Proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne

EXAMEN DES ARTICLES

Article 1er

Insertion dans le droit français de la notion de réseau social

I. - Le réseau social, cet inconnu si connu

Alors que les réseaux sociaux ont envahi les écrans du monde entier, ils ne font pour l'heure l'objet d'aucune définition juridique permettant de les caractériser.

A. Des catégories constituées au fil de l'eau et aujourd'hui insuffisantes

Les différentes caractérisations des types de sites internet trahissent l'évolution rapide des technologies, à laquelle le droit a dû s'adapter, souvent avec retard.

La catégorie la plus ancienne de service de communication au public en ligne est définie à l'article premier de la loi du 21 juin 2004 pour la confiance dans l'économie numérique. Cette communication est définie de la manière suivante : « toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée.

On entend par communication au public en ligne toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur. »

L'article 6 de cette même loi a transposé en droit français les dispositions issues de la directive 2000/31 du 8 juin 2000, dite directive « e-commerce ».

Le principe posé tant par la directive que par l'article 6 est de créer un régime de responsabilité limitée pour deux catégories d'intermédiaires techniques. D'une part, les « personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne », soit les fournisseurs d'accès, et « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Cette catégorie regroupe essentiellement les réseaux sociaux et les hébergeurs, les plateformes de vidéos, etc. Ces personnes physiques ou morales ne sont supposées fournir qu'un support technique, sous forme de stockage, et n'engagent pas leur responsabilité de manière générale, car il ne leur appartient pas de contrôler des contenus qu'elles ne font que rendre disponibles auprès du public.

Enfin, la définition la plus proche serait celle introduite à l'article L. 111-7 du code de la consommation par la loi du 7 octobre 2016 pour une République Numérique d'opérateur de plateforme en ligne. Cette qualification s'applique à « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service. »

Cette définition concerne un très grand nombre d'acteurs : les sites comparateurs, places de marché, et les sites de mise en relation entre personnes physiques ou morales.

B. Le DMA pose un cadre juridique précis pour les réseaux sociaux

Aucune définition exacte ne vise cependant les réseaux sociaux, ce qui est problématique compte tenu du besoin de les cibler avec précision.

En décembre 2020, la Commission européenne a présenté deux propositions législatives visant à réguler le numérique : le projet de règlement européen relatif à un marché unique des services numériques (dit « DSA ») et le projet de Règlement relatif aux marchés contestables et équitables dans le secteur numérique (dit « DMA »).

Ce dernier a été adopté le 14 septembre 2022 et constitue donc le premier pilier de cette nouvelle régulation, qui vise à adapter notre législation aux défis posés par les géants du numérique, en conciliant protection des utilisateurs et développement de l'innovation dans l'économie numérique^11(*).

Son article 2 propose un ensemble de définitions qui seront désormais valables dans toute l'Union.

En particulier :

Ø Le 2) qualifie les réseaux sociaux de « service de plateforme essentiel » ;

Ø Le 7) définit pour sa part avec précision les services de réseaux sociaux en ligne : « une plateforme permettant aux utilisateurs finaux de se connecter ainsi que de communiquer entre eux, de partager des contenus et de découvrir d'autres utilisateurs et d'autres contenus, sur plusieurs appareils et, en particulier, au moyen de conversations en ligne (chats), de publications (posts), de vidéos et de recommandations ». La notion d'utilisateur final renvoie pour sa part au 20) de l'article 2 du règlement, et permet de distinguer les usagers des professionnels : « toute personne physique ou morale utilisant des services de plateforme essentiels autrement qu'en tant qu'entreprise utilisatrice ».

Cette définition est suffisamment large pour recouvrer l'ensemble des réseaux sociaux. Elle semble exclure les services de messagerie comme Telegram ou WhatsApp, qui ne permettent pas de « découvrir d'autres utilisateurs », mais cette notion pourrait elle-même être appelée à évoluer avec le développement des « boucles » et des listes de diffusion élargies sur ces réseaux. Elle comprend par contre les forums de discussion, qui se sont beaucoup développés ces dernières années.

II. - Où placer les réseaux sociaux ?

La version initiale de la proposition de loi reprenait la définition exacte des réseaux sociaux telle qu'issue de l'article 2 du DMA, et l'insérait à l'article L. 32 du code des postes et des communications électroniques.

Cet article, qui ouvre le livre II dudit code consacré aux communications électroniques, rassemble un grand nombre de définitions juridiques et techniques pour certaines issues d'autres textes.

Par un amendement à l'initiative du rapporteur, la commission des affaires culturelles de l'Assemblée nationale a choisi de déplacer la définition du réseau social à l'article 1^er de la loi du 21 juin 2004 pour la confiance dans l'économie numérique.

III. - La position de la commission

La question pouvait se poser de la nécessité d'inscrire en droit français des dispositions issues d'un Règlement européen, donc d'application directe, à la différence d'une directive.

Le rapporteur de l'Assemblée nationale, également auteur de la proposition de loi, justifie notamment cette volonté par les réserves du Conseil d'État dans son étude précitée de 2022 qui estime que « Il faut cependant relativiser la portée de la définition des réseaux sociaux figurant dans le DMA qui pourrait être cantonnée à l'application de ce texte dont l'objet est de réguler le marché et non l'ensemble des champs applicables aux réseaux sociaux ». Dès lors, il peut paraitre effectivement opportun d'inscrire une telle définition en droit français pour l'utiliser dans un domaine plus vaste que la simple régulation du marché, ce qui est précisément l'objet de la présente proposition de loi.

En ce qui concerne l'emplacement de cette définition, la commission la juge plus pertinente dans la loi du 21 juin 2004, qui rassemble dorénavant l'essentiel de la législation applicable au domaine du numérique.

Le rapporteur de l'Assemblée souligne également que le respect des dispositions du code des postes et des communications électroniques est largement confiée à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), dont les compétences ne sont pas adaptées à la régulation du numérique, qui relève plutôt de l'Arcom.

Article 1er bis

Élargissement du domaine de collaboration renforcée des hébergeurs

Introduit en commission à l'initiative de Véronique Riotton avec l'avis favorable du rapporteur, le présent article additionnel complète le dispositif de l'article 6 de la loi du 21 juin 2004 qui fixe les obligations de coopération des intermédiaires techniques et des hébergeurs dans la lutte contre certaines activités illicites.

I. - Fixer le cadre de la collaboration entre intermédiaires en ligne et pouvoirs publics

A. La responsabilité des hébergeurs

1. Un cadre général peu contraignant

Les hébergeurs n'ont pas de responsabilité directe dans les contenus mis en ligne. En conséquence, ils ne sont pas astreints à un devoir de surveillance ou de filtrage des contenus rendus disponibles par le biais de leur plateforme. Il s'agit là d'un principe général, issu de la directive « e-commerce » du 8 juin 2000, dont l'objectif principal était de favoriser le développement du numérique en Europe sans imposer de contraintes trop lourdes aux intermédiaires.

L'article 6 de la loi du 21 juin 2004 précitée introduit une possibilité de les mettre en cause, au plan civil (2. de l'article) ou pénal (3. de l'article). Cette mise en cause est définie de manière négative. Elle ne peut être engagée si les personnes :

- n'ont pas « effectivement » connaissance du caractère illicite des contenus ou de « faits et circonstances faisant apparaître ce caractère » ;

- si, « dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible ».

Ainsi, les hébergeurs ont une obligation d'agir, à la condition expresse qu'ils aient pu être informés, sans devoir pour autant exercer un contrôle systématique. L'engagement de leur responsabilité implique donc la possibilité de les informer des contenus délictueux.

Cette information doit respecter un certain degré de formalisme, défini au 5. de l'article 6 de la loi précitée, pour que la connaissance des faits litigieux soit « présumée acquise ». La notification doit, en particulier, permettre d'identifier le notifiant, et de justifier d'une demande de retrait préalable adressée à l'éditeur ou à l'auteur du propos jugé illicite. Dans un arrêt du 10 mai 2012, la Cour d'appel de Bordeaux a refusé de condamner un hébergeur auprès duquel la connaissance de contenus délictueux avait été portée, la notification ne permettant pas d'identifier de manière certaine l'auteur, ce qui entrainait la nullité de la procédure.

Dans sa décision n° 2004-496 DC du 10 juin 2004, le Conseil constitutionnel a, de plus, limité la portée de cette responsabilité, en indiquant que le contenu devait présenter un caractère manifestement illicite. Il a en effet précisé que « les 2 et 3 du I de l'article 6 de la loi déférée ont pour seule portée d'écarter la responsabilité civile et pénale des hébergeurs dans les deux hypothèses qu'ils envisagent ; que ces dispositions ne sauraient avoir pour effet d'engager la responsabilité d'un hébergeur qui n'a pas retiré une information dénoncée comme illicite par un tiers si celle-ci ne présente pas manifestement un tel caractère ou si son retrait n'a pas été ordonné par un juge ».

Face à une notification réalisée dans les formes, il appartient donc à l'hébergeur d'apprécier le caractère manifestement illicite de la publication, seule obligation qui lui est faite.

Une fois ce caractère reconnu, l'hébergeur a l'obligation de réaliser « promptement » le retrait, pour éviter de voir sa responsabilité engagée. La jurisprudence est relativement stricte en la matière.

2. Des obligations renforcées pour les infractions les plus graves

Le 7. de l'article 6 prévoit cependant un régime légèrement différent dans certaines circonstances. Dans des cas limitativement énumérés, et « compte tenu de l'intérêt général » qui y est attaché, certaines des infractions les plus graves requièrent ainsi une collaboration renforcée avec les pouvoirs publics.

Ces cas sont la répression « de l'apologie, de la négation ou de la banalisation des crimes contre l'humanité, de la provocation à la commission d'actes de terrorisme et de leur apologie, de l'incitation à la haine raciale, à la haine à l'égard de personnes à raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap ainsi que de la pornographie enfantine, de l'incitation à la violence, notamment l'incitation aux violences sexuelles et sexistes, ainsi que des atteintes à la dignité humaine ». Ils sont visés aux cinquième, septième et huitième alinéas de l'article 24 et à l'article 24 bis de la loi du 29 juillet 1881 sur la liberté de la presse et aux articles 222-33,222-33-2-3, 225-4-1, 225-4-13, 225-5, 225-6, 227-23 et 227-24 et 421-2-5 du code pénal.

Dans ces cas, les hébergeurs ont l'obligation de mettre en place un dispositif « facilement accessible et visible » qui doit permettre de porter à leur connaissance ces actes, et rendre publics les moyens qu'ils consacrent à la lutte contre les activités illicites.

La mise en place de ce dispositif de signalement est complétée par l'obligation d'informer promptement les autorités publiques compétentes de toutes activités illicites en lien avec les infractions visées, sous réserve, pour respecter leur statut, qu'elles leur soient signalées.

Le champ des domaines qui contraignent les plateformes à une obligation renforcée de vigilance et de coopération n'a cessé de croitre. Il a ainsi été notamment complété dans leur objet respectif par :

- l'article 1^er de la loi du 13 avril 2016 visant à renforcer la lutte contre le système prostitutionnel et à accompagner les personnes prostituées ;

- l'article 11 de la loi n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes ;

- l'article 1^er de la loi du 24 juin 2020 visant à lutter contre les contenus haineux en ligne, qui y a ajouté la lutte contre la haine liée à l'identité de genre ;

- l'article 1^er de la loi n° 2022-92 du 31 janvier 2022 interdisant les pratiques visant à modifier l'orientation sexuelle ou l'identité de genre d'une personne.

B. La proposition de l'Assemblée nationale : compléter les domaines de collaboration renforcée

L'article additionnel adopté par l'Assemblée nationale a été présenté à l'initiative de la présidente de sa Délégation aux droits des femmes. La Délégation estime en effet que de nombreux délits, dont sont victimes plus particulièrement les femmes et qui relèvent de la représentation de la vie privée et de la sécurité des personnes et des formes de chantages ou de harcèlement ne sont actuellement pas couverts par le champ de la collaboration renforcée avec les plateformes.

Les ajouts proposés consistent donc, suivant la structure de l'article 6 de la loi du 21 juin 2004, à compléter la liste des délits visés par des articles du code pénal afin d'y inclure :

ü les injures mentionnées à l'article 33 de la loi du 29 juillet 1881 sur la liberté de la presse ;

ü le harcèlement conjugal (article 222-33-2-1 du même code) ;

ü le harcèlement (article 222-33-2-2) ;

ü la révélation d'éléments de nature à divulguer l'identité d'une personne en vue de lui nuire (article 223-1-1) ;

ü le fait, au moyen d'un procédé quelconque, de porter volontairement atteinte à l'intimité de la vie privée d'autrui selon les modalités définies à l'article 226-1 du même code ;

ü le fait de conserver, porter ou laisser porter à la connaissance du public ou d'un tiers ou d'utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l'aide de l'un des actes prévus par l'article 226-1 (article 226-2) ;

ü le fait, en l'absence d'accord de la personne pour la diffusion, de porter à la connaissance du public ou d'un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l'aide de l'un des actes prévus à l'article 226-1 (article 226-2-1) ;

ü le fait de publier, par quelque voie que ce soit, le montage réalisé avec les paroles ou l'image d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention (article 226-8) ;

ü le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement (article 226-21) ;

ü le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir (article 226-22) ;

ü le fait de se livrer au chantage (articles 312-10 à 312-12).

En séance publique, un amendement corrigeant une erreur de renvoi a été adopté à l'initiative du rapporteur.

II. - La position de la commission

Cet article additionnel porté par la présidente de la Délégation aux droits des femmes de l'Assemblée nationale est pleinement légitime, tant les actes mentionnés constituent sans conteste des atteintes à l'intérêt général.

On peut cependant regretter l'accumulation de près de vingt articles du code pénal, ce qui nuit à la bonne intelligibilité de la loi et est susceptible de fragiliser la lutte contre ces actes.

La commission a adopté un amendement rédactionnel COM-1 à l'initiative de sa rapporteure.

Article 1er ter

Lutte contre le cyberharcèlement

Le présent article a été adopté à l'initiative de Laurent Esquenet-Goxes et plusieurs députés, avec l'avis favorable du rapporteur et contre l'avis du Gouvernement.

Il vise à compléter le 7. de l'article 6 de la loi précitée du 21 juin 2004.

Dans le cadre des obligations de coopération renforcée, les plateformes ont déjà l'obligation de mettre en place un dispositif facilement accessible permettant de porter à leur connaissance les actes les plus graves (voir le commentaire de l'article 1^er bis).

Les auteurs de l'amendement souhaitent que les plateformes « rendent visibles pour leurs utilisateurs des messages de prévention contre le harcèlement [...] et indiquent aux personnes auteures de signalement les structures d'accompagnement face au harcèlement en ligne ».

Le dispositif est donc en deux étapes :

- des messages de sensibilisation et de prévention ;

- des informations sur les structures d'accueil et d'aide suite à un signalement. On peut ainsi imaginer que l'envoi d'une alerte à la plateforme se traduise immédiatement par l'affichage d'une page dédiée.

En séance publique, le numéro et l'application 30 18 mis en place par l'association e-Enfance et le Gouvernement ont été explicitement mentionnés par Laurent Esquenet-Goxes, qui est également à l'origine de l'article 5 de la présente proposition de loi sur le même sujet.

Article 2

Instauration d'une majorité numérique à 15 ans

L'article 2 constitue le coeur de la proposition de loi adoptée à l'Assemblée nationale qui vise à instaurer une « majorité numérique », c'est-à-dire l'impossibilité pour le mineur de s'inscrire sur un réseau social avant ses 15 ans, et un accès limité, avec l'autorisation des parents, entre 13 ans et 15 ans.

La version initiale de la proposition de loi était extrêmement ramassée et lapidaire. Elle formulait simplement un principe général : les fournisseurs de services de réseaux sociaux sont légalement tenus de faire obstacle à l'inscription de mineurs de moins de 15 ans, sauf autorisation exprès des parents. Les détails étaient renvoyés à un décret en Conseil d'État.

Lors de l'examen en commission, le rapporteur a fait adopter un dispositif beaucoup plus précis et complet. Il a lui-même été affiné par de nombreux amendements en commission et en séance publique.

I. - Une restriction d'accès aux réseaux sociaux

Le présent article propose d'insérer un nouvel article 6-6 à la loi précitée du 21 juin 2004.

A. Les services concernés

Les personnes morales visées sont :

- les fournisseurs de service de réseaux sociaux, ces derniers ayant été définis à l'article 1^er de la présente proposition de loi ;

- qui exercent leur activité en France. Il s'agirait donc d'une exception par rapport au principe dit du « pays d'origine », consacré à l'article 3 de la directive « e-commerce » du 8 juin 2000. Cependant, ce même article 3 prévoit des dérogations limitativement énumérées, parmi lesquelles la nécessité d'assurer « la protection des mineurs et la lutte contre l'incitation à la haine pour des raisons de race, de sexe, de religion ou de nationalité et contre les atteintes à la dignité de la personne humaine ».

B. Le choix des quinze ans

Le I du nouvel article 6-7 pose le principe général contenu dans la version initiale de la proposition de loi : les réseaux sociaux qui exercent en France « refusent l'inscription à leurs services des mineurs de quinze ans [...] ».

En droit, l'expression « mineur de quinze ans » se réfère à une personne de moins de quinze ans.

La responsabilité porte donc sur le fournisseur de services, et non sur le mineur ou ses représentants légaux.

Le choix d'une « majorité numérique » à quinze ans est le résultat de plusieurs arbitrages, mais se fonde à titre principal sur le cadre déjà existant pour le traitement des données personnelles.

Ainsi, l'article 8 du Règlement général sur la protection des données (RGPD) prévoit que, sans formalité particulière, « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. » En deçà de cet âge, les représentants légaux doivent donner leur consentement au traitement des données du mineur.

Les pays européens ont adapté de manière très diverse l'article 8 du RGPD. Certains pays comme l'Allemagne sont restés à 16 ans sans dérogation, d'autres comme la Belgique à 13 ans.

La France a pour sa part adopté une position médiane, traduite à l'article 45 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a servi de support à la transposition : « [...] un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans. Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur. »

En réalité, cet article 45 pourrait donc suffire à lui seul à établir l'impossibilité de s'inscrire seul sur des réseaux sociaux avant l'âge de 15 ans. Leur usage repose en effet de manière systématique sur la captation massive de données personnelles, proscrite par le RGPD et la loi française. Cependant, son champ d'application est différent, puisqu'il suppose l'existence d'un contrat, ce qui n'est pas le cas d'une inscription sur les réseaux sociaux. Il n'en reste pas moins que, dans l'esprit, l'usage des données personnelles ne devrait pas être possible sans accord pour les moins de quinze ans, ce que le rapporteur de l'Assemblée nationale déplore, en indiquant qu'il s'agit d'une règle « en l'état, non applicable et non sanctionnée ».

La vérification de l'âge des inscrits est très insuffisante et purement déclarative, à tel point qu'une enquête de 2022 de l'association « Génération numérique » a établi^12(*) que 46 % des jeunes « seulement » n'avaient jamais menti sur leur âge sur les réseaux (ce qui implique donc que plus de la moitié a déjà fourni une réponse trompeuse). Une autre enquête^13(*) montre que TikTok est utilisé par 60 % des 11-14 ans, en forte progression depuis 2020, que 58 % des jeunes de 11 et 12 ans ont déjà au moins un compte sur un réseau social.

La proposition de loi établit, par parallélisme avec la loi du 6 janvier 1978, trois catégories parmi les mineurs civils :

ü en dessous de treize ans, le principe est celui de l'interdiction de s'inscrire, avec une exception. Les représentants légaux peuvent en effet donner une autorisation, mais uniquement pour les réseaux sociaux dits « labellisés », dans des conditions que doit définir un décret en Conseil d'État. Cette disposition résulte de l'adoption d'un amendement de Sarah Tanzilli, adopté en séance publique contre l'avis du Gouvernement et de la commission. La version initiale du texte laissait ouverte la possibilité aux parents de donner leur accord, quel que soit l'âge du mineur de quinze ans, pour n'importe quel réseau ;

ü entre treize ans et quatorze ans, le principe reste celui du refus d'inscription pour tous les réseaux, sauf en cas d'accord donné par les titulaires de l'autorité parentale ;

ü à partir de quinze ans, le mineur est considéré comme « majeur » du point de vue numérique, et peut donc s'inscrire sans accord des titulaires de l'autorité parentale.

À l'initiative de Béatrice Piron, la commission a adopté, contre l'avis du rapporteur, un amendement permettant aux parents de demander aux réseaux sociaux la suppression du compte d'un mineur civil, donc de moins de 18 ans. En séance publique, deux amendements identiques de Laurent Esquenet-Goxes et Béatrice Piron sont cependant revenus sur cette limite, en la fixant à 15 ans. Ils ont été sous-amendés par Antoine Léaument pour prévoir non pas la suppression, mais la suspension du compte du mineur. Cela permettra le cas échéant et le moment venu au mineur de retrouver son compte. Cet ensemble a reçu un avis de sagesse de la commission et du Gouvernement.

Le texte issu de la commission ne traitait cependant pas des comptes de mineurs déjà existants. À l'initiative de Stéphane Lenormand, l'Assemblée nationale a adopté en séance publique un amendement obligeant les plateformes à recueillir le consentement de l'autorité parentale pour les comptes déjà créés par les mineurs de quinze ans et moins. Le rapporteur a sous-amendé ce dispositif pour donner deux ans aux plateformes afin de traiter cette question.

Deux conséquences découlent de ces dispositions.

D'une part, l'accord de tous les titulaires de l'autorité parentale est requis pour l'inscription comme la demande de suspension d'un compte déjà existant.

D'autre part, l'ensemble des utilisateurs des réseaux devront à l'horizon de deux ans (voir infra) faire l'objet d'une vérification de leur âge.

*

II. - Le contrôle de l'âge

L'usage d'internet en fonction de l'âge se heurte dans bien des domaines à la faculté de contrôler l'âge de la personne. Ainsi, l'article 23 de la loi du 30 juillet 2020 prévoit déjà l'obligation pour les services éditant des contenus pornographiques de bloquer leur accès aux mineurs civils, mais en leur renvoyant la responsabilité, sous le contrôle de l'Arcom.

Près de trois ans après son adoption, cette loi n'est toujours pas appliquée, faute de dispositif à la fois suffisamment fiable, sans être intrusif, pour s'assurer de l'âge de la personne. Le ministre en charge du numérique a cependant annoncé travailler à la mise en place d'un « certificat de majorité anonyme », sans précision supplémentaire à ce stade.

La présente proposition de loi s'efforce d'être plus opérationnelle. Ainsi, les fournisseurs de réseaux sociaux doivent utiliser une des solutions techniques élaborées conformément à un « référentiel » construit à cette fin par l'Arcom, après consultation de la Commission nationale de l'informatique et des libertés (Cnil).

Cette solution technique doit cependant remplir plusieurs fonctions, dont aucune n'est simple :

- s'assurer de l'âge de l'utilisateur ;

- en dessous de 15 ans, recueillir l'autorisation des titulaires de l'autorité parentale, ce qui suppose que ces derniers apportent la preuve de ladite autorité, ou que les plateformes les connaissent déjà.

À ce stade, aucune précision n'est apportée sur le référentiel en question. Il ressort du texte adopté par l'Assemblée qu'il peut y avoir plusieurs solutions techniques, la seule contrainte pour le réseau social étant d'en utiliser une.

III. - La procédure de sanction

Si un fournisseur de services de réseaux sociaux n'utilise pas les solutions techniques certifiées, et donc, potentiellement, laisse à des mineurs de quinze ans la possibilité de s'inscrire sur son site, il revient au président de l'Arcom de lui adresser une mise en demeure.

Le fournisseur, selon la procédure éprouvée de l'Arcom, dispose de quinze jours pour faire part de ses observations. À l'expiration du délai, et en cas d'inexécution de la mise en demeure, le président de l'Arcom peut saisir le président du tribunal judicaire de Paris pour contraindre le fournisseur.

Une amende peut alors être infligée au réseau social, pour un montant qui ne peut excéder 1 % du chiffre d'affaires mondial de l'exercice précédent. Il convient de noter que le rapporteur avait initialement fixé un montant de 100 000 euros, mais que la commission, à l'initiative d'Emmanuelle Anthoine, a préféré cette fraction du chiffre d'affaires, la jugeant plus dissuasive.

Le président de l'Arcom est donc chargé d'assurer le respect de ces obligations, ce qui implique de la part de l'Autorité un travail de supervision de l'ensemble des réseaux sociaux.

Un décret en Conseil d'État est prévu pour fixer les modalités d'application de cet article.

IV. - Entrée en vigueur

L'entrée en vigueur est décalée :

- de deux ans pour le recueil de l'autorisation des parents pour les comptes déjà existants des mineurs entre 13 et 15 ans ;

- d'un an pour la saisine par l'Arcom du fournisseur et de l'Autorité judiciaire. Cela semble impliquer au passage que les mécanismes de vérification de l'âge seront disponibles à cette date.

V. - La position de la commission

Le dispositif de l'article 2 devra être notifié à la commission européenne, ce qui rallongera d'autant son entrée en application.

La commission a bien conscience du verrou qu'est l'absence actuelle de dispositif technique de vérification de l'âge et de recueil de l'autorité parentale. Comme exposé supra, elle estime cependant que la fixation de limites et l'incitation très forte que constituerait pour les plateformes l'adoption de la proposition de loi mérite une adoption de cet article.

La commission a adopté cinq amendements pour rendre le texte plus clair et opératoire.

Premier amendement ( COM-2) adopté à l'initiative de la rapporteure : il parait plus adapté de ne pas solliciter l'autorisation des deux parents pour l'inscription sur un réseau social. Les actes nécessitant l'accord de l'ensemble des titulaires de l'autorité parentale sont en effet réservés aux cas les plus importants de la vie du mineur, comme une intervention chirurgicale ou un changement d'école. Dans les autres cas, l'accord d'un seul parent est requis, l'autre étant présumé en accord. Par ailleurs, cet amendement rendra plus aisé le recueil de l'autorité parentale.

Deuxième amendement ( COM-3) à l'initiative de la rapporteure, la suppression des réseaux dits « labellisés » pour les moins de treize ans. Cette mesure introduite par amendement à l'Assemblée nationale présente en effet deux problèmes :

- d'une part, elle revient à limiter l'autorité reconnue aux parents, qui ne pourraient donc pas consentir volontairement à l'inscription de leur enfant sur un réseau social « non labellisé ». Or le principal objet de la proposition de loi est de placer la relation entre l'enfant et le parent au coeur du numérique. Il est enfin douteux que la mesure soit réellement applicable face à des parents qui souhaiteraient malgré tout inscrire leur enfant sur un réseau social ;

- d'autre part, le réseau « labellisé » parait difficile à concevoir, même si quelques modèles comme LEGOLIFE ou YouTube Kids peuvent exister. Le dispositif ne leur fixe au demeurant aucune définition précise.

Dans ces conditions, il est proposé de supprimer cet ajout, pour en rester à l'idée initiale du texte, qui est de placer l'autorité parentale au coeur de la régulation de l'usage du numérique pour les mineurs.

Un troisième amendement rédactionnel adopté à l'initiative de la rapporteure ( COM-4) supprime un paragraphe superfétatoire sur les missions de la Cnil.

Un quatrième amendement COM-5, adopté à l'initiative de la rapporteure, prévoit la consultation de la Commission nationale de l'informatique et des libertés (Cnil) avant la parution du décret en Conseil d'État. Compte tenu des enjeux en termes de protection des données personnelles, cet avis parait indispensable.

Un cinquième et dernier amendement COM-6 supprime les alinéas relatifs à l'entrée en vigueur différée de certaines dispositions du texte. Un amendement COM-9 portant article additionnel après l'article 5 propose de prendre comme point de départ de ces délais non pas la promulgation mais un décret pris après réception de l'avis de la Commission européenne.

Article 3

Délai de réponse à une réquisition judiciaire

I. - L'objectif : fixer un délai de réponse aux réquisitions judiciaires

La version initiale de l'article 3 de la présente proposition de loi modifiait les articles 60-1 et 77-1-1 du code pénal afin de contraindre les fournisseurs de réseaux sociaux à répondre à une réquisition judiciaire dans le cadre d'une enquête préliminaire ou d'une enquête de flagrance dans un délai de 48 heures, sous peine d'une amende ne pouvant excéder 1 % de leur chiffre d'affaires. Le but recherché est d'accélérer la coopération en matière judicaire des fournisseurs de réseaux sociaux qui jusqu'à présent, en dépit d'une bonne volonté affichée, ne semble pas produire ses meilleurs effets.

Cependant, à l'occasion de l'examen en commission, le rapporteur a proposé une nouvelle rédaction sensiblement différente de cet article, sans en modifier la finalité.

Le nouvel article 3 s'insérerait au VI de l'article 6 de la loi précitée du 21 juin 2004. Il précise que les intermédiaires techniques (fournisseurs d'accès) et les hébergeurs sont passibles de peines allant jusqu'à un an d'emprisonnement et 250 000 euros d'amende s'ils :

- ne collaborent pas dans les domaines d'intérêt général (voir commentaire sur l'article 1^er bis de la présente proposition de loi) ;

- ne procèdent pas dans les délais prévus au retrait des contenus odieux (actes terroristes, etc..), selon les dispositions de l'article 6-1 de la même loi ;

- n'ont pas conservé les éléments d'information permettant d'identifier les créateurs de contenus ;

- ne défèrent pas à une demande d'une autorité judiciaire en vue d'obtenir la communication des éléments à leur disposition.

Cette dernière obligation n'est cependant assortie d'aucun délai fixé dans la loi.

II. - La transposition anticipée d'un Règlement européen

La nouvelle rédaction adoptée par la commission vise à fixer un délai de dix jours ou « en cas d'urgence résultant d'un risque imminent d'atteinte grave aux personnes ou aux biens », de huit heures.

Ces bornes temporelles ont été retenues en référence au projet de Règlement européen relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale.

Présenté par la Commission européenne le 18 avril 2018, il a fait l'objet d'un accord entre le Conseil et le Parlement européen^14(*) le 23 janvier 2023.

Le rapporteur a jugé plus cohérent d'anticiper l'application en France de ce Règlement. Son article 9 fixe en effet :

- un délai de 10 jours dans le cas normal d'une demande d'informations transfrontalière (1b de l'article 9 du projet de Règlement) ;

- de huit heures en cas d'urgence (2 de l'article 9).

Il aurait été difficilement concevable, une fois le Règlement adopté, de laisser subsister deux délais pour répondre aux réquisitions : un de 48 heures, et un de 10 jours ramené à huit heures. Le présent article 3 reprend donc les deux bornes temporelles du projet de Règlement.

À l'initiative de sa rapporteure, la commission a adopté un amendement COM-7. La rédaction adoptée par l'Assemblée nationale est plus large que celle contenue à l'article 9 du projet de Règlement, qui ne vise pas les atteintes aux biens. Dès lors, il est plus pertinent de s'en tenir aux risques imminents d'atteinte grave aux personnes, comme prévu dans le Règlement.

Article 4

Remise d'un rapport au Parlement

En dépit de quelques travaux de recherche, l'impact réel de l'utilisation des réseaux sur les plus jeunes demeure largement méconnu. Le constat de la dangerosité d'un usage immodéré repose donc essentiellement sur les quelques données disponibles et, plus largement, sur l'intuition et l'expérience concrète de chaque personne en contact avec un mineur qui utilise un réseau social.

Face à ce constat, l'auteur de la proposition de loi a souhaité demander au Gouvernement la remise d'ici un an d'un rapport qui devait initialement concerner « les conséquences de l'utilisation des réseaux sociaux sur le bien-être et la santé mentale des jeunes, notamment des mineurs ».

Contre son avis, la commission a adopté deux amendements de Fabienne Colboc et Violette Spillebout étendant respectivement l'objet à l'ensemble des plateformes en ligne et aux conséquences sur les jeunes de l'exposition à la surinformation et aux fausses informations.

Enfin, en séance publique, à l'initiative de Géraldine Bannier, un amendement adopté avec un avis de sagesse de la commission et du Gouvernement a encore élargi ce champ en incluant l'effet des plateformes sur les capacités d'apprentissage des jeunes.

L'objet de ce rapport se trouve donc considérablement élargi suite aux ajouts en commission et en séance publique.

Article 5 (supprimé)

Remise d'un rapport au Parlement

Le présent article additionnel a été adopté en commission suite à l'adoption d'un amendement de Laurent Esquenet-Goxes et plusieurs députés, avec l'avis favorable du rapporteur.

Il existe actuellement deux numéros utilisés par les plus jeunes :

- le « 30 18 », opéré par l'Association « e-Enfance » avec le soutien ministère de l'Éducation nationale et de la Jeunesse et du secrétariat d'État à l'enfance, qui apporte une aide aux personnes victimes de violences numériques : cyber-harcèlement, revenge porn, chantage à la webcam, usurpation d'identité, violences à caractère sexiste ou sexuel, exposition à des contenus violents ;

- le « 30 20 », numéro d'appel gratuit opéré par l'École des parents et des éducateurs d'Île-de-France, subventionné par le ministère de l'Éducation nationale et de la Jeunesse. Il s'adresse aux élèves, aux familles et aux professionnels témoins ou victimes d'une situation de harcèlement entre élèves.

Les auteurs de l'amendement estiment que ces deux missions sont désormais trop intimement liées pour être séparées, et souhaitent donc la réalisation d'une étude pouvant éventuellement conclure à un rapprochement des deux indicatifs.

La commission a estimé, d'une part, que les missions des deux numéros étaient en réalité distinctes. Par ailleurs, il existe le risque qu'un rapprochement entre ces deux services essentiels se traduise par une diminution des moyens. Enfin, sur le plan des principes, une telle disposition ne relève pas du niveau de la loi.

Pour ces raisons, la commission a adopté, à l'initiative de sa rapporteure, un amendement COM-8 de suppression de l'article.

Article 6 (nouveau)

Entrée en vigueur des dispositions de la présente proposition de loi

La présente proposition de loi devra faire l'objet d'une notification à la Commission européenne, en application de la directive du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information. Il s'agit de s'assurer que les textes envisagés sont compatibles avec la législation européenne et les principes qui s'appliquent au marché intérieur.

À l'initiative de sa rapporteure, la commission a donc adopté un amendement COM-9 portant article additionnel afin de fixer l'entrée en vigueur de la loi à la publication d'un décret qui suivra la réponse de la Commission européenne.

En conséquence, il est proposé de décaler d'autant l'application des dispositions initialement contenues à l'article 2 de la présente proposition de loi. Ainsi :

- les plateformes devront vérifier l'âge des inscrits dans les deux ans qui suivent l'entrée en vigueur ;

- elles seront soumises pour les nouveaux inscrits à la régulation de l'Arcom un an après l'entrée en vigueur.

Le délai supplémentaire de quelques mois ainsi obtenu devra être mis à profit pour anticiper au mieux les difficultés techniques du contrôle de l'âge et de l'autorisation parentale.

*

* *

* ¹¹ Catherine Morin-Desailly et Florence Blatrix Contat ont rendu public un rapport exhaustif sur le DMA réalisé au nom de la commission des affaires européenne du Sénat : http://www.senat.fr/notice-rapport/2021/r21-034-notice.html

* ¹² https://asso-generationnumerique.fr/wp-content/uploads/2022/10/Enquete-donnees-personnelles-CNIL-GN-2022-avec-compression.pdf

* ¹³ https://asso-generationnumerique.fr/wp-content/uploads/2022/02/Enquete-pratiques-nume%CC%81riques-2022.pdf

* ¹⁴ https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5448_2023_INIT&from=EN