Mme le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. Je rejoins le propos de M. le rapporteur : l’interopérabilité est un sujet important.
Monsieur Dossus, l’interopérabilité que vous visez, en tout cas dans l’exposé des motifs de votre amendement, c’est-à-dire celle qui pourrait exister parmi les réseaux sociaux eux-mêmes, entre dans le champ du règlement sur les marchés numériques, dit DMA, et il a été considéré qu’il n’était pas possible de la mettre en œuvre.
En revanche, mesdames, messieurs les sénateurs, lorsque vous serez interrogé sur les changements qu’implique le règlement sur les marchés numériques dans la vie quotidienne, gardez à l’esprit que cela entraînera l’interopérabilité des messageries – pas des réseaux sociaux dans leur ensemble, mais, j’y insiste, des messageries.
En vertu du DMA, il sera possible de communiquer avec une personne qui est sur une messagerie en ligne sans avoir au préalable téléchargé celle-ci. C’est une avancée importante prévue par le règlement.
On peut donc dire que l’amendement est à moitié satisfait, puisque, sans aller jusqu’à l’interopérabilité des réseaux sociaux, le DMA permet l’interopérabilité des messageries.
J’émets donc un avis défavorable.
Mme le président. Je mets aux voix l’amendement n° 39.
(L’amendement n’est pas adopté.)
Article 6
L’article 12 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi rédigé :
« Art. 12. – I. – Lorsque l’un de ses agents spécialement désignés et habilités à cette fin constate qu’un service de communication au public en ligne réalise manifestement des opérations constituant les infractions mentionnées aux articles 226-4-1, 226-18 et 323-1 du code pénal et à l’article L. 163-4 du code monétaire et financier, l’autorité administrative met en demeure la personne dont l’activité est d’éditer le service de communication au public en ligne en cause, sous réserve qu’elle ait mis à disposition les informations mentionnées à l’article 1-1 de la présente loi, de cesser les opérations constituant l’infraction constatée. Elle l’informe également de la mesure conservatoire mentionnée au deuxième alinéa du présent I prise à son encontre et l’invite à lui adresser ses observations dans un délai de cinq jours.
« Simultanément, l’autorité administrative notifie l’adresse électronique du service concerné aux fournisseurs de navigateurs internet au sens du 11 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, aux fins de la mise en œuvre de mesures conservatoires.
« La personne destinataire d’une notification prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d’accéder au site internet officiel du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cybermalveillance.
« Cette mesure conservatoire est mise en œuvre pendant une durée de sept jours.
« Lorsque l’autorité administrative, le cas échéant après avoir pris connaissance des observations de la personne dont l’activité est d’éditer le service de communication au public en ligne en cause, estime que le constat mentionné au premier alinéa du présent I n’est plus valable, elle demande sans délai aux personnes destinataires d’une notification de mettre fin aussitôt aux mesures conservatoires.
« II. – Lorsque la personne dont l’activité est d’éditer le service de communication au public en ligne en cause n’a pas mis à disposition les informations mentionnées à l’article 1-1 de la présente loi, lorsque celles-ci ne permettent pas de la contacter ou lorsqu’au terme du délai mentionné au premier alinéa du I du présent article, le cas échéant après que cette personne a fait valoir ses observations, il apparaît que le constat mentionné au même premier alinéa est toujours valable, l’autorité administrative peut, par une décision motivée, enjoindre aux fournisseurs de navigateurs internet au sens du 11 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine de prendre sans délai toute mesure utile destinée à empêcher l’accès à l’adresse de ce service pour une durée maximale de trois mois. La décision de l’autorité administrative désigne quel fournisseur est chargé d’empêcher l’accès à l’adresse de ce service, en fonction de l’injonction émise et de la nature de la mesure envisagée.
« Les utilisateurs des services de communication au public en ligne auxquels l’accès est empêché en application des mesures mentionnées au premier alinéa du présent II sont dirigés vers une page d’information de l’autorité administrative compétente indiquant les motifs de la mesure de blocage.
« À l’issue de la durée prescrite au premier alinéa du présent II, la mesure destinée à empêcher l’accès à l’adresse du service peut être prolongée de six mois au plus sur avis conforme de la personnalité qualifiée mentionnée au III. Une durée supplémentaire de six mois peut être prescrite selon la même procédure.
« L’autorité administrative établit une liste des adresses des services de communication au public en ligne dont l’accès a été empêché et vérifie, à l’approche de l’expiration de la durée prescrite au deuxième alinéa du présent II, si ces mêmes adresses sont toujours actives et, le cas échant, si le constat de l’infraction est toujours valable.
« Pour l’application du premier alinéa du présent II, on entend par fournisseur de système de résolution de noms de domaine toute personne mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
« Les décisions prises en application des premier et deuxième alinéas du présent II sont notifiées par l’autorité administrative, sous la réserve mentionnée au premier alinéa du I du présent article, à la personne dont l’activité est d’éditer le service de communication au public en ligne en cause.
« L’autorité peut également notifier les adresses électroniques dont les contenus contreviennent aux dispositions mentionnées au I du présent article aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser leur référencement.
« L’autorité administrative peut à tout instant demander aux personnes mentionnées au premier alinéa du présent II de mettre fin aux mesures mentionnées au même premier alinéa lorsqu’il apparaît que le constat sur lequel elles étaient fondées n’est plus valable. Le cas échéant, elle informe la personne qualifiée mentionnée au III du présent article de sa décision.
« III. – L’autorité administrative transmet sans délai les demandes mentionnées aux I et II du présent article, ainsi que les adresses électroniques des services de communication en ligne concernés, à une personnalité qualifiée désignée en son sein par la Commission nationale pour l’informatique et les libertés pour la durée de son mandat au sein de la commission. La personnalité qualifiée s’assure du caractère justifié des mesures et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste des adresses électroniques concernées. Elle peut saisir le collège de la Commission nationale pour l’informatique et les libertés lorsque l’enjeu le justifie. Elle peut à tout moment enjoindre à l’autorité administrative de mettre fin aux mesures qu’elle a prises sur le fondement des mêmes I et II.
« Lorsque la personne dont l’activité est d’éditer le service de communication au public en ligne en cause saisit la personne qualifiée d’un recours administratif, le blocage est suspendu le temps de l’instruction de ce recours par la personnalité qualifiée.
« La personne qualifiée rend public chaque année un rapport d’activité, annexé au rapport public prévu à l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui comporte des éléments notamment relatifs :
« 1° Au nombre et aux motifs des mesures conservatoires demandées en application du I du présent article ;
« 2° Au nombre, aux motifs et à la nature des mesures demandées en application du II du présent article ;
« 3° Au nombre d’adresses de services de communication au public en ligne concernées ;
« 4° Au nombre et à la nature des recommandations formulées à l’égard de l’autorité administrative ;
« 5° Au nombre de recours administratifs dont elle a été saisie et aux délais moyens d’instruction de ces recours ;
« 6° Aux moyens nécessaires à l’amélioration de ses conditions d’exercice.
« IV. – Tout manquement aux obligations définies au présent article par la personne destinataire d’une notification ou d’une injonction de l’autorité administrative est puni des peines prévues au 3° du III de l’article 6.
« V. – Les modalités d’application du présent article, notamment la désignation de l’autorité administrative compétente ainsi que le contenu et les modalités de présentation du message d’avertissement sont précisées par décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés. »
Mme le président. L’amendement n° 60 rectifié bis, présenté par M. Fialaire, Mme N. Delattre, MM. Bilhac, Corbisez, Gold et Guérini, Mme Guillotin, M. Guiol, Mme Pantel et MM. Requier, Roux et Cabanel, est ainsi libellé :
Alinéa 2
Après les mots :
monétaire et financier,
insérer les mots :
ou rendant accessibles des données obtenues suite à la fraude d’un système de traitement automatisé des données,
La parole est à M. Bernard Fialaire.
M. Bernard Fialaire. Les cyberattaques sont l’une des principales menaces numériques dans l’Union européenne : elles constituent une grave violation du droit à la vie privée et peuvent avoir pour conséquence que des données personnelles soient volées, vendues à des tiers ou encore utilisées à des fins d’usurpation d’identité.
L’article 6 du présent projet de loi prévoit l’affichage d’un message d’avertissement dans le navigateur des internautes souhaitant accéder à une adresse internet pour laquelle il existe un risque avéré d’arnaque ou d’escroquerie.
L’amendement que je propose tend à compléter ce dispositif, en prévoyant qu’un tel message soit également affiché lorsque l’internaute tente d’accéder à une adresse internet rendant accessibles des données obtenues par piratage.
En effet, il est constaté que ces données frauduleusement obtenues sont consultées massivement et que cette simple consultation n’est à ce jour pas qualifiable pénalement, alors même qu’elle participe de l’escalade du phénomène dénoncé.
Un message d’avertissement, associé à une qualification pénale de la consultation de telles données, constituerait un outil efficace pour la lutte contre cette violation du droit à la vie privée.
Néanmoins, je souhaiterais que cet amendement soit le point de départ d’une réflexion plus poussée, qui déboucherait sur un dispositif spécifique étendant notamment les pouvoirs déjà existants de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, afin non seulement d’avertir les utilisateurs de la présence de données piratées ou de leur en interdire l’accès, mais bien d’obtenir la suppression par l’hébergeur de la page incriminée.
Mme le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Le filtre anti-arnaques peut déjà être déclenché en cas d’obtention de données à caractère personnel par un moyen frauduleux, déloyal ou illicite.
L’obtention de données à caractère personnel sur un site internet publiant des données obtenues par piratage est couverte par les infractions visées à l’article L. 226-18 du code pénal. Le texte satisfait déjà votre légitime préoccupation.
Mon cher collègue, je vous demande donc de bien vouloir retirer votre amendement ; à défaut, mon avis serait défavorable.
Mme le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. J’apporterai un élément d’explication complémentaire : à l’inverse des faits de cybercriminalité, qui sont couverts par le filtre, la consultation de données issues d’un piratage n’expose pas l’internaute à un dommage direct. En outre, cette consultation n’est pas constitutive d’une infraction.
Pour garantir l’efficacité et la proportionnalité de la mise en œuvre du filtre, il ne faut pas se disperser et lui faire porter des objectifs trop éloignés du but initial, à savoir lutter contre les arnaques.
Le Gouvernement demande donc le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.
M. Bernard Fialaire. Je retire mon amendement, madame la présidente !
Mme le président. L’amendement n° 60 rectifié bis est retiré.
Je suis saisie de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 49 rectifié ter, présenté par Mmes Noël et Garriaud-Maylam, MM. Gremillet, D. Laurent et Chatillon, Mme Muller-Bronn, MM. Charon, Joyandet et Bouchet et Mmes Thomas, Belrhiti, Pluchet et Berthet, est ainsi libellé :
Alinéa 7
Supprimer les mots :
aux fournisseurs de navigateurs internet au sens du 11 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, aux fournisseurs de services d’accès à internet ou
La parole est à Mme Sylviane Noël.
Mme Sylviane Noël. Le présent amendement vise à simplifier la terminologie utilisée à l’article 6, en supprimant certaines redondances, tout en conservant la liste des acteurs concernés.
En effet, en l’état actuel du texte, les fournisseurs de services d’accès à internet et les navigateurs sont déjà inclus dans le dispositif via la notion de « fournisseurs de systèmes de résolution de noms de domaine ». Les systèmes d’exploitation qui font de la résolution de nom de domaine sont également inclus dans cette définition.
Comme il est indiqué à l’alinéa 11 du présent article, la notion de fournisseur de système de résolution de noms de domaine vise toute personne mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
La précision rédactionnelle apportée par le présent amendement permettrait également d’uniformiser les terminologies utilisées aux différents articles sur les blocages à l’accès du présent projet de loi avec la rédaction de l’article 32 du projet de loi relatif à la programmation militaire pour les années 2024 à 2030, adoptée en l’état par le Sénat et l’Assemblée nationale.
Mme le président. L’amendement n° 40, présenté par MM. Dossus, Benarroche, Breuiller, Dantec, Fernique, Gontard et Labbé, Mme de Marco, M. Parigi, Mme Poncet Monge, M. Salmon et Mme M. Vogel, est ainsi libellé :
I. – Alinéa 7, première phrase
1° Supprimer les mots :
, aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine
2° Après le mot :
utile
insérer les mots :
, selon les choix des utilisateurs
II. – Alinéa 11
Supprimer cet alinéa.
La parole est à M. Thomas Dossus.
M. Thomas Dossus. Cet amendement vise à faire en sorte que le blocage des sites soit facultatif selon la volonté de l’utilisateur, donc uniquement fondé sur les navigateurs.
L’article 6 porte sur le filtre anti-arnaques, lequel a pour objet d’avertir l’utilisateur, par le biais de l’affichage d’un message d’avertissement, qu’un site internet se livre à des pratiques frauduleuses. Pour réaliser ce filtrage, le projet de loi prévoit trois méthodes : par fournisseur d’accès à internet, par le système de noms de domaine (DNS) ou par navigateur.
Avec cet amendement, nous reprenons les préconisations portées par la Commission nationale de l’informatique et des libertés (Cnil) dans sa délibération sur ce texte et proposons de limiter le filtrage à la dernière option.
En effet, la Cnil considère que le filtrage devrait prioritairement être réalisé au sein du navigateur, dans la mesure où ce dispositif constitue la seule possibilité permettant aisément un contrôle par l’utilisateur. Celui-ci devrait pouvoir choisir de désactiver le filtre, de configurer les listes de marqueurs à appliquer pour le filtrage et d’ignorer le filtre, au cas par cas, y compris dans une session de navigation, ce qui n’est pas possible avec les deux autres méthodes.
Voilà pourquoi nous proposons de limiter l’article à cette solution.
Mme le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Les deux amendements tendent à modifier la liste des intermédiaires techniques concernés par le déploiement du filtre anti-arnaques.
L’amendement n° 49 n’est en aucun cas de nature rédactionnelle, contrairement à ce qui est écrit dans l’exposé des motifs. Il tend tout simplement à supprimer du dispositif les fournisseurs d’accès à internet (FAI) et les fournisseurs de navigateurs sur internet, au moment où leur mobilisation est plus que nécessaire pour mettre en œuvre les mesures de blocage et de déréférencement des sites internet frauduleux.
Les FAI et les fournisseurs de navigateurs ne sont pas couverts par la définition des fournisseurs de systèmes de résolution des noms de domaine.
L’amendement n° 40 vise, quant à lui, à supprimer les FAI et les fournisseurs de systèmes de résolution des noms de domaine. La commission spéciale estime que la mobilisation de tous les intermédiaires techniques est indispensable ; sinon, nous affaiblirions le dispositif proposé, donc nous protégerions moins bien nos citoyens sur internet.
L’avis de la commission spéciale est défavorable sur les deux amendements.
Mme le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué. Madame Noël, grâce à vos amendements, nous avons amélioré les dispositifs prévus aux articles 2 et 4.
Toutefois, je vous demande de retirer l’amendement n° 49 rectifié ter : nous avons besoin d’être sûrs que tous les acteurs nécessaires à l’opération mettent en œuvre le filtre. Dans son esprit, ce dispositif sert à capter véritablement tous les messages qui peuvent circuler.
J’entends bien votre ambition, que je trouve parfaitement légitime, de clarifier et de nettoyer le droit en supprimant dans le dispositif la mention des fournisseurs d’accès à internet et des résolveurs DNS.
Nous avons lu attentivement l’amendement : pour que le filtre puisse fonctionner, il nous faut compter sur la participation de l’ensemble des acteurs, quitte à ce que vous repreniez plus tard la rédaction de cet amendement, à l’image de ce que vous avez fait pour les dispositions relatives aux articles 2 et 4.
Quant à votre amendement n° 40, monsieur Dossus, même s’il est vrai que la Cnil avait un doute au départ, l’article visait déjà à tenir compte dans sa rédaction initiale des réserves exprimées par cette autorité dans son avis ; un dialogue avait été engagé avec elle. En effet, il était précisé dans le texte que, lorsque l’éditeur est connu, pendant sept jours le blocage doit être effectué par le navigateur. Le blocage DNS n’intervient qu’une fois que le site est identifié comme relevant du filtre.
Le Gouvernement demande donc le retrait de ces deux amendements, faute de quoi il émettrait un avis défavorable.
Mme le président. Madame Noël, l’amendement n° 49 rectifié ter est-il maintenu ?
Mme Sylviane Noël. Non, je le retire, madame la présidente.
Mme le président. L’amendement n° 49 rectifié ter est retiré.
Monsieur Dossus, l’amendement n° 40 est-il maintenu ?
M. Thomas Dossus. Oui, je le maintiens, madame la présidente.
Mme le président. L’amendement n° 50 rectifié ter, présenté par Mmes Noël et Garriaud-Maylam, MM. Gremillet, D. Laurent et Chatillon, Mme Muller-Bronn, MM. Charon, Joyandet et Bouchet et Mmes Thomas, Belrhiti, Pluchet et Berthet, est ainsi libellé :
Alinéa 7
Remplacer les mots :
sans délai
par les mots :
dans un délai, fixé par l’autorité administrative, qui ne peut être inférieur à deux jours ouvrés
La parole est à Mme Sylviane Noël.
Mme Sylviane Noël. Le présent amendement a pour objet d’uniformiser les délais prévus tant dans les différents articles du présent projet de loi visant à empêcher l’accès à des contenus illicites que dans les projets de loi en cours, comme la loi de programmation militaire, en se fondant sur un délai déterminé par l’autorité compétente de deux jours ouvrés minimum.
Ce délai se justifie également par la nécessité d’organiser la mobilisation des agents habilités à effectuer ces blocages chez les acteurs concernés.
Mme le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Je comprends la volonté d’harmoniser les modalités d’application des différents dispositifs de blocage, mais il faut considérer notre objectif, en l’occurrence la protection en ligne. En effet, les actes de cybermalveillance et les arnaques sur internet sont en hausse et font tristement partie de notre quotidien.
Au regard des risques financiers et de violation de données personnelles que représente l’accès à ces sites frauduleux, nous devons voter en faveur d’un dispositif réactif. L’introduction d’un délai de deux jours ouvrés n’est pas souhaitable et conduirait par exemple à laisser un site déclaré comme frauduleux accessible pendant tout un week-end, voire davantage s’il y a un jour férié.
La commission spéciale demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.
Mme le président. Quel est l’avis du Gouvernement ?
Mme le président. Madame Noël, l’amendement n° 50 rectifié ter est-il maintenu ?
Mme Sylviane Noël. Non, je le retire, madame la présidente.
Mme le président. L’amendement n° 50 rectifié ter est retiré.
L’amendement n° 135, présenté par M. Chaize, au nom de la commission spéciale, est ainsi libellé :
Alinéa 10
Remplacer le mot :
deuxième
par le mot :
troisième
La parole est à M. le rapporteur.
Mme le président. Quel est l’avis du Gouvernement ?
Mme le président. L’amendement n° 136, présenté par M. Chaize, au nom de la commission spéciale, est ainsi libellé :
I. – Alinéa 16
Remplacer la seconde occurrence du mot :
personne
par le mot :
personnalité
II. – Alinéa 17
Remplacer le mot :
personne
par le mot :
personnalité
La parole est à M. le rapporteur.
Mme le président. Quel est l’avis du Gouvernement ?
Mme le président. Je mets aux voix l’article 6, modifié.
(L’article 6 est adopté.)
Après l’article 6
Mme le président. L’amendement n° 59 rectifié bis, présenté par M. Fialaire, Mme N. Delattre, MM. Bilhac, Corbisez, Gold et Guérini, Mme Guillotin, M. Guiol, Mme Pantel et MM. Requier, Roux et Cabanel, est ainsi libellé :
Après l’article 6
Insérer un article additionnel ainsi rédigé :
Après l’article 323-3-2 du code pénal, il est inséré un article 323-3-… ainsi rédigé :
« Art. 323-3-…. Le fait de consulter, sans motif légitime, un service de communication au public en ligne mettant à disposition des données, tout en ayant connaissance du fait qu’elles ont été obtenues suite à la fraude d’un système de traitement automatisé de données, est puni de 30 000 € d’amende. »
La parole est à M. Bernard Fialaire.
M. Bernard Fialaire. J’insiste ici de nouveau sur le cyberpiratage.
Puisque mon amendement précédent a été, paraît-il, satisfait, cette proposition, qui lui est complémentaire, a pour objet de créer une nouvelle infraction visant la consultation sans motif légitime d’un service de communication au public en ligne mettant à disposition des données tout en ayant connaissance du fait qu’elles ont été obtenues à la suite du piratage d’un système de traitement automatisé de données.
Il s’agit donc de créer une infraction supplémentaire.
Mme le président. Quel est l’avis de la commission spéciale ?
M. Loïc Hervé, rapporteur. Cet amendement de notre collègue Bernard Fialaire vise à répondre à un motif parfaitement légitime, à savoir mieux protéger les entités, notamment publiques, qui ont fait l’objet de cyberattaques et dont les données se trouvent diffusées sur internet par des hackers. Pour ce faire, il tend à pénaliser la consultation de ces dernières.
Toutefois, je m’interroge sur la portée pratique d’une telle sanction. Comment la police et la gendarmerie trouveront-elles l’identité de celles et de ceux qui ont procédé à une telle consultation ? Comment pourra-t-on prouver qu’une personne savait que les informations dont elle a pris connaissance avaient été obtenues par des hackers ?
Surtout, la consultation qu’il est prévu de sanctionner est déjà couverte par le code pénal, dans la mesure où sa seule vocation est de permettre, dans un second temps, un usage illégal des données pour commettre des infractions déjà réprimées, par exemple usurper nos identités ou exercer un chantage.
À mon avis, cette disposition pose plus de problèmes qu’elle n’en résout. Tout en comprenant votre logique, je ne vois pas ce que ce nouveau délit apporterait à notre arsenal répressif, qui est déjà assez considérable.
La commission spéciale émet donc un avis défavorable.