appliqué par trois autorités de régulation différentes : l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), la Commission nationale de l'informatique et des libertés (CNIL), et la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF). Cela s'explique par le caractère pluridimensionnel et transversal de cette régulation qui touche l'ensemble des services numériques. Néanmoins, le rôle central de l'ARCOM dans l'application du règlement, chargée de la régulation des contenus, a permis de dégager un large consensus interministériel autour de sa désignation comme coordinateur pour les services numériques. La CNIL et la DGCRF n'ont pas revendiqué ce statut. La désignation de l'ARCOM en tant que coordinateur pour les services numériques et de la CNIL et la DGCCRF comme autorités compétentes sont expressément prévus par l'article 15 du présent projet de loi.

Le coordinateur pour les services numériques aura deux missions principales : (i) une mission de coordination et de synthèse des positions des autorités compétentes française, (ii) une mission d'influence dans les débats européens.

L'ensemble des autorités compétentes et des services de l'Etat affirment que la simple désignation d'un coordinateur pour les services numériques ne permet pas, seule, d'assurer une coordination des acteurs et une exécution efficace du règlement tant au niveau national qu'européen. Afin que le coordinateur puisse bénéficier d'une expertise et de capacités d'analyses techniques sur les enjeux liés aux programmes informatiques, aux traitements algorithmiques ou à l'audit des algorithmes, une précision des modalités selon lesquels il peut s'appuyer sur le Pôle d'Expertise de la Régulation Numérique (PEReN) est apparu nécessaire.

Il apparaît qu'aucune règle ou norme de valeur constitutionnelle ne s'oppose à cette disposition en faveur de l'assistance d'une autorité administrative indépendante par un service d'Etat d'expertise technique.

Le coordinateur est libre de recourir ou non à l'assistance du pôle d'expertise pour la régulation numérique et d'en définir les modalités, ce qui préserve son indépendance d'action et de décision.

Le DSA précise, en son article 50, les exigences applicables au coordinateur pour les services numériques. Le coordinateur doit ainsi disposer « d'une autonomie suffisante dans la gestion de son budget dans les limites globales du budget » afin qu'il ne soit pas porté atteinte à son indépendance. Les coordinateurs doivent « agi[r] en toute indépendance » et « reste[r] libres de toute influence extérieure, directe ou indirecte, et ne sollicite[r] ni n'accepte[r] aucune instruction d'aucune autre autorité publique ou partie privée ».

Le coordinateur est libre de recourir ou non à l'assistance du pôle d'expertise pour la régulation numérique et d'en définir les modalités, ce qui respecte les exigences fixées par le DSA.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Les missions dévolues par le DSA au coordinateur pour les services numériques nécessitent l'accès à une expertise technique en matière d'analyse de données. Ce besoin s'illustre particulièrement dans les missions d'enquête, de coopération ou d'audit des plateformes au niveau national ou européen.

Dans le cadre de ses fonctions de coordinateur pour les services numériques, l'ARCOM sera amenée à collecter les données des plateformes numériques et les analyser pour s'assurer de la conformité des plateformes au règlement, notamment sur les risques systémiques et les moyens mis en oeuvre pour les atténuer, la protection des mineurs, ou la modération des contenus.

L'ARCOM a aujourd'hui des compétences humaines limitées sur les enjeux liés aux programmes informatiques, aux traitements algorithmiques ou à l'audit des algorithmes. Or, ces compétences conditionnent directement l'influence du coordinateur français au niveau européen et notamment sa capacité à être associé aux réflexions menées par la Commission européenne dans le cadre de l'application du règlement ou être intégré aux enquêtes conjointes centrées les très grandes plateformes. La supervision de ces très grandes plateformes est un axe stratégique sur lequel le coordinateur doit pouvoir se positionner.

Aucune très grande plateforme au sens du DSA n'est aujourd'hui établie en France. Le coordinateur pour les services numériques français ne pourra donc pas naturellement prétendre à participer auprès de la Commission européenne à la mise en oeuvre du règlement auprès de ces acteurs. Or, le contrôle des risques systémiques des grandes plateformes et l'évaluation de leur atténuation est un élément central de cette nouvelle législation européenne, dans la mesure où ces risques systémiques sont les plus critiques pour les droits fondamentaux et la protection de nos démocraties. Pour rappel, ces risques systémiques concernent notamment la diffusion de contenus illégaux, la protection des mineurs, les effets négatifs sur les droits fondamentaux, le « discours civique » et les processus électoraux, ainsi que sur la sécurité publique (notamment via la désinformation).

Toutefois, la Commission européenne a toute liberté pour associer les coordinateurs qu'elle souhaite lors de ces enquêtes stratégiques. Or, le PEReN, service à compétence nationale crée par le décret n° 2020-1102 du 31 août 2020^262(*), est un acteur à l'expertise technique établie. Le dispositif d'association de ce pôle au coordinateur pour les services numériques doit permettre de donner la légitimité technique nécessaire au coordinateur pour être associé aux coopérations par la Commission européenne et renforcer son influence au niveau européen.

Le PEReN a mené, depuis près de trois ans, de nombreux projets sur l'audit technique des plateformes numériques^263(*). Au regard de ces attentes, le PEReN apparait comme un partenaire naturel du coordinateur. C'est une structure légère qui est habituée aux rôles de coordination transversale et de synthèse de l'ensemble des régulateurs nationaux. Le PEReN dispose aussi de moyens humains conséquents (une vingtaine d'agents scientifiques des données et ingénieurs), qui fonctionnent déjà sur le principe de mutualisation.

L'association formelle du coordinateur pour les services numériques au PEReN permettrait de renforcer les synergies entre les deux acteurs et donner au coordinateur l'appui technique nécessaire à sa stratégie d'influence et de coopération au niveau européen.

L'association facilitée du PEReN au coordinateur pour les services numériques dans le cadre de ses missions a pour objectif de renforcer l'influence de ce dernier au niveau européen et lui permettre d'avoir une expertise technique nécessaire pour se positionner dans l'application coordonnée du DSA aux côtés de la Commission européenne et des coordinateurs des autres Etats membres.

Plus généralement, le dispositif d'association vise à capitaliser sur les compétentes déjà présentes et éprouvées au sein des services de l'Etat pour renforcer les synergies techniques. La promotion des coopérations entre services techniques doit permettre, avec une économie de moyens, d'assurer la progression des compétences techniques numériques et d'éviter l'émiettement de l'expertise entre les services.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

L'application du DSA oblige les Etats membres à désigner un coordinateur pour les services numériques avant février 2024.

Il a été initialement envisagé de procéder à une désignation simple du coordinateur pour les services numériques. Il aurait ensuite été instauré de manière informelle ou par convention des mécanismes de coordination avec les acteurs pertinents pour réaliser ses missions, notamment le PEReN.

Cette option a été finalement écartée car il a été jugé plus pertinent, lors des discussions avec les autorités compétentes et les services ministériels et au vu du consensus, de formaliser, au niveau de la loi, l'association facilitée au PEReN pour le coordinateur pour les services numériques. Il a paru nécessaire de définir le cadre général de cette coopération au niveau législatif pour préciser les principaux piliers de la future convention d'association.

Le dispositif retenu est une association souple entre le coordinateur pour les services numériques et le PEReN.

Le coordinateur pour les services numériques peut, pour l'ensemble de ses missions nécessitant une expertise technique en matière d'analyse de données, faire appel au PEReN pour appui technique ou avis. De la même manière, le PEReN peut aussi proposer son appui, ou ses observations au coordinateur pour les services numériques dans le cadre des missions qui lui sont confiées par le DSA.

Pour la mission spécifique de développement de l'expertise et des capacités de l'Union européenne en matière d'évaluation des questions systémiques et émergentes mentionnées à l'article 64 du DSA, le coordinateur veille à associer le PEReN sur l'ensemble des travaux dont il fait partie. En effet, cette mission représente le coeur d'expertise du PEReN où les synergies seront les plus fortes.

Le coordinateur pour les services numériques et le PEReN conclueront une convention qui précisera les modalités de mise en oeuvre de cette association et définira des référents pour assurer la fluidité des travaux.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Un nouvel article 7-1 est créé au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) pour préciser les principes de l'association entre le coordinateur pour les services numériques et le PEReN.

Les dispositions introduites au sein de l'article 7-1 de la LCEN définissent des principes d'association souples entre le coordinateur pour les services numériques et le PEReN.

Ces dispositions veillent à assurer une bonne application des missions de coordination et définies par le DSA tout en préservant les exigences applicables aux coordinateurs pour les services numériques.

Néant.

Néant.

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure appellera des travaux spécifiques pour le PEReN au sein de sa feuille de route annuelle. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et un déploiement approprié des moyens du PEReN.

Néant.

Le PEReN aura une charge supplémentaire qui pourra être assuré par les effectifs actuels du pôle, sans besoin d'équivalents temps plein supplémentaires.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Des échanges informels ont été réalisés avec l'ARCOM pour adapter le dispositif proposé.

Ces dispositions entrent en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Concernant la Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna qui sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable), l'article 57 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, précise que les articles 1 à 8, notamment, sont applicables en Nouvelle Calédonie, en Polynésie française et à Wallis-et-Futuna dans leur rédaction résultant de la loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.. La mesure proposée est donc applicable dans ces territoires, sous réserve de l'ajustement préalable de l'article 57 de la loi précitée qui pourra être réalisé par l'ordonnance prévue à l'article 25 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

L'ARCOM et le PEReN devront conclure, dans les six mois suivant l'entrée en vigueur de la présente loi, une convention définissant les modalités de mise en oeuvre du présent article.

TITRE VII - CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L'EXERCICE DE LEUR FONCTION JURIDICTIONNELLE

1. ÉTAT DES LIEUX

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) est le principal texte européen encadrant la protection des données à caractère personnel^264(*). Il impose à chaque Etat membre de prévoir qu'une ou plusieurs autorités indépendantes de contrôle sont chargées de surveiller son application, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union européenne.

Toutefois, le paragraphe 3 de l'article 55 du RGPD dispose que « Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle ».

La mise en conformité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (LIL) avec le RGPD a été effectuée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Cette loi a désigné la Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle de droit commun. Néanmoins, s'agissant des traitements de données effectuées dans un cadre juridictionnel, le législateur a décidé de ne modifier le droit national qu'a minima. C'est ainsi que le V de l'article 19 de la LIL dispose que « Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions. ».

Dans sa décision n° 2018-765 DC du 12 juin 2018 portant sur la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, le Conseil constitutionnel a globalement jugé conforme à la Constitution le mécanisme de contrôle des traitements de données à caractère personnel institué par la France. Il ne s'est toutefois pas prononcé sur l'absence de mécanisme de contrôle des opérations de traitement de données à caractère personnel effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.

La protection des données à caractère personnel est rattachée par le Conseil constitutionnel au droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen. Par ailleurs, l'article 34 de la Constitution confie à la loi le soin de fixer les règles concernant « les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Les mécanismes de protection des données à caractère personnel participent à l'exercice par les citoyens de leurs droits en la matière et relèvent également à ce titre de la compétence du législateur^265(*).

En outre, les règles qui ont une incidence sur les conditions d'indépendance et d'impartialité des juridictions relèvent du domaine de la loi^266(*). Il s'agit par exemple des règles relatives à la désignation des personnes appelées à y siéger, à la durée de leurs fonctions et à toutes les règles qui sont des garanties de l'indépendance et de la capacité des juges.^267(*)

L'article 8 de la Charte des droits fondamentaux de l'Union européenne consacre le droit à la protection des données à caractère personnel et énonce également les valeurs fondamentales qui y sont associées. Il dispose notamment que toute personne doit avoir le droit d'accéder aux données la concernant et d'en obtenir la rectification. Il précise également que le respect de ce droit doit être soumis au contrôle d'une autorité indépendante.

L'article 55 du RGPD interdit aux autorités de contrôle nationales de contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle. Le considérant 20 du RGPD précise la portée de cette interdiction, motivée par le souci « de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions ». Toutefois, il invite les Etats membres à confier le contrôle de ces opérations de traitement « à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données ».

Par un arrêt C-245/20 du 24 mars 2022, la Cour de justice de l'Union européenne a jugé que l'article 55, paragraphe 3 du RGPD n'a pas entendu soustraire à tout contrôle les opérations de traitement effectuées par les juridictions « dans l'exercice de leur fonction juridictionnelle », mais a seulement exclu que le contrôle de ces opérations soit confié à l'autorité de contrôle de droit commun. Il en résulte donc l'obligation pour les Etats membres de prévoir des mécanismes de contrôle des opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.

Suite à l'adoption du RGPD, la majorité des États membres de l'Union européenne se sont dotés de mécanismes de contrôle des traitements de données à caractère personnel effectués par leurs juridictions dans l'exercice de leur mission juridictionnelle.

Certains États membres ont fait le choix de mettre en place des mécanismes internes aux juridictions, qui peuvent prendre les formes suivantes :

- Compétence de la juridiction supérieure pour contrôler les traitements de données à caractère personnel réalisés par les juridictions inférieures : c'est par exemple le cas de la Pologne pour certaines de ses juridictions et de la République Tchèque ;

- Compétence d'un juge unique de la juridiction qui effectue le contrôle : c'est notamment le choix effectué par la Lituanie ;

- Compétence d'un panel de trois juges : c'est le cas pour l'Angleterre et le Pays de Galles ;

- Compétence du procureur général près la Cour suprême assisté des délégués à la protection des données personnelles désignés par les juridictions : au Pays-Bas, ce choix a été fait pour le contrôle des traitements effectués par les juridictions judiciaires dans le cadre de leur fonction juridictionnelle ;

- Instauration d'un « comité RGPD », créé spécifiquement pour cette mission et composé de membres desdites juridictions : au Pays-Bas cette option a été retenue pour le contrôle des traitements effectués par les juridictions administratives supérieures dans le cadre de leur fonction juridictionnelle.

D'autres États membres ont, quant à eux, choisi de confier ce contrôle à des organes préexistants, tel que le Conseil supérieur de la magistrature (Portugal, Espagne), ou encore le ministère de la justice (Slovaquie).

Enfin, certains États membres ont prévu un mécanisme de contrôle externe aux juridictions :

- Un contrôle externe et partagé pour contrôler les traitements mis en oeuvre par les juridictions dans le cadre de leur activité juridictionnelle. C'est notamment le cas de la Finlande qui a confié ce pouvoir de contrôle à deux organes constitutionnels : le chancelier de la justice rattaché au Gouvernement et nommé par le Président de la République, et le médiateur du Parlement désigné par le Parlement ;

- Un contrôle externe confié à un nouvel organe ad hoc et structurellement indépendant : c'est le cas du Luxembourg qui a créé l'autorité de contrôle judiciaire, compétente pour contrôler les opérations de traitement de données à caractère personnel effectuées par les juridictions de l'ordre judiciaire et de l'ordre administratif dans l'exercice de leur fonction juridictionnelle.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Depuis l'arrêt C-245/ 20 du 24 mars 2022 rendu par la Cour de justice de l'Union européenne, le paragraphe 3 de l'article 55 du RGPD doit être interprété comme faisant obligation aux États membres de prévoir un mécanisme de contrôle des opérations de traitement effectuées par leurs juridictions dans l'exercice de leur fonction juridictionnelle.

Or, tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution).^268(*)

Par conséquent, le droit français n'est pas en conformité avec les dispositions du RGPD car il n'instaure aucun mécanisme de contrôle sur ces opérations de traitement. Il s'avère donc nécessaire de modifier le code de l'organisation judiciaire, le code des juridictions financières et le code de justice administrative.

Ces modifications relèvent de la compétence du législateur en application de l'article 34 de la Constitution.

Le Gouvernement souhaite mettre en conformité le droit national avec l'article 55 du RGPD et la jurisprudence de la Cour de justice de l'Union européenne tout en prenant en compte les spécificités du système juridictionnel français. Pour ce faire, il entend confier à la Cour des comptes ainsi qu'aux juridictions suprêmes des ordres judiciaire et administratif le soin de contrôler les opérations de traitement relevant de leurs compétences respectives, dans l'objectif d'instituer un mécanisme de contrôle simple, efficace, et le mieux adapté possible au fonctionnement des juridictions.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Aucun dispositif autre que législatif n'a été envisagé. En effet, la mise en conformité du droit national avec l'article 55 du RGPD et la jurisprudence de la Cour de justice de l'Union européenne suppose d'instituer au sein des ordres de juridictions des mécanismes de contrôle, et ces mécanismes relèvent du domaine de la loi.

Il a été envisagé de confier le contrôle des opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle aux juridictions elles-mêmes. Chaque chef de juridiction aurait procédé au contrôle de ces opérations mises en oeuvre au sein de sa juridiction. Un dispositif alternatif aurait consisté à confier cette mission au chef de la juridiction supérieure.

Cette piste a été écartée car elle aurait pu conduire à de grandes disparités, en l'absence d'autorité centrale à même d'unifier les pratiques. Surtout, les chefs de juridiction étant dans certains cas responsables de traitement au sens du RGPD, il semblerait difficile de leur confier les missions d'une autorité de contrôle.

Un autre dispositif envisagé aurait consisté à confier le contrôle des opérations de traitement aux délégués à la protection des données des juridictions suprêmes de chaque ordre juridictionnel.

Toutefois, ce dispositif a été exclu en raison de l'incompatibilité entre les fonctions de délégué à la protection des données et celles d'autorité de contrôle.

Le Gouvernement a donc choisi de confier le contrôle des opérations de traitement effectué par les juridictions dans l'exercice de leur fonction juridictionnelle à la Cour des comptes ainsi qu'aux juridictions suprêmes des ordres judiciaire et administratif : la Cour de cassation et le Conseil d'Etat. Le contrôle sera exercé par une entité au sein de chacune de ces juridictions présentant des garanties d'indépendance suffisantes.

Il s'agit :

- au sein du Conseil d'Etat, d'un de ses membres, élu par l'assemblée générale pour une durée de trois ans, renouvelable une fois ;

- au sein de la Cour de cassation, d'un conseiller désigné par le premier président pour une durée de trois ans, renouvelable une fois ; 

- au sein de la Cour des comptes, d'un de ses magistrats élu par la chambre du conseil pour une durée de trois ans, renouvelable une fois.

Le contrôle exercé ne portera que sur les opérations de traitement réalisées postérieurement à la mise en oeuvre d'un traitement de données à caractère personnel.

L'autorité de contrôle instaurée au sein de la Cour de cassation contrôlera les opérations de traitement effectuées dans l'exercice de leur fonction juridictionnelle, par les juridictions judiciaires et par leur ministère public, ainsi que par le Conseil supérieur de la magistrature dans l'exercice de ses fonctions disciplinaires, en raison des liens qu'entretient cette autorité constitutionnelle indépendante avec l'autorité judiciaire.

L'autorité de contrôle instaurée au sein de la Cour des comptes contrôlera les opérations de traitements de données à caractère personnel effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions régies par le code des juridictions financières et par leur ministère public.

L'autorité de contrôle instaurée au sein du Conseil d'Etat contrôlera les opérations de traitement effectuées dans l'exercice de leur fonction juridictionnelle par le tribunal des conflits et les juridictions administratives, à l'exclusion du Conseil supérieur de la magistrature exerçant ses fonctions disciplinaires, de la Cour des comptes et des autres juridictions régies par le code des juridictions financières et par leur ministère public.

Le projet précise enfin que chaque autorité dispose des ressources humaines, matérielles et techniques nécessaires à l'exercice de ses fonctions, condition de l'effectivité de l'exercice indépendant de ses fonctions par l'autorité de contrôle, à laquelle les textes européens accordent une importance toute particulière.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L'article 19 du présent projet de loi complète le titre I^er du livre I^er de la partie législative du code de justice administrative par un chapitre V.

L'article 20 du présent projet de loi complète le titre V du livre IV de la partie législative du code de l'organisation judiciaire par un chapitre III.

L'article 21 du présent projet de loi complète le chapitre I^er du titre I^er du livre I^er de la partie législative du code des juridictions financières par une section 6 comprenant un article L. 111-18.

Cette mesure vise à mettre le droit français en conformité avec l'article 55, paragraphe 3 du RGPD, tel qu'interprété par l'arrêt C-245/20 du 24 mars 2022 de la Cour de justice de l'Union européenne.

Néant.

Néant.

Néant.

Néant.

Les présentes dispositions sont de nature à avoir des impacts sur les services administratifs du Conseil d'Etat, de la Cour de cassation et de la Cour des comptes. Ceux-ci ne sont pas quantifiables mais paraissent toutefois limités, compte-tenu du nombre très faible de réclamations qui est attendu.

Néant.

Néant.

Néant.

Néant.

Néant.

Cette mesure sera de nature à faciliter l'exercice par les justiciables des droits qu'ils tiennent du RGPD. Ceux-ci pourront en effet former une réclamation devant l'autorité de contrôle des traitements de données à caractère personnel instituée au sein de chaque ordre de juridiction, lorsqu'ils estiment que les droits qu'ils tiennent de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne sont pas respectés.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

L'article 8 de la loi du 6 janvier 1978 prévoit que la CNIL « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. »

Par conséquent, le projet de loi a été soumis à la CNIL qui s'est prononcée par la délibération n° 2023-036 du 20 avril 2023.

Le Conseil supérieur des tribunaux administratifs et des cours administratives d'appel connaît des questions intéressant le fonctionnement et l'organisation des tribunaux administratifs et des cours administratives d'appel dans les conditions prévues à l'article L. 232-3 du code de justice administrative. À ce titre, celui-ci est « consulté sur toute question relative à la compétence, à l'organisation et au fonctionnement des tribunaux administratifs et des cours administratives d'appel ».

Après s'être prononcé sur l'article 2 du projet de loi par un avis du 20 avril 2023, le CSTACAA a pris connaissance des dispositions de l'article 19 de ce même projet qui lui ont été transmises à titre d'information. L'article L. 132-2 du code de justice administrative prévoit que cette Commission supérieure du Conseil d'Etat est consultée par le vice-président du Conseil d'Etat sur les questions intéressant la compétence, l'organisation ou le fonctionnement du Conseil d'Etat.

La CSCE s'est prononcée sur le projet de loi par un avis du 25 avril 2023, après consultation déroulée entre le 21 avril 2023 et le 25 avril 2023.

Le comité social d'administration de proximité placé auprès du premier président de la Cour de cassation est prévu par l'arrêté du 25 avril 2022. Il est compétent pour connaître des questions relatives à la Cour de cassation.

Par conséquent, le comité social d'administration placé auprès du premier président de la Cour de cassation a été consulté le 21 avril 2023.

Le Conseil supérieur de la Cour des comptes (CSC) est consulté « sur toutes les questions relatives à la compétence, à l'organisation et au fonctionnement de la Cour des comptes » (article L. 120-14 du code des juridictions financières) et le Conseil supérieur des chambres régionales des comptes (CSCRC) est « consulté sur toute question relative à l'organisation, au fonctionnement ou à la compétence des chambres régionales » (article L. 220-12 du code des juridictions financières). Le CSC et le CSCRC, consultés de façon dématérialisée le 26 avril 2023, ont rendu un avis favorable sur ces dispositions.

Les présentes dispositions entreront en vigueur dès le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les articles 19, 20 et 21 du projet de loi modifient des dispositions relatives à l'organisation de la justice administrative et à l'organisation judiciaire. Conformément aux lois organiques qui définissent les statuts d'autonomie à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, les dispositions relatives à l'organisation de la justice sont directement applicables. Toutefois, pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Les articles 19, 20 et 21 nécessiteront que les mécanismes insérés dans le code de justice administrative, le code de l'organisation judiciaire et le code des juridictions financières soient précisés par décrets en Conseil d'Etat.

TITRE VIII - ADAPTATIONS DU DROIT NATIONAL

1. ÉTAT DES LIEUX

Le cadre législatif européen sur les services numériques repose sur la directive 2000/31 sur le commerce électronique (ci-après « directive e-commerce »)^269(*), adoptée en 2000 au niveau européen et transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (ci-après « LCEN »). Pierre angulaire du marché unique des services numériques, cette directive a établi les principes fondateurs encadrant ce marché : le régime de responsabilité limitée des hébergeurs, l'interdiction de surveillance généralisée des contenus et de recherche active et le principe dit « du pays d'origine » qui prévoit que les prestataires de services de la société de l'information doivent se conformer à la législation de leur pays d'établissement.

Néanmoins, depuis 2000, les pratiques techniques, le marché et l'écosystème numérique dans sa globalité, ont considérablement évolué. Plusieurs géants du numérique tels que Facebook (lancé en 2004), YouTube (2005), ou TikTok (2017) ont émergé et comptent aujourd'hui des milliards d'utilisateurs dans le monde (estimations de 2,9 milliards d'utilisateurs mensuels pour Facebook, 2,5 pour YouTube et 1,2 pour TikTok). En parallèle, le nombre de contenus illicites sur internet s'est considérablement accru : dans son étude d'impact sur le DSA, la Commission européenne souligne l'explosion du nombre de signalements d'images pédopornographiques en ligne, passés de 23 000 en 2010 à plus de 725 000 en 2019^270(*).

Cette directive e-commerce a donc montré certaines limites, notamment dans la lutte contre la prolifération de contenus illicites. Ainsi, d'autres textes européens sectoriels sont venus la compléter en établissant des règles supplémentaires pour certaines catégories de contenus en ligne tels que les contenus terroristes^271(*) ou des contenus de médias audiovisuels relatifs aux plateformes de partage de vidéos^272(*), directive transposée en France par l'ordonnance n° 2020-1642 du 21 décembre 2020^273(*). En parallèle, la France avait préalablement introduit dans sa législation nationale des dispositions spécifiques visant à une meilleure protection des utilisateurs en ligne, notamment par la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.

Au vu du risque de fragmentation entre les différentes législations nationales, la Commission européenne a présenté en décembre 2020 une proposition de règlement 2022/2065 relatif à un marché intérieur des services numériques également appelé Digital Services Act (DSA), conjointement à sa proposition de règlement Digital Markets Act (DMA - cf. article 27 du présent projet de loi).

Ce règlement européen vise à compléter et approfondir la directive e-commerce, tout en réaffirmant les principes clés de cette dernière qui sont la responsabilité limitée des hébergeurs, l'interdiction d'obligation générale de surveillance et le principe du pays d'origine évoqués supra, afin de renforcer la lutte contre la dissémination des contenus illicites, dangereux ou préjudiciables en ligne tout en évitant les atteintes injustifiées à la liberté d'expression. Pour ce faire, le règlement vient compléter le champ de la directive e-commerce (fournisseurs d'accès à internet (FAI), cache et hébergeurs) en introduisant une nouvelle catégorie de services intermédiaires en ligne, les « plateformes en ligne », ainsi que sa sous-catégorie de « très grandes plateformes en ligne » (plateformes avec plus de 45 millions d'utilisateurs actifs mensuels au sein de l'Union européenne). Ces plateformes devront prendre des mesures efficaces de modération des contenus sur leurs services pour lutter contre la dissémination de contenus illicites et préjudiciables et renforcer la transparence sur leurs pratiques de modération. Ce règlement a été définitivement voté par le Parlement européen en juillet 2022 et approuvé par le Conseil de l'UE le 4 octobre 2022. Il a été publié le 27 octobre 2022^274(*) et entrera en application le 17 février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès la mi-2023.

Le DSA est un règlement horizontal d'harmonisation maximale qui prévoit dans son considérant 9 que « les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant du champ d'application du présent règlement, sauf si le présent règlement le prévoit expressément, car cela porterait atteinte à l'application directe et uniforme des règles pleinement harmonisées applicables aux fournisseurs de services intermédiaires conformément aux objectifs du présent règlement », ce qui interdit donc aux Etats membres de prévoir des mesures en droit national qui vont au-delà de ce qu'il prescrit pour le même champ d'application. Il est donc nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le DSA qui poursuivent les mêmes objectifs que ceux du règlement.

Les articles 22 à 25 et 28 à 30 et 33 du présent projet de loi procèdent à des modifications de la loi n° 2004-575 précitée, de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (ci-après « Loi Léotard »), du code électoral, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information (ci-après « Loi infox ») et de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (ci-après « Loi Bichet ») aux fins de la mise en oeuvre en France du DSA et de la mise en cohérence de certaines de ces dispositions avec les termes du règlement. D'autres textes nationaux sont également affectés par ce règlement européen, notamment le code de la consommation (cf. article 26) ainsi que la loi informatiques et libertés^275(*) s'agissant du volet données personnelles du règlement (cf. article 32).

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'États qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ».

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent ainsi d'une exigence constitutionnelle.

Les articles 22 à 25 du présent projet de loi ont pour objet principal de tirer les conséquences nécessaires des dispositions du DSA. L'impact des obligations prévues par ce dernier sur l'exercice du droit à la vie privée, sur la liberté d'expression ou encore sur la liberté d'entreprendre, découle directement du règlement européen.

Le DSA accorde néanmoins, sur quelques points, certaines marges de manoeuvre aux Etats membres. Il leur revient notamment de :

- désigner l'autorité ou les autorités compétentes pour la supervision des obligations prévues par le règlement au niveau national, et de désigner parmi ces autorités, une autorité de coordination ;

- clairement définir les missions respectives des autorités compétentes ainsi désignées et de prévoir les modalités de leur coopération ;

- fixer les conditions et procédures spécifiques pour l'exercice des pouvoirs prévus à l'article 51 du DSA.

Le DSA précise en outre que les Etats membres doivent veiller à ce que tout exercice de ces pouvoirs soit soumis à des mesures de sauvegarde appropriées établies dans le droit national applicable en conformité avec la Charte et les principes généraux du droit de l'Union. Plus particulièrement, ces mesures ne sont prises qu'en conformité avec le droit au respect de la vie privée et les droits de la défense, y compris les droits d'être entendu et d'avoir accès au dossier, et le droit à un recours juridictionnel effectif pour toutes les parties affectées.

Les dispositions du présent article qui prévoient les adaptations nécessaires du droit national au DSA ne présentent pas de risque de contrariété avec une règle ou norme de valeur constitutionnelle.

Les dispositions des articles 22 et suivants du présent projet de loi visent à adapter le cadre national au DSA. Comme souligné au sein de l'item 1.1 supra, ce règlement modifie la directive 2000/31/CE sur le commerce électronique, qui a été transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

S'agissant des articles 22 et suivants du présent projet de loi, la nécessité de légiférer découle directement de l'adoption du DSA.

Tout d'abord, le DSA harmonise pleinement les règles applicables aux services intermédiaires (services de simple transport tels que les fournisseurs d'accès à internet, services de mise en cache tels que les réseaux de diffusion de contenu - mieux connus sous les termes anglais de Content Delivery Network - et hébergeurs tels que les réseaux sociaux) dans le but de garantir un environnement en ligne sûr, prévisible et de confiance, en luttant contre la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d'informations trompeuses ou d'autres contenus peuvent produire. Le règlement précise que les Etats membres ne peuvent pas adopter ou maintenir des règles nationales supplémentaires concernant les matières relevant du champ d'application du règlement sur les services numériques, sauf si le règlement le prévoit expressément.

En conséquence, les dispositions de droit interne prévoyant des règles relevant des objectifs poursuivis par le DSA, dans son champ d'application, doivent être abrogées. Cela concerne en particulier certaines dispositions applicables aux plateformes en ligne prévues par la loi Infox ou insérées dans la loi Léotard ou le code électoral.

Ensuite, le DSA, étant par nature directement applicable dans l'ensemble des Etats membres, diverses dispositions du Chapitre II du Titre I^er de la LCEN issues de transposition de la directive e-commerce, elles-mêmes remplacées par le règlement, doivent être adaptées. Certaines adaptations du droit interne sont également nécessaires pour remplacer les anciennes définitions des prestataires techniques par les nouvelles définitions des services intermédiaires créées par le règlement sur les services numériques.

Enfin, le DSA laisse une certaine marge de manoeuvre aux Etats membres, notamment en matière de gouvernance. Des dispositions nouvelles doivent être créées en droit interne afin de désigner les autorités compétentes pour la mise en oeuvre du règlement, l'autorité chargée de la coordination de la supervision du texte, préciser le champ de compétences et définir le schéma de coopération entre les différentes autorités compétentes ou encore pour détailler les pouvoirs de l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), de la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) et de la Commission nationale de l'informatique et des libertés (CNIL) en vertu du règlement.

Par ailleurs, l'adaptation de la LCEN représente une opportunité pour le législateur de réorganiser le Titre I^er afin d'en améliorer la cohérence, de corriger certaines règles existantes (notamment s'agissant de leur champ d'application) et d'abroger celles qui sont obsolètes.

Les dispositions qui adaptent le droit interne au DSA poursuivent les objectifs de conformité au droit de l'Union européenne, d'harmonisation des règles applicables aux services intermédiaires dans le marché unique européen et de clarté de la loi (abrogation des doublons et réorganisation du Titre I^er de la LCEN).

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La loi est commandée par une norme supérieure, le DSA.

Néanmoins, comme indiqué au sein de l'item 2.1 supra, le règlement laisse une marge de manoeuvre aux Etats membres s'agissant de la gouvernance et de la répartition des compétences entre les différentes autorités désignées. Plusieurs options ont été envisagées au niveau français pour permettre une répartition efficace et solide juridiquement.

Il a ainsi été envisagé de confier à l'ARCOM et à la DGCCRF le contrôle des mêmes obligations, mais en répartissant les compétences par acteurs ou services, afin d'éviter qu'un même acteur ou service soit contrôlé par deux autorités différentes pour le respect d'une même obligation. La compétence sur un fournisseur donné serait confiée tantôt à l'une tantôt à l'autre selon si l'activité principale du fournisseur était celle d'un service de place de marché (compétence DGCCRF) ou si cette activité de place de marché était uniquement accessoire (compétence ARCOM). Cette répartition de compétence a finalement été abandonnée car le critère d'activité principale ou accessoire apparaissait trop flou pour que la compétence de l'une ou l'autre autorité puisse être clairement établie. Cette difficulté paraissait particulièrement problématique s'agissant de la compétence de la DGCCRF, pour laquelle le mécanisme de sanctions repose sur la création d'infractions pénales, qui ne peuvent être valides que si leur champ est précisément circonscrit. Il a finalement été décidé le schéma suivant :

- La CNIL a une compétence exclusive pour les dispositions relatives à la protection des données à caractère personnel :

- La DGCCRF dispose d'une compétence exclusive pour les articles 30 à 32 spécifiques aux obligations applicables aux places de marché en ligne, ainsi que pour le seul article 25 (interfaces trompeuses) et uniquement lorsque l'interface concerne l'activité de commerce en ligne ;

- L'ARCOM est compétente pour les obligations restantes (article 9, §1 et §5, article 10, §1 et §5, articles 11 à 17, articles 20 à 25 (hors champ de compétence de la DGCCRF), l'article 26, §1 a) à c) et §2, l'article 27 et l'article 28, §1).

En outre, afin de permettre une coopération et un partage d'informations efficace entre les différentes autorités, un mécanisme de coordination souple est proposé via des mécanismes d'avis croisés et d'échanges d'informations.

Enfin, concernant les pouvoirs d'enquête, d'exécution et de sanction de l'ARCOM à l'égard des fournisseurs de services intermédiaires, il est proposé, en l'absence de dispositions existantes équivalentes dans la LCEN ou la loi Léotard, d'insérer de nouvelles dispositions autonomes au sein de la LCEN afin de garantir leur efficacité, leur clarté et leur sécurité juridique.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le DSA a un effet direct en droit français de sorte que les obligations qui en découlent n'ont pas besoin de transposition législative pour y être applicables. Cependant, il est nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le règlement sur les services numériques qui poursuivent les mêmes objectifs que ceux du règlement.

Pour mémoire, certains éléments de la LCEN, particulièrement à son article 6, sont rendus obsolètes ou incompatibles avec le DSA. De plus, la création de nouvelles définitions dans le règlement implique une modification de l'ordonnancement juridique français ; les définitions de droit français ont donc dû être mises en cohérence avec celles introduites par le règlement.

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est modifiée par les articles 22 à 25 du présent projet de loi.

L'article 22 permet :

- la création de deux articles 1-1 et 1-2 ;

- la modification de l'intitulé du chapitre II du titre I^er, remplacé par l'intitulé : « Les fournisseurs de services intermédiaires» ;

- la création d'une section 1 au chapitre II, intitulée : « Définitions et obligations relatives aux fournisseurs de services intermédiaires » qui comprend les articles 5 à 6 ;

- la création d'un article 5-1 ;

- la modification de l'article 6.

Par l'article 23 :

- est créée une section 2 intitulée : « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques », qui comprend les articles 6-1 à 6 1-5 ainsi que les articles 6-2 et 6-2-1 ;

- les articles 6-1, 6-1-3 et 6-1-5 sont modifiées ;

- l'article 6-2 devient l'article 6-5.

Par l'article 24 :

- est créée une section 3 intitulée : « Dispositions relatives à l'intervention de l'autorité judiciaire », qui comprend les articles 6-3 à 6-5 ;

- les articles 6-3 et 6-4 sont modifiés.

Par l'article 25 :

- est créée une section 4 intitulée : « Coordinateur pour les services numériques et coopération entre les autorités compétentes » qui comprend les articles 7 à 9-2.

- l'article 7 est modifié.

- les articles 7-2, 7-3, 8-1, 9-1, 9-2 sont créés.

A) Abrogation des dispositions non conformes au DSA

Plusieurs alinéas de l'article 6 de la LCEN ont été abrogés, soit parce que les dispositions en vigueur étaient redondantes avec le DSA, soit parce qu'elles allaient au-delà des obligations prévues par le règlement. C'est notamment le cas des dispositions relatives :

- aux conditions dans lesquelles la connaissance des faits litigieux est présumée acquise, dans le cadre du régime de responsabilité des hébergeurs (5 du I de l'article 6), qui vont au-delà du DSA ;

- à l'interdiction des obligations générales de surveillance (deux premiers alinéas du 7 du I de l'article 6), redondante avec le DSA ;

- aux obligations de transparence et de mise en place d'un système de signalement (alinéa 4 du 7 du I de l'article 6), redondant avec le DSA ;

Par ailleurs, les dispositions relatives au signalement des activités illicites de jeux d'agent (alinéa 5 du 7 du I de l'article 6) ont été abrogées car elles ont été rendues obsolètes par la réforme 2019/2020 sur la régulation des jeux d'argent en ligne, qui prévoit un pouvoir d'intervention direct de l'Autorité Nationale des Jeux sur les opérateurs. Cette abrogation n'a donc pas d'incidence sur les dispositifs existants de régulation des jeux d'argent en ligne.

De plus, il a été jugé nécessaire de conserver temporairement la disposition relative au régime de responsabilité limitée des services d'hébergement dans la loi nationale (les dispositions existantes au 2 et 3 du I de l'article 6 de la LCEN sont ainsi déplacées à un II bis du même article). Cette disposition est redondante avec le DSA, qui prévoit le même régime de responsabilité à son article 6. Etant donné que l'entrée en vigueur de l'article 22 prévue pour le lendemain de la publication de la présente loi (à l'exception du C du III de l'article 22, en tant qu'il concerne la sanction encourue en cas de méconnaissance de l'obligation prévue à l'article 18 du DSA) la conservation de cette disposition permet d'assurer la sécurité juridique des services d'hébergement dans l'intervalle entre l'entrée en vigueur de l'article 22 et l'entrée en application du DSA. Pour éviter toute redondance entre la loi nationale et le DSA, cette disposition sera supprimée au 16 février 2024, au moment de l'entrée en application du DSA (cf. article 36).

B) Alignement des définitions de droit français sur les définitions du droit européen

Plusieurs définitions ont été introduites pour aligner l'ordonnancement juridique des services européens au droit français. La définition des services de la société de l'information, sur laquelle les définitions du DSA s'appuient, a été intégrée à l'article 5, qui est remplacé (sans impact). Cette définition ne couvre pas le même champ que celles prévues à l'article 1^er de la LCEN, dont la modification n'est donc pas nécessaire. Ceci permet de garantir que les services concernés par la LCEN sont bien soumis au droit européen applicable aux services de la société de l'information.

Les définitions des services intermédiaires ont également été intégrées au sein de la nouvelle rédaction de l'article 5, pour qu'il apparaisse clairement que les hébergeurs et les services d'accès à internet, définis plus bas, font partie de cette catégorie.

La définition des services d'accès à internet a été introduite au 1 du I de l'article 6 pour des raisons de cohérence juridique : c'est à ce même 1 que renvoient de nombreux textes pour se référer aux fournisseurs d'accès à internet. La définition introduite ici permet de conserver une définition équivalente au même endroit, tout en clarifiant que ces fournisseurs sont des services intermédiaires au sens du DSA, et qu'ils sont donc soumis aux obligations idoines. La définition des hébergeurs est introduite au 2 de cet article pour les mêmes raisons de cohérence vis-à-vis de textes tiers et d'articulation avec le DSA. Les renvois de textes tiers à ces alinéas pour viser les fournisseurs de services d'hébergement et de services d'accès à internet sont donc préservés.

Aux points suivants du nouveau I de l'article 6 ont été intégrées des définitions du DSA (services de moteurs de recherche et services de plateforme en ligne) et du DMA (services de réseau social en ligne) auxquelles il est fait référence ailleurs dans la loi, notamment par d'autres mesures prévues par le présent projet de loi.

C) Réorganisation de la LCEN et ajustement du champ d'application de dispositions en vigueur

En outre, le champ de certaines obligations de la LCEN a été revu pour plus de cohérence : l'obligation d'information sur le tabac, qui bénéficie aux « abonnés », a été restreinte aux seuls services d'accès à internet, cette obligation n'ayant pas de véritable intérêt pour les hébergeurs, qui incidemment ne fournissent généralement pas de services fondés sur l'abonnement.

De même, les obligations issues des alinéas 3 et 4 du 7 du I de l'article 6 (qui n'ont pas été abrogées (cf. A) supra) ont vu leur champ restreint aux services d'hébergement, le signalement de contenus illicites aux autorités n'étant pas pertinent pour les services d'accès à internet. Il en est de même pour l'obligation de fournir aux éditeurs les moyens de remplir leurs obligations de transparence (alinéa 2 du II de l'article 6). Ces abrogations n'ont donc pas d'incidence sur le cadre juridique actuel.

Par ailleurs, à des fins de cohérence et de lisibilité de la loi, il est proposé de déplacer certaines dispositions applicables aux éditeurs de services de communication au public en ligne qui figurent au sein de l'article 6 du Chapitre II de la LCEN, dont l'essentiel des obligations concerne les fournisseurs de services intermédiaires. Ainsi, l'obligation pour les éditeurs de services de communication au public en ligne de mettre à disposition du public certaines informations dans un standard ouvert (le III de l'article 6) est déplacée vers un nouvel article 1-1, inséré au sein du Chapitre I^er intitulé « La communication au public en ligne ». L'exercice du droit de réponse auprès du directeur de la publication d'un éditeur (IV de l'article 6) ainsi que le V de l'article 6 relatif notamment à l'application de dispositions de la loi du 29 juillet 1881 sur la liberté de la presse, sont aussi déplacés vers le nouvel article 1-1. La sanction de la méconnaissance de ces obligations par un éditeur de service de communication au public en ligne, prévue au 2 du VI de l'article 6 est déplacée vers un nouvel article 1-2 de la LCEN. Les dispositions en vigueur applicables aux éditeurs, moyennant quelques ajustements de forme et de cohérence (modification des renvois à des alinéas de l'article 6 de la LCEN renumérotés, cf. infra), restent donc inchangées.

Plusieurs articles de la LCEN, et principalement son article 6, ont de plus été restructurés pour que les obligations applicables aux mêmes acteurs soient regroupées, avec les sanctions associées :

- Les 1, 1bis et les deux derniers alinéas du 7 du I de l'article 6 ainsi que l'article 7 sont déplacés au III de l'article 6, qui regroupe désormais les obligations applicables aux fournisseurs de services d'accès à internet. Un dispositif de sanction des manquements à ces obligations, calqué sur le 1^er alinéa du 1 du VI de l'article 6 (abrogé pour des questions de légistique), est ajouté à ce même III ; le deuxième alinéa du 1 du VI est également déplacé au même III pour préciser les modalités de ce dispositif de sanction.

- Les troisième et quatrième alinéas du 7 du I et le 2^e alinéa du II sont déplacés au IV, qui regroupe désormais les obligations applicables aux fournisseurs de services d'hébergement. Certaines obligations du quatrième alinéa du 7 du I sont abrogées car elles sont redondantes avec les obligations prévues par le DSA (mise en place d'un mécanisme de signalement, transparence sur les mesures mises en oeuvre pour lutter contre les contenus illicites) ;

- Les 1^er et 3^ème alinéas du II, relatifs à l'obligation de conservation des données d'identification des internautes, sont déplacés au V, dédié aux obligations applicables aux fournisseurs de services d'accès à internet et d'hébergement. Ce V est complété d'un dispositif de sanction des manquements à ces obligations, calqué sur les deux premiers alinéas du 1 du VI de l'article 6 ;

- L'article 6-5, qui prévoit une obligation pour les plateformes en ligne d'informer les utilisateurs mineurs des risques auxquels ils s'exposent en cas de diffusion de contenus haineux, est déplacé au VII de l'article 6.

D'autres déplacements répondent à des impératifs de cohérence globale. Le 4 du I de l'article 6, relatif à la sanction des signalements abusifs, est déplacé au VIII du même article, le 6 du I qui exclut la qualification de fournisseur de service d'accès à internet ou d'hébergeur pour les producteurs est déplacé au II (soit après les définitions, au I, et avant les obligations, aux III et suivants). Le 8 du I de l'article 6, relatif aux pouvoirs du juge, est déplacé à l'article 6-3, au sein d'une section dédiée au pouvoir judiciaire.

Enfin, l'article 7 de la LCEN étant déplacé et les articles 8 et 9 étant des dispositions codifiées, remplacement sans impact), il est proposé de créer une nouvelle section 4 au Chapitre II intitulée « Coordinateur pour les services numériques et coopération entre les autorités compétentes » et comprenant l'article 7 relatif à la désignation des autorités compétentes pour la mise en oeuvre du règlement sur les services numériques et la désignation de l'autorité de coordination, l'article 7-1 relatif à la coopération entre l'ARCOM et le pôle d'expertise de la régulation numérique (voir article 18), l'article 7-2 relatif à la coopération entre les autorités compétentes au titre du règlement sur les services numériques, l'article 7-3 relatif à la représentation des autorités compétentes au Comité européen des services numériques et à la mission de veille de l'Arcom en matière de risques systémiques et les articles 8-1, 9-1 et 9-2 (nouveaux) relatifs respectivement aux compétences, aux pouvoirs d'enquête et d'exécution et aux pouvoirs de sanction de l'ARCOM en vertu du DSA.

Cette restructuration de l'article 6 conduit à une meilleure cohérence et lisibilité de l'article 6, qui suit désormais une structure prévoyant, dans l'ordre :

- les définitions,

- les obligations des services d'accès à internet et les sanctions associées aux manquements,

- les obligations des hébergeurs et les sanctions associées aux manquements,

- les obligations applicables à la fois aux services d'accès à internet et aux hébergeurs, ainsi que leurs sanctions,

- les obligations applicables aux services de plateforme en ligne,

- les obligations applicables aux réseaux sociaux,

- la sanction pour signalement abusifs.

Les autres déplacements permettent de structurer le chapitre II de la LCEN par thématiques, organisées en sections. Ceci facilite sa clarté et sa lisibilité.

D) Enjeux spécifiques relatifs aux obligations de signalements aux autorités de contenus illicites et les sanctions associées

La majorité des obligations prévues par le DSA sont sanctionnées par une sanction administrative. Néanmoins, conformément à l'article 52 de ce règlement, il a été décidé d'introduire en droit interne, au 3 du IV de l'article 6, une sanction de nature pénale en cas de violation de l'obligation prévue à l'article 18 du règlement précité. Cet article prévoit que les fournisseurs de services d'hébergement ont l'obligation d'informer promptement les autorités publiques des informations dont ils ont connaissance les conduisant à soupçonner qu'une infraction pénale présentant une menace pour la vie ou la sécurité des personnes a été commise, est en train d'être commise ou est susceptible de l'être.

Deux obligations distinctes de signalement des contenus illicites sont déjà prévues dans la LCEN (ancien 7 du I de l'article 6 LCEN^276(*) et II de l'article 6-1-3^277(*)) mais il a été conclu que les trois régimes pouvaient coexister car ces trois obligations ont des champs d'application distincts, quant aux personnes qui y sont soumises et quant aux contenus concernés.

En outre, afin de maintenir une certaine forme de cohérence dans l'application de ces articles, la sanction pénale pour non-respect de l'article 18, elle aussi introduite au 3 du IV de l'article 6, a été alignée sur celle prévue pour non-respect des deux obligations précitées : un an d'emprisonnement et 250 000 euros d'amende. Un facteur d'aggravation a également été introduit, prévoyant que la sanction pouvait être portée à 6 % du chiffre d'affaires mondial en cas d'infraction commise de manière habituelle afin de s'aligner avec les dispositions prévues par le DSA. Par cohérence avec cette sanction, le II de l'article 6-1-3 de la LCEN a également été amendé afin que le plafond de sanction soit également aligné sur 6% (plutôt qu'un plafond de 4% comme initialement prévu dans le règlement 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne qu'il adapte).

A noter que, contrairement au reste de l'article 6 ainsi réécrit, cette disposition de pure mise en oeuvre du DSA entrera en vigueur en même temps que l'entrée en application du DSA lui-même, au 16 février 2024.

E) Maintien de l'obligation de conservation temporaire des contenus retirés de l'article 6-4

L'article 6-4, qui visait à pré-transposer le DSA et prévoit une Sunset clause au 31 décembre 2023, a été abrogé. Néanmoins, il a été décidé de conserver, au nouveau VI de l'article 6, les dispositions prévues au c) de cet article 6-4 LCEN qui prévoient: c) Lorsqu'ils ont une activité de stockage de contenus, de conserver temporairement les contenus qui leur ont été signalés comme contraires aux dispositions mentionnées audit premier alinéa et qu'ils ont retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ; la durée et les modalités de conservation de ces contenus sont définies par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés ;

Les contenus visés se rapportent aux infractions listées au 7 du I de l'article 6 de la LCEN et de l'article 33 de la loi du 29 juillet 1881, qui ont également été conservées (mais déplacées) au vu de leur nécessité dans le dispositif de lutte contre les sites miroirs prévu à l'article 6-3 de la LCEN.

La conservation temporaire de contenus signalés comme susceptibles de constituer une infraction pénale est nécessaire car elle permet à l'autorité judiciaire d'accéder a posteriori à un contenu supprimé par un service d'hébergement.

En effet, la suppression d'un contenu par un service d'hébergement entraine mécaniquement la disparition des éléments de preuve de commission de l'infraction en supprimant le contenu en lui-même, mais elle fait aussi obstacle à l'identification de l'auteur du contenu, en supprimant les éléments d'identification.

La suppression des contenus signalés comme illicite par les hébergeurs handicaperait la répression, en permettant aux personnes diffusant des contenus illicites d'échapper à leur responsabilité pénale.

Le DSA ne prévoit pas de règle de conservation de certains contenus signalés comme illicites, mais le considérant 34 précise que les législations nationales peuvent prévoir dans le cadre de procédures pénales ou civiles des conditions supplémentaires en ce qui concerne les injonctions d'agir contre les contenus illicites ou de fournir des informations. D'autre part, les règles de conservation des contenus signalés comme illicite ne sont pas incompatibles avec l'injonction de conservation de preuve du règlement e-evidence qui n'est pas encore adopté et qui n'entrera en vigueur que trente mois après sa publication.

f) Modalités de recours devant les juridictions administratives contre les demandes de retrait des contenus à caractère pédopornographique

La loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne a introduit un régime dérogatoire de recours exercés devant le tribunal administratif contre les injonctions de retrait des contenus à caractère terroriste dans des délais particulièrement resserrés (48 heures pour déposer un recours, 72 heures pour statuer ; 10 jours pour faire appel, un mois pour statuer). Le législateur a toutefois omis de préciser que compte tenu de cette urgence, l'audience publique devait se dérouler sans conclusions du rapporteur public. Cette exigence ne découle pas du DSA mais du règlement TCO qui impose l'établissement de voies de recours internes « effectives » attachées à la délivrance d'injonctions de retrait. A la faveur de l'adaptation de la LCEN, il est donc proposé de compléter l'article 6-1-5 d'une disposition prévoyant la dispense précitée.

Certaines règles prévues par la directive restent en substance inchangées, notamment celles sur le régime de responsabilité des services d'hébergement. Toutefois, contrairement à la directive, le règlement est d'harmonisation maximale, ce qui interdit aux Etats membres de prévoir des règles plus spécifiques ou plus contraignantes que celles prévues par le texte.

Certaines dispositions de la loi pour la confiance dans l'économie numérique permettent de préciser les règles édictées par la directive sur le commerce électronique. Ainsi, le 5 du I de l'article 6 précise dans quelles situations un service d'hébergement est présumé avoir connaissance des faits litigieux, ce qui permet de mieux déterminer dans quels cas sa responsabilité peut être engagée vis-à-vis de contenus qu'il héberge. Si ces précisions sont compatibles avec la directive sur le commerce électronique, elles ne le sont toutefois plus avec le règlement sur les services numériques en raison de son niveau d'harmonisation maximal

Néant.

S'agissant des mesures d'adaptation du droit national au DSA, les effets sur les entreprises sont plus directement liés à l'entrée en application du règlement lui-même. Les fournisseurs de services intermédiaires seront soumis à des obligations nouvelles, en particulier pour les services d'hébergement et plus particulièrement pour les fournisseurs de services de plateformes en ligne. Ces obligations ne devraient nullement affecter la compétitivité des entreprises françaises vis-à-vis des autres Etats membres de l'Union, puisqu'elles proviennent d'un règlement européen.

Les coûts directs seront proportionnels à la taille et à l'audience du prestataire de services. Les services supporteraient également des coûts marginaux de conception technique et de maintenance. Les coûts liés aux exigences en matière d'information seront également proportionnels à la taille et à l'audience de l'entreprise. Les coûts les plus importants seraient limités aux très grandes plateformes en ligne. A noter que les obligations visant les plateformes ne sont pas applicables aux micros et petites entreprises, pour lesquelles le coût de la mise en conformité devrait donc être très limité.

L'étude d'impact de la Commission européenne estime que les coûts engendrés par les inefficacités du système actuel de coopération entre les autorités seront considérablement réduits. Les divers coûts supplémentaires du mécanisme de coopération renforcée seraient supportés au niveau de l'UE.

Néant.

Augmentation de la charge administrative de l'Arcom

Le projet de loi confie à l'Arcom des responsabilités nouvelles en termes de régulation des services numériques. En effet, l'Arcom n'avait jusqu'alors de compétences que vis-à-vis de certains acteurs visés par le DSA : les services de plateforme de partage de vidéo (définis à l'article 2 de la loi du 30 septembre 1986) et les opérateurs de plateforme en ligne (définis au 1 de l'article L. 111-7 du code de la consommation, abrogé par le présent projet de loi). Son champ de compétence s'étend ainsi à l'ensemble des services intermédiaires (services de simple transport, services de cache et services d'hébergement, y compris les plateformes en ligne).

Surtout, ses compétences sont étendues au regard des obligations dont elle devra superviser le respect. L'Arcom ne devait superviser que les obligations prévues aux articles 58 à 62 de la loi Léotard (en partie abrogées par le présent projet de loi). Elle devra désormais superviser, pour les acteurs listés au paragraphe précédent, le respect des obligations prévues par les articles 9 à 28 du DSA (à l'exception des champs de compétence respectifs de la CNIL et de la DGCCRF).

Ces nouvelles responsabilités impliqueront une augmentation de sa charge administrative. La loi n° 2022-1726 du 30 décembre 2022 de finances pour 2023 a augmenté les plafonds d'emplois de l'Arcom en prévision notamment de son rôle de Coordinateur pour les services numériques, fixant le plafond d'autorisations d'emplois de l'Arcom à 370 ETP. Compte tenu des nouvelles missions et responsabilités qui lui sont confiées par le présent projet de loi, un renforcement de ses effectifs et de ses moyens pourrait encore être nécessaire afin qu'elle puisse mener à bien ses nouvelles missions au titre du DSA, mais également en matière de protection de l'enfance et de mise en oeuvre des sanctions européennes.

Il est toutefois difficile de chiffrer l'ensemble des coûts engendrés par ces nouvelles missions, en l'absence de données précises concernant notamment l'utilisation de ressources humaines, les dépenses opérationnelles (études, consultations, bilans) et de gestion (outils informatiques, etc.). Selon l'étude d'impact de la Commission européenne sur le DSA, les coûts engendrés par les autorités de contrôle devraient fluctuer en fonction des contrôles lancés, les estimations se situant entre 50 000 et 300 000 euros par contrôle/audit. En outre, la Commission estime qu'en termes d'effectifs, les coûts directs varieront de 0,5 ETP à 25 ETP, en fonction de la taille des services établis dans l'État membre.

Les impacts sociaux sont plus directement liés à l'entrée en application du DSA numériques lui-même. Ce règlement introduit une meilleure transparence sur le fonctionnement des services numériques, notamment en ce qui concerne leurs activités de modération et de recommandation des contenus. Les destinataires de ces services pourront contester les décisions prises par les services numériques, et bénéficieront des mesures d'atténuation des risques systémiques qui devront être prises par les très grandes plateformes en ligne, sous le contrôle étroit de la Commission européenne.

La diffusion de contenus illégaux par les plateformes, tels que des contenus pédopornographiques, des contenus terroristes, des discours haineux illégaux, des publicités illégales ciblant des individus ou des contenus portant atteinte aux droits de propriété intellectuelle, engendre des préoccupations sociétales, notamment des risques pour les droits fondamentaux et des risques d'incitation à de nouvelles violences pouvant causer de graves préjudices aux citoyens. En outre, les environnements en ligne très violents peuvent avoir un effet dissuasif sur la liberté d'expression, notamment en cas de prolifération de discours haineux illégaux ou d'autres formes de contenus illégaux. Cet effet dissuasif risquerait, par exemple, d'influencer les droits des individus à la participation politique. Aussi, l'article 22 (tout comme les articles 28 à 30, 33 et 34) favorisera un environnement en ligne plus sûr en limitant la prolifération de ce type de contenus via des mécanismes d'atténuation des risques et de sanctions.

La diffusion de contenus de désinformation, par exemple liée à des questions de santé publique (telles que les pandémies COVID-19 ou la vaccination) peuvent également avoir une incidence négative sur des groupes entiers d'utilisateurs, sur le bien-être physique et mental d'une personne mais également amplifier les préjudices sociétaux, par exemple en pratiquant des discriminations à l'égard de certains groupes d'individus. L'article 22 (tout comme les articles 28 à 30, 33 et 34) a pour impact de limiter la diffusion et l'amplification des contenus trompeurs ou mensongers et donc de limiter les risques évoqués.

Enfin, cet article aura pour impact positif de rétablir un niveau de confiance supérieur des utilisateurs dans l'usage des outils numériques grâce à l'encadrement de l'espace informationnel en ligne.

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment à la diffusion de contenus illicites ou aux effets graves sur le bien-être physique et mental des personnes. Ces mesures devront notamment viser à endiguer les phénomènes de haine en ligne, bien identifiés par les régulateurs européens. Les efforts pour lutter contre les messages de haine ou discriminants, dont les personnes en situation de handicap sont une cible particulière, devraient ainsi permettre une utilisation plus sereine par ces derniers des services des très grandes plateformes en ligne.

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment aux effets négatifs réels ou prévisibles liés aux violences sexistes. Les discours sexistes et discriminatoires sont en effet des phénomènes répandus, notamment sur les grands réseaux sociaux, et les mesures prises par les très grandes plateformes pour lutter contre ces discours devraient permettre des conditions plus égalitaires d'usage de ces services par les femmes et les hommes.

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques en matière de protection des mineurs.

Néant.

Comme développé au sein de l'item 4.5 supra, l'entrée en vigueur du DSA améliorera les droits des internautes vis-à-vis des décisions de modération des contenus qu'ils mettent en ligne, ainsi que leur protection vis-à-vis de contenus illicites ou de désinformation, et devrait donc favoriser une meilleure confiance des particuliers dans les outils numériques.

L'étude d'impact de la Commission européenne indique que les incidences sur l'environnement devraient être relativement marginales. Des facteurs importants dépendront de l'évolution technologique, des choix commerciaux dans les chaînes de fabrication et de développement, du comportement des consommateurs et de l'incitation, etc. Il est donc difficile d'estimer à ce stade les incidences environnementales.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Les présentes dispositions ne requièrent aucune consultation obligatoire et aucune consultation facultative n'a été conduite.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française, à l'exception de celles relatives à la mise en oeuvre de l'article 18 du règlement DSA, qui entrera en vigueur en même temps que le DSA lui-même, le 17 février 2024. De plus, les dispositions relatives au régime de responsabilité des hébergeurs seront abrogées avec l'entrée en vigueur du DSA, qui prévoit le même régime à son article 6.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les articles 12, 15, 18, 22 et 24 du projet de loi modifient des dispositions qui sont rendues expressément applicables par la loi à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, leur application est donc maintenue, sous réserve des ajustements nécessaires à leur application. Les dispositions restantes pourront être rendues applicables en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

Plusieurs textes d'application seront nécessaires.

S'agissant tout d'abord des mesures existantes qui sont modifiées par le présent projet de loi, l'obligation prévue à l'article 6-5 de la LCEN actuellement en vigueur renvoie à l'article 6-4 et aux seuils prévus par ce dernier. Compte tenu de l'abrogation de l'article 6-4 de la LCEN, il convient de préciser le champ d'application de la disposition en vigueur, qui est déplacée par le présent projet de loi au VII de l'article 6 de la LCEN. Il est donc prévu de prendre un décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de service de plateforme en ligne fournissent certaines informations aux mineurs âgés de moins de quinze ans lors de leur inscription au service.

L'obligation pour les opérateurs de services de plateforme en ligne de conserver temporairement certains contenus qui leur ont été signalés, actuellement prévue au c) du 1° du I de l'article 6-4, est déplacée au VI de l'article 6 de la LCEN tel qu'il résulte du présent projet de loi. Compte tenu de l'abrogation de l'article 6-4 de la LCEN, il est également proposé de prendre un décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de service de plateforme en ligne conservent temporairement les contenus qui leur ont été signalés. En outre, il est prévu de prendre un décret en Conseil d'Etat relatif à la durée et aux modalités de conservation par les fournisseurs de service de plateforme en ligne des contenus signalés.

Ensuite, s'agissant de nouvelles dispositions relatives aux pouvoirs de l'ARCOM au titre du DSA, il est prévu de prendre un décret en Conseil d'Etat relatif à certaines modalités d'application de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique aux éléments suivants :

- Les conditions d'assermentation des agents de l'ARCOM pouvant procéder aux inspections sur place,

- Les conditions dans lesquelles le juge des libertés et de la détention statue sur l'autorisation de la visite des agents de l'ARCOM

- Le régime de saisie des informations par les agents de l'ARCOM lors des inspections.

Il est également prévu de prendre un décret simple relatif aux modalités de saisine de l'autorité judiciaire par l'ARCOM en application du IV et du 2° du V de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique.

Enfin, le nouvel article 7-2 de la LCEN créé par le présent projet de loi prévoit qu'une convention entre les autorités compétentes désignées au titre du DSA précisera les modalités de mise en oeuvre de dudit article.

1. ÉTAT DES LIEUX

Dans le cadre de ses enquêtes, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) exerce ses contrôles à l'encontre des places de marché en ligne, tous produits et services confondus, au regard du respect à la fois de la règlementation sur la sécurité des produits et des obligations d'informations issues de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Ces enquêtes ont révélé que de nombreux vendeurs tiers utilisant les places de marché de commerce électronique prisées par les internautes en France, proposent une proportion importante de produits non-conformes et présentant très souvent des risques pour les consommateurs. Ainsi, en 2021, 49% des produits contrôlés via des analyses se sont révélés dangereux et 24 % des produits contrôlés, bien que sans danger, ne répondaient pas aux critères de conformité que la réglementation leur imposait.

Le règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (DSA)^278(*) vise à responsabiliser les plateformes et à lutter contre les contenus illicites, en vue de protéger les utilisateurs en ligne, notamment, en leur garantissant davantage de transparence et de contrôle sur les systèmes de recommandation et les mesures de modération.

Le règlement DSA renforce, notamment, les obligations spécifiques aux places de marché en ligne, avec :

- Des obligations additionnelles d'identification des vendeurs exerçant une activité sur les places de marché ;

- La vérification (obligation de moyens) de la complétude des informations sur les annonces : les produits difficiles à identifier ou pour lesquels les informations sont lacunaires, y compris en matière de sécurité, ne devraient pas pouvoir être proposés sur les places de marché ;

- L'information des consommateurs en cas d'offre de produit non conforme ou dangereux : les places de marché devront avertir les consommateurs ayant déjà acheté le produit dans les six derniers mois ou, à défaut, publier un avertissement sur leur interface ;

- Enfin, des contrôles aléatoires automatisés sur les annonces, sur la base d'efforts raisonnables, pour vérifier qu'elles ne correspondent pas à des contenus déjà signalés comme illicites sur des bases de données librement accessibles.

Au niveau national, la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique prévoit des obligations pour les opérateurs de plateforme en ligne de se conformer à des obligations générales informatives prévues par le code de la consommation. Ces opérateurs sont actuellement définis à l' article L. 111-7 du code de la consommation comme suit : « est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service ».

Ainsi, constituent des plateformes en ligne au sens de l'article L.111-7 du code de la consommation :

- Les moteurs de recherche ;

- Les places de marché en ligne ;

- Les comparateurs en ligne^279(*);

- Les agrégateurs d'actualité^280(*).

L' article L. 521-3-1 du code de la consommation permet à l'autorité administrative chargée de la concurrence et de la consommation, lorsque les agents habilités constatent un manquement ou une infraction avec les pouvoirs prévus au livre V du code de la consommation, d'ordonner l'affichage d'un message d'avertissement sur l'interface en ligne hébergeant le contenu illicite ; ou, pour les infractions punies d'au moins deux ans de prison, d'ordonner le déréférencement de l'interface en ligne, la limitation d'accès à cette dernière ou encore le blocage du nom de domaine.

Ces mesures, applicables aux contenus manifestement illicites en ligne, peuvent être mises en oeuvre dans leur rédaction actuelle dans deux hypothèses :

- Lorsque l'auteur de la pratique n'est pas identifiable ;

- Lorsque l'auteur de la pratique n'a pas déféré à une injonction prise sur la base de l' article L. 521-1 du code de la consommation.

Le Conseil constitutionnel ne s'est pas prononcé sur les dispositions existantes relatives aux obligations d'informations prévues au code de la consommation pour les opérateurs de plateformes en ligne. Ces dispositions sont encadrées, d'une part, par le respect de la liberté d'entreprendre (Cons. const. 16 janv. 1982, n° 81-132 DC, et Déclaration des droits de l'homme, art. 4) ; d'autre part, s'agissant de l'article L. 111-7 de ce code, par l'obligation de transposer les directives européennes découlant de l'article 88-1 de la Constitution.

Dans l'hypothèse où le juge constitutionnel examinerait la constitutionnalité de dispositions de droit national prises pour l'application d'un règlement de l'Union européenne, le présent article ne semble en contrariété avec aucune règle ou norme de valeur constitutionnelle.

Concernant l'article L. 521-1-3 du code de la consommation, la constitutionnalité de la mesure a déjà été examinée par le Conseil Constitutionnel au regard des principes de liberté d'expression et de communication et de liberté d'entreprendre, et en a déclaré la rédaction conforme à la Constitution^281(*). Le Conseil a en effet retenu que le délai minimum d'exécution (48 heures) de la mesure permettait aux personnes intéressées de contester utilement la décision devant le juge administratif, délai compatible à une saisine par voie de référé. Les modifications apportées ne sont pas de nature à remettre en cause la constitutionnalité du texte dans la mesure où ni les délais d'exécution ni les voies de recours ne sont modifiées.

Le règlement DSA s'applique sans préjudice des règles européennes de protection des consommateurs, en particulier les actes de l'Union qui sont mentionnés par ce règlement (règlements (UE) 2017/2394 sur la coopération administrative et 2019/1020 sur la surveillance des marchés, directives 93/13/CEE sur les clauses abusives, 2001/95/CE sur la sécurité générale des produits, 2005/29/CE sur les pratiques commerciales déloyales, 2011/83/UE sur les droits des consommateurs et 2013/11/UE sur le règlement extrajudiciaire des litiges).

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Bien que le règlement DSA soit d'application directe, quelques adaptations du code de la consommation sont nécessaires pour rendre les dispositions nationales conformes au droit européen et s'assurer de la pleine effectivité de l'ensemble des dispositions de ce règlement.

Le présent article procède donc à l'adaptation de certaines dispositions du code de la consommation afin de les rendre cohérentes avec la mise en oeuvre du règlement DSA. En premier lieu, les dispositions existantes qui sont applicables aux plateformes en ligne, en particulier aux places de marché numériques utilisées par de nombreux vendeurs, sont révisées afin d'assurer leur conformité au droit de l'Union. La définition d'une « plateforme en ligne », instituée par la loi du 7 octobre 2016 pour une République numérique, est remplacée par la définition prévue à l'article 3, point i), du DSA afin d'éviter toute contrariété. Les obligations de transparence et loyauté des contenus des plateformes en ligne (article L. 111-7 du code de la consommation) sont aménagées dans le respect du droit européen de la consommation.

Les infractions aux articles 25 et 30 à 32 du règlement DSA commises par les fournisseurs de places de marché en ligne sont punies d'une peine de deux ans d'emprisonnement et d'une amende de 300 000 euros, dont le montant peut être porté à 6 % du chiffre d'affaires hors taxe pour une personne morale (article L. 133-1 nouveau code de la consommation).

En cas d'infraction, la juridiction civile peut, à la demande de l'autorité administrative chargée de la concurrence et de la consommation et après que celle-ci en ait avisé le parquet, prendre une mesure d'injonction de mise en conformité assortie d'une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d'affaires mondial hors taxes journalier moyen réalisé au cours du dernier exercice clos (article L. 133-2 nouveau code de la consommation).

Des peines complémentaires d'interdiction d'une activité commerciale sont également prévues (article L. 133-3 nouveau code de la consommation)

Les agents CCRF sont habilités à rechercher et constater les infractions aux articles 25 et 30 à 32 du règlement DSA commises par les fournisseurs de places de marché en ligne (article L. 511-7-1 nouveau du code de la consommation).

Les enquêtes menées par les agents CCRF sont encadrées conformément aux exigences procédurales du règlement DSA. Les agents CCRF peuvent coopérer, dans l'exercice de leurs missions, avec les agents du coordinateur des services numériques (articles L. 512-66 à L. 512-68 nouveaux code de la consommation).

Le pouvoir de la DGCCRF d'enjoindre à une plateforme de suspendre un contenu illicite (article L. 521-3-1, créé par la loi n° 2020-1508 du 3 décembre 2020), qui n'est pas une mesure d'adaptation du DSA, fait l'objet d'adaptations en vue de conforter sa sécurité juridique au regard du règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits. En effet, l'article L. 521-3-1 dans sa rédaction actuelle ne permet de mettre pleinement en oeuvre l'injonction numérique en matière de sécurité des produits.

Les présentes dispositions modifient le code de la consommation afin d'adapter les dispositions nationales au droit européen et s'assurer de la pleine effectivité de l'ensemble des dispositions du règlement DSA.

Par ailleurs, l'article L. 521-3-1 de ce code nécessite d'être complété pour se conformer aux prescriptions du règlement (UE) 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits qui prévoit que les autorités chargées des contrôles, entrant dans le champ d'application du règlement, disposent d'un pouvoir de retrait des contenus illicites « lorsqu'il n'existe pas d'autre moyen de faire cesser un risque grave ».

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Les mesures retenues reposent sur un article unique dédié aux mesures d'adaptation nécessaires du code de consommation avec les dispositions du règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (DSA).

Elles procèdent principalement à l'adaptation du droit national au droit de l'UE pour donner aux autorités françaises en matière de protection des consommateurs les moyens de conduire des investigations nécessaires à la mise en oeuvre des obligations incombant aux fournisseurs de plateformes en ligne. Cette adaptation permet d'éviter que des règles nationales divergentes du droit de l'UE soient maintenues.

Ainsi, le règlement DSA nécessite de nombreuses mesures d'adaptation en droit national pour y inclure :

- La mise en cohérence avec les définitions et les obligations existantes, dont une part est propre au droit français (loi n°2016-1321 du 7 octobre 2016 pour une République numérique^282(*)) tandis que certaines dispositions découlent désormais du droit de l'Union (directive (UE) 2011/83 sur les droits des consommateurs, telle que modifiée par la directive « Omnibus » 2019/2161^283(*)) ;

- La définition d'un régime de sanctions ;

- La désignation de la DGCCRF pour le contrôle du bon respect de l'interdiction incombant aux opérateurs de plateformes en ligne de concevoir des « dark patterns » (article 25 du règlement « DSA ») et celui des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») ;

- Une adaptation des pouvoirs d'enquête et de sanction y afférentes.

1) La mise en cohérence avec les définitions et les obligations existantes

Il convient d'adapter le code de la consommation de manière cohérente avec le règlement DSA, alors que la notion de « plateforme en ligne » dans le droit national ne recouvre pas le même périmètre^284(*).

Or, le règlement DSA a introduit, à son article 3, une nouvelle définition de la plateforme en ligne (i)^285(*) et une nouvelle définition du moteur de recherche en ligne (j)^286(*). Par ailleurs, il considère les places de marché en ligne comme des sous-catégories de plateformes en ligne.

Il est donc envisagé de modifier l'article liminaire du code de la consommation afin d'insérer les définitions de « plateforme en ligne » et de « moteur de recherche en ligne » issues du DSA.

Les comparateurs en ligne inclus dans la définition actuelle de l'article L. 111-7 al.9 du code de la consommation ne relèvent pas du champ d'application du règlement DSA car ils ne sont pas définis en tant que fournisseur de service intermédiaire au sens du DSA. Par conséquent, la catégorie des comparateurs en ligne peut être maintenue en droit national et sa définition est insérée dans l'article liminaire du code de la consommation : « Comparateur en ligne : tout service de communication au public en ligne consistant en la fourniture d'informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels ».

Le règlement DSA édicte des mesures d'harmonisation totale auxquelles les Etats membres doivent se conformer strictement, sans possibilité de les adapter ou de les compléter, sauf si cette faculté est expressément prévue par le règlement^287(*). Le règlement prévoit que seules peuvent être maintenues les dispositions poursuivant des finalités différentes du règlement DSA ou constituant la transposition des actes juridiques de l'Union européenne, en matière de protection des consommateurs.

Les dispositions nationales relatives à la protection des consommateurs imposant des exigences supplémentaires aux opérateurs visés par le règlement DSA doivent donc être abrogées, à l'exception de celles qui transposent des actes juridiques de l'Union européenne.

L'article 6 de la directive 2011/83/UE^288(*) prévoit des obligations d'information concernant les contrats à distance, tout en permettant aux Etats membres d'imposer des exigences supplémentaires (paragraphe 8^289(*)), et son article 6 bis, introduit par l'article 4, 5) de la directive 2019/2161^290(*), ajoute des exigences spécifiques en matière d'information applicables aux contrats conclus sur des places de marché en ligne, en précisant qu'il « n'empêche pas les États membres d'imposer aux fournisseurs de places de marché en ligne des exigences supplémentaires en matière d'information » (paragraphe 2^291(*)).

Certaines dispositions de l'article L. 111-7 du code de la consommation vont aujourd'hui au-delà des exigences prévues par les articles 6 et 6 bis des directives précitées, notamment celle précisée à l'article D. 111-7 imposant aux plateformes (et pas seulement aux places de marché en ligne) de fournir au consommateur une information sur les modalités de référencement et de déréférencement des contenus des biens ou des services proposés ou mis en ligne.

Par conséquent, l'article L. 111-7 est modifié pour que ses dispositions soient rendues conformes au droit européen de la consommation :

- en supprimant la définition d'opérateur de plateforme en ligne issue de la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique prévue au I du L. 111-7 ;

- en conservant les obligations d'information prévues au II de l'article L. 111-7, excepté celles concernant les modalités de référencement et de déréférencement, pour les seuls fournisseurs de place de marché en ligne et de comparateurs en ligne.

L'article L. 111-7-1 actuel du code de la consommation impose à certains opérateurs mentionnés à l'article L. 111-7 des obligations non conformes au règlement DSA. En effet, cet article impose aux opérateurs dont le seuil de connexions mensuelles est au moins égal à cinq millions de visiteurs de diffuser aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté. Ces dispositions ne sont pas similaires à celles de la section 5 du règlement DSA pour les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche. Aussi bien leur champ d'application que les obligations qu'elles prévoient diffèrent. La section 5 du règlement DSA n'impose en effet d'obligations supplémentaires qu'aux plateformes et moteurs de recherche dont le nombre mensuel moyen de destinataires est au moins égal à 45 millions (article 33 du règlement) et non 5 millions. Par conséquent, il est proposé de supprimer l'article L. 111-7-1 pour être en conformité au règlement DSA.

Les dispositions de l'article L. 111-7-3 qui obligent les opérateurs de plateformes en ligne dont l'activité dépasse un seuil défini par décret à réaliser un audit de cybersécurité sont modifiées pour que cette obligation s'applique uniquement aux fournisseurs de plateformes en ligne, de moteurs de recherche en ligne et de comparateurs en ligne.

Enfin, les dispositions de l'article L. 224-42-4 relatif à la possibilité de certifier un service de comparateur en ligne des offres de services de communications électroniques sont modifiées pour tenir compte de l'introduction, à l'article liminaire du code de la consommation, de la définition de ce service.

2) La définition d'un régime de sanctions 

Conformément aux dispositions prévues au règlement DSA, le présent projet de loi prévoit d'introduire un régime de sanctions à l'encontre des fournisseurs de plateforme en ligne, à l'article L.133-1 au code de la consommation. Sont donc introduits une peine d'emprisonnement pouvant aller jusqu'à deux ans et une amende de 300 000 euros d'amende et dont le montant peut être porté à 6 % du chiffre d'affaires mondial (au cours de l'exercice précédent) pour une personne morale.

Ces sanctions peuvent être prises dès lors que le fournisseur de plateforme en ligne ne respecte pas :

- L'interdiction prévue à l'article 25 du règlement DSA faite aux plateformes en ligne de concevoir des « dark patterns », c'est-à-dire une interface en ligne de façon à tromper les consommateurs, à les manipuler ou à altérer ou entraver substantiellement de toute autre façon leur capacité à prendre des décisions libres et éclairées concernant la conclusion de contrats à distance avec des professionnels ;

- Les obligations de traçabilité des professionnels prévues à l'article 30 du règlement DSA ;

- Les obligations de conformité, dès sa conception, de l'interface en ligne prévues à l'article 31 de ce même règlement ;

- Les obligations d'information des consommateurs prévues par l'article 32 de ce règlement.

En outre, le présent projet de loi prévoit la création d'une injonction avec une astreinte journalière en insérant un article L. 133-2 au code de la consommation en cas d'infraction par un fournisseur de plateforme en ligne aux dispositions prévues à l'article L.133-1. Ainsi, la juridiction civile peut, à la demande de l'autorité administrative chargée de la concurrence et de la consommation et après que celle-ci en ait avisé le parquet, enjoindre le fournisseur de plateforme en ligne de se mettre en conformité et il peut assortir son injonction d'une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d'affaires mondial.

Le présent projet de loi prévoit également d'insérer un article L. 133-3 au code de la consommation pour créer un régime de sanctions complémentaires pour les personnes physiques en infraction aux dispositions prévues à l'article L. 133-1, en prévoyant l'interdiction soit d'exercer une fonction publique ou d'exercer l'activité professionnelle dans l'exercice de laquelle l'infraction a été commise, soit d'exercer une profession commerciale ou industrielle, ainsi que de diriger, d'administrer, de gérer ou de contrôler une entreprise commerciale ou industrielle ou une société commerciale.

Le projet de loi prévoit également que les personnes morales puissent être condamnées par des sanctions, temporaires ou définitives, prévues à l' article 131-39 du code pénal, dès lors qu'elles sont déclarées pénalement responsables des délits punis à l'article L. 133-1 du code de la consommation : la dissolution, l'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture d'établissement, l'exclusion des marchés publics, l'interdiction de procéder à une offre au public de titres financiers ou de faire admettre ses titres financiers aux négociations sur un marché réglementé, l'interdiction d'émettre des chèques, la confiscation, l'affichage de la décision prononcée ou la diffusion de celle-ci soit par voie de presse ou électronique, l'interdiction temporaire de percevoir des aides publiques, etc.

3) La désignation de la DGCCRF pour le contrôle du bon respect des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») ;

Le présent projet de loi insère un article L. 511-7-1 au code de la consommation pour habiliter spécifiquement les agents de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour rechercher et constater les infractions au règlement DSA.

4) Une adaptation des pouvoirs d'enquête et de sanctions afférentes

Le projet de loi insère une nouvelle section 4 au sein du chapitre II du titre I^er du livre V de ce code pour permettre la mise en oeuvre du régime de pouvoir spécifique des agents de la DGCCRF pour rechercher et constater les infractions au règlement DSA.

En particulier, un article L. 512-66 assure que la recherche et la constatation de ces infractions s'effectue en conformité avec les conditions d'indépendance qui sont prévues par les dispositions combinées du paragraphe 4 de l'article 49 et du paragraphe 2 de l'article 50 de ce règlement.

Un article L. 512-67 habilite les agents de la DGCCRF à exercer le pouvoir d'accès aux données de certaines plateformes en vue de veiller à la bonne application du règlement, dans les conditions prévues aux paragraphes 1 à 3 de son article 40.

Un article L. 512-68 au code de la consommation prévoit la coopération, dans l'exercice de leurs missions, entre les agents de la DGCCRF et les agents du coordinateur des services numériques. Ils peuvent se communiquer les informations et documents détenus ou recueillis dans l'exercice de leurs missions respectives.

Le projet de loi introduit en outre, à la section 2 du chapitre I^er du titre III de ce livre, un article L. 531-7 nouveau qui permet de sanctionner certaines entraves à l'enquête, notamment la fourniture d'informations inexactes, l'absence de fourniture d'information et le refus de se soumettre à une opération de visite et de saisie.

Par ailleurs, la rédaction de l'article L. 521-3-1 ne répond pas totalement aux prescriptions du règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits qui prévoit que les autorités chargées des contrôles, entrant dans le champ d'application du règlement, disposent d'un pouvoir de retrait des contenus illicites « lorsqu'il n'existe pas d'autre moyen de faire cesser un risque grave ».

Dans sa rédaction actuelle, l'article L. 521-3-1 du code de la consommation prévoit un champ d'application étendu non seulement aux règles en matière de loyauté et de protection des intérêts économiques des consommateurs, mais aussi aux règles en matière de sécurité des produits.

Cependant, il prévoit dans sa seconde hypothèse de recours que seul le non-respect d'une injonction prise sur le fondement de l'article L. 521-1 permet la mise en oeuvre d'une mesure de blocage. L'article L. 521-1 permet d'adresser à un professionnel une injonction dans le domaine de la loyauté et de la protection économique des consommateurs (par exemple en matière de pratiques commerciales trompeuses). Or, les injonctions en matière de conformité et de sécurité des produits et services sont pour leur part prises sur le fondement des articles L. 521-5 et suivants.

Ainsi, la mesure proposée permettra d'ordonner aux prestataires de services de la société de l'information (PSSI) de bloquer l'interface en ligne d'un professionnel qui continuerait de commercialiser un produit qui a été reconnu dangereux malgré une injonction lui ordonnant de cesser cette pratique.

Par ailleurs, la fourniture de certains services est également susceptible de constituer un risque grave pour la sécurité des consommateurs. En conséquence, il apparait nécessaire d'étendre le champ d'application de l'article L. 521-3-1 du code de la consommation à la sécurité des services.

Il est proposé d'élargir le recours aux mesures de l'article L. 521-3-1 du code de la consommation aux infractions mettant en jeu la santé ou la sécurité des consommateurs, lorsque le professionnel ne s'est pas mis en conformité suite à une injonction de l'administration.

La rédaction proposée réserve ce recours aux cas où le produit ou le service présente ou est susceptible de présenter un danger pour la santé et la sécurité des consommateurs, à l'exclusion de simples non-conformités du produit ou du service qui ne présenteraient pas un tel danger.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les mesures envisagées modifient l`article liminaire et les articles L. 111-7, L. 111-7-2, L. 111-7-3 (dans sa rédaction issue de la loi n° 2022-309 du 3 mars 2022), L. 112-8, L. 224-42-4, L. 521-3-1, L. 524-3 et L. 532-5 du code de la consommation.

Les mesures envisagées ajoutent des articles L. 133-1, L. 133-2, L. 133-3, L. 511-7-1, L. 512-66, L. 512-67, L. 512-68, et L.531-7 au code de la consommation.

Les mesures envisagées abrogent l'article L. 111-7-1 du code de la consommation.

Les dispositions envisagées ont pour objectif d'adapter les dispositions nationales pour les rendre conformes et permettre la mise en oeuvre en droit national du règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques DSA, en particulier ses articles 25, 30 à 32, 40 ainsi que son chapitre IV.

Les dispositions envisagées sont conformes au règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) 765/2008 et (UE) 305/2011.

Ce règlement prescrit, à son article 14 relatif aux pouvoirs des autorités de surveillance du marché : « le pouvoir, lorsqu'il n'existe pas d'autre moyen efficace pour éliminer un risque grave :

i) d'exiger le retrait du contenu d'une interface en ligne qui mentionne les produits concernés ou d'exiger l'affichage d'une mise en garde explicite des utilisateurs finals lorsque ceux-ci accèdent à une interface en ligne ; ou

ii) lorsqu'une injonction en application du point i) est restée sans suite, d'exiger du prestataire de services de la société de l'information qu'il restreigne l'accès à l'interface en ligne concernée, y compris en demandant à des tiers concernés d'appliquer de telles mesures. »

Ces mesures ont pour effet de protéger les consommateurs qui bénéficieront d'une meilleure identification des vendeurs tiers par les places de marché et contre la commercialisation de produits non conformes à la réglementation et susceptibles de constituer pour la santé ou la sécurité des consommateurs, du fait de leur utilisation en dépit d'une mesure de suspension de commercialisation ou de retrait du marché.

Elles sont de nature à améliorer la confiance des consommateurs dans leurs actes d'achat en ligne.

Les mesures proposées ne créent aucune obligation nouvelle pour les entreprises, mais elles dotent l'administration de nouveaux pouvoirs pour faire cesser la distribution ou la fourniture en ligne de produits ou services présentant un risque pour la santé ou la sécurité pour les consommateurs. 

Elles auront un impact positif indirect sur les entreprises vertueuses, qui seront moins pénalisées par la concurrence déloyale des opérateurs qui s'exonèrent du respect des règles relatives à la conformité et à la sécurité des produits et services et ne défèrent pas aux injonctions de l'administration en la matière.

Cette mesure n'aura pas d'impact direct sur les finances de l'Etat et/ou pour les autres personnes publiques.

En revanche, elle impliquera le déploiement de moyens supplémentaires pour mettre en oeuvre ces nouvelles dispositions. La désignation de la DGCCRF comme autorité compétente pour contrôler le respect de l'interdiction incombant aux opérateurs de plateformes en ligne de concevoir des « dark patterns » (article 25 du règlement « DSA »), ainsi que des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») générera une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

Ces nouvelles missions s'inscrivent dans le cadre des orientations stratégiques de la direction dans le domaine de l'économie numérique, dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française avec, d'une part, le développement du secteur numérique et, d'autre part, le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

Cette mesure n'aura pas d'impact sur les collectivités territoriales.

Ces mesures nécessitent des moyens supplémentaires en cours de définition pour la Direction générale de la concurrence, de la consommation et de la répression, des fraudes, ce qui lui permettra de mettre en oeuvre ses pouvoirs de manière efficace et mettre un terme à la distribution ou la fourniture de produits ou services présentant un risque pour la santé ou la sécurité des consommateurs (cf. supra 4.2.3).

Ces mesures sont de nature à favoriser la confiance des consommateurs dans leurs actes d'achat en ligne.

Cette mesure n'aura pas d'impact sur les personnes en situation de handicap.

Cette mesure n'aura pas d'impact sur l'égalité entre les femmes et les hommes.

Ces mesures apportent une protection supplémentaire pour un public particulièrement enclin aux achats en ligne. En effet, plusieurs études récentes viennent étayer ce constat.

Ainsi, les données de l'enquête sur les Technologies de l'information et de la communication conduite en 2021 par l'INSEE concernant l'achat sur internet selon l'âge montrent qu'en moyenne en 2021, 71,5 % des individus de 15 à 29 ans vivant dans un ménage ordinaire ont réalisé un achat sur internet au cours des trois derniers mois (82,7 % au cours des 12 derniers mois) contre 59,6 % pour l'ensemble de la population (respectivement 69,1 % au cours des 12 derniers mois). A noter que pour la tranche d'âge des 30-44 ans, ce sont 77 % des individus qui ont effectué un achat sur internet au cours des trois derniers mois (86,4 % au cours des 12 derniers mois).

De même, selon l' édition 2022 du Baromètre du Numérique réalisé par le CREDOC pour le Conseil Général de l'Economie (CGE), l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) et l'Agence Nationale de la Cohésion des Territoires (ANCT), « parmi les personnes effectuant des achats en ligne, ce sont les jeunes adultes qui achètent le plus fréquemment : 20 % des 18-24 ans et 19 % des 25-39 ans acheteurs sur internet font des commandes une à deux fois par semaine en ligne, contre 13 % en moyenne dans la population d'acheteurs ». A noter que les 12-17 ans, qui comptent de plus en plus d'acheteurs en ligne, présentent également une fréquence d'achats élevée (16 % achètent une à deux fois par semaine, 38 % tous les mois). Le baromètre précise notamment que « le succès de « l'ultra fast fashion » qui cible très largement les adolescents, et des sites d'achat et revente de produits d'occasion en ligne y contribuent possiblement ».

Enfin, un sondage réalisé par Odoxa sur la génération Z (individus de moins de 25 ans) publié en février 2023 par la Fédération du e-commerce et de la vente à distance (FEVAD) conclut que « le e-commerce continue de remporter l'adhésion d'une très grande majorité de consommateurs (90%) et fait l'unanimité chez la génération Z (97%) qui réalise 40,5% de ses achats habituels sur internet (29,5% pour l'ensemble de la population) ».

Cette mesure n'aura pas d'impact sur les professions règlementées.

Ces mesures auront un impact sur les particuliers qui bénéficieront d'une meilleure identification par les places de marché des vendeurs tiers qui exercent leur activité sur les places de marché, ainsi que pour protéger efficacement les particuliers contre la commercialisation de produits ou services non conformes à la réglementation et présentant ou étant susceptible de présenter un caractère dangereux.

Cette mesure n'aura pas d'impact environnemental.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

La mesure n'est pas soumise à consultations obligatoires et aucune consultation facultative n'a été conduite.

Les dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

En application du principe d'assimilation législative, et conformément aux dispositions des articles LO 6413-1, LO 6213-1 et LO 6313-1 du code général des collectivités territoriales, les mesures prévues dans cet article s'appliqueront de plein droit à Saint-Martin, Saint-Pierre-et-Miquelon et Saint-Barthélemy, sans qu'il soit besoin de prévoir une mention expresse d'applicabilité, le droit de la consommation restant une compétence de l'Etat. Aucune mesure d'adaptation n'y est en outre prévue.

En l'absence de mention expresse, les dispositions de l'article 26 ne seront pas applicables à Wallis-et-Futuna.

Concernant la Nouvelle-Calédonie et la Polynésie française, les dispositions d'adaptation au règlement DSA ne s'appliqueront pas, en application des règles de répartition de compétences entre l'Etat et les collectivités concernées conformément aux lois organiques qui les régissent. Celles-ci leur attribuent compétence sur les questions de consommation.

Les présentes dispositions ne requièrent aucune mesure d'application.

1. ÉTAT DES LIEUX

Le Règlement (UE) 2022/1925 du parlement européen et du conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828, ou « règlement sur les marchés numériques » (DMA), propose une régulation « ex ante », de prévention, qui vise à remédier aux effets des positions acquises des plateformes numériques structurantes, en imposant aux « contrôleurs d'accès » des obligations et interdictions d'application immédiate (auto-exécutoires).

Ces obligations et interdictions ont été conçues, pour ne pas entraver l'innovation, la compétitivité et la croissance, et pour favoriser l'émergence de nouvelles plateformes concurrentes au niveau européen, au bénéfice de leurs utilisateurs, entreprises, professionnels et consommateurs. Ces obligations et interdictions ont vocation à empêcher les contrôleurs d'accès de mettre en oeuvre des pratiques considérées comme limitant la contestabilité de certains services offerts par ces acteurs ou comme déloyales. De telles pratiques sont considérées comme telles dès lors que i) elles sont susceptibles d'entraver l'innovation et de limiter le choix des utilisateurs professionnels et finaux en affectant durablement le degré de contestabilité d'un service (par création ou renforcement de barrières à l'entrée) ou en empêchant des concurrents d'accéder dans les mêmes conditions à un intrant clé de la plateforme, ii) il existe un déséquilibre entre les droits et les obligations des utilisateurs professionnels conférant à la plateforme un avantage disproportionné par rapport au service fourni. Ainsi, les objectifs promus par le règlement sur les marchés numériques sont la contestabilité et l'équité.

Le champ du règlement sur les marchés numériques est défini par deux concepts. En premier lieu, les « services de plateforme essentiels » (au nombre de dix, listés dans le texte) sont des services identifiés comme constituant des « passerelles » quasi-incontournables entre utilisateurs professionnels et finaux. Il s'agit :

- des services d'intermédiation en ligne (parmi lesquels les places de marché),

- des moteurs de recherche,

- des réseaux sociaux,

- des plateformes de partage de vidéos en ligne,

- des services de communications interpersonnelles non fondées sur la numérotation,

- des systèmes d'exploitation,

- des services d'informatique dans le nuage,

- des services de publicité en ligne,

- des navigateurs,

- des assistants virtuels.

En second lieu, les « contrôleurs d'accès », les fournisseurs de services de plateformes essentiels les plus importants, sont les acteurs présentant cumulativement trois critères : i) une taille qui impacte le marché intérieur (un chiffre d'affaires annuel de 7,5 milliards d'euros dans l'espace économique européen ou une capitalisation boursière annuelle moyenne de 75 milliards d'euros), ii) le contrôle d'un service « passerelle », qui implique annuellement plus de 45 millions d'utilisateurs finaux et 10 000 utilisateurs professionnels, iii) une position bien établie et durable sur le marché intérieur européen (vérification des deux critères précédents sur les trois dernières années).

Le règlement sur les marchés numériques dote la Commission européenne de forts pouvoirs d'enquête, inspirés de ceux prévus dans le Règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en oeuvre des règles de concurrence prévues aux articles 81 et 82 du traité, et de sanctions, pouvant s'élever jusqu'à 10% du chiffre d'affaires annuel mondial du contrôleur d'accès, 20% en cas de réitération (sur une période de huit ans). En cas de non-respect systématique de ses obligations par un contrôleur d'accès (trois constats de non-respect sur une période de huit ans), le règlement sur les marchés numériques prévoit deux pouvoirs exceptionnels : i) la possibilité d'imposer des remèdes structurels (obligation de céder certaines activités par exemple), ii) la possibilité d'interdire provisoirement toute nouvelle acquisition d'entreprise ayant la même activité que celle mise en cause dans les infractions.

La Commission européenne est la seule autorité à pouvoir prendre des décisions sur le fondement du règlement sur les marchés numériques (décisions de désignation des contrôleurs d'accès, de spécification des obligations, de non-respect des obligations, de sanctions...), de manière à garantir l'uniformité, l'harmonisation et la sécurité juridique de la régulation sur l'ensemble du territoire européen.

Comme développé infra, le règlement sur les marchés numériques vient compléter les règles de concurrence existantes de l'Union européenne et nationales, sans limiter la possibilité des autorités compétentes d'intervenir en vertu de ces règles.

Du fait de la proximité et de la complémentarité de leurs actions, il est prévu à l'article 38 du DMA que les autorités de concurrence en charge de l'application de ces règles de droit, l'Autorité de la concurrence et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) sur le territoire national, et la Commission européenne coopèrent et échangent des informations pour analyser les différentes pratiques et décider de leurs interventions respectives pour une plus grande efficacité. Ces échanges devront avoir lieu dans le cadre du Réseau Européen de Concurrence. Concrètement, la mise en oeuvre de ce système de coopération et d'échange d'information impliquera pour ces autorités d'informer la Commission européenne de tout lancement d'enquête concernant un contrôleur d'accès désignés comme tel par la Commission européenne (sur le fondement des règles nationales de concurrence) et d'informer la Commission de tout projet de décision sanctionnant un contrôleur d'accès au moins trente jours avant son adoption.

En outre, le règlement sur les marchés numériques prévoit dans ce même article 38, paragraphe 7, que les autorités de concurrence des États Membres qui le prévoiront dans leur cadre législatif national seront en mesure de conduire, de leur propre initiative, des enquêtes visant à faire des constats relatifs à la conformité des contrôleurs d'accès avec les règles imposées par le règlement sur les marchés numériques. Le cas échéant, elles devront informer la Commission européenne en amont de toute mesure formelle d'investigation. Les résultats de cette investigation devront également lui être transmis. Si la Commission venait à se saisir d'un cas, toute autre autorité en serait automatiquement dé-saisie.

Dans sa décision n° 2022-841 DC du 13 août 2022, le Conseil constitutionnel rappelle que la transposition en droit interne d'une directive de l'Union européenne ou l'adaptation du droit interne à un règlement de l'Union européenne résultent d'une exigence constitutionnelle. Toutefois, ces mesures ne peuvent aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf si le constituant y a consenti. Le Conseil constitutionnel doit donc veiller au respect de cette exigence, mais il n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne.

En l'espèce, les dispositions de l'article 27 consistent pour le législateur français à élargir le système préexistant de la régulation concurrentielle, déjà respectueux des droits fondamentaux des parties, pour l'adapter à l'entrée en vigueur du DMA et permettre à la DGCCRF et à l'ADLC de veiller et contribuer à sa mise en oeuvre effective sur le territoire national.

Sous l'influence du juge constitutionnel, les principes du procès équitable sont transposés dans leur intégralité en droit de la concurrence français. Lorsque les autorités administratives interviennent dans le cadre d'une procédure susceptible d'aboutir au prononcé de sanctions pécuniaires, elles sont soumises à l'ensemble des principes liées aux droits de la défense (principe de la légalité des délits et des peines, principe du contradictoire, délai raisonnable, etc.) et au respect de la séparation des fonctions d'instruction et de décision (indépendance, impartialité etc.).

Ainsi, le Conseil constitutionnel a considéré qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, peut exercer un pouvoir de sanction à condition que la sanction susceptible d'être infligée soit exclusive de toute privation de liberté et que l'exercice du pouvoir de sanction soit assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis^292(*). Le Conseil constitutionnel a également précisé que devaient être en particulier respectés le principe de la légalité des délits et des peines ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle^293(*).

Le règlement sur les marchés numériques vient compléter les règles de concurrence existantes de l'Union européenne et nationales. Il vise les pratiques déloyales des contrôleurs d'accès qui ne relèvent pas de ces règles de concurrence existantes et qui ne peuvent pas être couvertes aussi efficacement par ces règles. En particulier, l'application des règles en matière de pratiques anticoncurrentielles i) concerne la situation de marchés spécifiques préalablement définis, les marchés pertinents, ii) implique une intervention des autorités de concurrence après que la pratique restrictive ou abusive s'est produite (ex post) et iii) implique des procédures d'enquête longues pour établir l'existence d'une l'infraction. Le règlement sur les marchés numériques vise à remédier aux conséquences structurelles néfastes des pratiques déloyales de manière préventive (ex ante), sans limiter toutefois la possibilité des autorités compétentes d'intervenir ex post en vertu des règles de concurrences nationales et de l'UE.

Ainsi, le règlement s'applique sans préjudice de l'application : i) des articles 101 et 102 TFUE relatifs aux règles de concurrence applicables aux entreprises, ii) des règles nationales de concurrence interdisant les accords anticoncurrentiels, les décisions d'associations d'entreprises, les pratiques concertées et les abus de position dominante et des règles nationales de concurrence interdisant d'autres formes de comportement unilatéral dans la mesure où elles s'appliquent à des entreprises autres que les contrôleurs d'accès ou reviennent à imposer des obligations supplémentaires aux contrôleurs d'accès ( Livre IV, Titre II du code de commerce et Livre IV, titre IV, Chapitre II du code de commerce), iii) du règlement (CE) nº 139/2004 du Conseil relatif au contrôle des concentrations entre entreprises et des règles nationales relatives au contrôle des concentrations ( Livre IV, Titre III du code de commerce).

Le règlement s'aligne par ailleurs sur d'autres instruments de l'UE, dont la charte des droits fondamentaux de l'UE et la Convention européenne des droits de l'homme, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ou « règlement général sur la protection des données » (RGPD), et l'acquis de l'Union en matière de protection des consommateurs.

En particulier, le règlement sur les marchés numériques vient compléter et s'articuler avec les lois sur la protection des données, certaines obligations imposées aux contrôleurs d'accès encadrant le traitement, la combinaison, l'utilisation des données à caractère personnel, et recourant au recueil du consentement au sens du RGPD (notamment l'article 5 paragraphe 1 du DMA). Le règlement précise également qu'il revient aux contrôleurs d'accès de veiller à ce que le respect des obligations énoncées dans le règlement se fasse en pleine conformité avec les autres dispositions de la législation de l'UE, notamment en matière de protection de la vie privée et des données à caractère personnel ou de protection des consommateurs.

Enfin, le règlement sur les marchés numériques est cohérent avec la régulation sectorielle, européenne et appliqué au niveau national, telle que les règles applicables aux services de communications électroniques issues de la Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen.

Le règlement sur les marchés numériques est entré en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne, le 10 octobre 2022, et entrera en application complète le 2 mai 2023.

Nous ne disposons pas à ce stade d'éléments permettant utilement de faire un état des lieux comparé de la mise en oeuvre du règlement dans les Etats membres de l'Union européenne.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Bien que le règlement sur les marchés numériques soit d'application directe, quelques adaptations du code de commerce sont nécessaires afin de s'assurer de la pleine effectivité de l'ensemble de ses dispositions en France. En particulier, il s'agit de s'assurer de l'efficacité du dispositif de coopération et de coordination instauré entre les autorités de concurrence intervenant au niveau national et la Commission européenne, pour la mise en oeuvre du règlement et son articulation avec les règles nationales de concurrence.

Dans cette perspective, il est nécessaire de compléter les dispositions du code de commerce, en introduisant la possibilité pour l'Autorité de la concurrence et pour la DGCCRF de porter assistance à la Commission européenne dans le cadre de la mise en oeuvre par cette dernière des dispositions du règlement.

En outre, le règlement sur les marchés numériques prévoit explicitement, pour le législateur national, la possibilité d'attribuer à ces autorités de concurrence d'ouvrir et de conduire des enquêtes sur des cas éventuels de non-conformité des contrôleurs d'accès désignés par la Commission européenne à leurs obligations sur le territoire national. Le code de commerce doit donc être complété, pour élargir les habilitations respectives de l'Autorité de la concurrence et de la DGCCRF détenues au titre de l'application des règles de concurrence à cette possibilité.

Le code de commerce doit également être complété pour préciser que le ministre de l'Economie est compétent pour solliciter auprès de la Commission européenne, pour la France, l'ouverture d'une enquête de marché prévue par le règlement sur les marchés numériques.

Par ailleurs, il est important d'apporter de la visibilité à certaines dispositions du règlement sur les marchés numériques, au bénéfice des entreprises utilisatrices et des utilisateurs finaux présents sur le territoire national, susceptibles de subir les effets négatifs des comportements des contrôleurs d'accès. C'est le cas des dispositions du règlement (article 27) qui prévoient la possibilité pour ces acteurs de fournir aux autorités de concurrence nationales, l'Autorité de la concurrence et la DGCCRF, des renseignements portant sur tout comportement ou pratique mis en oeuvre par les contrôleurs d'accès et relevant du champ d'application du règlement et qui en précise les modalités.

Les entreprises utilisatrices ou les utilisateurs finaux peuvent, en application du règlement sur les marchés numériques, porter leur litige devant les juridictions nationales afin d'obtenir un dédommagement. Pour des questions de cohérence et d'harmonisation sur le marché intérieur, le règlement prévoit la coopération des juridictions nationales dans sa mise en oeuvre (article 39), avec notamment un système de communication et d'intervention de la Commission dans les procédures, la Commission étant seule en mesure de prononcer des sanctions en ce qui concerne le respect des dispositions du règlement. Compte tenu de la technicité de cette règlementation et de la facilitation de leur coopération obligatoire avec la Commission, la spécialisation des tribunaux chargés de traiter ces litiges est nécessaire, tout comme elle l'est en matière de pratiques restrictives de concurrence, pour les pratiques civilement sanctionnées (D. 442-3 et D. 442-4 du code de commerce), ainsi que pour les litiges civils en matière de pratique anticoncurrentielle (article L. 420-7 du code de commerce).

Les présentes dispositions visent à assurer la pleine effectivité de l'ensemble des dispositions du règlement sur les marchés numériques en France.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Les mesures retenues reposent sur un article unique dédié aux mesures d'adaptation nécessaires du code de commerce avec les dispositions du règlement (UE) 2022/1925 du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique.

Elles procèdent principalement à l'adaptation du droit national au droit de l'Union européenne pour donner aux autorités françaises de concurrence les moyens de conduire des investigations et de coopérer avec la Commission européenne sur les pratiques des contrôleurs d'accès, compte tenu de la nature transfrontière des services de plateforme essentiels que ces acteurs proposent. Cette adaptation participe à éviter que des règles nationales divergentes soient retenues et à éviter la fragmentation de la réglementation.

L'article 27 vient modifier l'article L. 420-7 du titre II du livre IV du code de commerce.

Les dispositions introduites actualisent la référence au droit européen en substituant les articles 101 et 102 du traité sur le fonctionnement de l'Union européenne aux anciens articles 81 à 83 du traité instituant la communauté européenne, et prévoient que les litiges relatifs à l'application des règles contenues dans le règlement sur les marchés numériques et les litiges dans lesquels ces règles sont invoquées sont attribués aux juridictions spécialisées qui sont déjà en charge du contentieux de la concurrence.

Pour rappel, le siège et le ressort de ces juridictions civiles ou commerciales sont par ailleurs fixés par décret en Conseil d'Etat (articles R. 420-3, R. 420-4 et R. 420-5, D. 442-2 et D. 442-3 du code de commerce). Il s'agit, en application de ces articles, des tribunaux judiciaires et des tribunaux de commerce (ou tribunaux mixtes de commerce) de Marseille, Bordeaux, Lille, Fort-de-France, Lyon, Nancy, Paris et Rennes. La compétence de ces juridictions spécialisées englobe, pour chacune, le ressort de plusieurs cours d'appel, et distingue selon que les personnes visées par la cause sont ou non commerçants ou artisans pour attribuer compétence à des tribunaux judiciaires ou des tribunaux de commerce, suivant le même découpage territorial.

L'article 27 vient modifier le titre V du code de commerce, en le complétant d'un article L. 450-11.

Ces dispositions précisent que l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités conformément aux dispositions de l'article L. 450-1 sont les autorités nationales chargées de faire appliquer les règles visées à l'article 1^er, paragraphe 6 du règlement sur les marchés numériques. Ces règles sont les articles 101 et 102 du TFUE et les règles de concurrence nationales.

L'article 27 vient modifier le titre V du code de commerce, en le complétant d'un article L. 450-12.

Premièrement, les dispositions introduites actualisent la référence au droit européen en substituant les articles 101 à 103 du traité sur le fonctionnement de l'Union européenne aux anciens articles 81 à 83 du traité instituant la Communauté européenne, ainsi que les articles 107 et 108 du traité sur le fonctionnement de l'Union européenne aux anciens articles 87 à 88 du traité instituant la Communauté européenne.

Deuxièmement, il est inscrit dans le présent article que le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités, et l'Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus par les articles du livre IV du code de commerce pour mettre en oeuvre certaines dispositions du règlement sur les marchés numériques, en substance :

- pour les missions d'assistance à la Commission européenne prévues par le règlement et en particulier le pouvoir de mener des auditions et de recueillir des déclarations (article 22 paragraphe 2), le pouvoir d'effectuer des inspections (article 23 paragraphes 3, 4, et 7 à 10) et la conduite d'enquête de marché (article 38, paragraphe 6),

- pour l'ouverture et la conduite d'investigation sur un cas de non-respect éventuel des obligations imposées aux contrôleurs d'accès, obligations prévues par les articles 5, 6 et 7 du règlement, en application de l'article 38 paragraphe 7 de celui-ci. A ce titre, en application directe des dispositions du règlement sur les marchés numériques, le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités, et l'Autorité de la concurrence doivent informer la Commission européenne préalablement à la première mesure d'enquête formelle sur un cas de non-respect éventuel des articles 5, 6 et 7 du règlement et transmettre à la Commission européenne les résultats de ces enquêtes.

L'article 27 crée, dans le chapitre II du titre VI du livre IV du code de commerce, un article L. 462-9-2.

Ces dispositions précisent que l'Autorité de la concurrence d'une part, et le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités d'autre part, sont les autorités compétentes pour recevoir, en application des dispositions du l'article 27 du règlement, les renseignements en provenance de tiers concernant toute pratique ou tout comportement des contrôleurs d'accès relevant du champ d'application du règlement. Dans ce cadre, en application directe des dispositions de l'article 27 du règlement, l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires habilités, ont toute latitude en ce qui concerne les mesures appropriées et ne sont pas tenues de donner suite aux renseignements reçus. Lorsque, à partir des faits invoqués dans les renseignements reçus, ces autorités déterminent qu'il peut y avoir un cas de non-respect du règlement, ils transmettent ces informations à la Commission européenne.

L'article 27 vient modifier le titre IX du livre IV du code de commerce, en modifiant l'article L. 490-9.

Ces dispositions précisent que le ministre chargé de l'économie ou son représentant est habilité à adresser à la Commission européenne une demande d'ouverture d'enquête de marché en application de l'article 41 du règlement sur les marchés numériques.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les mesures envisagées vont permettre aux autorités françaises en charge de l'application du droit de la concurrence (l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires habilités) d'élargir leurs compétences actuelles et d'assurer la coopération avec la Commission européenne dans la mise en oeuvre du règlement 2022/1925 du Parlement et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et dans le respect des exigences contenues dans ce règlement.

L'adaptation est opérée principalement via des compléments et modifications apportés à des articles existants du code de commerce et des créations d'articles :

- L'article L. 420-7 est complété,

- Les articles L. 450-11 et L. 450-12 sont créés,

- L'article L. 462-9 est modifié,

- L'article L. 462-9-2 est créé.

- L'article L. 490-9 est modifié.

Les présentes dispositions visent à assurer la pleine effectivité de l'ensemble des dispositions du règlement sur les marchés numériques en France. Le règlement s'articule quant à lui avec les règles de concurrence existantes de l'Union européenne et nationales (cf. supra, 1.3.) et avec d'autres textes européens (RGPD notamment).

Le considérant 12 du DMA précise que le règlement s'applique sans préjudice des règles qui découlent d'autres actes du droit de l'Union européenne régissant certains aspects de la fourniture de services couverts par le présent règlement, en particulier les règlements (UE) 2016/679 et (UE) 2019/1150 du Parlement européen et du Conseil et le règlement relatif à un marché intérieur des services numériques, les directives 2002/58/CE, 2005/29/CE, 2010/13/UE, (UE) 2015/2366, (UE) 2019/790 et (UE) 2019/882 du Parlement européen et du Conseil et la directive 93/13/CEE du Conseil, ainsi que les règles nationales visant à mettre en oeuvre ou à transposer ces actes juridiques de l'Union européenne.

Néant.

Les nouveaux dispositifs exigeront la coopération des entreprises qui font l'objet d'une enquête, mais ne devraient pas entraîner des coûts supplémentaires importants, ces entreprises étant déjà susceptibles de faire l'objet d'investigation au titre des règlementations nationales, notamment de concurrence (pratiques anticoncurrentielles, pratiques restrictives de concurrence).

En évitant la fragmentation de la réglementation, les dispositifs assurent une meilleure protection des entreprises utilisatrices dépendantes des contrôleurs d'accès, et limitent les coûts de mise en conformité pour ces derniers. Ils contribueront au développement, y compris au-delà des frontières, des jeunes et petites entreprises pour atteindre de nouveaux marchés et de proposer des produits de meilleure qualité et plus diversifiés à des prix plus compétitifs et, le cas échéant, de devenir des concurrents des acteurs établis dans le secteur numérique.

Cette mesure n'aura pas d'impact significatif direct sur les finances de l'Etat et/ou pour les autres personnes publiques.

En revanche, elle impliquera le déploiement de moyens supplémentaires pour les autorités nationales de concurrence (Autorité de la concurrence et la DGCCRF), s'agissant notamment des missions d'assistance à la Commission européenne prévues par le règlement et des enquêtes, conduites de leur propre initiative, visant à faire des constats relatifs à la conformité des contrôleurs d'accès avec les règles imposées par ce règlement.

Afin d'accompagner cette extension d'activité, mais aussi d'assurer une veille sur l'activité des plateformes numériques, des renforts d'effectifs sont nécessaires. Ces demandes de mesures nouvelles - en cours de calibrage - s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

Néant.

Ces nouveaux dispositifs répliquent des compétences d'enquêtes et des modalités de coopération déjà existantes au titre du droit de la concurrence. Ils en élargissent cependant le champ pour les services administratifs concernés que sont l'Autorité de la concurrence et la DGCCRF. En effet, la Commission européenne, seule autorité habilitée à constater et sanctionner les infractions au DMA commises par les contrôleurs d'accès, s'appuiera sur les autorités de concurrence nationales au sens de l'article 1 paragraphe 6 du DMA (Autorité de la concurrence et DGCCRF) pour veiller au bon fonctionnement des marchés sur leur territoire et aux comportements et pratiques des contrôleurs d'accès susceptibles d'entrer dans le champ du DMA, et pour, dans le cadre de la coopération instaurée, coordonner leurs interventions respectives pour garantir l'efficacité et l'effectivité de la régulation mise en place. Cette activité supplémentaire se traduira par des besoins de renforts en ETP, en cours de définition (cf. supra point 4.2.3). Ils nécessiteront potentiellement un ajustement lorsque la régulation prévue par le DMA sera effective (la mise en conformité des contrôleurs d'accès devant s'effectuer dans les six mois après leur désignation en tant que tels, un calendrier prévisionnel prévoit cette période entre août 2023 et août 2024).

Concernant les pouvoirs judiciaires, ces dispositifs impliquent de confier aux huit juridictions spécialisées, qui sont déjà en charge du contentieux de la concurrence, les litiges relatifs à l'application des règles contenues dans le règlement (UE) 2022/1925. La juridiction d'appel centralisée à la cour d'appel de Paris, préalablement instituée par l'article L. 420-7 du code de commerce, prendra naturellement en charge les appels concernant ces nouveaux litiges.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

Une consultation des cours d'appel compétentes sur le ressort des tribunaux judiciaires concernés par la modification de l'article L. 420-7 du code de commerce a été engagée par la direction des services judiciaires du Ministère de la Justice.

Les dispositions entreront en vigueur le lendemain de la date de publication de la loi au Journal Officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale du DMA dans ces collectivités, y compris pour celles de ses dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35 du présent projet de loi.

En l'absence de mention expresse, les dispositions de l'article 27 ne seront pas applicables à Wallis-et-Futuna. Concernant la Nouvelle-Calédonie et la Polynésie française, les modifications apportées au code de commerce par l'article 27 concernent des dispositions qui ne sont pas applicables dans ces territoires.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale du DMA dans ces collectivités, y compris pour celles de ses dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35.

Les présentes dispositions n'appellent aucune mesure d'application.

1. ÉTAT DES LIEUX

Le cadre législatif européen sur les services numériques repose sur la directive 2000/31 sur le commerce électronique (ci-après « directive e-commerce »), adoptée en 2000 au niveau européen et transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (ci-après « LCEN »). Pierre angulaire du marché unique des services numériques, cette directive a établi les principes fondateurs encadrant ce marché : le régime de responsabilité limitée des hébergeurs, l'interdiction de surveillance généralisée des contenus et de recherche active et le principe dit « du pays d'origine » qui prévoit que les prestataires de services de la société de l'information doivent se conformer à la législation de leur pays d'établissement.

Néanmoins, depuis 2000 les pratiques, les techniques, le marché et l'écosystème numérique dans sa globalité a considérablement évolué. Plusieurs géants du numérique tels que Facebook (lancé en 2004), YouTube (2005), ou TikTok (2017) ont émergé et compte aujourd'hui des milliards d'utilisateurs dans le monde. En parallèle, le nombre de contenus illicites sur internet s'est considérablement accru : dans son étude d'impact sur le règlement sur les services numériques la Commission européenne souligne l'explosion du nombre de signalements d'images pédopornographiques en ligne, passés de 23 000 en 2010 à plus de 725 000 en 2019.^294(*)

Cette directive e-commerce a donc montré certaines limites, notamment dans la lutte contre la prolifération de contenus illicites, aussi d'autres textes européens sectoriels sont venus la compléter en établissant des règles supplémentaires pour certaines catégories de contenus en ligne tels que les contenus terroristes^295(*) ou des contenus de médias audiovisuels relatifs aux plateformes de partage de vidéos^296(*), transposée en France par l'ordonnance n° 2020-1642 du 21 décembre 2020. En parallèle, la France avait préalablement introduit dans sa législation nationale des dispositions spécifiques visant à une meilleure protection des utilisateurs en ligne, notamment par la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.

Au vu du risque de fragmentation entre les différentes législations nationales, la Commission européenne a présenté en décembre 2020 une proposition de règlement 2022/2065 relatif à un marché intérieur des services numériques (« règlement sur les services numériques » ci-après) également appelé Digital Services Act (DSA), conjointement à sa proposition de règlement Digital Markets Act (ci-après « règlement sur les marchés numériques » - voir article 17).

Ce règlement européen vise à compléter et approfondir la directive e-commerce, tout en réaffirmant les principes clés de cette dernière, afin de créer un espace numérique plus sûr et renforcer la lutte contre la dissémination des contenus illicites, dangereux ou préjudiciables en ligne et éviter les atteintes injustifiées à la liberté d'expression. Pour ce faire, le règlement vient compléter le champ de la directive e-commerce (FAI, cache et hébergeurs) en introduisant une nouvelle catégorie de services intermédiaires en ligne, les « plateformes en ligne », ainsi que sa sous-catégorie de « très grandes plateformes en ligne » (plus de 45 millions d'utilisateurs actifs mensuels au sein de l'Union européenne). Ces plateformes devront prendre des mesures efficaces de modération des contenus sur leurs services pour lutter contre la dissémination de contenus illicites et préjudiciables et renforcer la transparence sur leurs pratiques de modération. Ce règlement a été définitivement voté par le Parlement européen en juillet 2022 et approuvé par le Conseil de l'UE le 4 octobre 2022. Il a été publié le 27 octobre 2022 et entrera en application le 17 février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès la mi-2023.

Le règlement sur les services numériques est un règlement horizontal d'harmonisation totale qui prévoit dans son considérant 9 que « les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant du champ d'application du présent règlement, sauf si le présent règlement le prévoit expressément, car cela porterait atteinte à l'application directe et uniforme des règles pleinement harmonisées applicables aux fournisseurs de services intermédiaires conformément aux objectifs du présent règlement », ce qui interdit donc aux Etats membres de prévoir des mesures en droit national qui vont au-delà de ce qu'il prescrit pour le même champ d'application. Il est donc nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le règlement sur les services numériques qui poursuivent les mêmes objectifs que ceux du règlement.

Les articles 15 à 24 de la présente loi procèdent à des modifications de la LCEN, de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (ci-après « Loi Léotard »), du Code électoral, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information (ci-après « Loi infox ») et de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (ci-après « Loi Bichet ») aux fins de la mise en oeuvre en France du règlement sur les services numériques et de la mise en cohérence de certaines de ces dispositions avec les termes du règlement. D'autres textes nationaux sont également affectés par ce règlement européen, notamment le code de la consommation sur la partie « consommation » du règlement sur les services numériques (voir article 16) ainsi que la loi informatiques et libertés s'agissant du volet données personnelles du règlement (voir article 22).

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'États qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ».

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent ainsi d'une exigence constitutionnelle.

Les articles 28 à 30 et 33 à 34 du présent projet de loi ont pour objet principal de tirer les conséquences nécessaires des dispositions du DSA. L'impact des obligations prévues par ce dernier sur l'exercice du droit à la vie privée, sur la liberté d'expression ou encore sur la liberté d'entreprendre, découle directement du règlement européen.

Le DSA accorde néanmoins, sur quelques points, certaines marges de manoeuvre aux Etats membres. Il leur revient notamment de :

- désigner l'autorité ou les autorités compétentes pour la supervision des obligations prévues par le règlement au niveau national, et de désigner parmi ces autorités, une autorité de coordination ;

- clairement définir les missions respectives des autorités compétentes ainsi désignées et de prévoir les modalités de leur coopération ;

- fixer les conditions et procédures spécifiques pour l'exercice des pouvoirs prévus à l'article 51 du DSA.

Le DSA précise en outre que les Etats membres doivent veiller à ce que tout exercice de ces pouvoirs soit soumis à des mesures de sauvegarde appropriées établies dans le droit national applicable en conformité avec la Charte et les principes généraux du droit de l'Union. Plus particulièrement, ces mesures ne sont prises qu'en conformité avec le droit au respect de la vie privée et les droits de la défense, y compris les droits d'être entendu et d'avoir accès au dossier, et le droit à un recours juridictionnel effectif pour toutes les parties affectées.

En particulier, le 5° de l'article 28 du présent projet de loi vise à clairement définir les missions d'une autorité compétente, en l'espèce l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), vis-à-vis d'une catégorie d'acteurs partiellement couverte par une législation antérieure, la Directive (UE) 2018/1808 du Parlement européen et du Conseil du 14 novembre 2018 modifiant la directive 2010/13/UE (ci-après « directive SMA »).

Les autres dispositions des articles 28 à 30 et 33 à 34 du présent projet de loi se bornent à prévoir les adaptations du droit national rendues nécessaires par le DSA et ont pour objectif de préserver la cohérence des dispositions existantes. Elles ne présentent donc pas de risque particulier de contrariété avec une règle ou norme de valeur constitutionnelle.

Les dispositions des articles 28 à 30 et 33 à 34 du présent projet de loi visent à adapter le cadre national au règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques. Ce texte modifie la directive 2000/31/CE sur le commerce électronique, qui a été transposée en France par la LCEN. Certaines règles prévues par la directive restent en substance inchangées, notamment celles sur le régime de responsabilité des services d'hébergement, mais contrairement à la directive, le règlement est d'harmonisation maximale, ce qui interdit aux Etats membres de prévoir des règles plus spécifiques ou plus contraignantes que celles prévues par le texte.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

S'agissant des articles 28 à 30 et 33 à 34 du présent projet de loi, la nécessité de légiférer découle directement de l'adoption du règlement sur les services numériques du 19 octobre 2022.

Le DSA harmonise pleinement les règles applicables aux services intermédiaires (services de simple transport tels que les fournisseurs d'accès à internet, services de mise en cache tels que les réseaux de diffusion de contenu - mieux connus sous les termes anglais de Content Delivery Network - et hébergeurs tels que les réseaux sociaux) dans le but de garantir un environnement en ligne sûr, prévisible et de confiance, en luttant contre la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d'informations trompeuses ou d'autres contenus peuvent produire. Le règlement précise que les Etats membres ne peuvent pas adopter ou maintenir des règles nationales supplémentaires concernant les matières relevant du champ d'application du règlement sur les services numériques, sauf si le règlement le prévoit expressément.

En conséquence, certaines dispositions de droit interne, précisées ci-après, prévoyant des règles relevant des objectifs poursuivis par le DSA, dans son champ d'application, doivent être modifiées ou abrogées. En outre, le DSA étant par nature directement applicable dans l'ensemble des Etats membres, certaines adaptations du droit interne sont également nécessaires pour remplacer les anciennes définitions des prestataires techniques par les nouvelles définitions des services intermédiaires créées par le DSA.

S'agissant des dispositions de la loi Léotard relatives aux plateformes de partage de vidéo (« PPV »), issues de la transposition de la directive SMA, leur articulation avec le DSA est complexe, et ce, malgré les indications fournies par le considérant 10 du règlement européen^297(*). En effet :

- le champ d'application matériel diffère légèrement dès lors que toutes les plateformes de partage de vidéo ne sont pas nécessairement couvertes par le DSA car la définition des PPV ne mentionne pas le stockage des contenus (ex. une PPV de pur live streaming qui ne stocke pas les contenus qu'elle diffuse n'est pas strictement un hébergeur au sens du DSA et pourrait prétendre échapper aux obligations du règlement applicables aux hébergeurs/plateformes en ligne) ;

- si certaines obligations sont identiques (ex. identification des publicités^298(*)), des obligations spécifiques à la charge des PPV sont absentes du DSA (ex. exigences spécifiques concernant le contenu des publicités - articles 4 à 7 du Décret n° 2021-1922 du 30 décembre 2021) ;

- certaines obligations relatives à la protection du grand public et des mineurs se retrouvent à la fois dans la loi Léotard et dans la section 4 du chapitre III du règlement sur les services numériques, applicable spécifiquement aux très grandes plateformes (« VLOPs ») mais ne s'appliquent pas dans le DSA aux plateformes qui ne seraient pas des VLOPs ;

- les règles de compétence et de sanction par les autorités de contrôle sont également différentes. Les PPV sont uniquement soumises, au titre de la directive SMA, à la compétence du régulateur de leur pays d'établissement et la méconnaissance des obligations des PPV n'est pas spécifiquement sanctionnée par la loi Léotard. Pour sa part, le DSA prévoit une compétence spécifique de la Commission sur les VLOPs et prévoit généralement un rôle renforcé des autorités du pays de destination à l'égard des plateformes via des mécanismes de saisine, de remontée d'informations et d'enquêtes conjointes.

Il apparaît donc qu'une adaptation de l'article 60 de la loi Léotard est nécessaire afin de tirer les conséquences de ces légères divergences.

Par ailleurs, l'article 62 de la loi Léotard a trait à la supervision par l'Arcom de la mise en oeuvre de l'article 6-4 de la LCEN, qui prévoyait des mécanismes de lutte contre les contenus illicites haineux calqués sur ceux mis en place par le DSA. Compte tenu du caractère harmonisant du DSA, l'article 6-4 de la LCEN ainsi que l'article 62 de la loi Léotard doivent être abrogés.

Enfin, les articles 14 et 18 de la loi Léotard, qui font référence aux opérateurs de plateforme en ligne au sens de l'article L. 111-7 du code de la consommation, lui-même modifié par le présent projet de loi, doivent être adaptés en conséquence pour préciser le champ des acteurs concernés par ces deux dispositions.

Pour mémoire, le DSA interdit en principe le maintien au niveau national de législations poursuivant les mêmes objectifs, notamment en matière de lutte contre la désinformation en ligne. En conséquence, le titre III (articles 11 à 15) de la loi Infox qui prévoit des mesures applicables aux opérateurs de plateforme en ligne, ne peut être maintenu en l'état.

En particulier, l'article 15 de la loi Infox n'est pas dans le champ du DSA ; il s'agit d'une disposition non-contraignante à champ plus large que le DSA, prévoyant que les plateformes en ligne mais aussi les agences de presse, les éditeurs de presse, les éditeurs audiovisuels, les organisations représentatives des journalistes et toute autre organisation susceptible de contribuer à la lutte contre la diffusion de fausses informations « peuvent » conclure des accords de coopération relatifs à la lutte contre la diffusion de fausses informations. Cette disposition non-contraignante peut donc être maintenue sans risque de friction avec le DSA.

En revanche, les articles 11, 13 et 14 de la loi Infox prévoient certaines obligations qui sont couvertes par ou vont au-delà du DSA.

L'article 11 impose aux plateformes, d'une part, de mettre en place un dispositif de signalement spécifique aux fausses informations, ce qui va au-delà du DSA, qui impose la mise en place d'un dispositif de signalement pour tout contenu illicite (obligation similaire à celle prévue à l'article 16 du DSA). D'autre part, il leur impose de mettre en oeuvre des mesures « pouvant notamment porter sur » :

- la transparence de leurs algorithmes (disposition couverte par l'article 27 du DSA) ;

- la promotion de certains contenus d'entreprises et d'agences de presse et d'éditeurs audiovisuels (disposition qui n'a pas d'équivalent dans le DSA) ;

- la lutte contre certains comptes qui propagent des fausses informations (disposition qui va au-delà du DSA dont l'article 23 impose de supprimer les comptes d'individus qui fournissent fréquemment des contenus manifestement illicites et ne prévoit pas de règle spécifique concernant les comptes propageant des fausses informations) ;

- la transparence vis-à-vis de l'identité des personnes pour le compte desquelles les contenus sont diffusés (disposition couverte par l'article 26 du DSA) ;

- l'éducation aux médias (disposition qui n'a pas d'équivalent dans le DSA).

L'article 13 prévoit que les plateformes désignent un représentant légal sur le territoire français (disposition allant au-delà du DSA, dont l'article 13 n'impose qu'un seul représentant légal dans l'Union européenne) ;

L'article 14 prévoit une obligation de transparence très détaillée sur la part, pour chaque contenu, i) d'accès direct, sans recours à des algorithmes, ii) d'accès via un moteur de recherche interne à la plateforme et iii) d'accès via un autre algorithme de recommandation, classement ou référencement (disposition allant au-delà du DSA, dont l'article 27 prévoit des règles de transparence sur les principaux critères des systèmes de recommandation).

En conclusion, les mesures prévues par ces articles ne sont, pour la plupart, pas conformes au DSA en ce qu'elles poursuivent les mêmes objectifs et portent sur le même champ d'acteurs, à l'exception des mesures que « peuvent » prendre les plateformes au titre de l'article 11 relatives à l'éducation aux médias et à la mise en avant de contenus de presse ou audiovisuels.

En outre, concernant l'article 12 de la loi Infox, ce dernier a créé une disposition qui se trouve désormais à l'article 58 de la loi Léotard et qui prévoit que l'Arcom adresse des recommandations aux plateformes visant à améliorer la lutte contre la diffusion des fausses informations, s'assure du suivi de l'obligation pour les plateformes de prendre les mesures prévues à l'article 11 de la loi Infox et publie un bilan du suivi des mesures en question par les plateformes. Compte tenu de la non compatibilité de cette disposition de l'article 11 avec le DSA, l'article 58 de la loi Léotard doit être adapté en cohérence et la référence aux obligations spécifiques des plateformes en ligne en matière de lutte contre la désinformation doit être abrogée.

L'article L. 163-1 du Code électoral prévoit une obligation pour les opérateurs de plateformes définies à l'article L 111-7 du Code de la consommation de fournir, en période électorale, des informations aux internautes sur l'identité des personnes qui versent aux plateformes en question des rémunérations en contrepartie de la promotion de contenus d'information se rattachant à un débat d'intérêt général, sur l'utilisation des données personnelles des utilisateurs dans le cadre de cette promotion et sur le montant des rémunérations ainsi versées. Il impose également aux mêmes opérateurs d'agréger ces informations au sein d'un registre consultable par le public.

Ces dispositions sont en grande partie couvertes par les articles 26 et 39 du DSA, qui imposent respectivement aux plateformes en ligne de publier les informations sur les personnes pour le compte de la quelle une publicité est diffusée et sur les paramètres utilisés pour déterminer les personnes qui seront exposées à cette publicité (article 26), et aux très grandes plateformes en ligne et aux très grands moteurs de recherche de conserver, entre autres, ces informations dans un registre accessible au public (article 38).

L'article L. 163-1 prévoit ainsi une obligation qui soit a un équivalent dans le DSA soit va au-delà de ses prescriptions, et ne peut donc être conservé en l'état.

La suppression de la définition des opérateurs de plateforme à l'article L. 111-7 du code de la consommation et le renvoi à la définition des « services de plateforme en ligne » prévue par le DSA soulèvent une problématique de champ d'application des obligations prévues à l'article 15 de la loi Bichet. En effet, ces agrégateurs ne sont pas des plateformes en ligne au sens du DSA, qui définit ces dernières comme « un service d'hébergement qui, à la demande d'un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d'un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l'intégration de cette caractéristique ou de cette fonctionnalité à l'autre service ne soit pas un moyen de contourner l'applicabilité du présent règlement ».

En effet, si les agrégateurs participent à la diffusion des contenus de tiers, la condition de stockage n'est pas remplie dès lors qu'ils renvoient par des liens hypertexte vers les sites qu'ils référencent. De plus, la diffusion n'est pas nécessairement réalisée à la demande de destinataires du service. Il n'est donc pas possible de substituer cette définition à celle prévue par l'article L. 111-7 du code de la consommation.

Les articles L. 137-2 et L. 219-2 du code de la propriété intellectuelle renvoient tous deux aux 2 et 3 du I de l'article 6 de la LCEN qui prévoit les conditions dans lesquelles la responsabilité civile et pénale des hébergeurs ne peut être retenue (transposition de la directive e-commerce). Ces dispositions sont modifiées par le présent projet de loi et ce régime de responsabilité limitée figure désormais directement au sein du DSA, à l'article 6. Les articles L. 137-2 et L. 219-2 du code de la propriété intellectuelle doivent donc être modifiés.

La modification de l'article 24 de la loi Ethique des sports, de l'article 36 de la loi RPAOCEN et de l'article 323-3-2 du code pénal est rendue nécessaire par l'abrogation du I de l'article L. 111-7 du code de la consommation qui prévoyait une définition des opérateurs de plateforme.

Les dispositions qui adaptent le droit interne au règlement sur les services numériques poursuivent les objectifs de conformité au droit de l'Union européenne, d'harmonisation des règles applicables aux services intermédiaires dans le marché unique européen et de clarté de la loi.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La loi est commandée par une norme supérieure (le règlement sur les services numériques).

Néanmoins, comme indiqué au 2.1, le règlement laisse une marge de manoeuvre aux Etats membres s'agissant de gouvernance et de répartition des compétences entre les différentes autorités désignées.

S'agissant des dispositions existantes relatives aux PPV, compte tenu les légères différences exposées à l'item 2.1 supra, il apparaît qu'une approche tendant à considérer que le règlement sur les services numériques « écrase » l'ensemble des règles issues de la directive SMA, transposées au sein de la loi Léotard, implique un risque de recul concernant certains types d'acteurs (plateformes de live streaming) et certaines obligations spécifiques (règles relatives aux contenus des publicités). A l'inverse, l'approche tendant à considérer que les règles issues de la directive SMA sont spéciales et écartent celles prévues par le DSA pourrait inciter certaines plateformes en ligne à se soustraire à leurs responsabilités et aux mécanismes de supervision et sanctions prévus par le DSA.

Il est donc proposé, en attendant une éventuelle interprétation par la Cour de justice de l'Union européenne (CJUE) concernant l'inclusion des services de live streaming dans le champ de la définition des plateformes en ligne au sens du DSA, de préciser dans l'article 60 de la loi Léotard que :

- l'Arcom veillera au respect par les PPV des obligations qui leur incombent au titre du DSA, en plus des obligations prévues par la loi Léotard, lorsque celles-ci ont une activité de plateforme en ligne ;

- le régime de gouvernance applicable à ces acteurs et ces obligations est celui prévu par la LCEN modifiée (en renvoyant à la Section relative à la compétence, aux pouvoirs d'enquête et de sanction de l'Arcom).

Concernant l'article 62 de la loi Léotard, la seule option envisagée est l'abrogation, compte tenu du fait qu'il s'agissait d'une pré-transposition du DSA en droit français.

S'agissant enfin des articles 14 et 18 de la loi Léotard (relatifs aux codes de conduite en matière environnementale), plusieurs options ont été envisagées. En effet, du fait de l'abrogation du I de l'article L. 111-7 du code de la consommation, où se trouve la définition des « opérateurs de plateforme en ligne », il convient de préciser à nouveau le champ des acteurs couverts par ces dispositions. Le champ de l'article L. 111-7 n'est pas identique à celui de la définition des « services de plateformes en ligne » issue du DSA. Cette dernière s'appuie en effet sur le stockage d'informations fournies par des tiers, critère absent de la définition du code de la consommation. L'article L. 111-7 incluait dans son champ certains acteurs qui ne sont pas strictement compris dans la définition des services de plateforme en ligne, à savoir les moteurs de recherche et les services de PPV de live-streaming qui ne stockent pas les contenus diffusés. Il aurait pu être envisagé de ne retenir que les plateformes en ligne au sens du DSA, les moteurs de recherche, les PPV de live-streaming ou une combinaison de ces trois acteurs. L'option choisie consiste à retenir, dans le champ des articles 14 et 18, les deux catégories de services les plus pertinentes au regard de l'objet de la disposition, soit les plateformes en ligne au sens du DSA ainsi que les moteurs de recherche.

Dès lors que le DSA interdit le maintien au niveau national de législations poursuivant les mêmes objectifs, notamment en matière de lutte contre la désinformation en ligne, les options concernant la loi Infox sont limitées.

L'abrogation de l'ensemble de la loi n'est pas envisageable car elle comporte des dispositions qui dépassent le champ d'application du DSA (dispositions relatives au secteur audiovisuel ou à la presse par exemple).

La solution retenue consiste donc à abroger les dispositions visant exclusivement les plateformes en ligne, soit les articles 11, 13 et 14, qui vont au-delà du DSA.

S'agissant en particulier de l'article 11, il aurait pu être envisagé de maintenir l'obligation pour les plateformes en ligne de prendre des mesures de lutte contre la désinformation « pouvant notamment porter sur » l'éducation aux médias ou la mise en avant de contenus de presse ou audiovisuels. Toutefois, le maintien en droit français de cette obligation irait au-delà des marges de manoeuvre permises par le DSA en matière de lutte contre la désinformation en ligne. Il aurait aussi pu être envisagé d'imposer aux plateformes de mettre en avant les contenus de presse ou audiovisuels ou d'éduquer leurs utilisateurs aux médias en visant d'autres objectifs que la lutte contre la désinformation en ligne. Cependant, ces dispositions n'auraient plus de lien direct avec la loi Infox. De plus, la mise en avant par les très grandes plateformes en ligne des contenus fournis par les médias est l'une des propositions soutenues par les autorités françaises dans le cadre des négociations au niveau du Conseil de l'Union européenne sur la proposition de règlement du Parlement européen et du Conseil établissant un cadre commun pour les services de médias dans le marché intérieur (législation européenne sur la liberté des médias) et modifiant la directive 2010/13/UE.

Il est important, tant au niveau national que pour le bon fonctionnement du DSA au niveau européen sous l'égide de la Commission, que l'Arcom puisse continuer d'échanger avec les plateformes en ligne en matière de lutte contre la désinformation. En effet, les régulateurs conservent ainsi certains leviers notamment via les mécanismes de coopération et de demande d'intervention prévus par le DSA. L'option retenue est donc la seconde.

Par ailleurs, l'article 15 de la loi infox relatif à la possibilité pour l'ensemble des médias, y compris les plateformes, de conclure des accords de coopération relatifs à la lutte contre la diffusion de fausses informations est maintenu sans modification.

Aucune autre option n'a été envisagée.

Afin d'éviter toute modification du champ d'application des obligations prévues par la loi Bichet, et en l'absence d'une définition existante en droit national, la solution proposée est d'introduire une définition des agrégateurs de presse à l'article 15 de la loi Bichet en s'inspirant de la définition des opérateurs de plateformes désormais abrogée. Un agrégateur de presse est ainsi défini comme « un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus extraits de publications de presse ou de services de presse en ligne d'information politique et générale ».

La seule option envisagée est la modification des articles L. 137-2 et L. 219-2 du code de la propriété intellectuelle pour renvoyer directement au régime de responsabilité limitée des hébergeurs qui figure désormais directement au sein du DSA, à l'article 6.

Pour tirer les conséquences de l'abrogation du I de l'article L. 111-7 du code de la consommation qui prévoyait une définition des opérateurs de plateforme, il convient, comme aux articles 14 et 18 de la loi Léotard, de préciser à l'article 24 de la loi Ethique des sports, à l'article 36 de la loi RPAOCEN et à l'article 323-3-2 du code pénal, le champ d'application des dispositions. Les options consistent à viser les services de plateforme en ligne au sens du DSA, les moteurs de recherche au sens du DSA, et/ou les plateformes de partage de vidéo au sens de la directive SMA (afin de couvrir aussi les services de live-streaming) et/ou les services de plateformes essentiels au sens du DMA, ou encore de créer des dispositions ad hoc pour éviter toute réduction du champ envisagé.

Concernant la loi Ethique des sports (conclusion d'accords interprofessionnels relatifs à la lutte contre le piratage de contenus sportifs), l'option retenue est de viser les moteurs de recherche, les plateformes de partage de vidéos et les plateformes en ligne. Concernant la loi RPAOCEN, l'option retenue consiste à viser les services de plateforme essentiels, ainsi qu'une définition ad hoc visant les services de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d'algorithmes informatiques. Concernant le code pénal, l'option retenue consiste à viser les plateformes en ligne au sens du DSA à l'article 323-3-2.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Pour mémoire, le DSA a un effet direct en droit français de sorte que les obligations qui en découlent n'ont pas besoin de transposition législative pour y être applicables. Cependant, il est nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le DSA qui poursuivent les mêmes objectifs que ceux du règlement.

1. Impacts de l'adaptation de la loi Léotard

Concernant l'impact sur les dispositions relatives aux PPV de la loi Léotard, issues de la directive SMA, l'option retenue permet d'écarter tout recul. La précision à l'article 60 de la loi Léotard selon laquelle les PPV, lorsqu'elles ont une activité de plateforme en ligne (et donc qu'elles stockent les contenus qu'elles diffusent), seront soumises à la supervision de l'Arcom dans les conditions prévues par la LCEN pour la mise en oeuvre des obligations pertinentes prévues par le DSA, apporte une certaine clarté et sécurité juridique pour les acteurs concernés ainsi que pour le régulateur.

Concernant les articles 14 et 18 de la loi Léotard, le remplacement de la mention des opérateurs de plateformes en ligne définis à l'article L. 111-7 du code de la consommation, abrogé par le présent projet de loi, par une référence aux services de plateforme en ligne et aux services de moteurs de recherche définis par le DSA a pour effet d'exclure, comme expliqué supra, les PPV de pur live-streaming qui ne stockent pas les contenus qu'elles diffusent. Etant donné, d'une part, que ces articles n'ont trait qu'à la prise de mesures volontaires par les acteurs visés, et d'autre part du faible nombre de PPV de pur live-streaming, la modification du champ des acteurs concernés n'a pas d'impact notable.

L'article 62 de la loi Léotard est abrogé, car il a trait à la mise en oeuvre de l'article 6-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, lui-même abrogé par le présent projet de loi. L'article 6-4 et l'article 62 de la loi Léotard prévoyaient des mécanismes de lutte contre les contenus illicites haineux calqués sur ceux mis en place par le DSA pour tous les contenus illicites. Compte tenu de l'entrée en application du DSA, cette abrogation n'aura donc pas d'impact juridique notable.

S'agissant de l'article 58 de la loi Léotard, l'impact principal a trait à l'abrogation des obligations spécifiques de transparence des plateformes en matière de lutte contre la désinformation. Toutefois, la possibilité pour l'Arcom de réaliser des rapports sur la lutte contre la désinformation en ligne dans le cadre de sa mission générale contribuant à cette lutte a été conservée, ce qui tempère l'impact de cette abrogation. L'Arcom conserva en outre une mission générale de veille et d'analyse des risques systémiques sur le territoire national, ce qui comprend notamment la désinformation intentionnelle ou organisée (nouvelles dispositions au sein de la LCEN).

2. Impacts de l'adaptation de la loi Infox

Les articles 11, 13 et 14 de la loi Infox sont abrogés.

3. Impacts de l'adaptation du code électoral

L' article L. 163-1 du code électoral prévoit une obligation pour les opérateurs de plateformes définies à l'article L 111-7 du Code de la consommation de fournir, en période électorale, des informations aux internautes sur l'identité des personnes qui versent aux plateformes en question des rémunérations en contrepartie de la promotion de contenus d'information se rattachant à un débat d'intérêt général, sur l'utilisation des données personnelles des utilisateurs dans le cadre de cette promotion et sur le montant des rémunérations ainsi versées. Il impose également aux mêmes opérateurs d'agréger ces informations au sein d'un registre consultable par le public.

Ces dispositions sont en grande partie couvertes par les articles 26 et 39 du DSA, qui imposent respectivement aux plateformes en ligne de publier les informations sur les personnes pour le compte de la quelle une publicité est diffusée et sur les paramètres utilisés pour déterminer les personnes qui seront exposées à cette publicité (article 26), et aux très grandes plateformes en ligne et aux très grands moteurs de recherche de conserver, entre autres, ces informations dans un registre accessible au public (article 38).

L'article L 163-1 prévoit ainsi une obligation qui soit a un équivalent dans le DSA soit va au-delà de ses prescriptions, et ne peut donc être conservé en l'état.

Il a été estimé que la liste des informations devant être publiées par les plateformes au titre de l'article L 163-1 était plus complète et précise que celle prévue aux articles 26 et 39 du DSA.

S'il n'est pas possible, au regard du niveau d'harmonisation maximal du DSA, de conserver une obligation positive de transparence, il a été décidé, au regard de la sensibilité de l'information des personnes en période électorale, de conserver l'obligation, pour les très grandes plateformes et très grands moteurs de recherche au sens du DSA, de faire figurer, en plus de la liste non limitative des données devant être présentes dans leur registre en application de l'article 39 du DSA, les informations listées par le présent article dans ledit registre.

Cette obligation pourra être abrogée avec l'entrée en application du projet de règlement relatif au ciblage et à l'amplification des publicités à caractère politique, actuellement en examen en trilogues, qui prévoit des obligations de transparence et de mise à disposition de données bien plus extensives que celles du DSA ou du Code électoral.

L'impact de cette modification sera donc quasi-nul, dans la mesure où les dispositions abrogées ont un équivalent dans le DSA, et où celles qui n'ont pas d'équivalent dans le DSA seront maintenues. Seule l'obligation de publier les montants versés en contrepartie de la promotion de contenus politiques, qui ne peut être conservée sans que cela empiète sur le DSA, est abrogée, et ce uniquement jusqu'à l'entrée en application du projet de règlement relatif au ciblage et à l'amplification des publicités à caractère politique, qui prévoit une obligation similaire.

4. Modification de l'article 15 de la loi Bichet

Le II de l'article 15 de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (dite « loi Bichet ») impose des obligations de transparence aux agrégateurs de presse, qui vont au-delà de l'obligation prévue à l' article L. 111-7 du code de la consommation. Ces agrégateurs sont définis en ciblant les opérateurs de plateforme en ligne, définis à ce même article, « qui proposent le classement ou le référencement de contenus extraits de publications de presse ou de services de presse en ligne d'information politique et générale ». Etant donné que la modification opérée vise à cibler les mêmes acteurs, celle-ci n'a aucun impact.

5. Mesures d`adaptations de la loi n° 2017-261 du 1^er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal

L'abrogation du 1 de l'article L. 111-7 du code de la consommation impose une modification de cohérence de plusieurs autres textes. Ainsi, le I de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles doit être modifié pour mentionner, au lieu des opérateurs de plateforme en ligne définis à l'article L. 111-7 du code de la consommation, plusieurs acteurs couverts par cette définition. Les acteurs couverts identifiés sont ainsi les services de plateforme essentiels au sens du DMA ainsi que les services de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d'algorithmes informatiques.

Le même exercice est fait à l'article 24 de la loi n° 2017-261 du 1^er mars 2017 visant à préserver l'éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs. La référence faite aux opérateurs de plateforme en ligne à ces articles est remplacée par une référence aux services de plateforme en ligne au sens du règlement sur les services numériques, aux moteurs de recherche au sens du même règlement et aux plateformes de partage de vidéos au sens de l'article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

De même, à l' article 323-3-2 du code pénal, la référence faite aux opérateurs de plateforme en ligne à ces articles est remplacée par une simple référence aux services de plateforme en ligne au sens du règlement sur les services numériques. Le même champ d'acteur n'est pas visé que pour la loi du 25 octobre 2021 car en l'espèce, seule la mention des services de plateforme en ligne semblait pertinente.

De façon similaire, la référence au régime de responsabilité limitée des services d'hébergement au II de l' article L. 137-2 et au II de l' article L. 219-2 du code de la propriété intellectuelle doit être remplacée par une référence aux dispositions pertinentes du DSA, étant donné que les dispositions de la LCEN mentionnées à ces articles ne portent plus sur ce régime de responsabilité.

Les dispositions des articles 28 à 30 et 33 à 34 du présent projet de loi se bornent à tirer les conséquences de l'adoption du DSA. Elles visent donc principalement à mettre le droit interne en conformité avec le droit de l'Union européenne.

L'articulation entre les règles prévues par le DSA et celles issues de la directive SMA n'étant pas parfaitement claire, la disposition proposée à l'article 60 de la loi Léotard vise à clarifier l'interprétation du gouvernement.

Néant.

S'agissant des mesures d'adaptation du droit national au règlement sur les services numériques, les effets sur les entreprises sont plus directement liés à l'entrée en application du règlement lui-même. Les fournisseurs de services intermédiaires seront soumis à des obligations nouvelles, en particulier pour les services d'hébergement et plus particulièrement pour les fournisseurs de services de plateformes en ligne. Ces obligations ne devraient nullement affecter la compétitivité des entreprises françaises vis-à-vis des autres Etats membres de l'Union, puisqu'elles proviennent d'un règlement européen.

Les coûts directs seront proportionnels à la taille et à l'audience d'un prestataire de services. Les services supporteraient également des coûts marginaux de conception technique et de maintenance. Les coûts liés aux exigences en matière d'information seront également proportionnels à la taille et l'audience de l'entreprise. Les coûts les plus importants seraient limités aux très grandes plateformes en ligne. A noter que les obligations visant les plateformes ne sont pas applicables aux micros et petites entreprises, pour lesquelles le coût de la mise en conformité devrait donc être très limité.

L'étude d'impact^299(*) de la Commission européenne estime que les coûts engendrés par les inefficacités du système actuel de coopération entre les autorités seront considérablement réduits.

Néant.

Néant. Les dispositions envisagées ne créent pas de nouvelles obligations ou de charge supplémentaire pour les services administratifs.

Les impacts sociaux sont plus directement liés à l'entrée en application du règlement sur les services numériques lui-même. Ce règlement introduit une meilleure transparence sur le fonctionnement des services numériques, notamment en ce qui concerne leurs activités de modération et de recommandation des contenus. Les destinataires de ces services pourront contester les décisions prises par les services numériques, et bénéficieront des mesures d'atténuation des risques systémiques qui devront être prises par les très grandes plateformes en ligne, sous le contrôle étroit de la Commission européenne.

La diffusion de contenus illégaux par les plateformes, tels que des contenus pédopornographiques, des contenus terroristes, des discours haineux illégaux, des publicités illégales ciblant des individus ou des contenus portant atteinte aux droits de propriété intellectuelle, engendre des préoccupations sociétales, notamment des risques pour les droits fondamentaux et des risques d'incitation à de nouvelles violences pouvant causer de graves préjudices aux citoyens. En outre, les environnements en ligne très violents peuvent avoir un effet dissuasif sur la liberté d'expression, notamment en cas de prolifération de discours haineux illégaux ou d'autres formes de contenus illégaux. Cet effet dissuasif risquerait, par exemple, d'influencer les droits des individus à la participation politique. Aussi, les articles visés favoriseront un environnement en ligne plus sûr en limitant la prolifération de ce type de contenus via des mécanismes d'atténuation des risques et de sanctions.

La diffusion de contenus de désinformation, par exemple liée à des questions de santé publique (telles que les pandémies COVID-19 ou la vaccination), peuvent également avoir une incidence négative sur des groupes entiers d'utilisateurs, des conséquences négatives graves sur le bien-être physique et mental d'une personne mais aussi amplifier les préjudices sociétaux, par exemple en pratiquant des discriminations à l'égard de certains groupes d'individus. Les articles visés ont pour impact de limiter la diffusion et l'amplification des contenus trompeurs ou mensongers et donc de limiter les risques évoqués.

Enfin, les articles visés auront pour impact positif de rétablir un niveau de confiance supérieur des utilisateurs dans l'usage des outils numériques grâce à l'encadrement de l'espace informationnel en ligne.

Avec l'entrée en vigueur du règlement sur les services numériques, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment à la diffusion de contenus illicites ou aux effets graves sur le bien-être physique et mental des personnes. Ces mesures devront notamment viser à endiguer les phénomènes de haine en ligne, bien identifiés par les régulateurs européens. Les efforts pour lutter contre les messages de haine ou discriminants, dont les personnes en situation de handicap sont une cible particulière, devraient ainsi permettre une utilisation plus sereine par ces derniers des services des très grandes plateformes en ligne.

Avec l'entrée en vigueur du règlement sur les services numériques, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment aux effets négatifs réels ou prévisibles liés aux violences sexistes. Les discours sexistes et discriminatoires sont en effet des phénomènes répandus, notamment sur les grands réseaux sociaux, et les mesures prises par les très grandes plateformes pour lutter contre ces discours devraient permettre des conditions plus égalitaires d'usage de ces services par les femmes et les hommes.

Avec l'entrée en vigueur du règlement sur les services numériques, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques en matière de protection des mineurs.

Néant.

V. 4.5 (impacts sociaux).

L'étude d'impact de la Commission européenne indique que les incidences sur l'environnement devraient être relativement marginales. Des facteurs importants dépendront de l'évolution technologique, des choix commerciaux dans les chaînes de fabrication et de développement, du comportement des consommateurs et de l'incitation, etc. Il est donc difficile d'estimer à ce stade les incidences environnementales des services numériques.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

Les présents articles entreront en vigueur au 16 février 2024, lors de l'entrée en application du règlement sur les services numériques, à l'exception du II de l'article 28, qui entrera en vigueur dès le lendemain de la publication de la loi au Journal officiel de la République française.

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les articles 22, 28, 29, 30 et 34 (à l'exception des modifications de code de consommation, la loi n° 2017-261 du 1^er mars 2017 et de la loi n° 2021-1382 du 25 octobre 2021) du projet de loi modifient des dispositions qui sont rendues expressément applicables par la loi à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, leur application est donc maintenue, sous réserve des ajustements nécessaires à leur application. Les dispositions restantes pourront être rendues applicables en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Les modifications au sein de l'article 24 du projet de loi relatives à la loi n° 2021-1382 du 25 octobre 2021 et la loi n° 2017-261 du 1^er mars 20217 ne sont pas applicables, dans sa version actuelle, à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie. Elles pourront être rendues applicables par l'ordonnance prévue à l'article 35 du présent projet de loi. 

L'article 23 du projet de loi n'est pas applicable, dans sa version actuelle, à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie. Les dispositions pourront être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35.

Les présentes dispositions n'appellent aucune mesure d'application.

1. ÉTAT DES LIEUX

En adoptant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la France a été parmi les États pionniers de la protection des données à caractère personnel. Comme le rappelle l'article 1^er de la loi, « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

L'objectif de la loi du 6 janvier 1978 est d'encadrer le développement de l'informatique et de l'usage des données à caractère personnel en le subordonnant au respect des droits et libertés de la personne humaine tout en n'entravant pas l'évolution des techniques de l'information.

Afin d'assurer une protection effective des droits et libertés, le législateur a confié cette mission à la Commission nationale de l'informatique et des libertés (CNIL), autorité administrative indépendante spécialement créée. La CNIL doit notamment veiller au respect d'un certain nombre de principes de finalité, de transparence ou de limitation dans la durée de conservation des informations. Plus généralement, son statut et ses prérogatives doivent lui permettre d'éviter que l'informatisation porte atteinte à la vie privée des personnes.

Depuis 1978, la loi précitée a été révisée à de nombreuses reprises afin de l'adapter aux évolutions technologiques mais aussi au développement d'une réglementation européenne de plus en plus poussée. Avec l'adoption du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), qui forme le cadre juridique général du droit de la protection des données au sein de l'Union européenne, il est apparu nécessaire de réformer en profondeur la loi du 6 janvier 1978 et par conséquent, la CNIL.

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a mis en conformité la loi du 6 janvier 1978 avec le RGPD et a considérablement renforcé les pouvoirs de la CNIL, notamment ses pouvoirs de sanction. L' ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel, a complètement réécrit la loi du 6 janvier 1978 afin de la rendre plus lisible et de procéder aux derniers ajustements normatifs nécessaires pour assurer sa conformité avec le droit de l'Union européenne.

Dans le cadre du déploiement de la stratégie européenne pour les données, la Commission européenne a déployé des moyens financiers et présenté des instruments juridiques, sous la forme de deux règlements (Data Act ; Data Governance Act), destinés à accroitre le partage des données. La Commission juge que le potentiel économique et sociétal de l'utilisation des données est considérable, en matière de nouveaux produits et services basés sur de nouvelles technologies, de production plus efficace et de moyens de lutte contre les défis sociétaux.

Les autorités françaises ont favorablement accueilli cet ensemble d'initiatives, et ont participé aux négociations du Data Act et Data Governance Act.

Publié au Journal Officiel de l'Union européenne sous la Présidence française du Conseil de l'UE le 30 mai 2022, le Data Governance Act ( règlement (UE) n°2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 - règlement sur la gouvernance des données) entrera en application en septembre 2023. Ce règlement ambitionne de lever certains obstacles (faible confiance dans le partage des données, problèmes liés à la réutilisation des données du secteur public et à la collecte de données pour le bien commun, obstacles techniques) qui empêchent le partage des données de se généraliser.

Le règlement n°2022/868 crée ainsi un mécanisme favorisant une plus grande circulation des données à des fins d'intérêt général, consistant à créer un régime favorable à l'altruisme en matière de données - au travers de règles et des processus pour permettre aux entreprises et aux particuliers de mettre leurs données à la disposition du bien commun sur la base de leur consentement.

La protection des données à caractère personnelle est rattachée par le Conseil constitutionnel au droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen. Par ailleurs, l'article 34 de la Constitution confie à la loi le soin de fixer les règles concernant « les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Les mécanismes de protection des données à caractère personnel participent à l'exercice par les citoyens de leurs droits en la matière et relèvent également à ce titre de la compétence du législateur^300(*).

Dans sa décision n° 2019-778 DC du 21 mars 2019, le Conseil constitutionnel a jugé que l'interdiction du profilage des professionnels de justice à partir des décisions juridictionnelles rendues, posée par le législateur dans le cadre de l'open data des décisions de justice, ne méconnaît aucune exigence constitutionnelle.

S'agissant de la procédure et des pouvoirs de sanction reconnus à la CNIL, le Conseil constitutionnel a jugé, dans sa décision n° 2018-765 DC du 12 juin 2018, que la procédure suivie devant la formation restreinte de la CNIL ne méconnaît aucune exigence constitutionnelle et notamment, le principe de séparation des pouvoirs issu de l'article 16 de la Déclaration des droits de l'homme et du citoyen.

Dans la même décision, le juge constitutionnel a déclaré conforme à la Constitution le pouvoir reconnu à la CNIL de prononcer des mesures correctrices qui peuvent être éventuellement suivies de sanctions administratives.

La désignation des autorités compétentes ainsi que les mesures d'adaptation du droit français, nécessaires en prévision de l'entrée en application du règlement sur la gouvernance des données, ne présentent pas de risque de contrariété avec une règle ou norme de valeur constitutionnelle.

La protection des données à caractère personnelle est rattachée par le Conseil constitutionnel au droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen. Par ailleurs, l'article 34 de la Constitution confie à la loi le soin de fixer les règles concernant « les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Les mécanismes de protection des données à caractère personnel participent à l'exercice par les citoyens de leurs droits en la matière et relèvent également à ce titre de la compétence du législateur^301(*)

S'agissant de la procédure et des pouvoirs de sanction reconnus à la CNIL, le Conseil constitutionnel a jugé, dans sa décision n° 2018-765 DC du 12 juin 2018, que la procédure suivie devant la formation restreinte de la CNIL ne méconnaît aucune exigence constitutionnelle et notamment, le principe de séparation des pouvoirs issu de l'article 16 de la Déclaration des droits de l'homme et du citoyen.

Dans la même décision, le juge constitutionnel a déclaré conforme à la Constitution le pouvoir reconnu à la CNIL de prononcer des mesures correctrices qui peuvent être éventuellement suivies de sanctions administratives.

Enfin, l'adaptation du droit interne aux règlements européens constitue une exigence constitutionnelle^302(*).

Le Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, dit Digital Services Act (DSA) ou règlements sur les services numériques, contient des dispositions relatives à la protection des données à caractère personnel. Il est donc apparu nécessaire de procéder à une modification de la loi du 6 janvier 1978 afin de tenir compte de ce nouveau cadre juridique européen.

L'article 26 du règlement 2022/2065 interdit aux fournisseurs de plateformes en ligne de présenter aux destinataires d'un service des publicités qui reposent sur du profilage, tel qu'il est défini à l'article 4, point 4), du règlement (UE) 2016/679, en utilisant les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, du règlement (UE) 2016/679, à savoir les données dites sensibles (données portant sur l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, données génétiques, données biométriques permettant d'identifier une personne physique de manière unique, données concernant la santé ou données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique). L'article 28 du même règlement interdit à ces mêmes fournisseurs de présenter aux destinataires d'un service des publicités qui reposent sur du profilage, dès lors qu'ils ont connaissance avec une certitude raisonnable que le destinataire du service est un mineur.

Enfin, l'article 49 du règlement 2022/2065 impose aux États membres de désigner une ou plusieurs autorités compétentes comme responsables de la surveillance des fournisseurs de services intermédiaires et de l'exécution du présent règlement. Le Gouvernement a fait le choix de confier la surveillance de certaines dispositions des articles 26 et 28 du Règlement à la CNIL, du fait de son expertise en matière de protection des données à caractère personnel.

La mise en oeuvre des dispositions législatives intervient dans le cadre de l'entrée en application du règlement sur la gouvernance des données (UE) 2022/868 du 30 mai 2022.

L'article 23 du règlement sur la gouvernance des données (UE) 2022/868 impose aux Etats membres la désignation d'une autorité compétente au titre de la mise en oeuvre du chapitre IV, et particulier des articles 16 à 24 du règlement sur la gouvernance des données (UE) 2022/868.

L'article 25 du règlement sur la gouvernance des données (UE) 2022/868 contient des dispositions relatives à la protection des données personnelles dans le cadre du consentement à l'altruisme en matière de données. Il est donc apparu nécessaire de procéder à une modification de la loi du 6 janvier 1978 afin de tenir compte des exigences du nouveau cadre juridique européen.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Au titre de ses obligations découlant du droit de l'Union européenne, il incombe au gouvernement de procéder aux ajustements nécessaires à l'entrée en application du règlement sur les services numériques. Tant la désignation des autorités compétentes que la reprise des nouvelles règles issues du Digital Services Act et applicables aux acteurs du numérique dans le droit national relèvent du domaine de la loi, conformément à l'article 34 de la Constitution.

Au titre de ses obligations découlant du droit de l'Union européenne, il incombe au gouvernement de procéder aux ajustements nécessaires en l'entrée en application du règlement sur la gouvernance des données. Compte tenu des autorités compétentes envisagées par le gouvernement pour la supervision des organismes altruistes en matières, il est nécessaire de recourir à un vecteur législatif.

Le Gouvernement entend assurer la conciliation la plus fine et la plus opérationnelle entre le droit national et les nouveaux textes européens en matière de numérique. Le choix des autorités compétentes pour contrôler le respect des obligations du Digital Services Act poursuit à ce titre plusieurs objectifs.

Il importe tout d'abord de respecter le champ naturel d'intervention de chaque autorité, afin de ne pas déstabiliser l'organisation administrative existante, et de permettre à chacune de développer ses compétences, sans empiètement ni superposition de compétences analogues.

Il importe également que l'attribution de ces nouvelles compétences soit lisible pour les acteurs concernés, qui connaissent déjà, pour la plupart, une autorité de contrôle naturelle, qui doit demeurer leur interlocuteur privilégié.

Il importe enfin de tenir compte des moyens techniques, humains, et d'expertise de chaque autorité existante, afin d'assurer la meilleure efficience du contrôle qu'elle aura vocation à exercer dans le cadre de son domaine d'activité.

La désignation des autorités compétentes au titre de l'entrée en application du règlement sur la gouvernance des données et les ajustements législatifs associés visent à assurer une supervision efficace des organismes altruistes de données et la conformité de ceux-ci avec les règles applicables en matière de protection des données personnelles.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Compte tenu de la nécessité de légiférer, aucune autre option que le recours à la loi n'a été envisagée par le Gouvernement.

Deux autorités ont été envisagées pour la supervision et le contrôle des organismes altruistes en matière de données : la Commission nationale de l'informatique et des libertés (CNIL) et l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse (Arcep).

Le Gouvernement a choisi de créer un nouveau chapitre au sein de la loi du 6 janvier 1978.

Ce chapitre sera applicable aux fournisseurs de plateformes en ligne tels que définis à l'article 3 du règlement (UE) 2022-2065 du 19 octobre 2022, qui ont leur établissement principal en France ou dont le représentant légal réside en France et ce, conformément au Digital Services Act, sans préjudice des droits et obligations qui relèvent de la protection des données à caractère personnel.

Le Gouvernement a choisi d'insérer au sein de ce chapitre des renvois exprès aux obligations dont la CNIL sera chargée d'assurer le respect et ce, tant dans un souci de lisibilité et d'intelligibilité de la norme que dans celui d'opérer une répartition claire des compétences.

Il a ainsi fait le choix de charger la CNIL de contrôler le respect des règles qui encadrent le recours, par les fournisseurs de plateforme en ligne, à la méthode de la publicité ciblée, notamment en ce qui concerne son usage à destination des mineurs.

En effet, au cours de la concertation, la CNIL a fait valoir que cette attribution de compétence lui apparaissait particulièrement naturelle dans la mesure où cette autorité travaille depuis une dizaine d'années sur la question de l'utilisation des données personnelles pour la publicité ciblée, qu'elle dispose d'un service dédié à l'éducation au numérique et à la protection des données des mineurs, et qu'elle pourrait assumer ces missions, qu'elle traite déjà en pratique, à effectifs constants.

Dès lors, il est apparu opportun de la désigner autorité de contrôle en ce qui concerne les règles suivantes :

- Article 26 - 1. - d) - Transparence sur les paramètres de ciblage

« Les fournisseurs de plateformes en ligne qui présentent de la publicité sur leurs interfaces en ligne veillent à ce que, pour chaque publicité spécifique présentée à chaque destinataire individuel, les destinataires du service puissent de manière claire, précise, non ambiguë et en temps réel : (...) d) déterminer les informations utiles, qui doivent être directement et facilement accessibles à partir de la publicité, concernant les principaux paramètres utilisés pour déterminer le destinataire auquel la publicité est présentée et, le cas échéant, la manière dont ces paramètres peuvent être modifiés. »

- Article 26 - 3 - Interdiction du ciblage publicitaire basé sur des données personnelles sensibles

« Les fournisseurs de plateformes en ligne ne présentent pas aux destinataires du service de publicité qui repose sur du profilage, tel qu'il est défini à l'article 4, point 4), du règlement (UE) 2016/679, en utilisant les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, du règlement (UE) 2016/679. »

- Article 28 - 2 - Interdiction du ciblage publicitaire à destination des mineurs

« Les fournisseurs de plateformes en ligne ne présentent pas sur leur interface de publicité qui repose sur du profilage, tel qu'il est défini à l'article 4, point 4), du règlement (UE) 2016/679 en utilisant des données à caractère personnel concernant le destinataire du service dès lors qu'ils ont connaissance avec une certitude raisonnable que le destinataire du service est un mineur. »

Pour assurer le respect de ces nouvelles règles, la CNIL se voit attribuer des pouvoirs d'enquête identiques à ceux dont elle dispose déjà au titre de la protection des données personnelles.

Elle peut ainsi vérifier que les fournisseurs de plateformes en ligne respectent ces nouvelles obligations issues du DSA au moyen de différents pouvoirs d'enquête. Les agents de la CNIL sont ainsi habilités à effectuer toute constatation utile, à consulter les données librement accessibles ou se faire communiquer tous documents nécessaires à l'accomplissement de leur mission. Ils disposent également d'un droit de visite.

En cas de méconnaissance de ces obligations, la CNIL peut infliger aux fournisseurs de plateformes en ligne des sanctions qui vont du rappel à l'ordre à l'amende administrative d'un montant qui peut atteindre 6 % du chiffre d'affaires mondial. Elle peut également prononcer à l'encontre des fournisseurs une astreinte visant à assurer la mise en conformité du service.

A la lumière des enjeux en matière de protection des données personnelles soulevées par les pratiques conduites en matière d'altruisme de données, la désignation de la Commission nationale de l'informatique et des libertés apparait pertinent pour la supervision de ces nouveaux acteurs.

Afin de tenir compte de cette désignation et du cadre juridique instauré par le règlement sur la gouvernance des données (UE) 2022/868, des modifications sont apportées aux articles 124-4, 124-5 et 124-6 de la loi du 6 janvier 1978.

En vertu de l'article 17 du règlement 2022/868, la CNIL, désignée en application de l'article 23 du même règlement, sera compétente pour l'enregistrement des organisations altruistes en matière de données, et à ce titre, elle tiendra et mettra à jour régulièrement le registre public national des organisations altruistes en matière de données reconnues.

La CNIL sera compétente pour les dispositions suivantes :

- Article 24 - Contrôle du respect des dispositions

« 1.   Les autorités compétentes pour l'enregistrement des organisations altruistes en matière de données contrôlent et surveillent le respect, par les organisations altruistes en matière de données reconnues, des exigences énoncées dans le présent chapitre. L'autorité compétente pour l'enregistrement des organisations altruistes en matière de données peut également contrôler et surveiller le respect par de telles organisations altruistes en matière de données reconnues de leurs obligations sur la base d'une demande présentée par une personne physique ou morale.

2.   Les autorités compétentes pour l'enregistrement des organisations altruistes en matière de données ont le pouvoir de demander aux organisations altruistes en matière de données reconnues les informations qui lui sont nécessaires pour vérifier qu'elles respectent les exigences énoncées dans le présent chapitre. Toute demande d'information est proportionnée à l'accomplissement de la tâche et est motivée.

3.   Lorsque l'autorité compétente pour l'enregistrement des organisations altruistes en matière de données constate qu'une organisation altruiste en matière de données reconnue ne respecte pas une ou plusieurs des exigences énoncées dans le présent chapitre, elle notifie ces constatations à l'organisation altruiste en matière de données reconnue et lui donne la possibilité d'exposer son point de vue dans un délai de trente jours à compter de la réception de la notification.

4.   L'autorité compétente pour l'enregistrement des organisations altruistes en matière de données a le pouvoir d'exiger qu'il soit mis fin à l'infraction visée au paragraphe 3, soit immédiatement soit dans un délai raisonnable, et prend des mesures appropriées et proportionnées pour garantir le respect des dispositions.

5.   Si une organisation altruiste en matière de données reconnue ne respecte pas une ou plusieurs des exigences énoncées dans le présent chapitre même après avoir reçu une notification de l'autorité compétente pour l'enregistrement des organisations altruistes en matière de données conformément au paragraphe 3, ladite organisation altruiste en matière de données reconnue:

Toute décision révoquant le droit d'utiliser le label d'« organisation altruiste en matière de données reconnue dans l'Union» prévue au premier alinéa, point a), est rendue publique par l'autorité compétente pour l'enregistrement des organisations altruistes en matière de données.

6.   Si une organisation altruiste en matière de données reconnue a son établissement principal ou son représentant légal dans un État membre mais qu'elle exerce des activités dans d'autres États membres, l'autorité compétente pour l'enregistrement des organisations altruistes en matière de données de l'État membre où est situé l'établissement principal ou dans lequel se trouve le représentant légal et les autorités compétentes pour l'enregistrement des organisations altruistes en matière de données de ces autres États membres coopèrent et se prêtent assistance. Cette assistance et cette coopération peuvent porter sur les échanges d'informations entre les autorités compétentes pour l'enregistrement des organisations altruistes en matière de données concernées aux fins de l'accomplissement de leurs tâches au titre du présent règlement et sur les demandes motivées de prendre les mesures visées au présent article.

Lorsqu'une autorité compétente pour l'enregistrement des organisations altruistes en matière de données dans un État membre sollicite l'assistance d'une autorité compétente pour l'enregistrement des organisations altruistes en matière de données dans un autre État membre, elle présente une demande motivée. L'autorité compétente pour l'enregistrement des organisations altruistes en matière de données veille, à la suite d'une telle demande, à fournir une réponse sans retard et dans des délais proportionnés à l'urgence de la demande.

Toutes les informations échangées dans le cadre de la demande d'assistance et fournies au titre du présent paragraphe ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées. »

La CNIL sera en mesure de prononcer des sanctions, en vertu de l'article 34 du règlement 2022/868, sous la forme d'amendes administratives, en tant compte des critères suivants :

- Article 31 - Sanctions

« 1.   Les États membres déterminent le régime des sanctions applicables aux violations des obligations relatives aux transferts de données à caractère non personnel vers des pays tiers en vertu de l'article 5, paragraphe 14, et de l'article 31, de l'obligation de notification incombant aux prestataires de services d'intermédiation de données en vertu de l'article 11, des conditions liées à la fourniture de services d'intermédiation de données en vertu de l'article 12 et des conditions liées à l'enregistrement en tant qu'organisation altruiste en matière de données reconnue en vertu des articles 18, 20, 21 et 22, et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Dans leur régime de sanctions, les États membres tiennent compte des recommandations du comité européen de l'innovation dans le domaine des données. Les États membres informent la Commission, au plus tard le 24 septembre 2023, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.

2.   Les États membres prennent en compte les critères indicatifs et non exhaustifs suivants lorsqu'il s'agit d'imposer des sanctions aux prestataires de services d'intermédiation de données et aux organisations altruistes en matière de données reconnues en cas d'infraction au présent règlement, le cas échéant:

a) la nature, la gravité, l'ampleur et la durée de l'infraction ;

b) toute mesure prise par le prestataire de services d'intermédiation de données ou l'organisation altruiste en matière de données reconnue pour atténuer ou réparer le préjudice causé par l'infraction ;

c) toute infraction antérieure commise par le prestataire de services d'intermédiation de données ou l'organisation altruiste en matière de données reconnue ;

d) les avantages financiers obtenus ou les pertes évitées par le prestataire de services d'intermédiation de données ou l'organisation altruiste en matière de données reconnue en raison de l'infraction, si ces avantages ou pertes peuvent être établis de manière fiable ;

e) toute autre circonstance aggravante ou atténuante applicable au cas concerné. »

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les articles 31 et 32 modifient la loi du 6 janvier 1978, dans laquelle sont créés des Titres V et VI et dont les articles 8, 19, 20, 22 et 22-1 sont modifiés.

1. Adaptations au DSA

La présente mesure s'inscrit directement dans un objectif de mise en conformité de la législation nationale avec le Digital Services Act, et donc avec le droit européen.

2. Adaptations au DGA

La désignation de la Commission nationale de l'informatique et des libertés pour la mise en oeuvre du chapitre IV du règlement (UE) 2022/868 découle de l'obligation pour chaque Etat-membre de désigner des autorités compétentes imposée par ce texte européen.

Au global, le règlement 2022/868 (DGA) pourrait permettre un gain de croissance au niveau de l'Union européenne de l'ordre de 10,9 Mds€, soit 0,079% du PIB de l'UE, à horizon 2028^303(*).

A l'échelle de l'UE, un gain de croissance minimal de l'ordre de 22 M€ est attendu pour la période 2024-2028^304(*).

Pour les organisations altruistes, les dispositions d'adaptation au DGA et leur mise en oeuvre garantiront que leurs données sont sécurisées et que le mécanisme est conforme à la législation applicable, augmentant ainsi la transparence et la confiance dans l'altruisme de données. Sur le plan international, la France et l'UE pourrait ainsi devenir un précurseur en matière d'altruisme de données sécurisé et respectueux de la vie privée et fixer des normes mondiales, ce qui attirerait des chercheurs et des innovateurs étrangers sur les territoires français et européen.

Les coûts supportés par les organisations souhaitant être enregistrées comme altruistes en matière de données sont difficilement mesurables à ce stade. L'étude d'impact de la Commission européenne^305(*) estime un coût variant de 3 420€ à 10 500€ selon que l'autorité compétente désignée facture le certification aux organisations candidates.

1. Adaptations au DSA

Les nouvelles missions exercées par la CNIL devraient être effectuées à effectifs constants, et donc ne pas avoir d'incidence budgétaire.

2. Adaptations au DGA

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. Cette désignation appellera des contrôles par les services de la CNIL. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires à définir.

Néant.

L'impact du présent article sur les services de la CNIL sera limité. Celle-ci a en effet indiqué déjà effectuer des contrôles en matière de ciblage publicitaire, sujet qu'elle maîtrise par ailleurs.

L'impact du présent article sur les services de la CNIL se traduira par le traitement des demandes d'enregistrement dans le registre public national des organisations altruistes en matière de données reconnues, et par le contrôle, au titre de l'article 24 du règlement 2022/868, du respect par ces organisations des exigences prévues à l'article 21 du règlement 2022/868.

Le contrôle du respect des dispositions en matière de protection des données personnelles par ces nouveaux acteurs recouvre déjà les contrôles effectués par la CNIL.

Néant.

Néant.

Néant.

Le présent article et la pleine application du DSA renforceront la protection des mineurs en ce qui concerne les pratiques de ciblage publicitaire sur internet.

Néant.

Le présent article et le DSA ont vocation à améliorer la protection des données personnelles des citoyens lorsque celles-ci sont utilisées à des fins de ciblage publicitaire.

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

La CNIL a été saisi le 4 avril 2023, conformément aux dispositions de l'article 8 de la loi du 6 janvier 1978 prévoit que la CNIL « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. »

Celle-ci s'est prononcée par la délibération n° 2023-036 du 20 avril 2023.

La CNIL a été saisi le 4 avril 2023, conformément aux dispositions de l'article 8 de la loi du 6 janvier 1978 prévoit que la CNIL « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. »

1. Adaptations au DSA

L'article 32 entrera en vigueur le 17 février 2024.

2. Adaptations au DGA

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

L'article 22 du projet de loi modifie des dispositions qui sont rendues expressément applicables par la loi à Wallis-et Futuna, en Polynésie française et en Nouvelle-Calédonie, leur application est donc maintenue, sous réserve des ajustements nécessaires à leur application. Les dispositions restantes pourront être rendues applicables en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna par l'ordonnance prévue à l'article 25 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25. 

1. Adaptations au DSA

Les présentes dispositions nécessitent un décret en Conseil d'Etat.

2. Adaptations au DGA

Les présentes dispositions nécessitent un décret en Conseil d'Etat.

1. ÉTAT DES LIEUX

Le présent projet de loi s'applique aux collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de « l'identité législative » : s'y applique de plein droit le droit commun tel qu'issu des lois et règlements nationaux.

S'agissant des collectivités relevant de l'article 74 de la Constitution (Saint-Barthélemy, Saint-Martin, Saint-Pierre-et-Miquelon, îles Wallis-et-Futuna et Polynésie française) et de la Nouvelle-Calédonie, le principe de « spécialité législative » y prévaut.

Les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent toutefois à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu pour le projet de loi de prévoir une mention particulière d'applicabilité. Seul l'article 11 qui touche aux compétences propres de ces collectivités en matière de tourisme^306(*) ne s'appliquera pas à ces collectivités.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Dans les îles Wallis et Futuna, en Nouvelle-Calédonie et en Polynésie française, les dispositions qui modifient le code pénal et le code de procédure pénale (ainsi que le code de commerce pour Wallis-et-Futuna) auront vocation à s'appliquer dès lors que l'ordonnance d'extension prévue à l'article 25 du projet de loi comprendra les mesures d'actualisation des compteurs installés dans lesdits codes. Il en ira de même pour les lois modifiées (n° 2004-575 du 21 juin 2004, n° 2020-936 du 30 juillet 2020, n° 86-1067 du 30 septembre 1986 et n° 2018-1202 du 22 décembre 2018), lesquelles comportent toutes un compteur pour leur application intégrale ou partielle dans les trois collectivités du Pacifique. A l'inverse les dispositions modifiant le code de consommation n'ont pas vocation à s'appliquer aux collectivités du Pacifique, qui disposent de compétences spécifiques sur le sujet.

Pour les trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

En vertu de l'article 38 de la Constitution, le Gouvernement peut demander au Parlement l'autorisation de prendre par ordonnances, pendant un délai limité, des mesures qui sont normalement du domaine de la loi.

Les ordonnances sont prises en Conseil des ministres après avis du Conseil d'Etat. Elles entrent en vigueur dès leur publication mais deviennent caduques si le projet de loi de ratification n'est pas déposé devant le Parlement avant la date fixée par la loi d'habilitation. Elles ne peuvent être ratifiées que de manière expresse.

A l'expiration du délai, les ordonnances ne peuvent plus être modifiées que par la loi dans les matières qui sont du domaine législatif.

Le recours à une ordonnance sur la base de l'article 38 de la Constitution a été privilégié compte-tenu de la nécessité d'examiner les dispositions de la loi (les dispositions qui figurent à l'origine dans le projet de loi comme celles qui seront ajoutées ou modifiées au cours du débat parlementaire) pour déterminer celles qu'il convient d'étendre et d'adapter aux collectivités de Wallis-et-Futuna, de Polynésie française et de Nouvelle-Calédonie.

Le traité sur le fonctionnement de l'Union européenne (TFUE) prévoit deux types de statuts pour les territoires d'outre-mer : les régions ultra périphériques (RUP) et les pays et territoires d'outre-mer (PTOM). L'application du droit dérivé à ces territoires, et notamment des actes énumérés à l'article 288 du TFUE (règlements, directives, décisions, avis et recommandations) dépend de son statut.

Comme les autres régions européennes, les RUP sont soumis au droit européen. L'article 355 du TFUE rappelle d'ailleurs que les dispositions des traités européens sont applicables à ces territoires. Concrètement, ces régions sont soumises à la législation communautaire ainsi qu'à tous les droits et obligations attachés à l'adhésion à l'UE, sauf dans les cas où des mesures spécifiques ou dérogatoires sont prévues. Ainsi, en l'absence de mention expresse permettant à ces territoires d'y déroger, les règlements s'appliquent pleinement à ces territoires.

Contrairement aux RUP, les PTOM ne font pas partie intégrante de l'Union européenne. Conformément aux articles 198 et 355 du TFUE, ils font l'objet d'un régime spécial d'association. En pratique, comme le rappelle la Décision 2013/755/UE du Conseil du 25 novembre 2013 relative à l'association des pays et territoires d'outre-mer à l'UE, ces régions ne sont pas soumises à la législation communautaire, à l'exception de certaines dispositions qui le prévoient expressément. Par conséquent, en l'absence de mention expresse, les règlements ne s'appliquent pas à ces territoires.

Les collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, de Wallis et Futuna, de Nouvelle-Calédonie et de Polynésie française sont sous le régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne. En conséquence, les règlements européens ne s'y appliquent pas de plein droit.

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Les articles 3, 5, 12, 15, 18, 22 et 24 du projet de loi modifient des dispositions qui sont rendues expressément applicables par la loi à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, leur application est donc maintenue, sous réserve des ajustements nécessaires à leur application. Les dispositions restantes de la présente loi nécessitent une mention expresse pour être applicables à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie.

L'application intégrale des règlements DSA, DMA et DGA dans les collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, de Nouvelle-Calédonie et de Polynésie française, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessite une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance.

Le présent projet de loi n'adapte pas expressément les nouvelles dispositions aux collectivités d'outre-mer. Aussi le Gouvernement a souhaité renvoyer à une ordonnance le soin de fixer les modalités d'application dans les collectivités d'outre-mer. Cette option tient compte des spécificités de ces territoires. Une intervention par voie d'ordonnance permettra de disposer d'une bonne visibilité sur l'ensemble des thématiques. Il s'agit ainsi de favoriser la clarté et l'intelligibilité du droit en recourant à un texte spécifique qui permettra de bien rédiger les normes d'extension et d'adaptation nécessaires.

L'objectif poursuivi est d'assurer la possibilité pour le Gouvernement d'étendre et d'adapter la disposition de la présente loi aux différents collectivités d'outre-mer et veiller par ce biais à une application cohérente de la présente loi dans l'espace.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La première option consiste à insérer directement dans le projet de loi des dispositions d'extension et d'adaptation. Cette option n'apparaît pas adaptée compte tenu de la diversité des mesures envisagées.

Une autre option consiste à n'insérer aucune mention d'applicabilité à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie dans le projet de loi sans prévoir d'habilitation du Gouvernement à étendre et à adapter les dispositions par voie d'ordonnance. Cette option a été exclue pour assurer au Gouvernement une liberté d'adaptation.

L'option retenue est une habilitation du Gouvernement à prendre par voie d'ordonnance toutes mesures relevant du domaine de la loi afin d'étendre l'application des dispositions du présent projet de loi, avec les adaptations nécessaires, aux collectivités d'outre-mer, pour celles qui relèvent de la compétence de l'État.

Cette solution permettra de laisser le temps au Gouvernement d'identifier les dispositions qui doivent être utilement adaptées et étendues aux collectivités d'outre-mer.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L'impact des mesures que le Gouvernement décidera d'étendre et d'adapter aux collectivités d'outre-mer fera l'objet d'une évaluation dans le cadre de l'étude d'impact du projet d'ordonnance.

5. JUSTIFICATION DU DÉLAI D'HABILITATION

Concernant l'habilitation donné au Gouvernement de prendre par ordonnance les mesures prévues au présent article, un délai d'habilitation de douze mois est nécessaire compte tenu de la technicité et de la diversité des dispositions à prendre.

Un projet de loi de ratification devra être déposé devant le Parlement dans un délai de trois mois à compter de la publication de chaque ordonnance.

* ¹ Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE.

* ² Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique.

* ³ Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données).

* ⁴ Rapport d'information n° 900 (2021-2022) de Mmes Annick BILLON, Alexandra BORCHIO FONTIMP, Laurence COHEN et Laurence ROSSIGNOL, fait au nom de la délégation aux droits des femmes, déposé le 27 septembre 2022.

* ⁵ Académie Nationales de Médecine, « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations », 24 janvier 2023, Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations - Académie nationale de médecine | Une institution dans son temps (academie-medecine.fr).

* ⁶ Ifop, « Étude sur les effets et conséquences de la loi du 30 juillet 2020 sur le visionnage de contenus pornographiques par les adolescents français », 24 avril 2022 : https://www.ifop.com/publication/etude-sur-les-effets-et-consequences-de-la-loi-du-30-juillet-2020-sur-le-visionnage-de-contenus-pornographiques-par-les-adolescents-francais/.

* ⁷ Sondage Ifop : « Les adolescents et le porno : vers une « Génération Youporn » ? », 2017, https://www.ifop.com/publication/les-adolescents-et-le-porno-vers-une-generation-youporn/.

* ⁸ Observatoire de la parentalité et de l'éducation numérique - Institut IFOP. Les adolescents et le porno : vers une "Génération Youporn" ? : Étude sur la consommation de pornographie chez les adolescents et son influence sur leurs comportements sexuels. 2017 : Les adolescents et le porno : vers une « Génération Youporn » ? - IFOP.

* ⁹ Cour de cassation, 1^ère chambre civile, 5 janvier 2023, n° 22.40.017.

* ¹⁰ Rapport d'information n° 900 (2021-2022) de Mmes Annick BILLON, Alexandra BORCHIO FONTIMP, Laurence COHEN et Laurence ROSSIGNOL, fait au nom de la délégation aux droits des femmes, déposé le 27 septembre 2022.

* ¹¹ Décision n° 88-248 DC, 7 janvier 1989.

* ¹² Décision n° 2009-580 DC, 10 juin 2009.

* ¹³ Ces dispositions sont abrogées par le présent projet de loi.

* ¹⁴ Avis d'Assemblée générale n° 397368 du 16 mai 2019.

* ¹⁵ Décision n° 2021-953 QPC, 3 décembre 2021.

* ¹⁶ Décision n° 2014-453/454 QPC, 18 mars, 2015.

* ¹⁷ Décision n° 2000-439 DC, 16 janvier 2001, cons. 14 (Journal officiel du 18 janvier 2001, page 931).

* ¹⁸ Décision n° 2018-768 QPC, 21 mars 2019, D. 2019. 584, et 742, note P. Parinet ; AJDA 2019. 662.

* ¹⁹ Cour de cassation, 1ère chambre civile, 5 janvier 2023, n°22.40.017.

* ²⁰ Étude de législation comparée n° 309 - septembre 2022 - Les conditions d'accès des mineurs à la pornographie.

* ²¹ Online Safety Bill, LIEN vers la procédure parlementaire anglaise en cours

* ²² Rapport d'information fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, par Mmes les sénatrices : Annick BILLON, Alexandra BORCHIO FONTIMP, Laurence COHEN et Laurence ROSSIGNOL : https://www.senat.fr/rap/r21-900-1/r21-900-1.html.

* ²³ Prévention de l'exposition des mineurs aux contenus pornographiques sur internet, rapport de l'Inspection Générale des Finances et du Conseil Général de l'Economie, Christophe Tardieu et Philippe Schil, décembre 2019.

* ²⁴ Pornhub, XVideos... les secrets des GAFA du sexe, article de Jacky Goldberg, publié sur le site capital.fr, 22 mai 2020.

* ²⁵ Derrière Pornhub et YouPorn, le géant du porno en ligne MindGeek dans la tourmente, Le Monde, 27 avril 2021.

* ²⁶ Académie Nationales de Médecine, « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations », 24 janvier 2023, Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations - Académie nationale de médecine | Une institution dans son temps (academie-medecine.fr)

* ²⁷ Académie Nationales de Médecine, « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations », 24 janvier 2023, Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations - Académie nationale de médecine | Une institution dans son temps (academie-medecine.fr).

* ²⁸ Ifop, « Étude sur les effets et conséquences de la loi du 30 juillet 2020 sur le visionnage de contenus pornographiques par les adolescents français », 24 avril 2022 : https://www.ifop.com/publication/etude-sur-les-effets-et-consequences-de-la-loi-du-30-juillet-2020-sur-le-visionnage-de-contenus-pornographiques-par-les-adolescents-francais/.

* ²⁹ Sondage Ifop : « Les adolescents et le porno : vers une « Génération Youporn » ? », 2017, https://www.ifop.com/publication/les-adolescents-et-le-porno-vers-une-generation-youporn/.

* ³⁰ Observatoire de la parentalité et de l'éducation numérique - Institut IFOP. Les adolescents et le porno : vers une "Génération Youporn" ? : Étude sur la consommation de pornographie chez les adolescents et son influence sur leurs comportements sexuels. 2017 : Les adolescents et le porno : vers une « Génération Youporn » ? - IFOP.

* ³¹ Décision n° 88-248 DC, 7 janvier 1989.

* ³² Décision n° 2009-580 DC, 10 juin 2009.

* ³³ Ces dispositions sont abrogées par le présent projet de loi.

* ³⁴ Avis d'Assemblée générale n° 397368 du 16 mai 2019.

* ³⁵ Décision n° 2021-953 QPC, 3 décembre 2021.

* ³⁶ Décision n° 2011-625 DC, 10 mars 2011.

* ³⁷ TJ de Paris 8 septembre 2022 (RG n°22/55687).

* ³⁸ Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques, (« Digital Services Act » ou DSA).

* ³⁹ Rapport d'information fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, par Mmes les sénatrices : Annick BILLON, Alexandra BORCHIO FONTIMP, Laurence COHEN et Laurence ROSSIGNOL : https://www.senat.fr/rap/r21-900-1/r21-900-1.html.

* ⁴⁰ Académie Nationales de Médecine, « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations », 24 janvier 2023, Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations - Académie nationale de médecine | Une institution dans son temps (academie-medecine.fr)

* ⁴¹ Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

* ⁴² En l'occurrence, l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) de la direction générale de la police nationale, autrement dit Pharos.

* ⁴³ Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.

* ⁴⁴ Décision n°2022-841 DC du 21 août 2022, « Loi portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne ».

* ⁴⁵ https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52022PC0209&from=EN

* ⁴⁶ Directive 2011/93/UE du Parlement et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie.

* ⁴⁷ Règlement (UE) 2021/1232 du Parlement européen et du Conseil du 14 juillet 2021 relatif à une dérogation temporaire à certaines dispositions de la directive 2002/58/CE en ce qui concerne l'utilisation de technologies par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d'autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne.

* ⁴⁸ Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

* ⁴⁹ Articles 13 et 14 du Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine : Article 13 « Le présent règlement s'applique: a) sur le territoire de l'Union; b) à bord de tout aéronef ou de tout navire relevant de la juridiction d'un État membre; c) à toute personne, à l'intérieur ou à l'extérieur du territoire de l'Union, qui est ressortissante d'un État membre; d) à toute personne morale, toute entité ou tout organisme, à l'intérieur ou à l'extérieur de l'Union, établi ou constitué selon le droit d'un État membre; e) à toute personne morale, à toute entité ou à tout organisme en ce qui concerne toute opération commerciale réalisée intégralement ou en partie dans l'Union. » ; Article 14 « Le présent règlement entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne. Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre. » EUR-Lex - 02014R0833-20220722 - EN - EUR-Lex (europa.eu)

* ⁵⁰ Article 11 « La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi ».