Projet de loi visant à sécuriser et réguler l'espace numérique

TITRE II
PROTECTION DES CITOYENS DANS L'ENVIRONNEMENT NUMÉRIQUE

Article 4
Protection des citoyens contre les vecteurs de propagande étrangère manifestement destinés à la désinformation et à l'ingérence

1. La législation actuelle

L'Union européenne dispose d'un arsenal juridique lui permettant de décider de sanctions à l'encontre d'États tiers. L'article 29 du traité sur l'Union européenne confère au Conseil de l'Union européenne le droit de prendre des sanctions à l'encontre de gouvernements de pays tiers, d'entités non étatiques et de personnes afin de les inciter à revoir leur politique ou leur activité.

Par ailleurs, l'article 215 du traité sur le fonctionnement de l'Union européenne permet au Conseil d'adopter les mesures nécessaires à la mise en oeuvre des décisions prises en vertu de l'article 29 du traité sur l'Union européenne afin d'assurer leur application uniforme dans tous les pays de l'Union européenne.

Les sanctions prises par l'Union européenne dans ce cadre visent des pays non membres de l'Union, des personnes physiques ou morales, des groupes ou des entités non étatiques qui ne respectent pas le droit international ou les droits de l'homme ou mènent des politiques ou des actions contraires à l'État de droit ou aux principes démocratiques.

Différents types de sanctions sont possibles et peuvent être prises graduellement.

Les sanctions diplomatiques prévoient l'expulsion de diplomates, la suspension des visites officielles, la suspension de la coopération bilatérale ou multilatérale avec l'Union européenne et le boycottage d'événements sportifs ou culturels.

Les sanctions économiques et financières permettent l'embargo sur les armes et les équipements militaires figurant dans la liste commune des équipements militaires de l'Union européenne ainsi que des restrictions à l'importation et l'exportation des biens à usage civil et militaire.

Les mesures restrictives peuvent concerner le gel des fonds et des ressources économiques détenus ou contrôlés par des personnes ou des organisations ciblées, l'interdiction de visa ou de voyage empêchant l'entrée des personnes dans l'Union européenne et les mesures d'interdiction sectorielle, par exemple sur l'importation ou l'exportation de certains biens ou certaines technologies.

À la suite de l'invasion de l'Ukraine par la Fédération de Russie, l'Union européenne a adopté des mesures restrictives, dont des interdictions de diffusion de contenus produits par des médias liés directement ou indirectement au pouvoir russe. Une quinzaine de médias, dont Russia Today et Sputnik, sont concernés par ces interdictions de diffusion sur le territoire de l'Union européenne.

Cependant, les autorités françaises ont pu constater au cours de l'année 2022 la mise en oeuvre, en particulier de la part de RT France, de stratégies de contournement des mesures restrictives au travers du recours à des sites Internet et de plateformes domiciliées hors de l'Union européenne comme Odysee et Rumble.

Ces différents cas de contournement ont mis en évidence l'absence de dispositif juridique en France permettant de s'assurer de la mise en oeuvre des mesures restrictives européennes visant les médias.

La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication qui définit les pouvoirs et les compétences de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) ne prévoit ainsi pas de dispositions permettant de mettre en oeuvre des sanctions européennes visant les médias.

Par ailleurs, il apparaît également que les dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique qui permettent le retrait, le blocage et le déréférencement de contenus illicites ne concernent que ceux à caractère terroriste ou pédopornographique diffusés sur Internet.

Les autres modes d'action comme la saisine du juge judiciaire ou le recours aux services douaniers ne permettent pas davantage d'aboutir à faire cesser les infractions constatées faute d'autorité compétente pour arrêter très rapidement la diffusion des contenus visés.

2. Le dispositif proposé

Le dispositif prévu par le présent article 4 vise à élargir l'application des articles 42 et 42-10 de la loi du 30 septembre 1986 précitée aux opérateurs de communication audiovisuelle et aux opérateurs de communication au public en ligne afin de permettre à l'Arcom de mettre en demeure les opérateurs de faire cesser la diffusion des contenus faisant l'objet de sanctions. En cas de réponse insuffisante, l'Arcom pourra prononcer une sanction à l'encontre de l'opérateur concerné ou recourir à la procédure de « référé audiovisuel » prévu par l'article 42-10 qui permet au président de la section du contentieux du Conseil d'État d'ordonner toute mesure permettant de faire cesser un manquement au besoin en prononçant des astreintes.

En ce qui concerne les opérateurs de communication au public en ligne, le nouveau dispositif créé s'inspire des dispositions de l'article 6-1 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique. L'Arcom pourra ainsi délivrer des injonctions aux acteurs qui concourent à la diffusion de contenus sanctionnés afin que cette diffusion cesse dans un délai de soixante-douze heures, délai durant lequel ils pourront lui adresser des observations et saisir le juge des référés du Conseil d'État. En l'absence d'exécution, et lorsque le contenu est en ligne, l'Arcom pourra enjoindre aux fournisseurs d'accès à Internet de bloquer le site diffusant le contenu. En cas de méconnaissance de l'obligation de retirer les contenus ou de faire cesser leur diffusion par les opérateurs, l'Arcom pourra prononcer une sanction pécuniaire à leur encontre, tenant compte de la gravité du manquement ou de la réitération.

Pour les personnes fournissant des services d'hébergement ou d'édition de service de communication au public, le montant de la sanction ne pourra excéder 4 % du chiffre d'affaires ou 250 000 euros ou, en cas de réitération, 6 % du chiffre d'affaires ou 500 000 euros. Pour les fournisseurs d'accès à Internet, le montant de la sanction pourra atteindre 75 000 euros ou 1 % du chiffre d'affaires, et en cas de réitération 150 000 euros ou 2 % du chiffre d'affaires.

Lorsque seront prononcées une amende administrative et une amende pénale en application de l'article 459 du code des douanes (pouvant aller de 450 euros à 225 000 euros) à l'encontre de la même personne, le montant global des amendes ne pourra pas dépasser le maximum légal le plus élevé des sanctions encourues.

3. La position de la commission spéciale

a) La nécessité de mieux lutter contre les opérations d'ingérence conduites sur Internet

Dès le 24 février 2022, le président de la commission de la culture, de l'éducation et de la communication, Laurent Lafon, a saisi le président de l'Arcom du cas Russia Today afin de lui indiquer qu'il lui semblait « urgent de nous interroger sur la menace que (faisait) peser cet organe de communication gouvernemental russe sur nos valeurs démocratiques à l'aune de la situation nouvelle créée par le déclenchement des opérations militaires en Ukraine ». Il interpellait en particulier le régulateur de l'audiovisuel sur le respect par la chaîne russe de sa convention. Toutefois, cette saisine a également mis en évidence l'absence de véritables moyens d'action pour mettre un terme à la diffusion de ce média plus largement sur Internet et à travers les applications et les réseaux sociaux.

Dès le 2 mars 2022, le Conseil de l'Union européenne a décidé de suspendre d'urgence les activités de diffusion de Sputnik et de RT/Russia Today (RT English, RT UK, RT Germany, RT France et RT Spanish) dans l'Union européenne ou en direction de l'Union européenne, jusqu'à ce que l'agression contre l'Ukraine prenne fin et jusqu'à ce que la Fédération de Russie et ses médias associés cessent de mener des actions de désinformation et de manipulation de l'information contre l'Union européenne et ses États membres.

Les dispositions du présent article visent à donner leur pleine efficacité aux décisions prises par le Conseil de l'Union européenne et à se prémunir contre les manoeuvres de contournement. Elles ont été élaborées dans le cadre d'un dialogue avec le régulateur de la communication audiovisuelle et numérique afin de tenir compte des contraintes que connaissent les acteurs du secteur.

Dans son avis, le Conseil d'État a considéré que les dispositions prévues à cet article « ne se heurtent à aucun obstacle d'ordre constitutionnel ou conventionnel, notamment au regard de la liberté d'expression et de communication »^62(*).

Le rapporteur souscrit pleinement aux objectifs de cet article. Concernant le régime des sanctions prévu au paragraphe IV du nouvel article 11 de la loi du 21 juin 2004, il remarque qu'il devra être mis en oeuvre selon les modalités de l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986 qui prévoit une instruction préalable par un rapporteur nommé par le vice-président du Conseil d'État. Cette procédure qui respecte le principe du contradictoire apportera les mêmes garanties que dans les autres cas où l'Arcom est fondée à envisager de sanctionner des auteurs de manquements.

Par ailleurs, le durcissement des sanctions en cas de réitération des manquements tant par les personnes fournissant des services d'hébergement ou d'édition de service de communication au public que par les fournisseurs d'accès à Internet (FAI) s'inscrit dans la pratique habituelle de l'Arcom de recourir à des sanctions croissantes lorsque la phase de dialogue n'a pu aboutir à faire évoluer des comportements. Pour le régulateur, le recours à la sanction ne doit constituer que l'ultime solution lorsque toutes les autres démarches ont échoué et la récidive dans les manquements est donc particulièrement sanctionnée puisqu'elle marque l'échec d'une approche privilégiant le dialogue et les engagements réciproques.

À noter que le montant des sanctions est plus élevé pour les personnes fournissant des services d'hébergement ou d'édition de service de communication au public que pour les FAI, ce qui s'explique par le fait que ces derniers n'interviennent qu'ex post afin de bloquer, à la demande du régulateur, la diffusion des sites incriminés alors que les personnes fournissant des services d'hébergement ou d'édition de service de communication au public sont supposées exercer une veille plus étroite sur les contenus dont ils concourent à la diffusion.

b) Trois amendements visant à compléter le dispositif de l'article 4

La commission spéciale a adopté trois amendements qui modifient et complètent le présent article.

1. Un élargissement des compétences de l'Arcom à l'égard de certains médias extra-européens

L'amendement COM-95 rectifié a vocation à donner à l'Arcom une compétence sur les services de télévision et les services de médias audiovisuels à la demande (SMAD) extra-communautaires diffusés en France ne relevant pas de la compétence d'un autre État membre de l'Union européenne (UE), de l'Espace économique européen (EEE) ou de la Convention européenne sur la télévision transfrontière (CETT), quel que soit le mode de diffusion ou de distribution. La modification de l'article 43-2 de la loi du 30 septembre 1986 vient asseoir la compétence de l'Arcom sur ces services, tant pour veiller à l'application des principes de la loi du 30 septembre 1986 (s'agissant notamment de l'ordre public, de la dignité humaine, de l'incitation à la haine) que pour assurer la pleine effectivité des nouvelles dispositions donnant compétence à l'Arcom en matière d'application des sanctions européennes (1° et 2° du I du présent article).

Cet amendement COM-95 rectifié donne ainsi compétence à l'Arcom pour :

- mettre en demeure les services visés de respecter les principes de la loi du 30 septembre 1986 et, en cas de non-respect de la mise en demeure, transmettre les faits au rapporteur mentionné à l'article 42-7 de ladite loi afin qu'il engage une procédure de sanction ;

- et mettre en demeure un distributeur de services mettant à la disposition du public une offre de services de communication audiovisuelle de cesser la diffusion d'un service extra-communautaire distribué par un réseau n'utilisant pas des fréquences assignées par l'Autorité de régulation de la communication audiovisuelle et numérique, à l'instar de ce que l'Arcom peut faire en matière de diffusion par satellite.

Contrairement aux services diffusés par un distributeur ou un opérateur de réseaux satellitaires, l'Arcom ne dispose pas de moyens d'action dans la loi du 30 septembre 1986 permettant d'obtenir la cessation de la diffusion d'une chaîne diffusée en Over-the-top service (OTT)^63(*). Les articles 42, 42-1 et 42-10 ne s'appliquent pas aux fournisseurs d'accès Internet (FAI) pourtant en mesure de mettre fin à la diffusion des contenus visés. C'est pourquoi l'amendement COM-95 rectifié prévoit de modifier les articles 42 et 42-10 de la loi du 30 septembre 1986 afin de faire entrer les services extra-communautaires pour lesquels l'Arcom serait compétente dans le champ du I et II de l'article 33-1 de la loi du 30 septembre 1986 (pour les services de télévision) et de l'article 33-3 (pour les SMAD) relatifs au conventionnement ou à la déclaration des services.

Cet amendement prévoit également d'ajouter ces services de télévision extra-communautaires dans la dérogation prévue au III de l'article 33-1 de la loi du 30 septembre 1986 afin de leur appliquer le même régime qu'aux services extra-communautaires diffusés par satellite, et de prévoir la même dérogation pour les SMAD extra-communautaires à l'article 33-3 de la même loi. Enfin, il prévoit une modification de l'article 43-7 relatif aux obligations de contribution à la production des services de télévisions et des SMAD qui ne sont pas établis en France, qui ne relèvent pas de la compétence de la France et qui visent le territoire français, afin d'éviter que la modification de l'article 43-2 ait une incidence sur l'application de l'article 43-7.

2. Deux amendements de précision concernant la mise en oeuvre de l'article

Alors que l'alinéa 7 prévoit que les fournisseurs d'accès à Internet devront sans délai empêcher l'accès aux sites dont l'Arcom leur aura signalé les adresses, l'amendement COM-96 confie à l'Arcom le soin de déterminer le délai au terme duquel les FAI devront nécessairement avoir coupé l'accès à ces sites. Il apparaît, en effet, difficile d'exiger des FAI qu'ils soient en mesure de neutraliser l'accès à des sites « sans délai » notamment à certains moments de la journée ou de la semaine. A contrario, il n'apparaît pas judicieux de fixer dans la loi un délai trop long qui pourrait être mis à profit dans le cadre d'opérations d'ingérence.

Par ailleurs, l'amendement COM-97 complète le présent article par un paragraphe V qui prévoit que les conditions d'application du présent article seront précisées par un décret en Conseil d'État. Il reviendra à ce décret de préciser les modalités opérationnelles de mise en oeuvre des dispositions prévues au présent article concernant par exemple les modalités d'un éventuel déblocage des sites concernés.

3. La nécessité de prévoir des modalités de prise en charge des coûts engagés par les FAI

Le rapporteur remarque par ailleurs que le présent article ne prévoit pas les modalités de prise en charge des coûts engagés par les FAI pour assurer un blocage des sites dans un délai très réduit.

Le rapporteur rappelle à cet égard que l'article 3 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique a prévu concernant la prise en charge des coûts induits par la lutte contre le piratage des droits sportifs de renvoyer à un accord conclu entre les parties sous l'égide de l'Arcom. Il revient en particulier à cet accord de préciser « les mesures qu'elles s'engagent à prendre pour faire cesser d'éventuelles violations de l'exclusivité du droit d'exploitation audiovisuelle de la manifestation ou compétition sportive et la répartition du coût des mesures ordonnées (...) ». Si le recours à ce type d'accord n'est pas envisageable dans le cas présent, la question de la prise en charge demeure un sujet de préoccupation légitime des acteurs concernés que le rapporteur souhaite mentionner.

La commission spéciale a adopté les amendements COM-95 rectifié, COM-96 et COM-97.

Article 5
Création d'une peine complémentaire de blocage d'un compte d'accès aux plateformes en ligne

1. Le régime des peines complémentaires dans le droit en vigueur

S'ajoutant à une peine principale d'amende ou d'emprisonnement, les peines complémentaires ont vocation, par leur diversité, à contribuer à l'individualisation des peines par le juge pénal.

On peut, schématiquement, utiliser deux typologies pour établir une catégorisation juridique des peines complémentaires :

- il est tout d'abord possible d'opérer une distinction fondée sur le caractère obligatoire ou facultatif de la peine complémentaire : pour les premières, la loi impose au juge, sauf dispense prononcée par celui-ci, d'en assortir la peine principale (à l'instar de l'inéligibilité en cas de condamnation pour un crime ou pour l'un des délits visés à l'article 131-26-2 du code pénal) ; quant aux secondes, elles constituent une simple faculté à la disposition du juge, qui peut choisir ou non d'y recourir, et doivent être spécialement et expressément prévues pour chaque infraction pour laquelle elles sont encourues ;

- on peut ensuite les distinguer par nature ; la doctrine s'accorde en général pour distinguer les peines complémentaires atteignant une liberté (celle d'aller et venir pour l'interdiction du territoire, par exemple) de celles qui atteignent un droit (à l'instar du droit de vote pour une privation des droits civiques), de celles qui touchent au patrimoine du condamné (c'est-à-dire les confiscations) ou sa réputation (l'affichage).

Or, en dépit de leur diversité, les peines complémentaires existantes ne concernent pas le domaine numérique : si le juge peut prononcer à l'encontre d'un condamné l'interdiction de paraître en certains lieux ou de participer à certaines manifestations publiques, il ne peut pas lui interdire d'accéder à l'espace numérique^64(*).

Les communications en ligne sont, à l'inverse, déjà couvertes par certaines modalités d'exécution des peines. Elles sont en effet incluses dans le périmètre des interdictions d'entrer en relation avec la victime ou avec la partie civile :

- à l'issue de la peine : ces interdictions, telles qu'elles résultent de l'article 712-16-2 du code de procédure pénale, sont facultatives dans la plupart des cas mais obligatoires pour certains délits - et notamment pour des délits susceptibles d'être commis en ligne (proposition sexuelle faite par un majeur à un mineur de quinze ans^65(*) ou à une personne se présentant comme telle en utilisant un moyen de communication électronique, pour pédopornographie ; fabrication ou diffusion d'un message pornographique ou violent susceptible d'être vu ou perçu par un mineur ; incitation à commettre un crime ou un délit à l'encontre d'un mineur...) ;

- à la place de l'emprisonnement, ou en même temps que celui-ci : l'interdiction de contact est, dans ce cas, encourue pour toute condamnation pour un délit puni d'une peine d'emprisonnement (14° de l'article 131-6 du code pénal).

2. La création d'une nouvelle peine complémentaire de blocage du compte d'accès aux plateformes en ligne

L'article 5 du projet de loi crée une peine complémentaire de suspension du compte d'accès à un service de plateforme en ligne : il s'agit donc, dans l'intention, de la traduction en droit pénal d'une sanction de « bannissement » des réseaux sociaux.

Aux termes du II de l'article 5, cette nouvelle peine serait applicable dès lors que le compte concerné aura été utilisé pour commettre l'un des délits suivants (qui correspondent, majoritairement mais non exclusivement, aux infractions visées par la loi pour la confiance dans l'économie numérique (LCEN) de 2004) :

- les délits de harcèlement prévus aux articles 222-33 (harcèlement sexuel), 222-33-2-1 (harcèlement du conjoint, partenaire de pacte civil de solidarité ou concubin), 222-33-2-2 (harcèlement moral), 222-33-2-3 (harcèlement scolaire) et au deuxième alinéa de l'article 222-33-3 (diffusion de l'enregistrement d'images relatives à la commission d'une atteinte volontaire à l'intégrité de la personne) du code pénal ;

- les délits prévus aux articles 225-4-13 (pratiques visant à modifier ou réprimer l'orientation sexuelle ou l'identité de genre d'une personne), 225-5 et 225-6 (proxénétisme et infractions assimilées), 227-23 (diffusion, offre, cession d'images pédopornographiques), 227-24 (fabrication, transport, diffusion de message violent, pornographique ou contraire à la dignité, lorsqu'il est susceptible d'être vu ou perçu par un mineur) et 421-2-5 du code pénal (provocation et apologie du terrorisme) ;

- certains délits de presse graves, à savoir ceux prévus aux cinquième, septième et huitième alinéas de l'article 24 (apologie publique des crimes de guerre, des crimes contre l'humanité, des crimes de réduction en esclavage ou des crimes et délits de collaboration avec l'ennemi ; provocation à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée ; provocation à la haine, aux discrimination ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap) et à l'article 24 bis (négationnisme) de la loi du 29 juillet 1881 sur la liberté de la presse.

Cette sanction prendrait la forme d'une peine complémentaire facultative, d'une durée maximale de six mois (portée à un an en cas de récidive légale).

La condamnation serait transmise au fournisseur du service de plateforme concerné, à charge pour lui de bloquer le compte pendant toute la durée de la peine ; il encourrait à défaut une amende de 75 000 euros.

Le fournisseur serait également tenu de « [mettre] en oeuvre des mesures » permettant d'éviter l'utilisation par la personne condamnée d'autres comptes (préexistants ou nouveaux), sans que cette obligation soit assortie d'une sanction et sans que la nature des « mesures » concernées soit précisée.

3. La position de la commission spéciale : étendre la portée du « bannissement » pour renforcer la protection accordée aux victimes

Sans l'estimer complétement platonique, la commission spéciale n'a pu qu'observer que la nouvelle peine complémentaire aurait un impact essentiellement symbolique sur les condamnés comme sur les victimes. Cette analyse est cohérente avec la vocation principale du « bannissement » tel qu'il a été imaginé par le Gouvernement : selon les informations recueillies par le rapporteur Loïc Hervé lors de ses auditions, la peine complémentaire a été, à titre principal, conçue pour toucher les condamnés disposant d'une large audience en ligne et qui font usage de leur notoriété pour assurer une vaste diffusion à des messages délictuels^66(*), et non pour s'appliquer de manière générale à la délinquance en ligne. 

Tout en soutenant l'esprit de cette innovation, puisque la peine complémentaire de blocage du compte pourra concourir à sécuriser l'espace numérique pour les citoyens et à éviter qu'y soient commises des infractions graves, la commission spéciale a estimé possible de renforcer la portée du « bannissement » en réévaluant son périmètre technique, son champ matériel et sa nature.

a) Sur le périmètre technique de la peine complémentaire

La commission spéciale a constaté que la nouvelle peine complémentaire de « bannissement » aurait une portée limitée, générant un doute sérieux sur l'effectivité de la mesure comme sur la réalité de la protection accordée aux victimes^67(*).

Ce constat résulte de plusieurs facteurs.

En premier lieu, la nouvelle peine sera centrée sur le compte utilisé pour commettre l'infraction. Il restera donc loisible à la personne condamnée de disposer librement des comptes dont elle disposerait (ou qu'elle créerait) sur d'autres plateformes. Plus encore, la rédaction proposée ne semble pas autoriser la juridiction pénale à étendre le « bannissement » à plusieurs plateformes - y compris dans l'hypothèse, plausible, dans laquelle l'infraction aura été commise en recourant à plusieurs réseaux sociaux ou services en ligne.

En deuxième lieu, l'article 5 ne prévoit de sanctionner les plateformes qu'en cas de défaut de blocage du compte ayant permis la commission de l'infraction, et non pour les autres comptes (existants ou nouveaux) détenus sur la même plateforme par la personne condamnée. Cette lacune avait déjà suscité des interrogations de la part du Conseil d'État qui, dans son avis sur le projet de loi, « sugg[érait au Gouvernement] de ne pas retenir la disposition qui prévoit que le fournisseur du service de plateforme en ligne qui procède au blocage du compte d'accès suspendu met par ailleurs en oeuvre des mesures permettant de procéder au blocage des autres comptes d'accès à son service éventuellement détenu par la personne condamnée et d'empêcher la création par celle-ci de nouveaux comptes », au motif que « cette obligation présentée comme une obligation de moyens et qui n'est pas pénalement réprimée ne trouve pas sa place dans le code pénal » (point 23).

En troisième lieu, la peine complémentaire proposée est limitée aux « services de plateforme en ligne ». Or ceux-ci sont définis par le règlement sur les services numériques (RSN) (article 3) comme des « service[s] d'hébergement qui, à la demande d'un destinataire du service, stocke[nt] et diffuse[nt] au public des informations », étant rappelé qu'un service d'hébergement est défini comme un service « consistant à stocker des informations fournies par un destinataire du service à sa demande ». Cette caractérisation touche les principaux réseaux sociaux et places de marché mais exclut, comme l'a relevé la direction des affaires criminelles et des grâces lors de son audition par le rapporteur, les sites qui ne stockent pas les contenus. Si, à ce jour, la plupart des plateformes de réseaux sociaux ou de partage de vidéos remplissent cette condition, ce critère est susceptible à terme d'exclure des plateformes reposant sur un principe exclusif de diffusion instantanée de contenus.

De même, le rapporteur observe que la notion de « diffusion au public » au sens du RSN s'étend du « fait de mettre des informations à la disposition d'un nombre potentiellement illimité de tiers, à la demande du destinataire du service ayant fourni ces informations », ce qui paraît de nature à empêcher l'application de la peine complémentaire à des services reposant sur une sélection préalable des membres (par le biais d'un « parrainage » ou de tout autre système de validation) plutôt que sur l'inscription libre.

Limitée dans ses effets pour les personnes physiques, la peine complémentaire pourrait, à l'inverse, ouvrir de larges possibilités aux plateformes en ligne. En effet, au cours d'une table ronde réunissant les régulateurs (Arcom, Arcep et Cnil) et organisée le 13 juin 2023, la présidente de la Cnil, Marie-Laure Denis, a relevé que l'obligation de moyens imposée aux plateformes pour la gestion des comptes « tiers » du condamné risquait de se traduire par une collecte disproportionnée des données personnelles des utilisateurs^68(*) . Cette position est au demeurant cohérente avec la délibération de la Cnil sur le projet de loi, celle-ci ayant souligné que « les traitements qui seront mis en oeuvre par les plateformes en ligne aux fins de blocage ou visant à empêcher une personne d'en créer de nouveaux devront respecter les principes et le droit de la protection des données à caractère personnel ».

Pour répondre à ces difficultés, la commission spéciale a, à l'initiative de son rapporteur, adopté l'amendement COM-98 tendant à :

- prévoir que la peine complémentaire conduira au blocage des comptes utilisés pour commettre l'infraction, y compris sur plusieurs services en ligne ;

- clarifier la portée de la peine complémentaire en y intégrant, de manière explicite, les services de réseaux sociaux en ligne et les services de plateforme de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, afin de prendre en compte l'ensemble des services de plateforme quelles que soient leurs modalités de fonctionnement technique ;

- rappeler que les mesures mises en place par les plateformes pour le blocage des comptes « tiers » des personnes condamnées devront s'inscrire dans le cadre protecteur de l'article 46 la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés », afin notamment d'éviter la constitution par les plateformes d'un fichier des personnes condamnées qui serait non seulement choquant dans son principe, mais aussi directement contraire au RGPD.

Le rapporteur n'a, en revanche, pas estimé conforme à la Constitution de prévoir que la peine complémentaire pourrait toucher les comptes existants sur des plateformes autres que celles auxquelles il a été fait recours pour commettre l'infraction ; le « bannissement » instauré en tant que modalité d'exécution de la peine ou dans le cadre des alternatives aux poursuites atteindra cependant un effet analogue (voir infra).

b) Sur le champ matériel de la peine complémentaire

En outre, le champ matériel d'application de cette nouvelle peine complémentaire ne paraît pas couvrir l'ensemble des infractions susceptibles d'être commises par le biais d'une plateforme en ligne ; elle omet d'ailleurs (logiquement, en l'absence d'adoption définitive de ce texte) de citer plusieurs délits visés, en tant qu'infractions contre lesquelles les acteurs du numérique doivent lutter au titre de la LCEN, par la récente proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne^69(*).

Outre qu'il ne concerne pas les crimes, le périmètre d'application de la peine exclut ainsi un certain nombre de délits pouvant relever de la cybercriminalité, parmi lesquels :

- des faits analogues au harcèlement, cette infraction étant largement mais incomplètement couverte par le dispositif initial, et qui peuvent être commis au moins partiellement par le biais de plateformes, comme l'outrage sexiste et sexuel (article 222-33-1-1 du code pénal) ou le harcèlement au travail (article 222-33-2) ;

- de même, des faits assimilables au proxénétisme, comme la tenue d'un établissement de prostitution (article 225-10) dont la publicité peut être assurée en ligne, et des formes aggravées de proxénétisme (articles 225-7 et suivants) ;

- les atteintes à la vie privée (articles 226-1 et suivants), cette infraction étant notamment caractérisée par le fait de « [fixer, enregistrer ou transmettre], sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé » et à la représentation de la personne (article 226-8) ;

- la violation d'une interdiction de contact posée par une ordonnance de protection du juge aux affaires familiales (article 227-4-2) ;

- les infractions qui consistent à rendre publiques des allégations infondées ou des informations secrètes ou confidentielles, et qui peuvent par nature être commises sur les réseaux sociaux : diffusion malveillante d'informations personnelles sur une personne afin de l'exposer à un risque d'atteinte à son intégrité (article 223-1-1), dénonciation calomnieuse (article 226-10), détournement et/ou révélation de données à caractère personnel (articles 226-21 et 226-22), révélation d'informations mettant en danger les membres des services ou unités spécialisés (articles 413-13 et 14) ;

- les faits de chantage prévus aux articles 312-10 à 312-12 du code pénal ;

- divers délits de provocation, là encore publics par nature : provocation publique et directe à commettre un génocide (article 211-2), provocation au suicide (article 223-13), provocation d'un mineur à consommer ou vendre des stupéfiants, à consommer de l'alcool de manière excessive ou à commettre un crime ou un délit (articles 227-18 à 227-21), provocation à s'armer contre l'autorité de l'État (article 412-8), à l'attroupement armé (431-6) ;

- des délits « voisins » de la pédopornographie : favorisation de la corruption de mineurs, la corruption elle-même lorsqu'elle est commise ou tentée « par un moyen de communication électronique » (articles 227-22 à 227-22-2) ou la sollicitation par un majeur d'images pornographiques d'un mineur (article 227-23-1).

La commission spéciale a souhaité que ces délits soient intégrés au champ matériel de la nouvelle peine complémentaire de « bannissement » et a adopté, pour ce faire, l'amendement COM-99 rectifié du rapporteur.

Enfin, face à la montée en fréquence et en intensité des violences contre les élus locaux, la commission spéciale a estimé nécessaire que ceux qui harcèlent, menacent ou intimident les représentants des collectivités territoriales ou qui entendent porter atteinte au fonctionnement normal de la démocratie soient, eux aussi, passibles de cette nouvelle sanction. C'est ainsi qu'elle a, par le même amendement COM-99 rectifié, intégré au champ matériel de celle-ci l'entrave, par voie de menaces, à l'exercice des libertés publiques et aux débats des assemblées parlementaires ou des organes délibérants des collectivités (article 431-1), ainsi que les menaces et actes d'intimidation commis contre les personnes exerçant une fonction publique (articles 433-3 et 433-3-1).

Par cohérence avec ces évolutions, la commission spéciale a estimé nécessaire de modifier la liste des infractions contre la diffusion desquelles les opérateurs du numérique doivent lutter en application de l'article 6 de la LCEN, afin qu'y soient intégrés l'ensemble des délits précités. Ce choix se traduit par un amendement à l'article 22 du projet de loi (amendement COM-134, exposé ci-après).

c) Sur l'opportunité d'une extension de la nature du « bannissement »

Le projet de loi limite la nature du « bannissement » à celle d'une peine complémentaire. Cette situation soulève deux difficultés.

En premier lieu, le « bannissement » vise à interdire à une personne d'être présente sur un espace numérique public, celui du réseau social, où elle pourrait récidiver et/ou entrer en contact avec ses victimes. Intellectuellement, il s'apparente donc à l'interdiction de paraître ou à l'interdiction d'entrer en relation avec la victime ; or ces interdictions, qui ont fait la preuve de leur efficacité, constituent non pas des peines complémentaires, mais des modalités d'exécution des peines.

Deuxièmement, le « bannissement » conçu comme une peine complémentaire sera vraisemblablement réservé aux condamnations les plus légères. En effet, l'accès à Internet étant de facto impossible, si ce n'est légalement proscrit, en prison (ce qui rend la peine complémentaire de « bannissement » inopérante dans le cas d'une condamnation à une peine de prison ferme) et la durée maximale de la peine instituée par le projet de loi (six mois, ou un an en cas de récidive) n'étant pas susceptible en pratique de s'étendre au-delà d'un emprisonnement ferme^70(*), il est plausible que les magistrats ne prévoiront pas l'application de cette sanction en complément des condamnations les plus lourdes.

Le rapporteur considère que le blocage du compte d'accès à une plateforme est un levier essentiel pour protéger les victimes et prévenir la récidive, ainsi que pour sécuriser l'espace numérique en interdisant son accès aux personnes qui y ont commis des infractions. Sans remettre en cause l'intérêt du « bannissement » en tant que peine complémentaire, il estime donc nécessaire que cette sanction puisse s'appliquer non seulement en parallèle d'une peine principale, mais aussi en l'absence de poursuites pour les cas les moins graves et à l'issue d'une peine d'emprisonnement dans les hypothèses les plus dramatiques.

Ainsi conçu, le « bannissement » ne supposerait pas le blocage par une plateforme d'un ou plusieurs comptes d'accès, mais prendrait la forme d'une interdiction qui, si elle n'est pas respectée, expose le contrevenant à subir une sanction dont l'application avait précédemment été écartée, suspendue ou aménagée. En d'autres termes, au même titre que pour une interdiction d'entrer en relation avec un tiers, la violation par un condamné d'une interdiction d'accéder à une plateforme pourrait se traduire par une incarcération ou une réincarcération.

C'est dans cette optique que la commission spéciale a souhaité, sur l'impulsion de son rapporteur (amendement COM-100), que le « bannissement » soit étendu :

- aux alternatives aux poursuites, en prévoyant que le blocage des comptes d'accès à des plateformes pourra être proposé, avant la mise en mouvement de l'action publique et dans le cadre de la composition pénale de l'article 41-2 du code de procédure pénale, à une personne physique qui reconnaît avoir commis un ou plusieurs délits punis d'une peine d'emprisonnement maximale de cinq ans ;

- aux mesures susceptibles d'être prononcées à la place ou en même temps que l'emprisonnement dans le cadre défini par l'article 131-6 du code pénal, c'est-à-dire pour tous les délits passibles d'une peine d'emprisonnement ;

- aux obligations pouvant être imposées à un condamné par la juridiction de condamnation ou par le juge d'application des peines au titre de l'article 132-45 du code pénal. Le « bannissement » serait ainsi rendu applicable à de nombreuses hypothèses, y compris après l'exécution d'une peine d'emprisonnement, puisqu'il pourrait :

o être décidé dans le cadre de la surveillance judiciaire (article 723-30 du code de procédure pénale), c'est-à-dire en cas de risque avéré de récidive, à l'issue d'une peine privative de liberté d'une durée égale ou supérieure à sept ans (ou, en cas de récidive, à cinq ans)^71(*) ;

o s'appliquer en cas de placement d'une personne détenue à l'extérieur ou en semi-liberté, ainsi que lors des permissions de sortie (article 723-4 du code de procédure pénale) ;

o s'appliquer en cas de sursis probatoire (article 739) ;

o être décidé en cas de suspension ou de fractionnement d'une peine d'emprisonnement en matière correctionnelle (article 720-1), ainsi que de libération sous contrainte ou conditionnelle (article 721-2) ;

o être prévu dans le cadre d'un suivi socio-judiciaire (article 131-36-2 du code pénal).

d) La création d'une infraction d'outrage en ligne

Les auditions conduites par le rapporteur et par la commission spéciale en formation plénière ont mis au jour les difficultés posées, en matière de harcèlement en ligne, par la réponse pénale « classique ». En effet, le cyber-harcèlement ne fait pas l'objet d'une définition autonome par le code pénal et se trouve couvert par les infractions existantes de harcèlement (qu'il s'agisse de harcèlement « simple », de harcèlement scolaire ou de harcèlement du conjoint) ; or il s'agit de faits graves, passibles d'une peine d'emprisonnement et qui supposent la tenue d'un procès et, en amont de celui-ci, la conduite d'une enquête, parfois longue, pour garantir le respect des droits de toutes les parties. La sanction pénale, indépendamment de la question du « bannissement », intervient ainsi plusieurs mois, voire plusieurs années après la commission des faits.

Face à ce constat, certaines personnes auditionnées ont suggéré que le législateur mette en place un système inspiré de la « riposte graduée » applicable en matière de protection des droits d'auteur, avec l'envoi d'un courrier aux cyber-harceleurs. Cette formule n'a pas semblé suffisante à la commission spéciale au vu de la nature des faits, a fortiori dans un contexte où la « riposte graduée » pratiquée par l'Arcom repose, légitimement, sur une procédure longue (deux courriers d'avertissement, suivis d'une réitération, avant transmission au procureur de la République en vue du prononcé d'une amende d'un montant maximal de 1 500 euros) qui ne répond qu'imparfaitement à l'objectif d'une sanction plus rapide des infracteurs.

D'autres ont proposé qu'il soit fait recours à l'amende forfaitaire délictuelle (AFD) pour réprimer plus rapidement le cyber-harcèlement, aujourd'hui traité de jure comme le harcèlement de la « vie réelle » et donc soumis à la voie juridictionnelle. Il n'a pas semblé envisageable au rapporteur de suivre cette proposition pour deux raisons principales : d'une part, l'AFD s'applique aujourd'hui à des faits relativement simples et « légers » (conduite sans assurance ou sans permis, usage de stupéfiants, filouterie de carburants, tags, intrusion dans un établissement scolaire, atteintes à la circulation des trains...), dont la gravité ne saurait être comparée à celle des délits existants en matière harcèlement ; d'autre part, elle emporte l'extinction de l'action pénale, c'est-à-dire qu'elle empêche l'engagement de poursuites par le parquet.

Pour autant, cette piste de réflexion doit-être écartée ? Le rapporteur considère, à l'inverse, que le recours à l'AFD en matière de cyber-harcèlement ne manque pas de pertinence. Il a ainsi pu constater aux côtés de Marc-Philippe Daubresse, en tant que rapporteur du projet de loi d'orientation et de programmation du ministère de l'intérieur examiné par le Parlement en 2022-2023, que l'AFD était un outil efficace dont l'usage avait permis pour certaines infractions (et notamment la consommation de stupéfiants et l'occupation en réunion de halls d'immeuble) une nette amélioration du taux de réponse pénale. En l'espèce, son application aux faits les plus « simples » de cyber-harcèlement permettrait de sanctionner les auteurs avant que le harcèlement ne s'inscrive dans la durée et de massifier la réponse pénale, aujourd'hui inadaptée face à la fréquence des comportements déplacés subis en ligne par les citoyens, et en particulier par les plus jeunes.

Le rapporteur mènera, d'ici à la séance publique, des concertations visant à mettre au jour une solution opérationnelle permettant à la fois aux victimes de faire valoir leurs droits et aux agents chargés de la répression d'exercer cette nouvelle mission dans des conditions satisfaisantes.

Article 6
Déploiement d'un filtre national de cybersécurité grand public

1. Le droit en vigueur : une multitude de dispositifs de filtrage de contenus dont aucun ne vise spécifiquement les actes de cybermalveillance

a) Une co-existence de plusieurs dispositifs sectoriels de filtrage des contenus pouvant être ordonnés par voie judiciaire ou administrative

1. Un dispositif judiciaire de portée générale pour filtrer les contenus haineux sur Internet et ceux portant atteinte aux personnes

L'article 6 de la loi pour la confiance dans l'économie numérique (LCEN)^72(*) dispose que « le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d'y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ».

En vertu de cet article, les fournisseurs d'accès à un service de communication au public en ligne et les hébergeurs de contenus concourent à la lutte contre la diffusion des contenus faisant :

- l'apologie, la négation ou la banalisation des crimes contre l'humanité ;

- de la provocation à la commission d'actes de terrorisme et leur apologie ;

- de l'incitation à la haine raciale, à la haine à l'égard des personnes en raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap ;

- de la pornographie enfantine ;

- de l'incitation à la violence, notamment aux violences sexistes et sexuelles ;

- des atteintes à la dignité humaine.

2. Un dispositif judiciaire spécifique de retrait des contenus pédopornographiques ou terroristes

L'article 6-1 de la LCEN prévoit que l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), rattaché à la direction générale de la police nationale et gestionnaire des plateformes Pharos et Thesee, puisse demander aux éditeurs de contenus ou aux hébergeurs de retirer les contenus pédopornographiques ou terroristes.

En l'absence de retrait de ces contenus dans un délai de vingt-quatre heures, l'OCLCTIC transmet aux offreurs d'accès aux services de communication au public en ligne la liste des adresses électroniques dont l'accès doit être bloqué ou déréférencé sans délai.

Par exemple, pour l'année 2022, la plateforme Pharos a procédé aux demandes figurant dans le tableau ci-dessous^73(*).

Afin d'éviter toute mesure qui serait disproportionnée, une personnalité qualifiée désignée au sein de l'autorité compétente vérifie le bien-fondé des demandes de retrait de contenus, de blocage et de déréférencement. Jusqu'au 7 juin 2022, cette personnalité qualifiée était membre de la Cnil. Depuis, il s'agit d'une personnalité qualifiée désignée par l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), en l'occurrence Laurence Pécaut-Rivolier.

S'agissant des seuls contenus à caractère terroriste, ce dispositif a été récemment enrichi. Le règlement européen relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne^74(*), adapté en droit national par la loi du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne^75(*), a été l'occasion d'introduire les articles 6-1-1 et suivants au sein de la LCEN, permettant à l'OCLCTIC de délivrer une injonction de retrait, dans un délai d'une heure, de certains contenus à caractère terroriste à l'encontre des fournisseurs de services d'hébergement au public en ligne. Les sanctions prévues sont d'un an d'emprisonnement et 250 000 euros d'amende, les injonctions de retrait étant susceptibles de recours devant le tribunal administratif.

3. Un dispositif judiciaire spécifique pour l'arrêt des services de communication au public en ligne diffusant des contenus terroristes

Le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l'apologie de ces actes par l'utilisation d'un service de communication au public en ligne est puni de sept ans d'emprisonnement et de 100 000 euros d'amende^76(*).

Dans ce cas, l'arrêt du service de communication en ligne concerné peut être prononcé par le juge des référés, à la demande du ministère public ou de toute personne physique ou morale ayant intérêt à agir^77(*).

4. Un dispositif judiciaire spécifique pour retirer les activités en ligne de nature à altérer la sincérité des scrutins

Le juge des référés peut également, dans un délai de quarante-huit heures à compter de sa saisine, prescrire « toutes mesures proportionnées et nécessaires »^78(*) pour faire cesser la diffusion d'allégations ou imputations inexactes ou trompeuses d'un fait de nature à altérer la sincérité du scrutin à venir, diffusées de manière délibérée, artificielle ou automatisée ou massive par le biais d'un service de communication au public en ligne.

5. Un dispositif judiciaire de portée générale pour filtrer les contenus portant atteinte aux droits d'auteur et aux droits voisin

L'article L. 336-2 du code de la propriété intellectuelle prévoit un dispositif similaire de filtrage des contenus par voie judiciaire lorsque le contenu d'un service de communication au public en ligne porte atteinte à un droit d'auteur ou à un droit voisin, le président du tribunal judiciaire pouvant ordonner, selon la procédure accélérée au fond, toutes mesures propres à prévenir ou à faire cesser une telle atteinte.

Cette procédure peut, par exemple, être utilisée par des organismes de défense professionnelle pour qu'il soit fait injonction aux fournisseurs d'accès à Internet (FAI), mais aussi aux fournisseurs de moteurs de recherche, afin qu'ils prennent les mesures de blocage et de déréférencement de sites offrant aux internautes la possibilité d'accéder à des contenus contrefaisants, en flux continu (streaming) ou en téléchargement.

6. Un dispositif administratif de filtrage des pratiques commerciales déloyales, trompeuses ou agressives en ligne

Lorsqu'ils constatent des pratiques commerciales déloyales, trompeuses ou agressives, ou des manquements à la conformité et à la sécurité de produits vendus en ligne, et lorsque l'auteur de ces pratiques ne peut être identifié ou qu'il n'a pas déféré à une injonction de mise en conformité, les agents habilités de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) peuvent, dans un délai d'au moins quarante-huit heures :

- ordonner aux opérateurs de plateforme en ligne d'afficher un message avertissant les consommateurs du risque de préjudice encouru lorsqu'ils accèdent au contenu manifestement illicite ;

- ordonner aux opérateurs de plateforme en ligne ou aux hébergeurs de contenus, pour les infractions les plus graves passibles d'une peine d'au moins deux ans d'emprisonnement, le déréférencement ou la limitation de l'accès aux adresses électroniques des interfaces en ligne dont les contenus sont manifestement illicites, ou le blocage d'un nom de domaine^79(*).

Ce dispositif a, par exemple, été récemment utilisé pour déréférencer la plateforme Wish à la suite du signalement de la présence, sur cette plateforme, de produits non conformes voire dangereux pour les consommateurs.

b) Une absence de dispositif national de filtrage dédié aux actes de cybermalveillance

1. Un « vide juridique national » dans un contexte de hausse des actes quotidiens de cybermalveillance

Comme le souligne l'étude d'impact du présent projet de loi, la création d'un filtre national de cybersécurité grand public « s'appuie sur le constat selon lequel il n'existe pas de précédent identifiable en droit français permettant de répondre à la préoccupation de lutter préventivement contre les actes de cybermalveillance visés par le dispositif et de façon aussi rapide et efficace que les modes opératoires standardisés, évolutifs et extrêmement réactifs des cybercriminels ».

Or, selon son dernier rapport d'activité, la fréquentation de la plateforme Cybermalveillance.gouv.fr, opérée par le groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma), est en hausse avec 3,8 millions de visiteurs en 2022 et plus de 280 000 parcours d'assistance, la cybermalveillance désignant toute infraction commise par voie numérique. Cette plateforme en recense 48 formes différentes, les plus fréquentes étant :

- l'hameçonnage (phishing) - plus de 100 000 demandes d'assistance en ligne en 2022 - qui consiste à l'envoi de courriel ou de SMS en usurpant l'identité d'un tiers pour l'inciter, par exemple, à communiquer ses données personnelles, professionnelles ou bancaires : faux messages d'infraction, sollicitations concernant le compte personnel de formation (CPF), messages d'escroquerie à la livraison de colis, etc. ;

- le piratage de compte en ligne - plus de 20 000 demandes d'assistance en ligne en 2022 - en particulier les comptes de messagerie et les comptes des réseaux sociaux ;

- les arnaques aux faux supports techniques ou fraudes à la réparation informatique afin d'inciter les utilisateurs à payer de faux dépannages ;

- le cyberharcèlement, c'est-à-dire le fait de tenir en ligne, de manière répétée et intentionnelle, des propos ou des comportements ayant pour but ou conséquence une dégradation des conditions de vie de la personne qui en est victime ;

- la violation de données personnelles ;

- les attaques par rançongiciel (ransomware) - près de 2 500 demandes d'assistance en ligne en 2022 - qui constituent la première cybermenace pour les entreprises, et qui consistent à bloquer l'accès à un appareil ou à des fichiers et à réclamer le paiement d'une rançon pour en obtenir de nouveau l'accès ;

- les spams électroniques ou téléphoniques, qui sont des communications non sollicitées à des fins publicitaires, commerciales ou malveillantes ;

- les attaques en déni de service, afin de rendre inaccessible un serveur, à provoquer une panne ou un fonctionnement dégradé ;

- les faux ordres de virement ;

- les virus.

2. Des expériences étrangères qui justifient d'autant plus de compléter notre arsenal législatif national

Si la France ne dispose pas encore d'un dispositif national de filtrage des actes de cybermalveillance à destination du grand public, il existe pourtant une panoplie de diverses solutions techniques dont certaines ont déjà été mises en oeuvre dans d'autres pays. Le tableau ci-dessous, issu de l'étude d'impact du projet de loi, synthétise les principales solutions en vigueur à l'étranger.

2. Le dispositif proposé : le déploiement progressif d'un nouveau dispositif de filtrage dédié aux actes courants de cybermalveillance

a) La désignation d'un opérateur technique pour garantir la mise en oeuvre opérationnelle de ce dispositif

Le GIP Acyma s'est proposé pour être l'opérateur technique de ce futur dispositif, en particulier pour permettre aux différentes autorités administratives pressenties d'envoyer aux fournisseurs d'accès à Internet et aux fournisseurs de navigateurs sur Internet les noms de domaines à filtrer.

Selon l'étude d'impact du projet de loi, les autorités administratives pressenties pour constater les infractions sont notamment la DGCCRF, l'Autorité de contrôle prudentiel et de résolution (ACPR), l'Autorité des marchés financiers (AMF), la sous-direction de la lutte contre la cybercriminalité de la police nationale, le commandement de la gendarmerie dans le cyberespace (COMCyberGend) et l'Agence nationale de la sécurité de systèmes d'information (Anssi).

Source : GIP Acyma

Selon les premières estimations réalisées par le GIP Acyma, le coût fixe du développement de ce dispositif serait de 1 115 000 euros, sans inclure les frais de maintenance pour les années à venir.

b) La mise en oeuvre d'un dispositif national de cybersécurité pour lutter contre des infractions bien identifiées et de plus en plus courantes

L'article 6 de ce projet de loi réécrit l'article 12 de la LCEN et instaure un dispositif national de cybersécurité grand public ciblant des actes de cybermalveillance bien identifiés et correspondant aux infractions suivantes :

- l'usurpation d'identité, c'est-à-dire « le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération »^80(*) ;

- la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite^81(*) ;

- l'accès frauduleux à un système de traitement automatisé de données, y compris s'il en résulte la suppression ou la modification des données contenues dans le système^82(*) ;

- l'usage frauduleux de moyens de paiement, c'est-à-dire « le fait, pour toute personne, de fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés »^83(*) pour :

c) Dans un premier temps, l'affichage par les fournisseurs de navigateurs à Internet d'un message d'alerte pendant sept jours

Lorsque l'une des infractions mentionnées ci-dessus est constatée, l'autorité administrative notifie aux fournisseurs de navigateurs sur Internet (Google Chrome, Apple Safari, Mozilla Firefox, Microsoft Edge, Samsung Internet, Yahoo, Bing, Qwant, etc.) l'adresse de l'éditeur du service de communication au public en ligne en cause afin de prendre sans délai, à titre conservatoire et pendant sept jours « toute mesure utile consistant à afficher un message avertissant l'utilisateur du risque de préjudice encouru en cas d'accès à cette adresse ».

Simultanément, l'éditeur du service de communication au public en ligne en cause dispose de cinq jours pour adresser ses observations à l'autorité administrative.

Si le constat de l'infraction n'est plus valable, l'autorité administrative demande en conséquence aux fournisseurs de navigateurs sur Internet de mettre fin aux mesures conservatoires préalablement mises en place.

d) Dans un deuxième temps, à l'issue d'une procédure de contradictoire, le blocage de l'accès au service en cause par les fournisseurs de navigateurs sur Internet, d'accès à Internet et de systèmes de résolution de nom de domaine

Si le constat de l'infraction est toujours valable, si l'éditeur en cause n'a pas transmis ses observations dans le délai imparti ou s'il n'a pas mis à disposition les informations nécessaires pour le contacter, alors l'autorité administrative peut demander aux fournisseurs de navigateurs sur Internet, d'accès à Internet (FAI) (Orange, SFR, Bouygues Télécom, Free, etc.) ou de systèmes de résolution de nom de domaine (DNS) (Cloudflare, Quad9, NextDNS, CleanBrowsing, etc.) de prendre, pour une durée maximale de trois mois, « toute mesure utile destinée à empêcher l'accès à l'adresse de ce service, et d'afficher un message avertissant les utilisateurs du risque de préjudice encouru lorsqu'ils tentent d'y accéder ».

Cette mesure peut être prolongée pour une durée de six mois, renouvelable une fois pour la même durée, sur avis conforme de la personnalité qualifiée au sein de la Commission nationale pour l'informatique et les libertés (Cnil). Toutefois, si le constat de l'infraction n'est plus valable, l'autorité administrative peut, à tout instant, demander la fin des mesures de blocage.

e) Un mécanisme de garantie du caractère justifié et proportionné des mesures prises, sous l'égide de la Commission nationale pour l'informatique et les libertés

Au regard des différents dispositifs nationaux et existants de filtrage des contenus, le dispositif proposé par l'article 6 de ce projet de loi s'inspire et se rapproche du dispositif de la DGCCRF actuellement en vigueur pour les pratiques commerciales déloyales, trompeuses ou agressives en ligne.

Toutefois, des précautions supplémentaires sont prises afin de ne pas porter une atteinte disproportionnée ou injustifiée à la liberté d'expression et à la liberté de communication. C'est pourquoi une personnalité qualifiée au sein de la Cnil est chargée de s'assurer « du caractère justifié des mesures et des conditions d'établissement, de mise à jour, de communication et d'utilisation de la liste des adresses électroniques concernées ».

Par conséquent, cette personnalité peut, à tout moment, « enjoindre à l'autorité administrative de mettre fin aux mesures qu'elle a prises ».

Par ailleurs, les éditeurs des services de communication au public en ligne en cause peuvent saisir d'un recours cette personnalité qualifiée, le blocage de l'accès aux services concernés étant suspendu pendant le temps de l'instruction : le recours est suspensif.

3. La position de la commission spéciale : un dispositif ordonné par voie administrative justifié et proportionné mais dont la mise en oeuvre opérationnelle doit encore être précisée

a) Un dispositif qui s'inscrit dans la continuité d'une première initiative sénatoriale visant à renforcer l'information des consommateurs sur le niveau de cybersécurité des plateformes

La mise en place d'un filtre national de cybersécurité grand public, destiné à mieux lutter contre les infractions quotidiennes de cybersécurité et les escroqueries en ligne, poursuit un même objectif de protection des citoyens en ligne, à l'instar de la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public^84(*), dite « loi Cyberscore ».

Cette loi, portée par l'actuel président de la commission de la culture du Sénat, Laurent Laffont, part du constat qu'aucune disposition ne garantit l'information du consommateur quant à la sécurité informatique de la solution numérique qu'il utilise. C'est pourquoi il a été mis en place un véritable « Cyberscore » des solutions numériques, accessible de façon claire et lisible, à l'aide d'un système de couleurs, pour les internautes^85(*).

Ce dispositif devrait entrer en vigueur à compter du 1^er janvier 2024^86(*) et constituer une nouvelle étape dans la protection des citoyens en ligne, avant l'entrée en vigueur de ce projet de loi et le déploiement opérationnel du filtre anti-arnaques.

b) Un dispositif ordonné par voie administrative justifié et proportionné

À l'issue des différentes auditions menées, la commission a estimé que le nouveau dispositif de filtrage des contenus proposé était justifié, y compris son déclenchement ordonné par voie administrative.

En effet, il est indispensable, au regard de la hausse des actes quotidiens de cybermalveillance, de disposer d'un dispositif souple et réactif face aux menaces que ces actes de cybermalveillance représentent pour notre vie privée et nos données à caractère personnel.

La mise en oeuvre d'un dispositif ordonné par voie administrative est ainsi de nature à répondre à cet objectif de souplesse et de réactivité.

La commission a également considéré que les précautions et les procédures mises en oeuvre sont de nature à garantir le caractère proportionné du dispositif et la bonne conciliation des exigences de protection de l'ordre public dans l'espace numérique d'une part, et de préservation des libertés d'expression et de communication d'autre part, notamment :

- la désignation d'une personnalité qualifiée au sein de la Cnil, dont les modalités d'information des décisions prises par les autorités administratives ont été renforcées par l'adoption de l'amendement COM-108 du rapporteur. Le choix de la Cnil est principalement justifié par la nature des infractions visées, les arnaques en ligne ayant pour principale conséquence d'usurper notre identité ou d'obtenir des données à caractère personnel telles que des données bancaires ou d'identité ;

- la mise en oeuvre d'une procédure de contradictoire pendant laquelle les éditeurs de sites frauduleux peuvent contester le constat de l'infraction effectué par l'autorité administrative ;

- la mise en oeuvre de mesures conservatoires préalablement à toute demande de blocage ;

- la possibilité de lever, à tout moment, les mesures conservatoires et les mesures de blocage ordonnées par l'autorité administrative ;

- la possibilité, pour la personnalité qualifiée au sein de la Cnil, d'enjoindre l'autorité administrative de mettre fin aux mesures qu'elle a prises ;

- la possibilité, pour les éditeurs de services de communication en ligne en cause, de bénéficier d'une procédure de recours administratif pourvu d'un effet suspensif ;

- la publication d'un rapport annuel d'activité sur la mise en oeuvre de ce nouveau dispositif de blocage, dont le contenu a été enrichi par l'adoption de l'amendement COM-109 du rapporteur.

c) Une responsabilisation souhaitable de l'ensemble des acteurs face à l'absence de solution technique unique, auto-suffisante et satisfaisante

À l'issue des différentes auditions menées, la commission a également estimé que le dispositif proposé présentait l'avantage de mobiliser les principaux intermédiaires techniques concernés, en fonction de la mesure que l'autorité administrative souhaite prendre et des informations dont elle dispose sur les éditeurs de services de communication en ligne en infraction :

- si les éditeurs de sites malveillants sont identifiables, alors la mobilisation des fournisseurs de navigateur Internet est préférée ;

- si les éditeurs de sites malveillants ne sont pas identifiables, alors la mobilisation des FAI et des fournisseurs de résolution de noms de domaine est préférée. Dans la mesure où les auteurs d'actes de cybermalveillance recherchent souvent l'anonymat, leur mobilisation est indispensable, même si les mesures prises par ces acteurs sont moins précises.

Afin d'éviter une éventuelle confusion, l'amendement COM-105 du rapporteur Patrick Chaize prévoit ainsi que l'autorité administrative compétente qui émet une injonction de blocage précise quelle catégorie de fournisseurs met en oeuvre la mesure.

Favorable à une mobilisation et à une responsabilisation de l'ensemble des acteurs techniques, la commission a également adopté l'amendement COM-8 de Sylviane Noël, avec un avis favorable du rapporteur, laissant la possibilité aux autorités administratives compétentes de notifier aux annuaires et aux moteurs de recherche les adresses électroniques permettant d'accéder à des sites dont l'accès a été empêché. En effet, les mesures de blocage peuvent efficacement être couplées avec les mesures de déréférencement que peuvent prendre les moteurs de recherche.

d) Une mise en oeuvre opérationnelle qui mériterait d'être précisée afin de renforcer la protection des citoyens en ligne

La commission remarque que le dispositif de filtrage proposé s'inspire à la fois des dispositifs de filtrage déjà existants, des dispositifs mis en oeuvre à l'étranger, mais aussi des solutions gratuites déjà mises en oeuvre par les principaux navigateurs sur Internet depuis plusieurs années, en particulier l'outil Safe Browsing de Google et Smart Screen de Microsoft, qui sont d'ailleurs utilisables sur d'autres navigateurs tels que Mozilla Firefox. Le dispositif proposé va toutefois plus loin que ce que le marché offre actuellement, en permettant le blocage de l'accès aux sites frauduleux.

Afin de rendre ce dispositif plus opérationnel, plus facilement compréhensible par les opérateurs qui seront chargés de sa mise en oeuvre et de renforcer le niveau de protection des citoyens en ligne, la commission spéciale a adopté les amendements du rapporteur suivants :

- l'amendement COM-101, qui facilite la constatation des infractions visées, et donc le déclenchement du filtre anti-arnaques par les autorités administratives compétentes ;

- l'amendement COM-102, qui prévoit une procédure de mise en demeure des éditeurs de services de communication en ligne considérés comme frauduleux au lieu d'une procédure d'information, car le déclenchement du dispositif fait suite à la constatation d'une ou plusieurs infractions ;

- l'amendement COM-103, qui précise que ce sont les adresses électroniques qui doivent être notifiées ;

- l'amendement COM-104, qui précise que le message d'avertissement à l'attention des internautes doit être claire, lisible, compréhensible, unique et permettre le renvoi vers la plateforme Cybermalveillance.gouv.fr, dans un double objectif de sensibilisation accrue aux escroqueries en ligne et d'harmonisation de l'information présenté aux internautes ;

- l'amendement COM-105, qui prévoit également que les mesures de blocage ordonnées par voie administrative doivent être prises sans délai ;

- l'amendement COM-106, qui oblige les autorités administratives compétentes à tenir une liste des adresses électroniques permettant l'accès à des sites ayant fait l'objet d'une mesure de blocage, afin qu'elles puissent évaluer, à l'issue de la durée de blocage, si un nouvelle mesure de blocage est nécessaire ;

- l'amendement COM-107, de précision rédactionnelle ;

- l'amendement COM-110, qui applique la peine d'un an d'emprisonnement et de 250 000 euros d'amende à l'ensemble des intermédiaires techniques mobilisés dans le déploiement du dispositif, afin qu'ils soient tous responsabilisés de la même façon.

* ⁶² Considérant n° 19 de l'avis du Conseil d'État n° 406991 du 27 avril 2023.

* ⁶³ Un service par contournement (en anglais over-the-top service ou OTT) est un service de communication ou de livraison de média sans la participation d'un opérateur de réseau traditionnel fournissant la connexion à Internet.

* ⁶⁴ Dans le champ extra-juridique, l'étude d'impact relève que la suspension ou la suppression des comptes d'accès aux plateformes en ligne est prévue par lesdites plateformes en cas de violation de leurs conditions générales d'utilisation (CGU) qui, pour certaines, rejoignent des crimes ou des délits (menaces de violences ou incitations à la violence ; individus, organisations ou réseaux engagés dans des actes de violence « hors ligne » ; contenus tendant à la vente, l'achat ou la commercialisation d'armes ; fraude et tromperie ; exploitation sexuelle des enfants et des majeurs ; harcèlement et intimidation ; atteintes à la vie privée ; discours « haineux »...).

* ⁶⁵ Soit une personne âgée de moins de quinze ans.

* ⁶⁶ Cette analyse est corroborée par l'étude d'impact, aux termes de laquelle « cette peine complémentaire de suspension de compte dissuade les utilisateurs dont les comptes ont déjà été suspendus [de] récidiver et également d'autres utilisateurs qui pourraient être tentés de se livrer à des comportements similaires », reconnaissant l'impact essentiellement dissuasif de la mesure.

* ⁶⁷ L'étude d'impact rappelle, à ce titre, qu'« il reste relativement aisé pour les détenteurs de comptes supprimés de recréer un compte en utilisant d'autres informations : les auteurs de haine en ligne ou cyber-harcèlement continuent donc d'agir, rendant inopérantes les mesures mises en place par les plateformes » : ce constat, pleinement valable, n'est pas limité aux fournisseurs privés et risque d'être (au moins partiellement) applicable à la nouvelle peine complémentaire de suspension du compte d'accès.

* ⁶⁸ Marie-Laure Denis a ainsi déclaré : « Je vous fais part de mes interrogations sur les solutions concrètes qui pourraient être mises en oeuvre, afin notamment d'empêcher la création de nouveaux comptes par la personne condamnée. [...] Ces dispositions ne devraient pas conduire les réseaux sociaux à collecter des données supplémentaires, ou à mettre en oeuvre des traitements intrusifs pour l'ensemble de leurs utilisateurs, alors que ces mesures ne concerneront qu'un nombre limité de ces derniers. En outre, je m'interroge sur la pertinence d'un blocage qui reposerait sur l'adresse IP, dans la mesure où il pourrait être facilement contourné, par exemple avec un VPN, et que cela porterait atteinte aux libertés de toutes les personnes vivant dans le foyer concerné. »

* ⁶⁹ Cette proposition de loi a fait l'objet d'un accord de la commission mixte paritaire chargée de proposer un texte sur celles de ses dispositions restant en discussion ; ses conclusions seront discutées en séance publique au Sénat le 29 juin prochain, ouvrant la voie à une promulgation rapide.

* ⁷⁰ L'aménagement des peines est obligatoire pour une peine d'emprisonnement inférieure à six mois, et possible (et très fréquent en pratique) pour les peines comprises entre six mois et un an : un juge qui condamnerait une personne à une peine d'emprisonnement effective, donc supérieure à un an, n'aurait donc aucun intérêt à prononcer en parallèle la peine complémentaire de « bannissement » telle qu'elle est proposée par le projet de loi.

* ⁷¹ L'article 723-25 du code de procédure pénale dispose que « En cas d'inobservation par le condamné des obligations et interdictions qui lui ont été imposées, le juge de l'application des peines peut [...] retirer tout ou partie de la durée des réductions de peine dont il a bénéficié et ordonner sa réincarcération ».

* ⁷² Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

* ⁷³ Contribution écrite transmise par la Direction générale des entreprises.

* ⁷⁴ Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.

* ⁷⁵ Loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.

* ⁷⁶ Article L. 421-2-5 du code pénal.

* ⁷⁷ Article 706-23 du code de procédure pénale.

* ⁷⁸ Article L. 163-2 du code électoral.

* ⁷⁹ Article L. 521-3-1 du code de la consommation.

* ⁸⁰ Article L. 226-4-1 du code pénal.

* ⁸¹ Article L. 226-18 du code pénal.

* ⁸² Article L. 323-1 du code pénal.

* ⁸³ Article L. 163-4 du code monétaire et financier.

* ⁸⁴ Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public

* ⁸⁵  Rapport n° 503 (2021-2022) d'Anne-Catherine Loisier, fait au nom de la commission des affaires économiques du Sénat, déposé le 16 février 2022.

* ⁸⁶  Rapport d'information n° 636 (2022-2023), Bilan annuel de l'application des lois, déposé le 24 mai 2023.