Projet de loi visant à sécuriser et réguler l'espace numérique

TITRE VIII
ADAPTATIONS DU DROIT NATIONAL

CHAPITRE IER
Mesures d'adaptation de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Article 22
Adaptations de la loi pour la confiance dans l'économie numérique

1. Le droit en vigueur : une nécessaire mise à jour de la loi du 21 juin 2004 pour la confiance dans l'économie numérique

La loi française du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) a été adoptée afin de transposer les dispositions de la directive 2000/31 sur le commerce électronique, dite directive e-commerce, à une période où le développement de l'économie numérique n'était pas aussi abouti qu'aujourd'hui.

Cette législation pose les grands principes applicables à la régulation de l'économie numérique, qui demeurent encore valables aujourd'hui. En particulier, le principe de la responsabilité des hébergeurs de services de communication au public en ligne, l'absence de surveillance générale des données et le principe dit « du pays d'origine » selon lequel les prestataires de services de la société de l'information doivent se conformer à la législation de leur pays d'établissement.

Or, depuis cette directive, au regard des évolutions du marché, des innovations technologiques et des priorités politiques des Gouvernements successifs, la LCEN a été modifiée à de nombreuses reprises, sans pour autant permettre de s'adapter au mieux aux nouvelles pratiques et aux nouveaux risques inhérents au développement d'une société et d'une économie de plus en plus numériques.

La directive e-commerce ayant atteint ses limites, et face aux risques de fragmentation durable des législations nationales des États membres au sein de l'Union européenne, de nouveaux règlements européens ont été adoptés, en particulier le règlement sur les services numériques (RSN) ou Digital Services Act (DSA) et le règlement sur les marchés numériques (RMN) ou Digital Markets Act (DMA).

Ces deux règlements européens sont des règlements horizontaux d'harmonisation maximale, c'est-à-dire que les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires dans les domaines relevant du champ d'application de ces deux règlements, sauf si cela est expressément prévu.

L'article 22 du projet de loi vise à modifier plusieurs dispositions de la LCEN afin de tirer les conséquences de l'application du RSN, prévue au 17 février 2024. Toutefois, pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne, les dispositions du RSN s'appliqueront à compter du 25 août 2023, la Commission européenne ayant récemment publié la liste des entreprises concernées : AliExpress, Amazon Store, App Store, Booking, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipédia, YouTube, Zalando, Bing et Google Search.

2. Le dispositif envisagé : une restructuration de la loi pour la confiance dans l'économie numérique afin de tirer les conséquences de l'entrée en vigueur du règlement sur les services numériques

La nécessaire adaptation de la LCEN est l'occasion à la fois de restructurer son contenu, de mettre à jour les définitions retenues, d'abroger les dispositions redondantes avec le RSN ou devenues obsolètes, et d'ajouter des dispositions supplémentaires qui nécessitent une adaptation de notre droit national.

a) La création des articles 1-1 et 1-2

Afin de disposer, au sein du titre I^er « De la liberté de communication en ligne », d'un chapitre I^er « La communication au public en ligne » plus cohérent, sont insérés deux articles supplémentaires après l'article 1^er.

Premièrement, un article 1-1 qui reprend les dispositions des III, IV et V de l'article 6 de la LCEN, dans sa version actuelle. Ces dispositions sont respectivement relatives à la mise à disposition du public de certaines informations dans un standard ouvert, à l'exercice du droit de réponse auprès du directeur de la publication d'un éditeur ainsi qu'à l'application des dispositions de la loi du 29 juillet 1881 sur la liberté de la presse.

Deuxièmement, un article 1-2 qui reprend les dispositions du VI de l'article 6 de la LCEN dans sa version actuelle. Ces dispositions sont relatives à la sanction de la méconnaissance des obligations prévues au nouvel article 1-1 par un éditeur de service de communication au public en ligne.

b)  La création de l'article 5-1 au sein de la LCEN

L'article 22 du projet de loi prévoit également une réorganisation du chapitre II du titre I^er, qui concerne les articles 5 à 9.

Premièrement, l'intitulé de ce chapitre II est modifié pour devenir « Les fournisseurs de services intermédiaires » plutôt que « Les prestataires techniques ».

Deuxièmement, une section 1 est créée au sein de ce chapitre, intitulée « Définitions et obligations relatives aux fournisseurs de services intermédiaires ».

Troisièmement, un article 5-1 est créé afin de définir les services de la société de l'information conformément à la définition retenue par la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des services de la société de l'information.

Il est également institué une définition des services intermédiaires, conformément à la définition retenue par l'article 3 du RSN. Ces services comprennent les services de simple transport, les services de mise en cache et les services d'hébergement.

c) La réécriture de l'article 6 au sein de la LCEN

L'article 22 du projet de loi procède à une restructuration importante de l'article 6 de la LCEN, qui suit désormais la structure suivante :

- définitions ;

- obligations des services d'accès à Internet et sanctions associées aux manquements ;

- obligations des hébergeurs et sanctions associées aux manquements ;

- obligations applicables à la fois aux services d'accès à Internet et aux hébergeurs, ainsi que leurs sanctions ;

- obligations applicables aux services de plateforme en ligne ;

- obligations applicables aux réseaux sociaux ;

- sanction pour signalement abusifs.

L'exercice de restructuration de l'article 6 de la LCEN a conduit à l'abrogation des dispositions suivantes, considérées comme obsolètes, contraires ou redondantes avec les dispositions du RSN :

- les conditions dans lesquelles la connaissance des faits litigieux est présumée acquise, dans le cadre du régime de responsabilité des hébergeurs, ont été abrogées car allant au-delà du RSN ;

- l'interdiction des obligations générales de surveillance, qui est redondante avec le RSN ;

- les obligations de transparence et de mise en place d'un système de signalement, redondantes avec le RSN ;

- les dispositions relatives au signalement des activités illicites de jeux d'agent, abrogées car devenues obsolètes par la réforme 2019/2020 sur la régulation des jeux d'argent en ligne, qui prévoit un pouvoir d'intervention direct de l'Autorité nationale des jeux sur les opérateurs.

2. La position de la commission - Une adaptation souhaitable de la loi pour la confiance dans l'économie numérique

La commission spéciale a adopté deux amendements des rapporteurs, de nature rédactionnelle ou de coordination :

- l'amendement COM-133 du rapporteur Patrick Chaize, de nature rédactionnelle ;

- l'amendement COM-134 du rapporteur Loïc Hervé, qui effectue les coordinations nécessaires aux modifications adoptées à l'article 5 du projet de loi.

Article 23
Adaptations relatives à la lutte contre les contenus terroristes et pédopornographiques

1. Des mesures de réorganisation et de coordination des dispositions de la LCEN relatives à la lutte contre les contenus terroristes et pédopornographiques

À l'instar des articles 22, 24 et 25 du présent projet de loi, l'article 23 prévoit une réorganisation de certaines dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN).

Il créerait une section 2 intitulée « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques » qui regrouperait les articles 6-1 à 6-2-1. Les dispositions de l'actuel article 6-5 de la LCEN, consacré à l'information du mineur et des titulaires de l'autorité parentale sur l'utilisation civique et responsable des réseaux sociaux, seraient intégrées à l'article 6 par l'article 22 du projet de loi, tandis que l'article 6-2 actuel, sur le contrôle du respect des obligations d'agrément préalable et de déclaration encadrant les enfants influenceurs, serait renuméroté 6-5.

Sur proposition du rapporteur, la commission spéciale a adopté un amendement COM-135 de clarifications rédactionnelles.

La commission spéciale a également noté qu'aucune des mesures d'harmonisation - recommandées par André Reichardt, dans son rapport^135(*) sur la loi du 16 août 2022^136(*), s'agissant des procédures nationale et européenne de retrait de contenus terroristes -, n'a été prévue. La prochaine adoption du règlement en vue de prévenir et de combattre les abus sexuels sur les enfants (CSAM)^137(*) en créera peut-être de nouveau l'occasion.

2. Le rehaussement de l'amende encourue par les hébergeurs en cas de méconnaissance habituelle de l'obligation d'information de la présence de contenus terroristes en ligne

Le règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (règlement TCO) a imposé de prévoir une sanction à l'encontre des hébergeurs qui, de manière habituelle, ne respecterait pas une injonction de retrait dans l'heure dont le montant maximal était fixé à 4 % du chiffre d'affaires mondial. C'est ce qui a été inscrit à l'article 6-1-3 de la LCEN créé par la loi du 16 août 2022 précitée.

Ce même montant maximal de 4 % du chiffre d'affaires mondial a été choisi en cas de méconnaissance habituelle par un hébergeur de son obligation d'informer immédiatement les autorités lorsqu'il prend connaissance d'un contenu à caractère terroriste présentant une menace imminente pour la vie, bien qu'aucun montant maximal n'ait été fixé dans le règlement européen.

L'article 23 du projet de loi prévoit de rehausser ce montant à 6 % du chiffre d'affaires mondial en cohérence avec l'article 52 du RSN, qui fixe ce plafond pour toutes les infractions à ce règlement.

Ce rehaussement ne paraît pas de nature à améliorer la cohérence d'ensemble des sanctions pécuniaires prévues dans le cadre de la LCEN ; toutefois il semble légitime de prévoir la sanction maximale autorisée au regard du risque réel pour les citoyens en cas de non-notification de soupçon de préparation d'un attentat.

3. Le maintien des conclusions du rapporteur public en cas de recours contre une injonction de retrait de contenus à caractère terroriste

L'article 23 prévoit également la suppression des conclusions du rapporteur public en cas de recours exercé devant le tribunal administratif contre une injonction de retrait de contenus à caractère terroriste, ce qui se justifierait du fait des délais de jugement resserrés pour ce contentieux.

Or, l'article R. 732-1-1 du code de justice administrative^138(*) prévoit d'ores et déjà la possibilité pour le magistrat statuant seul de dispenser le rapporteur public, sur sa proposition, de prononcer des conclusions à l'audience pour ce contentieux.

Comme elle l'a déjà fait aux articles 2 et 3, la commission spéciale a adopté l'amendement COM-135 précité afin de conserver le caractère facultatif de cette dispense de conclusions du rapporteur public et laisser le soin aux magistrats de décider de l'opportunité de cette dispense.

Article 24
Adaptations au RSN de la loi du 21 juin 2004 pour la confiance dans l'économie numérique

L'article 24 du projet de loi poursuit deux objectifs, tous deux liés à la restructuration de la LCEN.

En premier lieu, il déplace, sans les modifier, les dispositions relatives à l'intervention du président du tribunal judiciaire et à la portée de ses décisions en matière de lutte contre les contenus illicites.

Ces dispositions, qui figurent actuellement au I du 8 de l'article 6 et à l'article 6-3 de la LCEN, se trouveraient ainsi intégrées à une nouvelle section « Dispositions relatives à l'intervention de l'autorité judiciaire » regroupant :

- l'article 6-3, désormais relatif à la compétence du président du tribunal judiciaire pour prescrire en procédure accélérée « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne » ;

- l'article 6-4, correspondant à l'actuel article 6-3 et qui concerne la portée des décisions judiciaires ainsi rendues, c'est-à-dire la possibilité pour l'autorité administrative, sur le fondement de la décision judiciaire, d'obtenir la mise hors d'accès des sites « miroirs » ou le déréférencement de ceux-ci ;

- l'article 6-5 (correspondant à l'actuel article 6-2 et dont le déplacement est prévu par l'article 23 du présent projet de loi), qui autorise l'administration à saisir le juge judiciaire lorsqu'elle constate qu'un contenu fait apparaître un mineur en violation des obligations d'agrément posées par le code du travail ou des obligations déclaratives posées par la loi n° 2020-1266 du 19 octobre 2020 visant à encadrer l'exploitation commerciale de l'image d'enfants âgés de moins de seize ans sur les plateformes en ligne. 

Ces déplacements n'emportent pas de changement de fond des dispositions concernées.

Le même article 24 abroge l'article 6-4 actuel de la LCEN, où figure la liste des obligations qui s'imposent aux plateformes en ligne en matière de lutte contre les contenus illicites. Ces obligations, qui sont largement couvertes par le RSN s'agissant des « très grandes » plateformes (donc celles qui atteignent le seuil de 45 millions de connexions mensuelles à l'échelle européenne), concernent dans notre droit national les plateformes dépassent le seuil fixé par décret^139(*) de 10 millions de visiteurs uniques par mois sur le territoire français.

Plus en détail, ces obligations concernent :

- la mise en oeuvre de procédures et de moyens humains et technologiques proportionnés permettant une coopération efficace avec les autorités judiciaires ou administratives compétentes (information sur les suites données aux injonctions ; traitement des réquisitions visant à identifier les utilisateurs ; conservation temporaire des contenus signalés et qui ont été rendus inaccessibles ou retirés à des fins de recherche, de constatation et de poursuite des infractions pénales)^140(*) ;

- la désignation d'un point de contact unique, personne physique chargée de la communication avec les autorités publiques ;

- la mise à la disposition du public, de façon accessible, des conditions générales d'utilisation de leur service, cette obligation étant assortie de règles de transparence en matière de modération des contenus et de lutte contre les contenus illicites ;

- l'obligation de rendre compte au public des moyens mis en oeuvre pour lutter contre les contenus illicites, selon des modalités et une périodicité fixées par l'Arcom ;

- la mise en place d'un dispositif de signalement des contenus illicites aisément accessible et facile d'utilisation ;

- le traitement en priorité des signalements soumis par les tiers de confiance ;

- la mise en oeuvre de procédures et de moyens humains et technologiques proportionnés permettant le traitement effectif des signalements de contenus illicites (accusé de réception ; examen rapide ; information de l'auteur sur les suites données à son signalement et sur les voies de recours à sa disposition ; information de l'utilisateur en cas de retrait d'un contenu, en l'informant (notamment) de l'existence de sanctions civiles et pénales en cas de publication de contenus illicites ; etc.) ;

- la mise en oeuvre de dispositifs de recours interne ;

- l'exposition, dans les conditions générales d'utilisation, des procédures conduisant par exemple à la suspension ou à la résiliation d'un compte ;

- l'obligation de rendre compte à l'Arcom des procédures et moyens mis en oeuvre pour l'application des dispositions précitées.

Pour les opérateurs atteignant un nombre de visiteurs uniques mensuels encore plus important (15 millions de visiteurs uniques mensuels sur le territoire français), des obligations complémentaires s'appliquent. Ils doivent ainsi, aux termes du II de l'actuel article 6-4, procéder chaque année à une évaluation des risques systémiques liés au fonctionnement et à l'utilisation de leurs services en matière de diffusion des contenus illicites et d'atteinte à la liberté d'expression, mettre en oeuvre des mesures raisonnables, efficaces et proportionnées pour atténuer les risques de diffusion de ces contenus, et rendre compte au public de l'évaluation de ces risques et de la nature des mesures d'atténuation prises.

L'article 6-4 avait été inséré dans la LCEN au cours des débats sur la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République ; comme le rappelait le rapport établi, lors de l'examen de ce texte, par Jacqueline Eustache-Brinio et Dominique Vérien^141(*) au nom de la commission des lois, cet ajout avait vocation, à l'initiative du Gouvernement, à « anticiper et “pré-transposer” [le RSN] » alors que débutaient seulement les négociations sur ce texte. Dans ce contexte, il est regrettable que le Gouvernement n'ait pas fourni, pour permettre la juste évaluation de cette évolution, des éléments chiffrés permettant de mesurer l'écart entre les seuils figurant dans la loi actuelle (10 ou 15 millions de visiteurs uniques par mois sur le territoire français) et le nouveau seuil issu du RSN (c'est-à-dire un « nombre mensuel moyen de destinataires actifs du service dans l'Union égal ou supérieur à 45 millions »), a fortiori alors que ces seuils sont fondés sur un ensemble de personnes (visiteurs uniques d'un côté, destinataires actifs de l'autre) et un périmètre géographique (la France d'un côté, l'Union européenne de l'autre) différents.

En dépit de cette lacune, il n'a pas paru raisonnable au rapporteur Loïc Hervé de maintenir dans la loi des dispositions qui prétendaient anticiper le RSN alors que celui-ci va entrer en application. Pour cette raison, il n'a pas proposé à la commission spéciale de revenir sur l'abrogation de l'article 6-4.

Article 25
Adaptations de la loi pour la confiance dans l'économie numérique

1. Une adaptation nécessaire des missions et pouvoirs de l'Arcom, désignée coordinateur national pour les services numériques

a) La réécriture de l'article 7

Tirant les conséquences de l'article 49 du règlement européen sur les services numériques, l'article 25 de ce projet de loi réécrit l'article 7 de la LCEN pour désigner l'Arcom comme coordinateur des services numériques. Ce coordinateur « est responsable de toutes les questions en lien avec la surveillance et l'exécution du présent règlement dans cet État membre, sauf si l'État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d'autres autorités compétentes. Le coordinateur pour les services numériques a, en tout état de cause, la responsabilité d'assurer la coordination au niveau national vis-à-vis de ces questions et de contribuer à une surveillance et une exécution efficaces et cohérentes du présent règlement dans toute l'Union ».

L'article 25 du projet de loi désigne également la Direction générale chargée de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Cnil comme autorités administratives chargées de la mise en oeuvre de ce règlement européen.

Par conséquent, l'article 25 insère une section 4, intitulée « Coordinateur pour les services numériques et coopération entre les autorités compétentes » au sein du chapitre II de la LCEN relatif aux fournisseurs de services intermédiaires.

b) L'insertion des articles 7-2 et 7-3

Tirant les conséquences de l'article 57 du règlement européen sur les services numériques, l'article 25 de ce projet de loi insère un nouvel article 7-2 au sein de la LCEN pour préciser que les autorités chargées de la mise en oeuvre du RSN coopèrent étroitement et se prêtent mutuellement assistance, ce qui inclut notamment la libre communication d'informations dont elles disposent. Les modalités de coopération et d'assistance entre les autorités désignées seront précisées par la signature de conventions de coopération.

Tirant les conséquences de l'article 61 du règlement européen sur les services numériques, l'article 25 de ce projet de loi insère un nouvel article 7-3 au sein de la LCEN pour préciser que l'Arcom siège au comité européen des services numériques, sachant que l'Arcom peut être accompagnée, en fonction de l'ordre du jour, d'une autre autorité désignée comme compétente pour la mise en oeuvre du RSN.

Il est également précisé que l'Arcom assure une mission de veille et d'analyse des risques systémiques mentionnées à l'article 34 du RSN, c'est-à-dire :

- la diffusion de contenus illicites par l'intermédiaire des services de ces plateformes ;

- tout effet négatif réel ou prévisible pour l'exercice des droits fondamentaux, en particulier le droit fondamental à la dignité humaine, au respect de la vie privée et familiale, à la protection des données à caractère personnel, à la liberté d'expression et d'information, des droits fondamentaux relatifs aux droits de l'enfant et du droit fondamental à un niveau élevé de protection des consommateurs ;

- tout effet négatif réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique ;

- tout effet négatif réel ou prévisible lié aux violences sexistes et à la protection de la santé publique et des mineurs et les conséquences négatives graves sur le bien-être physique et mental des personnes.

c) L'insertion d'un article 8-1

Alors que l'Arcom n'était jusqu'à présent compétente que pour certains des acteurs visés par le RSN, par exemple les services de plateforme de partage de vidéo ou les opérateurs de plateforme en ligne - cette dénomination étant abrogée par le présent projet de loi -, l'article 25 consacre les compétences de l'Arcom à l'égard de l'ensemble des fournisseurs de services intermédiaires.

d) L'insertion d'un article 9-1

Tirant les conséquences de l'article 51 du RSN, l'article 25 du projet de loi insère un nouvel article 9-1 au sein de la LCEN afin de préciser que l'Arcom peut bénéficier de pouvoirs d'enquête et d'exécution afin de contraindre les fournisseurs de services intermédiaires à respecter leurs obligations.

À cet égard, l'Arcom peut recueillir, auprès de tout fournisseur de service intermédiaire qui a une activité sur le territoire national, les informations nécessaires à son travail de contrôle.

Surtout, l'article 25 du projet de loi dote les agents habilités et assermentés de l'Arcom d'un pouvoir de visites domiciliaires au sein des locaux des fournisseurs de services intermédiaires, sur le modèle de celui dont bénéficie la Cnil auprès des responsables de traitement de données à caractère personnel. L'Arcom pourra également émettre des injonctions provisoires à l'égard des fournisseurs mis en cause afin de les contraindre, avant la prononciation d'une éventuelle sanction, à se conformer aux griefs de la mise en demeure prononcée à leur égard.

e) L'insertion d'un article 9-2

L'article 25 du projet de loi insère un nouvel article 9-2 au sein de la LCEN afin de préciser les pouvoirs de sanction dont bénéficie l'Arcom à l'égard des fournisseurs de services intermédiaires qui ne respectent pas leurs obligations et pour lesquels le manquement a été constaté.

Les sanctions que l'Arcom peut prononcer sont de nature pécuniaire, et peuvent être assorties d'astreintes, d'injonctions de mise en conformité et de mesures de publicité.

La sanction pécuniaire prononcée ne peut ainsi excéder 6 % du chiffre d'affaires mondial hors taxe de l'exercice qui précède la sanction et le montant maximal de l'astreinte ne peut excéder 5 % des revenus ou du chiffre d'affaires mondial hors taxe journalier de l'exercice précédent l'astreinte.

2. La position de la commission - Un renforcement bienvenu des pouvoirs et missions de l'Arcom qui doit toutefois s'accompagner d'une hausse des moyens qui lui sont alloués

Si la commission spéciale salue le renforcement des pouvoirs de l'Arcom, qui a vocation à devenir le coordinateur national pour les services numériques, le rapporteur Patrick Chaize veillera à ce que l'Arcom bénéficie, dès le prochain projet loi de finances, des moyens budgétaires et humains nécessaires à l'accomplissement de ses nouvelles missions.

Sur ce point, l'étude d'impact du projet de loi insiste sur l'élargissement significatif des missions de l'Arcom permis par ce projet de loi. Si la dernière loi de finances a fixé un plafond d'emplois à 370 équivalents temps plein, un renforcement supplémentaire des effectifs et des moyens de l'Arcom sera nécessaire.

S'il est encore difficile d'évaluer précisément ces besoins, l'étude d'impact de la Commission européenne sur la mise en oeuvre du RSN estime que les coûts engendrés par les autorités de contrôle devraient fluctuer entre 50 000 et 300 000 euros par contrôle ou audit. En outre, la Commission européenne estime qu'en termes d'effectifs, les coûts directs varieront de 0,5 ETP à 25 ETP, en fonction de la taille des services établis dans chaque État membre.

Afin de compléter la rédaction de l'article 25 du projet de loi, la commission spéciale a également adopté les trois amendements suivants du rapporteur :

- l'amendement COM-136 précisant que le rôle attribué à l'Arcom en matière de coordination ne porte pas atteinte aux compétences et attributions des autorités administratives et des autorités de régulation qui concourent, par leurs activités et leurs missions, à mettre en oeuvre le règlement européen sur les services numériques ;

- l'amendement COM-137, qui apporte des précisions juridiques et rédactionnelles ;

- l'amendement COM-138 qui vise à harmoniser davantage la procédure d'enquêtes domiciliaires confiée à l'Arcom avec celle dont dispose déjà la Cnil conformément à l'article 19 de la loi relative à l'informatique, aux fichiers et aux libertés ainsi qu'à l'article 32 du projet de loi.

CHAPITRE II
Modification du code de la consommation

Article 26
Adaptation du code de la consommation en cohérence avec la mise en oeuvre du règlement sur les services numériques

1. La nécessaire adaptation du code de la consommation au règlement européen sur les services numériques

a) L'harmonisation des différentes définitions

La définition de la plateforme en ligne présente dans le RSN repose sur le stockage et la diffusion au public d'informations par un service d'hébergement, à la demande du bénéficiaire d'un service. Cette définition inclut donc les réseaux sociaux ou les fournisseurs de places de marché en ligne, mais pas les moteurs de recherche.

Le code de la consommation encadre les plateformes dans un sens plus large, incluant les moteurs de recherches, les places de marché en ligne ou encore les comparateurs en ligne :

- l'article L. 111-7 définit l'opérateur de plateforme en ligne, en incluant, selon l'avis du Conseil d'État, les moteurs de recherche et les services d'intermédiation en ligne ;

- son article liminaire définit notamment la place de marché en ligne comme un service utilisant un logiciel qui permet aux consommateurs de conclure des contrats à distance avec d'autres professionnels ou consommateurs. Cette définition est issue de la directive dite « Omnibus »^142(*) mais n'apparaît pas dans le RSN, qui considère toutefois les places de marchés en ligne comme une catégorie de plateformes en ligne.

Afin de mettre en cohérence ces définitions, le présent article procède aux adaptations suivantes :

- la définition d'une « plateforme en ligne » présente à l'article L. 111-7 du code de consommation est remplacée par la définition présente au sein du RSN et est placée à l'article liminaire du code de la consommation ;

- l'article liminaire du code est enrichi d'une définition du « moteur de recherche en ligne » puisque ce dernier n'entre pas dans le champ de la définition selon le RSN ;

- enfin, les comparateurs en ligne ne rentrant pas dans le champ du RSN, la définition en droit français peut être maintenue. Elle est toutefois placée à l'article liminaire.

b) L'harmonisation des obligations afférentes aux plateformes en ligne

Le RSN édicte des mesures d'harmonisation totale. Les dispositions nationales imposant des exigences supplémentaires aux opérateurs visés par le RSN doivent donc être abrogées, à l'exception de celles qui transposent des actes juridiques de l'Union européenne. En l'occurrence, la directive dite « Omnibus »^143(*) prévoit une obligation d'information des consommateurs applicable aux contrats conclus sur des places de marché en ligne et précise que les États membres peuvent leur imposer des obligations supplémentaires si elles sont proportionnées et non discriminatoires.

Les obligations de transparence et de loyauté des contenus sont donc aménagées dans le respect du droit européen de la consommation :

- l'article L. 111-7 impose aux plateformes d'informer le consommateur sur les modalités de référencement et de déréférencement des contenus des biens ou des services proposés ou mis en ligne. Ces obligations sont désormais réservées aux fournisseurs de places de marché et aux comparateurs - ces derniers n'étant pas visés par le RSN ;

- l'article 111-7-1 prévoit quant à lui que les opérateurs de plateformes en ligne qui dépassent un seuil de nombre de connexions défini par décret (en l'occurrence, cinq millions) élaborent et diffusent aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, transparence et loyauté, tandis que le RSN fixe un seuil à 45 millions de connexions par mois. Il est donc abrogé ;

- l'article L. 111-7-3 est modifié pour que l'obligation de réaliser un audit de cybersécurité s'applique aux fournisseurs de plateformes en ligne, de moteurs de recherche en ligne et de comparateurs en ligne.

c) La désignation de la DGCCRF pour contrôler le bon respect des obligations incombant aux opérateurs des places de marché en ligne

L'article 26 crée un régime de sanctions à l'encontre des fournisseurs de plateforme en ligne à l'article L. 133-1 du code de la consommation,
dans un nouveau chapitre III intitulé « Obligations des fournisseurs de plateformes en ligne ».

Il habilite les agents de la DGCCRF pour rechercher et constater les infractions des fournisseurs de places de marché en ligne à leurs obligations de traçabilité des professionnels^144(*), de conformité des interfaces dès leur conception^145(*), de droit d'information des consommateurs^146(*) et en termes d'interdiction de concevoir des dark patterns - des interfaces conçues de façon à tromper, manipuler ou entraver la capacité des consommateurs à prendre des décisions libres et éclairées^147(*).

Bien que les articles 30 à 32 du RSN visent les fournisseurs de plateforme en ligne « permettant aux consommateurs de conclure des contrats à distance avec des professionnels », il est possible pour le droit national de cibler plus largement les fournisseurs de places de marché en ligne, en vertu de la directive « Omnibus » mentionnée plus haut.

Les infractions sont punies d'une peine de deux ans d'emprisonnement et d'une amende de 300 000 euros pouvant atteindre 6 % du chiffre d'affaires mondial pour une personne morale. Il est donné à la DGCCRF la possibilité de demander au juge civil d'enjoindre à l'auteur d'un manquement de se mettre en conformité, injonction qui peut être assortie d'une astreinte pouvant atteindre 5 % du chiffre d'affaires hors taxes journalier moyen réalisé au cours du dernier exercice clos. Des peines complémentaires sont créées pour les personnes physiques ainsi que pour les personnes morales dès lors qu'elles sont déclarées pénalement responsables.

d) L'adaptation des pouvoirs d'enquête et de sanction

Il est inséré une nouvelle section 4 au sein du chapitre II du titre I^er du livre V du code de la consommation, intitulée « Dispositions spécifiques aux plateformes en ligne », afin de régir de manière spécifique les pouvoirs des agents de la DGCCRF pour rechercher et constater les infractions au RSN :

- un article L. 512-66 dispose que la recherche et la constatation de ces infractions par la DGCCRF s'effectuent dans les mêmes conditions d'indépendance que celles qui régissent le coordinateur pour les services numériques^148(*) ;

- un article L. 512-7 confère aux agents de la DGCCRF un pouvoir d'accès aux données de certaines plateformes nécessaires au contrôle de la bonne application du RSN, dans les mêmes conditions que le coordinateur national pour les services numériques^149(*) ;

- un article L. 512-68 prévoit la coopération entre les agents de la DGCCRF et les agents du coordinateur des services numériques, l'Arcom.

Il est aussi créé un article L. 531-7 pour sanctionner les entraves à l'enquête comme la fourniture d'informations inexactes ou le refus de se soumettre à une opération de visite et une saisie.

Enfin, l'article L. 521-3-1 est adapté pour élargir les cas où la DGCCRF peut avoir recours à la réquisition des plateformes en ligne :

- aux cas de manquement ou d'infraction aux règles relatives à la conformité et à la sécurité non seulement des produits, mais aussi des services ;

- lorsque le professionnel n'a pas déféré à une injonction en matière de sécurité des produits et des services ;

- aux cas d'infraction mettant en jeu la sécurité ou la santé des consommateurs lorsque l'auteur n'a pas déféré à une injonction.

2. La position de la commission : une adaptation du droit de la consommation qui doit s'accompagner d'une hausse indispensable des moyens alloués à la DGCCRF

La commission spéciale est favorable à une adaptation du droit national au droit de l'Union européenne permettant la bonne mise en oeuvre du RSN sans contrariété juridique. Elle est également favorable à l'élargissement des missions et des pouvoirs de la DGCCRF qui découle de sa désignation comme autorité contrôlant la bonne application des obligations des fournisseurs de plateformes numériques prévues au RSN.

Toutefois, elle rappelle que l'élargissement, certes bienvenu, des missions de la DGCCRF doit aller de pair avec une augmentation de ses moyens, budgétaires et humains, et ce dès le prochain projet de loi de finances. Ce constat fait suite à plusieurs alertes de la commission des affaires économiques sur l'inadéquation entre les missions et les moyens de la DGCCRF. Au cours du dernier quinquennat, plus d'une trentaine de lois et ordonnances lui ont confié de nouvelles missions ainsi que des outils d'actions modernisés, sans que le Gouvernement ne mette ses moyens en adéquation avec ses nouveaux objectifs. Dans le cadre de l'examen du projet de loi de finances pour 2023, la commission des affaires économiques avait ainsi adopté un amendement visant à octroyer à la DGCCRF cinq millions d'euros supplémentaires en autorisation d'engagement.

Dès l'examen du prochain projet de loi de finances, la commission des affaires économiques se montrera donc attentive à la poursuite de la hausse des effectifs de la DGCCRF afin que ses moyens soient cohérents avec l'étendue de ses missions, notamment au vu des orientations qui seront précisées dans le prochain programme national d'enquête.

La commission spéciale a adopté deux amendements du rapporteur :

- l'amendement COM-139 de précision rédactionnelle visant à déterminer l'amende maximale pouvant être prononcée pour sanctionner des manquements aux obligations des fournisseurs de plateformes en ligne en fonction du chiffre d'affaires mondial hors taxes de la personne morale contrôlée ;

- l'amendement COM-140 de précision juridique visant à rappeler que les pouvoirs de contrôle de la DGCCRF des fournisseurs de plateforme en ligne au regard de leurs obligations s'exercent conformément au principe du pays d'origine.

CHAPITRE III
Modification du code de commerce

Article 27
Adaptation du code de commerce au règlement
sur les marchés numériques

1. Des mesures nécessaires d'adaptation du code de commerce au règlement européen sur les marchés numériques

a) La désignation des juridictions spécialisées

L'article 26 du projet de loi précise à l'article L. 420-7 du code de commerce que les litiges relatifs à l'application du RMN sont attribués aux juridictions civiles et commerciales spécialisées actuellement compétentes pour les litiges en matière de pratiques anticoncurrentielles, dont le siège et le ressort sont fixés par décret en Conseil d'État.

Il est également procédé à une actualisation des références aux articles des traités européens mentionnés au sein de cet article L. 420-7.

b) La désignation des autorités compétentes

Le code de commerce est complété d'un article L. 450-11 qui précise que l'Autorité de la concurrence (ADLC), le ministère chargé de l'économie et les fonctionnaire qu'il a désignés ou habilités - en pratique, à la Direction générale de la consommation, de la concurrence et de la répression des fraudes (DGCCRF) - sont les autorités nationales chargées de faire appliquer les règles mentionnées à l'article 1^er, paragraphe 6 , du RMN, c'est-à-dire les règles de concurrence européennes et nationales concernant le contrôle des concentrations, les accords anticoncurrentiels, les décisions d'association, les pratiques concertées et les abus de position dominante.

En effet, le RMN ne se substitue pas à la régulation existante aux niveaux national et européen mais la complète avec un cadre de régulation ex ante applicable à certains acteurs - les contrôleurs d'accès - sans priver ni les autorités nationales ni la Commission européenne de la possibilité d'intervenir en vertu d'autres règles existantes, éventuellement ex post.

c) Les pouvoirs reconnus à ces autorités

Le RMN rappelle que les autorités nationales coopèrent et échangent avec la Commission européenne dans le cadre d'un « Réseau européen de concurrence ». Ainsi, le code de commerce est complété par des articles précisant les compétences du ministre chargé de l'économie ainsi que de l'ADLC :

- un article L. 450-12 précise qu'ils disposent des pouvoirs reconnus par le code de commerce pour mener des auditions et recueillir des déclarations, pour effectuer des inspections et des enquêtes de marché en soutien à la commission et pour ouvrir et conduire des investigations sur un cas de non-respect éventuel des obligations imposées aux contrôleurs d'accès par le RMN ;

- un article L. 462-9-2 les rend compétents pour recevoir les renseignements en provenance de tiers sur toute pratique ou comportement des contrôleurs d'accès relevant du champ d'application du RMN, sans être tenus de donner suite aux renseignements reçus. En cas de non-respect au RMN, ils transmettent ces informations à la Commission européenne.

Enfin, le code de commerce est complété d'un article L. 490-9 qui précise que le ministre chargé de l'économie ou son représentant est habilité à adresser à la Commission européenne, conjointement avec au moins trois autres États membres, une demande d'ouverture d'enquête de marché lorsqu'il existe des motifs raisonnables de soupçonner qu'une entreprise est « contrôleur d'accès », en application de l'article 41 du RMN.

Ces articles actualisent également les références aux articles des traités européens mentionnés.

2. La position de la commission : une adaptation du code du commerce qui doit s'accompagner d'un renforcement indispensable des moyens alloués aux autorités administratives chargées de la concurrence

La commission spéciale est favorable à l'adaptation effective du droit national afin de permettre aux autorités nationales chargées de l'application du droit de la concurrence d'élargir leurs compétences actuelles en coordination avec la Commission européenne au bénéfice de la mise en oeuvre du RMN.

En revanche, la commission note que ces nouvelles missions importantes nécessiteront un renforcement significatif des moyens, notamment humains, de la DGCCRF et de l'ADLC. Ces moyens n'ont pour l'instant pas été objectivés par le Gouvernement, même si l'étude d'impact mentionne des demandes de hausses d'équivalents temps plein portées par ces autorités. Lors de l'examen des prochains projets de loi de finances, la commission des affaires économiques sera donc très vigilante à l'octroi de moyens suffisants à l'ADLC et à la DGCCRF.

CHAPITRE IV
Mesures d'adaptation de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication

Article 28
Adaptations au RSN de la loi n° 86-1087 du 30 septembre 1986 sur la liberté de communication

1. Les mesures d'adaptation de la loi du 30 septembre 1986 relative à la liberté de communication

L'article 28 du projet de loi comporte diverses mesures d'adaptation de la loi du 30 septembre 1986 relative à la liberté de communication, dite « loi Léotard », pour tenir compte des nouvelles règles instaurées par le RSN. En particulier, il :

- opère des actualisations terminologiques, notamment pour substituer à la notion d'« opérateurs de plateforme en ligne », les notions similaires découlant du RSN. Ce faisant, il est cependant porteur de divergences de rédaction peu compréhensibles, une même notion dans les textes en vigueur pouvant se trouver traduite de plusieurs manières différentes sans justification apparente. C'est ainsi, par exemple, qu'alors que la loi de 1986 renvoie à la même notion d'« opérateurs de plateforme en ligne » au sens de l'article L. 111-7 du code de la consommation en ses articles 14 (contrôle de l'Arcom sur la programmation des émissions publicitaires) et 58 (recommandations de l'Arcom en matière lutte contre la manipulation de l'information en période électorale), le projet de loi ne rend que le premier de ces articles, mais non le second, applicable aux plateformes de partage de vidéos ;

- met à jour des références législatives ou procède à des abrogations, par coordination avec les autres dispositions du projet de loi ;

- réécrit, afin d'en prévoir l'articulation avec les nouveaux outils issus du RSN, les dispositions relatives à la publication, par l'Arcom, d'un bilan périodique des actions entreprises par les plateformes au titre de la lutte contre la désinformation ;

- confirme la compétence de l'Arcom pour superviser, y compris en utilisant ses pouvoirs d'enquête et d'injonction, le respect par les plateformes de partage de vidéos de leurs obligations.

Par ailleurs, l'article 28 maintient en vigueur, jusqu'au 17 février 2024 (au lieu du 31 décembre 2023), les dispositions transitoires issues de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et relatives aux obligations des plateformes en ligne en matière de lutte contre les contenus haineux : plus en détail, ces dispositions confient au Conseil supérieur de l'audiovisuel (donc aujourd'hui à l'Arcom) la mission de veiller au respect par les plateformes des obligations issues de l'article 6-4 de la LCEN s'agissant de la lutte contre les contenus illicites^150(*) et d'établir, à cet égard, des lignes directrices pour l'application de ces mêmes obligations. Il donne également au régulateur des pouvoirs d'accès aux données des plateformes, y compris avec une collecte automatisée, et le charge de définir les informations et indicateurs chiffrés que les opérateurs sont tenus de publier comme de publier lui-même, chaque année, un rapport établissant le bilan de ce mécanisme. Il le dote enfin d'un pouvoir de mise en demeure lui permettant de faire respecter, à peine de sanction pécuniaire, les obligations de l'article 6-4 ainsi que ses demandes d'accès aux données des opérateurs.

Ces dispositions avaient vocation à s'appliquer dans l'attente de l'entrée en vigueur du RSN, initialement prévue le 1^er janvier 2024 ; la modification de la date d'échéance de ce régime provisoire est donc le reflet du report de cette entrée en application.

2. La position de la commission spéciale 

La commission spéciale a adopté cet article, enrichi de plusieurs modifications adoptées à l'initiative du rapporteur Loïc Hervé pour :

- clarifier des rédactions ambiguës (amendement COM-142) ;

- consacrer la compétence de l'Arcom en matière de régulation des plateformes de partage de vidéo, cette notion n'étant pas absolument équivalente à celle de « plateforme en ligne » au sens du RSN (amendements COM-141 et COM-143).

CHAPITRE V
Mesures d'adaptation de la loi relative à la lutte contre la manipulation de l'information

Article 29
Abrogation de trois articles de la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information (loi Infox)

1. Dans un objectif de « responsabilisation » des opérateurs de plateformes en ligne, la loi Infox de 2018 a imposé à ces derniers un devoir de coopération en matière de lutte contre la diffusion de fausses informations

a) Jusqu'en 2018, aucun dispositif spécifiquement dédié à la lutte contre la diffusion de fausses informations ne s'appliquait aux opérateurs de plateformes en ligne

Conformément à la directive 2000/31/CE du 8 juin 2000^151(*), dite directive sur le commerce électronique, le principe d'ensemble régissant l'écosystème numérique repose sur un régime de responsabilité limitée des hébergeurs et des intermédiaires techniques, qui n'ont pas une obligation générale de surveillance des contenus publiés sur leur plateforme en ligne.

Cette obligation s'imposant à l'échelle européenne a été transposée en droit interne à l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique^152(*) (LCEN), lequel dispose, en son point 7, que les hébergeurs et les intermédiaires techniques « ne sont pas soumis à une obligation générale de surveiller les informations qu'[ils] transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites. »

Cependant, si les hébergeurs n'ont pas d'obligation de surveillance, ils doivent tout de même mettre en place des dispositifs de signalement pour certains types de contenus, définis par la loi.

Ce dispositif doit être « facilement accessible et visible » et permettre « à toute personne de porter à [la] connaissance » des hébergeurs les « activités illicites » définies par la loi. Une fois ces activités illicites signalées aux hébergeurs, ces derniers sont sommés d'en « informer promptement les autorités publiques compétentes ». Ces signalements sont alors traités par le portail officiel de signalement des contenus illicites de l'Internet, Pharos, géré par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Les hébergeurs doivent en outre « rendre publics les moyens qu'[ils] consacrent à la lutte contre [ces] activités illicites »^153(*).

En l'état actuel du droit^154(*), les contenus illicites mentionnés à l'article 6 de la LCEN, pour lesquels les hébergeurs doivent mettre en place des dispositifs de signalement, appartiennent à deux catégories :

- les activités illégales de jeux d'argent ;

- les activités en lien avec la sécurité et la dignité humaine, à savoir « l'apologie, la négation ou la banalisation des crimes contre l'humanité, la provocation à la commission d'actes de terrorisme et leur apologie, l'incitation à la haine raciale, à la haine à l'égard de personnes à raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap ainsi que la pornographie enfantine, l'incitation à la violence, notamment l'incitation aux violences sexuelles et sexistes, ainsi que les atteintes à la dignité humaine »^155(*).

Ainsi, le cadre général régissant les obligations de mise en place de dispositifs de signalement s'appliquant aux opérateurs de plateformes en ligne n'inclut pas les fausses informations, lesquelles sont définies par l'article L. 163-2 du code électoral comme « toute allégation ou imputation d'un fait inexacte ou trompeuse [...] diffusée de manière délibérée ».

La diffusion délibérée de fausses informations est cependant sanctionnée par plusieurs textes, depuis au moins la loi du 29 juillet 1881 sur la liberté de la presse qui a instauré un délit de « fausses nouvelles », sans pour autant que ces dispositions, souvent anciennes, ne prévoient de mesures spécifiques à la désinformation en ligne.

Synthèse des principales dispositions législatives réprimant la désinformation, hors dispositions liées au numérique

Source : commission spéciale

b) La loi Infox de 2018 a soumis les opérateurs de plateformes en ligne à de nouvelles obligations de transparence des algorithmes et de signalement des fausses informations

Le législateur français a récemment cherché à remédier à l'absence de dispositif dédié à la lutte contre les fausses informations en ligne en instaurant un mécanisme ad hoc régi par la loi dite Infox du 22 décembre 2018^156(*), et donc distinct du cadre général porté par l'article 6 de la loi pour la confiance dans l'économie numérique.

L'un des objectifs de la loi Infox, selon les termes de la rapporteure du texte pour la commission de la culture, de l'éducation et de la communication du Sénat, Catherine Morin-Desailly, consistait à confier aux opérateurs de plateformes en ligne « de nouvelles responsabilités »^157(*) en matière de lutte contre la désinformation, tout en respectant les principes généraux définis par la directive européenne relative à l'économie numérique (cf. supra).

Pour atteindre cet objectif, le titre III de la loi Infox impose aux opérateurs de plateformes en ligne un devoir de coopération en matière de lutte contre la diffusion de fausses informations.

Ce devoir de coopération se matérialise par leur assujettissement à de nouvelles règles, définies notamment aux articles 11, 13 et 14 de la loi Infox :

- l'article 11 leur impose, d'une part, de mettre en place un dispositif de signalement, « facilement accessible et visible », spécifique aux fausses informations susceptibles de troubler l'ordre public ou d'altérer la sincérité d'un scrutin et, d'autre part, de prendre des « mesures complémentaires » pouvant « notamment » porter sur « la transparence des algorithmes », « la promotion de certains contenus d'entreprises et d'agences de presse et d'éditeurs audiovisuels », « la lutte contre certains comptes qui propagent des fausses informations », « la transparence vis-à-vis de l'identité des personnes pour le compte desquelles les contenus sont diffusés » ou encore « l'éducation aux médias et à l'information ». Ces mesures doivent être rendues publiques et donnent lieu à « une déclaration » adressée à l'Arcom ;

- l'article 13 impose aux mêmes opérateurs de plateformes la désignation d'un représentant légal exerçant les fonctions « d'interlocuteur référent » sur le territoire français pour l'application des mesures relatives à la lutte contre la désinformation en ligne et contre les « activités illicites » mentionnées au point 7 de l'article 6 de la LCEN (cf. supra) ;

- enfin, l'article 14 prévoit la publication en format libre et ouvert, par chaque opérateur de plateforme en ligne, de statistiques agrégées sur le fonctionnement des algorithmes de recommandation, classement ou référencement de contenus d'information se rattachant à un débat d'intérêt général.

Aucune sanction n'est passible en cas de manquement aux obligations résultant de ces trois articles, à l'exception de la publicité négative qui pourrait advenir de la publication du bilan annuel de l'Arcom en matière de lutte contre la désinformation en ligne (cf. infra).

En application de l'article D. 111-15 du code de la consommation, ces obligations concernent les opérateurs dont les plateformes dépassent un seuil de cinq millions de connexions de visiteurs uniques par mois.

À titre d'illustration, cela inclut le groupe Meta, auquel appartient la plateforme Facebook. Celle-ci a rassemblé au sein d'un onglet unique les divers motifs pour lesquels la LCEN et la loi Infox lui imposent de mettre à la disposition de l'utilisateur un dispositif de signalement, incluant les fausses informations.

Dispositif de signalement de la plateforme Facebook

Source : Commission spéciale d'après une capture d'écran issue de la plateforme Facebook

c) Une application « globalement satisfaisante » des mesures de lutte contre les fausses informations

Aussi bien dans son bilan annuel des moyens et mesures mis en oeuvre par les opérateurs de plateforme en ligne sur l'année 2021^158(*) qu'en réponses aux interrogations formulées par le rapporteur Loïc Hervé, l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) a indiqué que les opérateurs concernés se soumettaient désormais de façon « globalement satisfaisante » à l'obligation de mise en place d'un outil de signalement des fausses informations susceptibles de troubler l'ordre public ou d'altérer la sincérité d'un des principaux scrutins.

L'Autorité estime néanmoins que l'accessibilité et la visibilité de cet outil demeurent « inégales » d'une plateforme à l'autre, en particulier pour les moteurs de recherche. De plus, l'Arcom déplore « un manque flagrant » d'indicateurs et de données chiffrées relatives aux signalements et à l'efficacité de leur traitement, empêchant une évaluation de la pertinence et l'efficacité des mesures au regard des risques associés à chacun des services.

Si la mise en place d'un dispositif de signalement des fausses informations est obligatoire, les « mesures complémentaires » que prévoit, de façon moins contraignante, l'article 11 de la loi Infox (cf. supra) ont également été déployées par tous les opérateurs concernés. L'Arcom a cependant constaté que le déploiement de ces mesures a été « plus ou moins approfondi » selon les opérateurs, certains ayant instauré volontairement des dispositifs allant au-delà de leurs obligations légales, comme par exemple des outils de lutte contre les publicités comportant de la désinformation ou de lutte contre les hypertrucages^159(*) à visée de désinformation. Ces mêmes disparités entre opérateurs ont été identifiées en matière d'éducation aux médias et à l'information, la quantité d'actions engagées par les opérateurs en direction des utilisateurs variant fortement.

Toujours selon l'Arcom, l'article 13 de la loi Infox, imposant aux opérateurs de plateformes en ligne de désigner un référent national en matière de lutte contre la désinformation, a été respecté par l'ensemble des opérateurs concernés, à l'exception de Wikipédia. Toutefois, l'Arcom a noté qu'à la suite de départs des référents de deux opérateurs (Snapchat et Twitter), aucun nouveau référent n'a pas été désigné, malgré ses demandes.

Ce bilan plutôt favorable est néanmoins nuancé par les efforts de transparence qui pourraient, selon l'Arcom, être encore accrus, notamment en termes de transmission de données chiffrées et d'informations concernant les modèles de vente et d'enchères et le ciblage publicitaire.

2. L'article 29 procède à l'abrogation de trois articles traitant de la lutte contre la désinformation, qui ne sont que partiellement couverts par le RSN

L'article 29 du projet de loi tend à abroger les articles 11, 13 et 14 de la loi Infox, décrits ci-dessus.

Cette abrogation serait justifiée par leur redondance avec le règlement sur les services numériques, qui est d'application directe et dont certains articles couvrent des sujets similaires.

a) Le signalement des fausses informations

L'article 16 du RSN, qui s'applique aux fournisseurs de services d'hébergement, y compris les plateformes en ligne, prévoit l'instauration obligatoire de « mécanismes permettant à tout particulier ou à toute entité de leur signaler la présence au sein de leur service d'éléments d'information spécifiques que le particulier ou l'entité considère comme du contenu illicite ». Ce dispositif de signalement doit être « facile d'accès et d'utilisation et permettent la soumission de notifications exclusivement par voie électronique ».

Ce dispositif de signalement est présenté dans l'étude d'impact du projet de loi comme une obligation similaire à celle qui résulte de l'article 11 de la loi Infox. Il convient cependant de noter que la définition juridique des « contenus illicites » est imprécise, ce qui pourrait entraîner des divergences d'interprétation quant à l'intégration ou non des fausses informations au sein du dispositif de signalement.

En effet, bien que le considérant n° 12 du RSN dispose qu'il faille « donner une définition large de la notion de contenu illicite », il ne mentionne par la suite que « les informations, quelle que soit leur forme, qui, en vertu du droit applicable, sont soit elles-mêmes illicites, comme les discours haineux illégaux ou les contenus à caractère terroriste et les contenus discriminatoires illégaux, soit rendues illicites par les règles applicables en raison du fait qu'elles se rapportent à des activités illégales ». Outre que les fausses informations ne sont pas nommément incluses au sein du considérant n° 12, l'absence, en droit interne, de définition des fausses informations plus claire que celle qui résulte de l'article L. 163-2 du code électoral rend incertaine l'intégration de celles-ci parmi le nouveau régime d'obligations issu du RSN s'appliquant aux opérateurs de plateformes en ligne.

Ainsi, interrogée par le rapporteur, l'Arcom confirme ces inquiétudes en considérant que « si le législateur a précisé le type de phénomènes contre lequel les plateformes doivent lutter, la manipulation de l'information et les fausses informations ne font pas l'objet d'une définition légale » faisant consensus. C'est pourquoi les fausses informations ne semblent ainsi relever des « contenus illicites » mentionnés par le RSN « que dans l'hypothèse où leur diffusion permet par ailleurs de caractériser une infraction prévue en droit français ». La Direction générale des entreprises (DGE) estime quant à elle sans ambiguïté que « les fausses informations mentionnées à l'article 11 de la loi Infox ne sont pas des contenus illicites »^160(*) tels que mentionnés à l'article 16 du RSN, puisque le signalement de ces informations ne déclenchera pas le régime de responsabilité limité des services d'hébergement. La DGE considère que ces éléments restrictifs maintiennent néanmoins la possibilité, pour l'utilisateur, de signaler malgré tout une fausse information par le biais du mécanisme de signalement des contenus illicites prévu à l'article 16 du RSN.

En parallèle du RSN, les fausses informations font l'objet de plusieurs mesures au sein du code européen renforcé de bonnes pratiques contre la désinformation du 16 juin 2022, notamment l'engagement n° 23 qui prévoit la mise en place d'un dispositif de signalement relatif aux « informations fausses et/ou préjudiciables ». Ce code de conduite n'est toutefois soumis qu'à la bonne volonté des opérateurs de plateformes en ligne, lesquels ne sont pas obligés d'y souscrire : d'après la Commission européenne, seuls 34 d'entre eux y ont adhéré lors de la présentation de ce code de bonnes pratiques^161(*), dont Twitter qui s'en est depuis retiré.

En outre, dans le cadre de l'évaluation des risques systémiques mentionnés à l'article 34 du RSN, les très grandes plateformes en ligne et les très grands opérateurs de recherche en ligne doivent « recenser, analyser et évaluer » les risques liés « à la diffusion de contenus illicites par l'intermédiaires de leurs services ». La commission spéciale appelle à ce que soit adoptée une acception « large », pour reprendre le terme du considérant n° 12, de ces contenus illicites afin d'y inclure les fausses informations, notamment au regard de l'article 35 qui mentionne également les « risques systémiques » ayant un « effet négatif réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique ».

b) Les mesures « complémentaires » de lutte contre la désinformation

Plusieurs articles du RSN traitent des « mesures complémentaires » que peuvent mettre en place les opérateurs de plateformes en ligne, conformément à l'article 11 de la loi Infox précitée :

- la transparence des algorithmes et des modalités de diffusion des contenus est régie par l'article 27 du RSN ;

- la transparence sur l'identité des commanditaires de contenus publicitaires est imposée par l'article 26 du RSN.

En revanche, certaines dispositions n'ont aucun équivalent dans le RSN ou vont au-delà des obligations que ce règlement impose, ce qui signifie que leur abrogation ne serait pas compensée par celui-ci. Il s'agit :

- de l'éducation aux médias et à l'information (aucun équivalent dans le RSN) ;

- de la promotion des contenus issus d'entreprises et d'agences de presse et de services de communication audiovisuelle (aucun équivalent dans le RSN) ;

- et de la lutte contre les comptes qui propagent des fausses informations. Ce dernier point va au-delà de l'article 23 du RSN, qui impose aux opérateurs de plateformes en ligne de suspendre les utilisateurs qui « fournissent fréquemment des contenus manifestement illicites », sans qu'il ne soit fait mention particulière des fausses informations.

c) La désignation d'un référent

L'article 13 de la loi Infox impose aux opérateurs de plateformes en ligne la désignation d'un représentant légal sur le territoire français, exerçant les fonctions d'interlocuteur référent en matière de lutte contre la désinformation et de contenus illicites.

Cette obligation n'est que partiellement couverte par l'article 13 du RSN, qui impose certes la désignation d'un représentant légal pour tous les fournisseurs de services intermédiaires proposant des services dans l'Union sans avoir d'établissement au sein de l'Union européenne, mais sans pour autant confier à ce représentant une mission particulière concernant la lutte contre la désinformation. Tout au plus est-il précisé que « le représentant légal désigné peut être tenu pour responsable du non-respect des obligations prévues par le règlement [sur les services numériques] ».

d) La transparence des algorithmes

Enfin, comme évoqué précédemment, le RSN comporte un article dédié à la transparence du système de recommandation, lequel, sans être aussi exigeant en termes de transparence, recouvre en partie l'article 14 de la loi Infox. L'article 27 du RSN dispose ainsi que « les fournisseurs de plateformes en ligne qui utilisent des systèmes de recommandation établissent dans leurs conditions générales, dans un langage simple et compréhensible, les principaux paramètres utilisés dans leurs systèmes de recommandation, ainsi que les options dont disposent les destinataires du service pour modifier ou influencer ces principaux paramètres ».

L'article 14 de la loi Infox allait cependant plus loin puisqu'il imposait aux opérateurs de plateformes en ligne de publier des statistiques agrégées sur le fonctionnement des algorithmes de recommandation, classement ou référencement de contenus d'information se rattachant à un débat d'intérêt général. Ces statistiques devaient notamment faire apparaître la part d'accès direct, sans recours aux algorithmes de recommandation, classement ou référencement, à ces contenus, ainsi que les parts d'accès indirects imputables, d'une part, à l'algorithme du moteur de recherche interne de la plateforme le cas échéant et, d'autre part, aux autres algorithmes de recommandation, classement ou référencement de la plateforme qui sont intervenus dans l'accès aux contenus.

3. L'indispensable maintien d'un dispositif de signalement des fausses informations

Contrairement à ce qu'énonce l'étude d'impact du projet de loi, le règlement sur les services numériques (RSN) ne couvre pas l'obligation, pour les opérateurs de plateformes en ligne, de mettre en place un dispositif de signalement des fausses informations, présentement imposée par l'article 11 de la loi Infox, puisqu'aussi bien l'Arcom que le Gouvernement ont indiqué au rapporteur que les « contenus illicites » mentionnés à l'article 16 du RSN n'incluent pas les fausses informations (cf. supra).

L'abrogation, non compensée par le RSN, de l'article 11 de la
loi Infox signifierait un net recul en matière de lutte contre la désinformation en ligne.

C'est pourquoi la commission spéciale a adopté l'amendement COM-144, présenté par son rapporteur, afin de conserver, dans le droit national, l'obligation, pour les plateformes en ligne, de mettre en place un dispositif de signalement des fausses informations. Ce faisant, la Commission invite le Gouvernement à défendre auprès des instances européennes « une définition large de la notion de contenu illicite », conformément aux termes du considérant n° 12 du RSN.

La commission spéciale a cependant maintenu l'abrogation des articles 13 et 14 de la loi Infox, ainsi que la suppression des dispositions de l'article 11 relatives aux « mesures complémentaires » que peuvent prendre les plateformes en matière de lutte contre la désinformation, lesquels apparaissent in globo couverts par le RSN.

CHAPITRE VI
Mesures d'adaptation du droit électoral

Article 30
Rehaussement du seuil de connexions à partir duquel s'appliquent certaines règles de transparence relatives à la propagande en ligne en période électorale

1. Afin de veiller à la sincérité des scrutins, les opérateurs de plateformes en ligne sont soumis, depuis la loi Infox de 2018, à des obligations de transparence renforcée en matière de propagande lors des périodes électorales

Bien que de nombreuses règles régissent déjà les abus de propagande électorale^162(*) et que le code de la consommation encadre l'usage de la publicité en ligne, en imposant notamment, en son article L. 111-7, à tout opérateur de plateforme en ligne de délivrer au consommateur « une information loyale, claire et transparente » sur « l'existence d'une relation contractuelle, d'un lien capitalistique ou d'une rémunération à son profit, dès lors qu'ils influencent le classement ou le référencement des contenus, des biens ou des services proposés ou mis en ligne » et sur « la qualité de l'annonceur », le législateur a souhaité instaurer des obligations supplémentaires, ne s'appliquant qu'en période électorale. L'objectif mis en avant était d'assurer « l'intérêt général attaché à l'information éclairée des citoyens en période électorale » et de garantir « la sincérité du scrutin »^163(*).

Ainsi, la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information^164(*), dite loi Infox, a inséré un nouvel article L. 163-1 au sein du code électoral, afin de règlementer la promotion de contenus d'information se rattachant à un débat d'intérêt général.

Depuis 2018, les opérateurs de plateformes en ligne dépassant le seuil, défini par décret^165(*), de cinq millions de connexions mensuelles de visiteurs uniques, sont donc tenus de fournir « une information loyale, claire et transparente » sur les personnes morales ou physiques « versant à la plateforme des rémunérations en contrepartie de la promotion de contenus d'information se rattachant à un débat d'intérêt général », sur « l'utilisation » qui est faite « des données personnelles » de l'utilisateur « dans le cadre de la promotion d'un contenu d'information se rattachant à un débat d'intérêt général » et, enfin, sur « le montant des rémunérations reçues en contrepartie de la promotion de tels contenus ».

Toutes ces informations sont agrégées en format ouvert au sein d'un « registre » mis à la disposition du public sur un support électronique.

Cet effort de transparence accentuée n'est exigé des opérateurs de plateforme en ligne que lors des trois mois précédant le premier jour du mois d'élections générales et jusqu'à la date du tour de scrutin où celles-ci sont acquises. Ces obligations s'appliquent donc pour les élections législatives, les élections sénatoriales^166(*), les élections européennes^167(*), les opérations référendaires^168(*) et l'élection du Président de la République^169(*). A contrario, elles ne sont pas exigibles lors d'élections partielles et pour les scrutins locaux.

Il appert cependant qu'en imposant des obligations de transparence concernant tout « contenu d'information se rattachant à un débat d'intérêt général », l'article L. 163-1 du code électoral a un périmètre d'application plus large que les seules informations de nature à altérer la sincérité d'un scrutin.

En application de l'article L. 112 du code électoral, les personnes ne satisfaisant pas aux règles fixées à l'article L. 163-1 précité encourent une peine d'un an d'emprisonnement et de 75 000 euros d'amende, pouvant être portée au quintuple lorsqu'il s'agit d'une personne morale. Le juge pénal peut, en outre, prononcer l'interdiction, pour une durée de cinq ans au plus, d'exercer directement ou indirectement l'activité professionnelle en lien avec l'infraction. Le juge peut également ordonner l'affichage de la décision de justice ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique.

2. L'article 30 du projet de loi rehausse significativement le seuil de connexions à partir duquel s'appliqueraient les obligations de transparence renforcée en matière de propagande électorale en ligne

a) L'article 30 du projet de loi vise à adapter le code électoral au RSN

Tel que déposé au Sénat, l'article 30 du projet de loi apporte deux modifications principales à l'article L. 163-1 du code électoral :

- il restreint le nombre de plateformes concernées par les obligations de transparence précitées, en remplaçant la référence aux opérateurs de plateforme en ligne mentionnés à l'article L. 111-7 du code de la consommation par une référence aux « très grandes plateformes en ligne et les très grands moteurs de recherches en ligne » définis à l'article 33 du règlement européen sur les services numériques (RSN). Le seuil à partir duquel les plateformes appartiennent à cette catégorie a été fixé à 45 millions d'utilisateurs européens par mois, soit 10 % de la population européenne, contre, pour mémoire, cinq millions de connexions mensuelles uniques en l'état actuel du droit interne. La Commission européenne n'a, pour l'instant, désigné que 17 plateformes catégorisées comme « très grandes », à savoir Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube et Zalando, et deux « très grands » moteurs de recherche, à savoir Bing et Google Search. À titre d'exemple, parmi les opérateurs soumis, en droit actuel, aux obligations de transparence issues de l'article L. 163-1 du code électoral, Twitch, Yahoo Search et Dailymotion en seraient exemptés du fait de ce rehaussement du seuil d'application ;

- il remplace l'actuel registre recensant les données relatives à la propagande numérique par un registre, issu de l'article 39 du RSN, qui concerne de façon plus large la publicité en ligne (cf. infra).

Ces deux modifications sont présentées par le Gouvernement comme une nécessaire adaptation au règlement sur les services numériques^170(*).

b) Le RSN prévoit un régime de transparence publicitaire plus exigeant pour les « très grandes plateformes en ligne » et les « très grands moteurs de recherche »

Concernant la transparence du caractère publicitaire des contenus numériques, le règlement sur les services numériques distingue deux régimes d'obligations, le premier s'imposant à tous les fournisseurs de plateformes en ligne, le second s'appliquant cumulativement pour les seuls « très grandes plateformes en ligne » et « très grands moteurs de recherche ».

1. Une obligation de présentation « non ambiguë » des contenus publicitaires pour tous les fournisseurs de plateformes en ligne

L'article 26 du RSN, qui s'applique à tous les fournisseurs de plateformes en ligne, constitue le cadre normatif minimal en matière de transparence des contenus publicitaires.

Il impose aux fournisseurs de plateformes en ligne qui affichent de la publicité sur leur interface de « veiller à ce que, pour chaque publicité spécifique » présentée à chaque utilisateur individuel, celui-ci puisse « de manière claire, précise et non ambiguë et en temps réel » identifier le caractère publicitaire du contenu.

Plus précisément, l'utilisateur doit être en mesure :

- de se rendre compte que les informations sont de la publicité, y compris au moyen de marquages bien visibles ;

- d'identifier la personne physique ou morale pour le compte de laquelle la publicité est présentée ou, le cas échéant, qui a payé pour la publicité ;

- de déterminer les informations utiles, qui doivent être directement et facilement accessibles à partir de la publicité, concernant les principaux paramètres utilisés pour cibler l'utilisateur auquel la publicité est présentée et, le cas échéant, la manière dont ces paramètres peuvent être modifiés.

2. La publication d'un « registre » contenant des informations détaillées sur les contenus publicitaires pour les « très grandes » plateformes et les « très grands » moteurs de recherche

En parallèle des obligations de transparence imposées par l'article 26 du RSN, les très grandes plateformes et les très grands moteurs de recherche sont soumis à la publication d'un « registre », qu'ils doivent mettre à la disposition du public, dans une section spécifique de leur interface. Cette responsabilité supplémentaire résulte de l'article 39 du RSN, qui précise par ailleurs que ce registre comporte un outil de recherche « fiable » permettant d'effectuer des recherches multicritères.

Ce registre doit présenter avec « exactitude » :

- le contenu de la publicité, y compris le nom du produit, du service ou de la marque, ainsi que l'objet de la publicité ;

- la personne physique ou morale pour le compte de laquelle la publicité est présentée ou, le cas échéant, qui a payé pour la publicité ;

- la période au cours de laquelle la publicité a été présentée ;

- le fait que la publicité était ou non destinée à être présentée spécifiquement à un ou plusieurs groupes particuliers de destinataires du service et, dans l'affirmative, les principaux paramètres utilisés à cette fin, y compris, s'il y a lieu, les principaux paramètres utilisés pour exclure un ou plusieurs de ces groupes particuliers ;

- le nombre total de destinataires du service atteint et, le cas échéant, les nombres totaux ventilés par État membre pour le ou les groupes de destinataires que la publicité ciblait spécifiquement.

La liste des informations que doit contenir ce registre n'est cependant pas limitée par l'article 39 du RSN, puisque le premier alinéa du paragraphe 2 de ce même article dispose que ce registre contient « au moins » les informations susmentionnées. Cette précision est d'importance puisque les articles 26 et 39 du RSN n'évoquent pas, contrairement à l'article L. 163-1 du code électoral, le montant des rémunérations reçues en contrepartie de la promotion des contenus publicitaires.

3. Le maintien d'obligations de transparence renforcée pour les plus grandes plateformes approuvé par la commission spéciale

La commission spéciale a adopté l'article 30 sans modification, en se félicitant que le Gouvernement soit revenu sur son projet initial d'abrogation de l'article L. 163-1 du code électoral, comme l'a conseillé le Conseil d'État dans son avis public^171(*) sur le projet de loi.

Au demeurant, le rehaussement du seuil à partir duquel s'appliqueront les exigences de transparence renforcée en matière de publicité politique en ligne constitue malgré tout un recul par rapport à l'état actuel du droit, puisque certains opérateurs, à l'instar de Twitch, Yahoo Search et Dailymotion, s'en verraient exemptés.

La commission spéciale prend cependant acte que le RSN sera bientôt complété par un règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique, actuellement en phase de trilogue. Elle invite par conséquent le Gouvernement à être particulièrement vigilant lors des négociations autour de ce futur règlement européen, afin de maintenir un cadre normatif ambitieux, qui garantira la sincérité et la qualité du débat démocratique en ligne.

CHAPITRE VII
Mesures d'adaptation de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Article 31
Adaptations de la loi n° 78-17 « Informatique et libertés » au règlement européen sur la gouvernance des données (Data Governance Act - altruisme en matière de données)

1. Les apports du règlement DGA : de nouvelles règles pour garantir l'altruisme en matière de données sous le contrôle de la Cnil

Lié à la volonté de l'Union européenne de faire face à l'utilisation des données par les GAFAM et d'éviter une distorsion de concurrence préjudiciable aux entreprises européennes, le règlement européen sur la gouvernance des données, ou règlement DGA, vise à fixer un cadre commun pour faciliter le partage de données tout en créant des mécanismes de gouvernance afin de limiter les atteintes apportées à la vie privée des Européens et de garantir une souveraineté de l'Union sur les données qu'elle produit. C'est ainsi que ce règlement entend créer un marché de l'intermédiation de la donnée fondé sur une conception alternative à celle qui prévaut actuellement : en effet, alors que les données sont aujourd'hui largement vendues ou achetées par les entreprises qui les utilisent, le DGA vise à mettre en place un modèle reposant sur la commercialisation des données par des « tiers de confiance » qui ne les utilisent pas eux-mêmes.

Concrètement, le règlement :

- crée un Comité européen de l'innovation dans le domaine des données et prévoit la désignation, dans chaque État, d'une autorité nationale compétente ;

- définit les conditions de réutilisation des données, en particulier afin d'exclure d'une telle réutilisation certaines données sensibles par destination ou par nature (données détenus par des entreprises publiques, des établissements culturels ou d'enseignement, etc. ; données à la défense, à la sécurité, etc.), ou encore d'interdire les transferts internationaux hors de l'Union dès lors que ces transferts sont contraires aux réglementations européennes ou internationales. Le règlement vient également limiter la possibilité d'octroyer des droits d'exclusivité aux données partagées aux cas où cette exclusivité est nécessaire à la fourniture d'un service public ou d'un produit d'intérêt général. Dans les cas où la réutilisation sera possible, il est prévu que l'accès aux données puisse se faire en contrepartie du versement d'une redevance ;

- pose le cadre applicable aux services d'intermédiation de données, c'est-à-dire aux services visant à établir des relations commerciales à des fins de partage des données entre les détenteurs et les utilisateurs. Le règlement prévoit ainsi que les personnes souhaitant exercer une telle activité devront notifier leur intention (sans que cette procédure s'apparente à une autorisation préalable) à l'autorité nationale compétente^172(*) et se soumettre au respect de diverses règles, notamment en matière de sécurité des données stockées, de traçabilité des usages et de prévention des pratiques frauduleuses ou abusives ;

- définit le cadre de collecte et de traitement des données à des fins « altruistes », c'est-à-dire sans contrepartie financière : le DGA permet ainsi la mise à disposition volontaire de données pour des motifs d'intérêt général (ces motifs devant être définis par le droit national). Les données concernées seront remises à des organisations dites « altruistes », inscrites sur un registre tenu par l'autorité nationale compétente, et qui ne pourront être reconnues comme telles que si elles poursuivent un objectif d'intérêt général et respectent, de manière effective, les obligations énumérées par le règlement (entités à but non lucratif, recueil du consentement des personnes concernées, garantie de la sécurité des données, établissement d'un rapport d'activité rendant compte de leur action...).

Enfin, en matière de données personnelles, le DGA pose lui-même le principe de son infériorité normative par rapport au RGPD : en d'autres termes, en cas de difficultés d'articulation (voire de rivalité ou de contradiction de règles) entre ces deux textes, le RGPD primera.

2. Le dispositif prévu par le projet de loi

L'article 31 vient restructurer la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés (dite « informatique et libertés ») afin de consacrer le rôle de la Cnil comme autorité compétente pour l'application des dispositions du DGA sur l'altruisme en matière de données et de lui reconnaître les prérogatives associées à ce nouveau statut.

Le projet de loi crée, à cette fin, une nouvelle section V, intitulée « Dispositions relatives à l'altruisme en matière de données », au sein de la loi « Informatique et libertés » qui :

- affirme la compétence de la Cnil pour le traitement des demandes d'enregistrement des organisations « altruistes » et la tenue à jour du registre national associé, étant souligné qu'il est prévu que la procédure d'enregistrement soit définie par un décret en Conseil d'État ;

- définit les pouvoirs de la Cnil pour faire respecter les règles fixées par le règlement DGA : ses agents habilités pourraient ainsi constater des manquements et solliciter, par une demande motivée, les organisations altruistes afin de vérifier qu'elles respectent les obligations posées par le DGA, sans que cette prérogative soit particulièrement encadrée. Quant au président de la Cnil, il disposerait de plusieurs pouvoirs spécifiques : il pourrait en effet prononcer des mises en demeure pour les manquements « susceptible[s] de faire l'objet d'une mise en conformité » (cette notion n'étant pas définie par le texte mais paraissant renvoyer à l'ensemble des obligations issues du DGA (article 24) sur l'altruisme en matière de données) et, en l'absence de mise en conformité, saisir la formation restreinte de la Commission afin que soient prononcées une ou plusieurs sanctions : perte du droit d'utiliser le label d'«organisation altruiste en matière de données reconnue dans l'Union» dans toute communication et/ou radiation du registre national des organisations altruistes et/ou amende administrative tenant compte de critères divers fixés par le règlement DGA et inférieure aux plafonds prévus par le règlement général pour la protection des données (RGPD) ;

- rend la Cnil compétente pour recevoir et traiter des réclamations, conformément aux dispositions du DGA. L'article 31 est, en revanche, muet sur les voies de recours possibles contre les décisions prises à l'issue de ces réclamations, alors même qu'un tel recours, avec traitement par une entité autre que celle qui est compétente en matière d'altruisme (c'est-à-dire par une autre autorité administrative indépendante ou par voie contentieuse), est rendu obligatoire par la réglementation européenne.

Plus généralement, l'article 31 se distingue par le périmètre inhabituel des décrets en Conseil d'État qu'il prévoit : chaque disposition nouvelle est, en effet, adossée à un tel acte réglementaire sans que le contenu précis de ce dernier ne soit défini. 

Il est, corrélativement, caractérisé par une rédaction relativement floue qui, en particulier, ne permet pas de saisir clairement l'articulation et le périmètre des prérogatives confiées à la Cnil ou à son président - comme en témoignent les réponses contradictoires apportées, sur ce sujet, par la Cnil et le Gouvernement aux questionnaires établis par le rapporteur Loïc Hervé, le Gouvernement estimant que ces nouveaux outils devront être utilisés de manière successive, selon une logique de gradation, tandis que la Commission considère qu'elle pourra en faire un usage alternatif et recourir sans attendre aux leviers les plus coercitifs en cas de manquement grave.

3. La position de la commission spéciale : une réécriture globale du texte proposé

Afin de corriger les imperfections du texte telles qu'elles ont été exposées ci-avant, la commission spéciale a adopté un amendement COM-145 rectifié du rapporteur réécrivant intégralement l'article 31 afin de garantir l'insertion harmonieuse des nouvelles règles d'altruisme en matière de données au sein de la loi « informatique et libertés ». Outre ses apports rédactionnels et légistiques, cet amendement permet de préciser les conditions dans lesquelles les agents de la Cnil pourront solliciter des observations de la part des organisations dites « altruistes » ainsi que les modalités d'exercice, par le président de la Cnil, de ses nouvelles prérogatives.

Ce même amendement prévoit que les requérants seront informés de la possibilité de former un recours juridictionnel contre les décisions prises par la Cnil à l'issue d'une réclamation, conformément aux mécanismes prévus par le DGA.

Article 32
Adaptations de la loi n° 78-17 « Informatique et libertés » au règlement européen sur les services numériques

1. Le rôle de la Cnil dans la mise en oeuvre du RSN et le contenu de l'article 32

Le Gouvernement a fait le choix, judicieux, de rendre la Cnil compétente pour l'application des dispositions du RSN qui portent sur les données personnelles. En pratique, cette thématique concerne :

- l'obligation faite aux fournisseurs de plateforme en ligne d'informer les destinataires des principaux paramètres de ciblage des publicités (article 26 du RSN, d du paragraphe 1) ;

- l'interdiction faite aux fournisseurs de plateformes en ligne de présenter aux destinataires de leurs services des publicités reposant sur du profilage fait à partir des données à caractère personnel les plus sensibles^173(*) (article 26, paragraphe 3) ;

- l'interdiction faite aux fournisseurs de plateformes en ligne de présenter aux destinataires, dès lors qu'ils ont la certitude raisonnable qu'ils sont mineurs, des publicités reposant sur du profilage, quelle que soit la nature des données personnelles utilisées (article 28, paragraphe 2).

L'article 32 du projet de loi prévoit qu'il appartiendra à la Cnil de veiller au respect de ces obligations par les fournisseurs de plateforme en ligne et qu'elle disposera, pour ce faire, des pouvoirs qu'elle tire du droit en vigueur en matière de visite de locaux, d'injonction, de sanctions (hors les sanctions spécifiques au RGPD résultant de l'article 21 de la loi « Informatique et libertés ») et d'engagement de poursuites selon une procédure simplifiée.

L'article 32 instaure également des prérogatives nouvelles, limitées au contrôle du respect du RSN ; elles consistent en un pouvoir de saisie et en la possibilité pour la Cnil d'entendre les membres du personnel du fournisseur et de ses sous-traitants sur une infraction présumée et d'enregistrer leurs réponses avec leur consentement. Ce nouveau pouvoir de saisie, légitime dans son principe et expressément prévu par le RSN, soulève toutefois une difficulté juridique : le projet de loi ne prévoit pas d'en limiter l'exercice aux documents ayant un lien avec l'infraction ou le manquement dont la preuve est recherchée, alors même que cette exigence est reconnue comme substantielle par le Conseil constitutionnel dans des cas analogues^174(*). L'article 32 se heurte, en outre, à une difficulté opérationnelle, puisqu'il ne fixe pas le régime de restitution des documents saisis.

Plus généralement, et comme le relevait Marie-Laure Denis, présidente de la Cnil, lors de son audition par la commission spéciale au cours d'une table ronde des régulateurs le 13 juin 2023, la limitation de ces nouvelles prérogatives à l'application du RSN n'est pas de nature à faciliter l'exercice par les contrôleurs de leurs missions, le principe d'efficacité plaidant à l'inverse pour une harmonisation des procédures d'enquête quelle que soit la source réglementaire du manquement dont la preuve est recherchée.

En l'espèce, le rapporteur Loïc Hervé constate en effet qu'il n'y a pas de raison évidente pour justifier que le pouvoir de saisie et la possibilité d'enregistrer les réponses du personnel soient limités aux infractions au RSN et exclus pour les autres infractions, y compris les manquements aux règles essentielles fixées par le RGPD.

Corrélativement, l'article précité fixe un régime de sanctions spécifique au RSN permettant au président de la Cnil d'émettre des avertissements en cas de soupçon de manquement (l'application de tels « avertissements » à des manquements déjà réalisés - ou, à tout le moins, dont la commission est déjà soupçonnée - étant une innovation qui ne correspond à aucune disposition existante de la loi de 1978) ainsi que d'accepter des engagements de mise en conformité des fournisseurs et de les rendre contraignants.

Si ces outils s'avéraient insuffisants, le projet de loi autorise le président de la Cnil à saisir la formation restreinte de ladite Commission afin que soient prononcées une ou plusieurs sanctions : rappel à l'ordre ; injonction de mise en conformité avec astreinte (plafonnée à 5 % des revenus ou du chiffre d'affaires mondial journalier moyen du fournisseur concerné), sans que le délai d'exécution de cette injonction soit adossé à un « plancher » et/ou amende administrative (dont le plafond sera fixé à 6 % du chiffre d'affaires mondial de l'exercice précédent). Il crée également des sanctions en cas d'opposition à fonctions, le fait de faire obstacle aux pouvoirs d'enquête de la Cnil ou de transmettre à ses contrôleurs des informations erronées étant désormais passible de l'injonction ou de l'amende administrative mentionnées ci-avant^175(*).

L'article 32 permet enfin au président de la Cnil d'adopter des injonctions à caractère provisoire en cas de manquement aux règles issues du RSN susceptibles de « créer un dommage grave », sans toutefois que la notion de « dommage grave » soit définie par le texte ou par une norme applicable dans un domaine similaire. En outre, renvoyant à un décret en Conseil d'État, le projet de loi ne définit ni la nature des mesures qui pourront être prises dans ce cadre, ni leur durée maximale d'application - ce qui, s'agissant d'un pouvoir coercitif, soulève des interrogations quant au respect de la compétence que le Parlement tire de l'article 34 de la Constitution.

Comme l'article 31, l'article 32 comporte un nombre étonnant de renvois généraux à un décret en Conseil d'État, chaque disposition ou presque en étant assortie : ce parti pris, outre qu'il pourrait laisser penser que le Gouvernement n'a pas encore défini les contours précis des modalités d'exercice par la Cnil de ses nouvelles missions, nuit à la bonne compréhension des mécanismes proposés et ne permet pas d'appréhender intégralement leur pertinence.

Par ailleurs, de manière surprenante, la rédaction prévue pour la Cnil diffère sensiblement de celle proposée pour l'Arcom sur les mêmes sujets (acceptation d'engagements des fournisseurs, pouvoir de saisie, etc.) dans d'autres articles du projet de loi, sans que cette divergence apparaisse fondée sur des facteurs objectifs.

2. La position de la commission spéciale : modifier la rédaction proposée dans un double objectif de clarification et de sécurité juridique

Outre divers amendements rédactionnels et de coordination (COM-146, COM-152), la commission spéciale a adopté des amendements de son rapporteur tendant à :

- aligner, dans toute la mesure du possible, la rédaction retenue pour la Cnil sur celle proposée pour l'Arcom ;

- clarifier et préciser les modalités d'exercice par la Cnil de ses nouvelles missions (fixation de délais « plancher » dès que nécessaire et insertion de précisions procédurales sur la mise en oeuvre des pouvoirs coercitifs : amendements COM-149, COM-150, COM-151, COM-153) ;

- encadrer le recours aux décrets en Conseil d'État, soit en supprimant les renvois qui paraissent inutiles, soit en encadrant le champ des futurs actes d'application ;

- mieux définir les cas et modalités de recours aux nouvelles injonctions à caractère provisoire, en précisant que celles-ci pourront être utilisées lorsque la formation restreinte a été saisie (c'est-à-dire lorsqu'une procédure de sanction a été engagée, témoignant de l'existence d'éléments concordants et sérieux quant à la réalité du manquement) et en cas de « risque élevé d'atteinte aux droits et libertés des personnes physiques » - notion qui, contrairement à celle de « dommage grave », correspond à une terminologie préexistante dans la loi de 1978 et bien maîtrisée par la Cnil (COM-154 rectifié). Le même amendement permet, de plus, d'utiliser ces nouvelles injonctions pour tout type de manquement, quelle qu'en soit la source, plutôt que pour les seules infractions au RSN ;

- généraliser la possibilité donnée à la Cnil d'interroger les personnels des entités contrôlées et d'enregistrer leurs réponses avec leur consentement (COM-148) ;

- sécuriser le nouveau pouvoir de saisie de la Cnil en prévoyant que seuls pourront être saisis les documents qui se rapportent à l'infraction ou au manquement dont la preuve est recherchée et qu'un inventaire des documents saisis sera annexé au procès-verbal établi à l'issue de la visite, et en fixant les modalités de restitution des pièces saisies (COM-147 rectifié). Le même amendement permet d'homogénéiser les pouvoirs d'enquête de la Cnil en rendant le nouveau pouvoir de saisie applicable non seulement en cas de manquement au RSN, mais aussi en cas de non-respect des autres obligations énumérées par la loi « informatique et libertés ».

L'harmonisation des pouvoirs d'enquête et de sanction de la Cnil, conforme aux souhaits exprimés par la présidente de la Commission lors de son audition, facilitera l'exercice par ses agents de leurs prérogatives et permettra de disposer d'outils plus performants pour garantir le respect non seulement du RSN, mais aussi des règles nationales, du DGA et du RGPD.

CHAPITRE VIII
Mesures d'adaptation de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises du groupage et de distribution des journaux et publications périodiques

Article 33
Mesures d'adaptation de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution de journaux et publications périodiques

1. La législation actuelle

L'article 15 de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution de journaux et publications périodiques porte sur la diffusion numérique de la presse.

Le paragraphe I concerne les « kiosques », soit les services par abonnement proposant l'accès à un ensemble de publications. Il prévoit que ces services ne peuvent refuser la diffusion d'un titre d'information politique et générale dès lors qu'elle serait réalisée dans des conditions techniques et financières raisonnables et non discriminatoires.

Le paragraphe II du même article vise les opérateurs de plateformes en ligne mentionnés au I de l'article L. 111-7 du code de la consommation qui proposent le classement ou le référencement de contenus extraits de publications de presse ou de services de presse en ligne d'information politique et générale afin de prévoir qu'il leur revient de fournir à leurs utilisateurs une information loyale, claire et transparente sur l'utilisation de de leurs données personnelles dans le cadre du classement ou du référencement de ces contenus.

Du fait de l'abrogation du paragraphe I de l'article L. 111-7 du code de la consommation où se trouve la définition des « opérateurs de plateformes en ligne », il est devenu nécessaire de préciser à nouveau le champ des acteurs couverts par ces dispositions, le champ de l'article L. 111-7 n'étant pas identique à celui de la définition des « services de plateformes en ligne » issue du règlement européen sur les services numériques (RSN).

2. Le dispositif proposé

Le présent article vise donc à introduire une définition des agrégateurs de presse à l'article 15 de la loi « Bichet » du 2 avril 1947 en s'inspirant de la définition des opérateurs de plateformes désormais abrogée. Un agrégateur de presse sera ainsi défini comme un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus extraits de publications de presse ou de services de presse en ligne d'information politique et générale.

Plus précisément, le présent article 33 supprime la référence aux « opérateurs de plateformes en ligne mentionnés au I de l'article L. 111-7 du code de la consommation » dans le paragraphe II de l'article 15 de la loi du 2 avril 1947 et précise la définition des agrégateurs de presse en ajoutant la référence aux algorithmes informatiques dans la définition déjà en vigueur qui visait plus généralement les opérateurs de plateformes en ligne. Il prévoit également deux modifications de renvois par coordination.

3. La position de la commission spéciale

Les dispositions prévues par le présent article visent à adapter la réglementation relative aux agrégateurs de presse afin de la mettre en conformité avec le règlement européen sur les services numériques (DSA).

CHAPITRE IX
Mesures d'adaptation de la loi n° 2017-261 du 1er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal

Article 34
Mesures d'adaptation de la loi n° 2017-261 du 1er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal

1. La législation actuelle

Le présent article vise à réaliser des coordinations dans plusieurs articles législatifs afin de tenir compte, en particulier, de la suppression de la catégorie des opérateurs de plateforme en ligne par le règlement européen relatif à un marché unique des services numériques (DSA) du 19 octobre 2022.

L'article 24 de la loi n° 2017-261 du 1^er mars 2017 visant à préserver l'éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs, vise à prévoir que les détenteurs de droits d'exploitation sur des contenus audiovisuels, parmi lesquels peuvent figurer les opérateurs de plateformes en ligne définis à l'article L. 111-7 du code de la consommation, peuvent conclure un ou plusieurs accords relatifs aux mesures et bonnes pratiques qu'ils s'engagent à mettre en oeuvre en vue de lutter contre la promotion, l'accès et la mise à la disposition au public en ligne, sans droit ni autorisation, de contenus audiovisuels dont les droits d'exploitation ont fait l'objet d'une cession.

L'article L. 137-2 du code de la propriété intellectuelle précise les modalités d'exploitation d'oeuvres par les fournisseurs de services de partage de contenus en ligne tandis que l'article L. 219-2 comprend des dispositions relatives à l'exploitation des objets protégés par un droit voisin par les fournisseurs de services de partage de contenus en ligne.

L'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique comprend des dispositions visant à permettre aux autorités administratives indépendantes et aux autorités publiques indépendantes qui interviennent dans la régulation des opérateurs de plateforme en ligne définis à l'article L. 111-7 du code de la consommation, de recourir, dans le cadre de conventions, à l'expertise et à l'appui d'un service administratif de l'État désigné par décret en Conseil d'État.

Enfin, l'article 323-3-2 du code pénal vise pour sa part à sanctionner un opérateur de plateforme en ligne mentionné à l'article L. 111-7 du code de la consommation qui permettrait des transactions manifestement illicites.

2. Le dispositif proposé

Le présent article modifie l'article 24 de la loi du 1^er mars 2017 afin de remplacer la référence faite à cet article aux opérateurs de plateforme en ligne par une référence aux services de plateforme en ligne au sens du règlement sur les services numériques, aux moteurs de recherche au sens du même règlement et aux plateformes de partage de vidéos au sens de l'article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

De même, à l'article 323-3-2 du code pénal, la référence faite aux opérateurs de plateforme en ligne est remplacée par une simple référence aux services de plateforme en ligne au sens du règlement sur les services numériques.

De façon similaire, la référence au régime de responsabilité limitée des services d'hébergement au II de l'article L. 137-2 et au II de l'article L. 219-2 du code de la propriété intellectuelle est remplacée par une référence aux dispositions du DSA.

3. La position de la commission

Les dispositions prévues par le présent article constituent des coordinations rendues nécessaires par l'adoption du DSA.

La commission a adopté un amendement COM-79 de Julien Bargeton qui crée un paragraphe II bis modifiant l'article L. 131-4 du code de la propriété intellectuelle afin de faire référence à une rémunération « appropriée » des auteurs cédant leurs droits exclusifs pour l'exploitation de leurs oeuvres. Cette modification s'inscrit dans le prolongement de la directive 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d'auteur et les droits voisins dans le marché unique numérique et permet de réaffirmer la nécessité de défendre les créateurs.

CHAPITRE X
Dispositions transitoires et finales

Article 35
Habilitation à légiférer par ordonnance pour l'application dans les territoires ultramarins du projet de loi et de plusieurs règlements européens

L'article 35 du projet de loi prévoit, en vertu de l'article 38 de la Constitution, de permettre au Gouvernement de légiférer par ordonnance afin de procéder à l'application de la présente loi en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, soumises au principe de spécialité législative, et de permettre les adaptations nécessaires à chacun de ces territoires ainsi qu'aux collectivités de Saint-Barthélemy, Saint-Martin et Saint-Pierre et Miquelon.

L'article 35 prévoit également de rendre applicable trois règlements européens aux pays et territoires d'outre-mer (PTOM), à savoir la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna.
En effet, à l'inverse des autres collectivités d'outre-mer françaises,
qui disposent du statut de régions ultrapériphériques (RUP) et sont soumises au droit européen, les PTOM ne font pas partie intégrante de l'Union européenne et bénéficient d'un régime spécial d'association, prévu aux articles 198 à 204 du traité sur le fonctionnement de l'Union européenne (TFUE). Ce faisant, ils ne sont pas soumis de plein droit à la législation européenne, à l'exception de certaines dispositions qui le prévoient expressément. Par conséquent, une mention expresse, ainsi que de potentielles adaptations doivent être prises pour l'application à ces trois territoires :

- du règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance des données (RGD) ;

- du règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique (RMN) ;

- et du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (RSN).

Le projet de loi fixe au Gouvernement un délai de douze mois suivant sa publication pour la prise des ordonnances, puis un délai de trois mois pour le dépôt d'un projet de loi de ratification devant le Parlement.

Si les mesures d'adaptation et d'application de la loi et des règlements numériques aux outre-mer sont pleinement nécessaires, la commission spéciale a toutefois déploré le fait que le Gouvernement propose de recourir à une ordonnance et ne prévoie pas l'application des diverses dispositions directement dans la loi. Elle a appelé de ses voeux une modification de cet article au cours de la navette, notamment à l'occasion de la discussion en séance publique au Sénat.

Dans l'attente, et sur proposition du rapporteur Loïc Hervé, elle a adopté l'amendement COM-155 afin de réduire le délai de l'habilitation demandé par le Gouvernement, en le portant à six mois au lieu d'un an. Non seulement ce délai de six mois paraît amplement suffisant pour adapter l'ensemble de des mesures du projet de loi aux territoires ultra-marins mais, en outre, les trois règlements européens précités étant d'application directe, l'attente d'un délai d'un an pour prendre les mesures nécessaires à leur adaptation dans les territoires d'outre-mer semble excessive.

Article 36
Dispositions d'entrée en vigueur

1. Des modalités d'entrée en vigueur différenciées selon les dispositions du projet de loi, au regard des impératifs de sécurité juridique et des exigences d'articulation avec le calendrier européen

a) Sur l'entrée en vigueur de la procédure administrative de blocage et de déréférencement confiée à l'Arcom

L'article 2 du projet de loi, qui transforme la procédure judiciaire de blocage et de déréférencement des sites ne respectant pas la restriction d'accès aux mineurs en procédure administrative ordonnée par l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), entre en vigueur à compter du 1^er janvier 2024. Toutefois, par souci de sécurité juridique, les procédures déjà engagées au 31 décembre 2023 demeurent régies par la procédure judiciaire de blocage, y compris si les décisions sont rendues après le 1^er janvier 2024.

b) Sur l'entrée en vigueur des dispositions relatives aux frais de transfert sortant de données

Les dispositions du III de l'article 7 du projet de loi, relatives à la suppression progressive des frais de transfert sortant de données, restent en vigueur jusqu'à trois ans à compter de la date d'application du futur règlement européen sur les données (Data Act), c'est-à-dire jusqu'à une date estimée être le 15 février 2027.

c) Sur l'entrée en vigueur des dispositions relatives à l'interopérabilité des services d'informatique en nuage

Les dispositions des articles 8, 9 et 10 relatives à l'interopérabilité des services d'informatique en nuage restent en vigueur jusqu'au 15 février 2026, ce qui correspond également à la date d'entrée en vigueur anticipée des dispositions correspondantes du Data Act.

d) Sur l'entrée en vigueur des dispositions prises en application du règlement européen sur la gouvernance des données

L'article 11 désigne l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) comme autorité compétente en matière de régulation des services d'intermédiation de données à compter du 24 septembre 2023, date d'application du règlement européen sur la gouvernance des données (Data Governance Act - DGA).

L'article 31, qui apporte diverses modifications à la loi dite « informatique et libertés » du 6 janvier 1978 afin d'adapter celle-ci aux règles issues du DGA et de consacrer les nouvelles compétences de la Commission nationale pour l'informatique et les libertés (Cnil) dans le domaine de l'altruisme en matière de données, entre également en vigueur au 24 septembre 2023.

e) Sur l'entrée en vigueur des dispositions d'adaptation de notre droit au droit de l'Union européenne

En l'état de la rédaction, les articles 23, 24, 26, 28, 29, 30, 31, 32, 34, 35, 36 du projet de loi entrent entièrement en vigueur à compter du 17 février 2024, soit la date d'application du règlement européen sur les services numériques (RSN).

Les dispositions du C du III de l'article 22, qui réécrit intégralement l'article 6 de la loi pour la confiance dans l'économie numérique (LCEN), entrent en vigueur à des dates différées. Jusqu'au 16 février 2024, pour les dispositions relatives au régime de responsabilité des hébergeurs et à compter du 17 février 2024 pour l'application du régime de sanction en cas d'absence de notification de soupçons d'infractions pénales.

Les dispositions des I, II et III de l'article 25 entrent en vigueur à compter de la promulgation du présent projet de loi. Par contre, les autres dispositions de l'article 25 entrent en vigueur à compter du 17 février 2024, soit le nouvel article 8-1 inséré dans la LCEN relatif aux missions confiées à l'Arcom en matière de régulation des fournisseurs de services intermédiaires, le nouvel article 9-1 inséré dans la LCEN relatif au pouvoir d'enquêtes domiciliaires de l'Arcom vis-à-vis des fournisseurs de services intermédiaires, ainsi qu'au nouvel article 9-2 inséré dans la LCEN relatif aux pouvoirs d'injonction et de sanction de l'Arcom vis-à-vis de ces mêmes fournisseurs.

f) Sur l'entrée en vigueur du dispositif de centralisation des données de location de meublés de tourisme

L'article 17, relatif à la mise en oeuvre d'un nouveau dispositif de centralisation des données de location de meublés de tourisme, entre en vigueur à une date fixée par décret, l'étude d'impact du projet de loi justifiant cette procédure par la prise en compte des délais de développement informatique.

2. Une nécessaire prudence quant à l'articulation avec le calendrier européen

De façon générale, la commission spéciale regrette le manque de transparence du Gouvernement quant à la procédure de notification des dispositions de ce projet de loi à la Commission européenne, conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

Seuls les articles 1^er à 10, ainsi que les articles 17 et 36, ont été notifiés^176(*), sans qu'aucune justification ne soit apportée, malgré les demandes répétées de la commission spéciale, sur l'absence de notification des autres articles.

La commission spéciale regrette l'adaptation tardive de notre droit national aux dispositions du Data Governance Act, qui s'applique à compter du 24 septembre 2023, c'est-à-dire pendant la phase d'examen parlementaire du projet de loi.

La commission spéciale appelle à davantage de prudence quant à l'anticipation de l'adaptation de notre droit national aux propositions de règlements européens toujours en cours de négociation, ce qui est le cas du Data Act : de nombreuses adaptations au projet de loi devront être effectuées, en particulier aux articles 7 à 10, en fonction du texte qui sera définitivement adopté.

La commission a également adopté l'amendement COM-156 du rapporteur Patrick Chaize, visant à préciser que la suppression des frais liés à un changement de fournisseur de services d'informatiques en nuage s'effectue en bonne coordination avec les dispositions prévues par le Data Act, dont la date d'application n'est pas encore connue car toujours en cours de discussion à l'échelle européenne : une « date glissante » a été préférée à une « date fixe » afin d'éviter toute incertitude pour les opérateurs économiques concernés dans l'éventualité d'une adoption retardée du Data Act.

La commission spéciale regrette également la complexité de certains délais de mis en oeuvre choisis par le Gouvernement, certains délais s'appliquant parfois seulement pour quelques semaines.

Par conséquent, elle a adopté l'amendement COM-69 rectifié de Nathalie Delattre, sur un avis favorable du rapporteur, visant à harmoniser les dates d'entrée en vigueur du nouvel article 6 de la LCEN tel qu'il résulte de sa nouvelle rédaction à l'article 22 du présent projet de loi avec la date d'application du RSN fixée au 17 février 2024. La nécessité d'appliquer, pour quelques semaines seulement, un régime transitoire pour les fournisseurs de services d'hébergement concernés par le RSN mais non couverts par le droit national actuel n'est pas avérée.

Enfin, la commission a également adopté le sous-amendement COM-164 du rapporteur, modifiant la rédaction de l'amendement COM-69 rectifié précité, afin de supprimer la seconde occurrence à l'article 31, qui avait pour conséquence de prévoir deux délais d'entrée en vigueur distincts pour le même article.

.

* ¹³⁵  Rapport n° 752 (2021-2022) d'André Reichardt, fait au nom de la commission des lois sur la proposition de loi portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.

* ¹³⁶ Loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.

* ¹³⁷ Proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants - COM/2022/209 final.

* ¹³⁸ Décret n° 2023-432 du 3 juin 2023 relatif au retrait des contenus à caractère terroriste en ligne.

* ¹³⁹ Décret n° 2022-32 du 14 janvier 2022 pris pour l'application de l'article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites.

* ¹⁴⁰ Seule est reprise, à l'article 22 du présent projet, l'obligation faite aux plateformes de «met[tre] en oeuvre des procédures et des moyens humains et technologiques proportionnés permettant, lorsqu'elle a une activité de stockage de contenus, de conserver temporairement les contenus qui lui ont été signalés comme contraires aux dispositions [de la LCEN] et qu'elle a retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ».

* ¹⁴¹  Rapport n° 454 (2020-2021) déposé le 18 mars 2021.

* ¹⁴² Article 3 de la directive (UE) 2019/2161 du Parlement Européen et du Conseil du 27 novembre 2019 modifiant la directive 93/13/CEE du Conseil et les directives 98/6/CE, 2005/29/CE et 2011/83/UE du Parlement européen et du Conseil en ce qui concerne une meilleure application et une modernisation des règles de l'Union en matière de protection des consommateurs

* ¹⁴³ Article 4, 5) de la même directive.

* ¹⁴⁴ Article 30 du RSN.

* ¹⁴⁵ Article 31 du RSN.

* ¹⁴⁶ Article 32 du RSN.

* ¹⁴⁷ Article 25 du RSN.

* ¹⁴⁸ Articles 49 et 50 du RSN.

* ¹⁴⁹ Article 40 du RSN.

* ¹⁵⁰ Il s'agit, plus précisément, des contenus visés par le troisième alinéa du 7 du I de l'article 6 de la LCEN (apologie, négation ou banalisation des crimes contre l'humanité ; provocation à la commission d'actes de terrorisme et leur apologie ; incitation à la haine raciale, à la haine à l'égard de personnes à raison de leur sexe, de leur orientation sexuelle, de leur identité de genre ou de leur handicap ; pornographie enfantine ; incitation à la violence, notamment l'incitation aux violences sexuelles et sexistes ; atteintes à la dignité humaine, y compris les faits de harcèlement en ligne...).

* ¹⁵¹ Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur.

* ¹⁵² Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

* ¹⁵³ Article 6 de la loi du 21 juin 2004 précitée.

* ¹⁵⁴ L'article 22 du présent projet de loi procède à une nouvelle rédaction de l'article 6 de la loi du 21 juin 2004 précitée.

* ¹⁵⁵ Ibid.

* ¹⁵⁶ Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation en ligne.

* ¹⁵⁷  Rapport n° 677 (2017-2018) de Catherine Morin-Desailly, fait au nom de la commission de la culture, de l'éducation et de la communication, sur la proposition de loi relative à la lutte contre la manipulation de l'information, déposé le 18 juillet 2018.

* ¹⁵⁸  Bilan annuel (2021) des moyens et mesures mis en oeuvre par les opérateurs de plateforme en ligne pour lutter contre la manipulation de l'information en application de la loi du 22 décembre 2018, publié en novembre 2022 par l'Arcom.

* ¹⁵⁹ Les « deepfakes ».

* ¹⁶⁰ Source : réponse écrite de la DGE au questionnaire du rapporteur.

* ¹⁶¹  Commission européenne, Bâtir l'avenir numérique de l'Europe.

* ¹⁶² Sans être exhaustif, peuvent être citées l'interdiction, pour tout agent de l'autorité publique ou municipale de distribuer des bulletins de vote, profession de foi et circulaires des candidats (art. L. 50 du code électoral), l'interdiction, pour un candidat d'utiliser directement ou indirectement pour sa campagne les indemnités et les avantages en nature mis à disposition de leurs membres par les assemblées parlementaires pour couvrir les frais liés à l'exercice de leur mandat (article L. 52-8-1 du même code), ou encore l'interdiction de l'utilisation à des fins de propagande électorale de tout procédé de publicité commerciale par la voie de la presse ou par tout moyen de communication audiovisuelle dans les six mois précédant un scrutin (article L. 52-1 dudit code).

* ¹⁶³ Selon les termes employés par le premier alinéa de l'article L. 163-1 du code électoral.

* ¹⁶⁴ Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.

* ¹⁶⁵ Article D. 111-15 du code de la consommation.

* ¹⁶⁶ Par le renvoi figurant à l'article L. 306 du code électoral.

* ¹⁶⁷ Par le renvoi figurant à l'article 14-2 de la loi n° 77-729 du 7 juillet 1977 relative à l'élection des représentants au Parlement européen.

* ¹⁶⁸ Par le renvoi figurant à l'article L. 558-46 du code électoral.

* ¹⁶⁹ Par le renvoi figurant à l'article 3 de la loi organique n° 62-1292 du 6 novembre 1962.

* ¹⁷⁰ Cf. l'étude d'impact annexée au présent projet de loi.

* ¹⁷¹ Consultable en ligne sur le site du Sénat.

* ¹⁷² L'autorité nationale compétente sur ce volet du DGA est l'Arcep (voir ci-avant, article 11 du présent projet de loi).

* ¹⁷³ Il s'agit des données à caractère personnel visées au 1 de l'article 9 du RGPD, soit celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; les données génétiques et biométriques permettant d'identifier une personne physique de manière unique ; données concernant la santé ; les données concernant la vie sexuelle ou l'orientation sexuelle.

* ¹⁷⁴ Pour un exemple sur les saisies en matière fiscale : décision n° 2021-908 QPC du 11 mars 2022, « Société H. et autres ».

* ¹⁷⁵ Le montant de l'amende serait toutefois plafonné, dans une telle hypothèse, à 1 % du chiffre d'affaires.

* ¹⁷⁶  https://technical-regulation-information-system.ec.europa.eu/en/notification/23874