TEXTE SOUMIS À LA DÉLIBÉRATION

DU CONSEIL DES MINISTRES

ÉTUDE D'IMPACT

PROJET DE LOI

visant à sécuriser et réguler l'espace numérique

NOR : ECOI2309270L/Bleue-1

9 mai 2023

TABLE DES MATIÈRES

INTRODUCTION GÉNÉRALE 6

TABLEAU SYNOPTIQUE DES CONSULTATIONS 8

TABLEAU SYNOPTIQUE DES MESURES D'APPLICATION 12

TABLEAU D'INDICATEURS 17

TITRE I - PROTECTION DES MINEURS EN LIGNE 21

CHAPITRE IER - PROTECTION DES MINEURS EN LIGNE 21

SECTION 1 - RENFORCEMENT DES POUVOIRS DE L'AUTORITÉ DE RÉGULATION DE LA COMMUNICATION AUDIOVISUELLE ET NUMÉRIQUE EN MATIÈRE DE PROTECTION EN LIGNE DES MINEURS 21

Article 1er - Recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l'accès aux sites pornographiques 21

Article 2 - Pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) 39

SECTION 2 - PÉNALISATION DU DÉFAUT D'EXÉCUTION EN VINGT-QUATRE HEURES D'UNE DEMANDE DE L'AUTORITÉ ADMINISTRATIVE DE RETRAIT DE CONTENU PÉDOPORNOGRAPHIQUE 54

Article 3 - Sanction pénale pour défaut d'exécution d'une demande de retrait de contenu pédopornographique 54

Article 4 - Protection des citoyens contre les vecteurs de propagande étrangère manifestement destinés à la désinformation et à l'ingérence 64

Article 5 - Peine complémentaire de suspension de l'accès à un service de plateforme en ligne 74

Article 6 - Déploiement d'un filtre national de cybersécurité grand public 84

TITRE III - RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE 102

CHAPITRE IER - PRATIQUES COMMERCIALES DÉLOYALES ENTRE ENTREPRISES SUR LE MARCHÉ DE L'INFORMATIQUE EN NUAGE 102

Article 7 - Encadrement des frais de transfert et des crédits d'informatique en nuage 102

I- Encadrement des crédits d'informatique en nuage 102

II- Interdiction des frais de transfert 118

CHAPITRE II - INTEROPÉRABILITÉ ET PORTABILITÉ DES SERVICES D'INFORMATIQUES EN NUAGE 133

Articles 8, 9 et 10 - Obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage 133

CHAPITRE III - RÉGULATION DES SERVICES D'INTERMÉDIATION DE DONNÉES 150

Articles 11, 12, 13 et 14 - Désignation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse comme autorité compétente pour la supervision des prestataires de services d'intermédiation de données 150

TITRE IV - ASSURER LE DÉVELOPPEMENT EN FRANCE DE L'ÉCONOMIE DES OBJETS DE JEU NUMÉRIQUES MONÉTISABLES DANS UN CADRE PROTECTEUR 159

Article 15 - Article d'habilitation à légiférer par voie d'ordonnance afin de définir les jeux à objets numériques monétisables (JONUM), leurs conditions d'exploitation et fixer le cadre de régulation de ces jeux 160

TITRE V - PERMETTRE À L'ETAT D'ANALYSER PLUS EFFICACEMENT L'ÉVOLUTION DES MARCHÉS NUMÉRIQUES 166

Article 16 - Élargissement des pouvoirs de collecte des données par le Pôle d'Expertise de la Régulation du Numérique (PEReN) pour des activités de recherche publique 166

Article 17 - Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme 178

TITRE VI - RENFORCER LA GOUVERNANCE DE LA RÉGULATION NUMÉRIQUE 202

Article 18 - Coopération du coordinateur pour les services numériques avec le Pôle d'expertise de la régulation numérique 202

TITRE VII - CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L'EXERCICE DE LEUR FONCTION JURIDICTIONNELLE 210

Articles 19, 20, 21- Création des autorités de contrôle RGPD pour l'ordre administratif et pour l'ordre judiciaire 210

TITRE VIII - ADAPTATIONS DU DROIT NATIONAL 220

CHAPITRE IER - MESURES D'ADAPTATIONS DE LA LOI N° 2004-575 DU 21 JUIN 2004 POUR LA CONFIANCE DANS L'ÉCONOMIE NUMÉRIQUE 220

Articles 22, 23, 24 et 25 - Adaptations de la loi pour la confiance dans l'économie numérique 220

CHAPITRE II - MODIFICATION DU CODE DE LA CONSOMMATION 240

Article 26 - Mesures d'adaptation du code de la consommation 240

CHAPITRE III - MODIFICATION DU CODE DU COMMERCE 255

Article 27 - Mesures d'adaptation du code du commerce 255

CHAPITRES IV, V, VI, VIII ET IX 268

Articles 28, 29, 30, 33, 34 : Mesures d'adaptations de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, du code électoral, de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques, de la loi n° 2017-261 du 1er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal 268

CHAPITRE VII - MESURES D'ADAPTATIONS DE LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS 288

Articles 31 et 32 - Mesures d'adaptations de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés 288

CHAPITRE X - DISPOSITIONS TRANSITOIRES ET FINALES 303

Article 35 - Application outre-mer 303

INTRODUCTION GÉNÉRALE

La transition numérique de notre société, de nos usages, de nos tissus économiques et industriels représente à la fois un bouleversement profond de nos anciens modèles et un puissant levier vers de nouvelles voies de progrès et de performances. Face à cette mutation, le rôle de l'Etat est tout autant de stimuler et d'accompagner cette transition que de veiller à la protection des citoyens, de nos valeurs communes et des principes cardinaux de notre contrat social.

L'adoption dans l'Union européenne des deux règlements sur les services et marchés numériques (DSA1(*) et DMA2(*)) et du règlement sur la gouvernance des données (DGA)3(*) constitue une première étape fondamentale. L'Europe est le premier continent à poser une approche inédite et un cadre structurant pour régir l'activité et les impacts des services et des marchés numériques sur son territoire dans le respect et la fidélité à ses valeurs collectives.

Le succès de notre transition numérique collective, tant pour les citoyens, les entreprises ou les services publics, dépend en priorité de notre capacité à créer les conditions d'un environnement numérique propice à la confiance, à la loyauté et à l'équité de l'économie et des échanges sociétaux sur ces nouvelles interfaces technologiques.

Le projet de loi visant à « sécuriser et réguler l'espace numérique » adapte le droit national afin de prendre en compte et assurer la pleine effectivité des règlements européens dans un objectif de gain de clarté et de lisibilité, et comporte des mesures supplémentaires. Celles-ci se structurent autour de trois piliers essentiels :

- La protection de l'enfance en ligne : la littérature académique, notamment le rapport de l'Académie Nationale de Médecine, ainsi que le rapport sénatorial sur l'industrie de la pornographie4(*) établissent précisément que l'exposition des mineurs aux contenus pornographiques disponibles en ligne entraîne des risques psychologiques et psychopathologiques graves. Le projet de loi traite cette problématique à la source, dans son titre I, avec deux mesures visant à lutter contre l'exposition concrète des mineurs, (i) en opérationnalisant l'obligation de vérification de l'âge pour l'accès aux sites pornographiques et (ii) en donnant à l'Arcom un pouvoir de blocage et de sanction.

- La protection des citoyens dans l'environnement numérique : l'objectif de sécurisation de l'espace numérique englobe tous les citoyens mineurs comme majeurs. A cet effet, le titre II répond directement à deux enjeux du quotidien sur Internet que sont le cyberharcèlement et les arnaques en ligne avec pour le premier (i) une sanction visant les agissements graves de cyberharcèlement et de haine en ligne et pour le second (ii) le déploiement d'un filtre national de cybersécurité à destination du grand public pour avertir d'un risque avéré d'arnaque.

- Le renforcement de la confiance, la souveraineté et la concurrence dans l'économie de la donnée : le secteur du cloud reste un marché dominé par un nombre réduit d'acteurs qui entretiennent des pratiques d'enfermement concurrentiel. Le titre III rassemble les mesures destinées à renforcer la concurrence et la contestabilité des marchés dans l'économie des données. Afin d'assurer l'indépendance des entreprises nationales et de favoriser l'attractivité de l'offre cloud française grâce à un marché plus concurrentiel, trois mesures ont été identifiées : (i) en amont de la signature des contrats en régulant les offres promotionnelles, (ii) en aval en empêchant l'application de frais de sortie prohibitifs et (iii) enfin en favorisant l'interopérabilité entre les services cloud pour développer les solutions hybrides multi-clouds permettant le développement des solutions françaises.

Ensuite, sont exposés les moyens conférés à l'Etat pour assurer le développement en France de l'économie des objets de jeu numériques monétisables (titre IV) et analyser plus efficacement l'évolution des marchés numériques (titre V). A cela s'ajoute le renforcement de la gouvernance de la régulation du numérique, notamment en consolidant les capacités du Coordinateur des services numériques (titre VI). Le titre VII porte les adaptations relatives au contrôle des opérations de traitement de données à caractère personnel effectués par les juridictions dans l'exercice de leur fonction juridictionnelle. L'ensemble des mesures d'adaptation nécessaires sont précisées au titre VIII ; elles alignent les différents corpus législatifs nationaux avec le nouveau cadre établi par les règlements européens sur les services et marchés numériques, ainsi que sur la gouvernance des données, dans un objectif de gain de clarté et de lisibilité. Enfin, les dispositions transitoires et finales de mise en oeuvre de ces articles sont précisées au même titre VIII.

TABLEAU SYNOPTIQUE DES CONSULTATIONS

Article

Objet de l'article

Consultations obligatoires

Consultations facultatives

1er

Recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l'accès aux sites pornographiques

Commission nationale de l'informatique et des libertés (CNIL)

Néant

2

Pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique

Commission nationale de l'informatique et des libertés (CNIL)

Conseil supérieur des tribunaux administratifs et des cours administratives d'appel (CSTACAA)

Néant

3

Sanction pénale pour défaut d'exécution d'une demande de retrait de contenu pédopornographique

Néant

Néant

4

Protection des citoyens contre les vecteurs de propagande étrangère en ligne manifestement destinés à la désinformation et à l'ingérence

Autorité de régulation de la communication audiovisuelle et numérique (Arcom)

Néant

5

Peine complémentaire de suspension de l'accès à un service de plateforme en ligne

Néant

Néant

6

Déploiement d'un filtre national de cybersécurité grand public

Commission nationale de l'informatique et des libertés (CNIL)

Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP)

7

Encadrement des crédits d'informatique en nuage

Autorité de la Concurrence

Néant

7

Interdiction des frais de transfert

Autorité de la Concurrence

Néant

8, 9 et 10

Obligations d'interopérabilité à la charge des services d'informatique en nuage

Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP)

Autorité de la concurrence

Néant

11, 12, 13 et 14

Désignation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse comme autorité compétente pour la supervision des prestataires de services d'intermédiation de données dans le cadre de l'entrée en application du règlement (UE) 2022/868 du 30 mai 2022

Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP)

Autorité de la concurrence

Néant

15

Habilitation à légiférer par voie d'ordonnance afin de fixer le cadre de régulation des jeux qui utilisent des objets numériques monétisables (JONUM)

Néant

Autorité nationale des jeux

16

Elargissement des pouvoirs de collecte des données par le Pôle d'Expertise de la Régulation du Numérique pour des activités de recherche publique

Commission nationale de l'informatique et des libertés (CNIL)

Néant

17

Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme

Conseil national d'évaluation des normes (CNEN)

 

18

Coopération du coordinateur pour les services numériques avec le Pôle d'expertise de la régulation numérique

Néant

Autorité de régulation de la communication audiovisuelle et numérique (ARCOM)

19

Création d'une autorité de contrôle RGPD pour l'ordre administratif

Commission nationale de l'informatique et des libertés

Conseil supérieur des tribunaux administratifs et des cours administratives d'appel

Commission supérieure du Conseil d'Etat

Néant

20

Création d'une autorité de contrôle RGPD pour l'ordre judiciaire

Commission nationale de l'informatique et des libertés

Comité social d'administration de proximité placé auprès du premier président de la Cour de cassation

Comité social d'administration spécial placé auprès du directeur des services judiciaires

21

Création d'une autorité de contrôle RGPD pour les juridictions financières et la cour d'appel financière

Conseil supérieur de la Cour des comptes

Conseil supérieur des chambres régionales des comptes

Néant

22, 23, 24, 25

Adaptations de la loi pour la confiance dans l'économie numérique

Néant

Néant

26

Modification du code de la consommation

Néant

Néant

27

Modification du code du commerce

Néant

Cours d'appel compétentes sur le ressort des tribunaux judiciaires concernés par la modification de l'article L. 420-7 du code de commerce

28

Mesures d'adaptation de la loi relative à la liberté de communication

Néant

Néant

29

Mesures d'adaptation de la loi relative à la lutte contre la manipulation de l'information

Néant

Néant

30

Mesures d'adaptation du code électoral

Néant

Néant

31

Mesures d'adaptation de la loi informatique et libertés et désignation de la CNIL pour la supervision des organismes altruistes en matière de données reconnus dans le cadre du DGA

Commission nationale de l'informatique et des libertés (CNIL)

Néant

32

Mesures d'adaptation de la loi informatique et libertés et désignation de la CNIL pour la supervision des plateformes en ligne dans le cadre du DSA

Commission nationale de l'informatique et des libertés (CNIL)

Néant

33

Mesures d'adaptations de la loi relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques

Néant

Néant

34

Mesures d'adaptation de la loi visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal.

Néant

Néant

35

Application Outre-mer

Néant

Néant

36

Entrée en vigueur

Néant

Néant

TABLEAU SYNOPTIQUE DES MESURES D'APPLICATION

Article

Objet de l'article

Textes d'application

Administration compétente

1er

Recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l'accès aux sites pornographiques

Néant

Sans objet

2

Pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique

Décret en Conseil d'Etat

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique - Direction générale des Entreprises

Ministère de la culture - Direction générale des médias et des industries culturelles

Ministère de la justice - Direction des affaires civiles et du sceau

3

Sanction pénale pour défaut d'exécution d'une demande de retrait de contenu pédopornographique

Décret en Conseil d'Etat

 

4

Protection des citoyens contre les vecteurs de propagande étrangère en ligne manifestement destinés à la désinformation et à l'ingérence

Néant

Sans objet

5

Peine complémentaire de suspension de l'accès à un service de plateforme en ligne

Néant

Sans objet

6

Déploiement d'un filtre national de cybersécurité grand public

Décret en Conseil d'Etat

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique

Direction générale des entreprises

7

Encadrement des crédits d'informatique en nuage

Décret en Conseil d'Etat

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique

7

Interdiction des frais de transfert

Néant

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique

8, 9, 10

Obligations d'interopérabilité à la charge des services d'informatique en nuage

Décrets simples précisant les modalités de mise en oeuvre des dispositions en faveur d'une interopérabilité des services d'informatique en nuage

Autorité de régulation des communications électroniques, des postes et de la distribution de la presse

11, 12, 13 et 14

Désignation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse comme autorité compétente pour la supervision des prestataires de services d'intermédiation de données dans le cadre de l'entrée en application du règlement (UE) 2022/868 du 30 mai 2022

Décret simple

Autorité de régulation des communications électroniques, des postes et de la distribution de la presse

15

Définir les jeux à objets numériques monétisables (JONUM) et en fixer les conditions d'exploitation

Néant

Sans objet

15

Habilitation à légiférer par voie d'ordonnance afin de fixer le cadre de régulation des jeux qui utilisent des objets numériques monétisables (JONUM)

Ordonnance

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique (MEFSIN)

16

Elargissement des pouvoirs de collecte des données par le Pôle d'Expertise de la Régulation du Numérique pour des activités de recherche publique

Décret en Conseil d'Etat

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique (MEFSIN) - Direction générale des entreprises (DGE)

17

Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme

Décret en Conseil d'Etat

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique et ministère de la transition écologique et de la cohésion des territoires

18

Coopération du coordinateur pour les services numériques avec le Pôle d'expertise de la régulation numérique

Néant

Sans objet

19

Création d'une autorité de contrôle RGPD pour l'ordre administratif

Décret en Conseil d'Etat

Ministère de la justice

Direction des affaires civiles et du Sceau

20

Création d'une autorité de contrôle RGPD pour l'ordre judiciaire

Décret en Conseil d'Etat

Ministère de la justice

Direction des services judiciaires

21

Création d'une autorité de contrôle RGPD pour les juridictions financières et la cour d'appel financière

Décret en Conseil d'Etat

Cour des comptes

22, 23, 24, 25

Adaptations de la loi pour la confiance dans l'économie numérique

Décret en Conseil d'Etat relatif aux modalités d'application de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique (conditions d'assermentation des agents de l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) pouvant procéder aux inspections sur place, conditions dans lesquelles le juge des libertés et de la détention statue sur l'autorisation de la visite des agents de l'ARCOM, régime de saisie des informations par les agents de l'ARCOM)

Décret simple relatif aux modalités de saisine de l'autorité judiciaire par l'ARCOM en application du IV et du 2° du V de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique (MEFSIN) - Direction générale des entreprises (DGE)

Ministère de la culture - Direction générale des médias et des industries culturelles (DGMIC)

Ministère de la justice - Direction des affaires civiles et du Sceaux (DACS)

Décret en Conseil d'Etat relatif à la durée et aux modalités de conservation par les fournisseurs de service de plateforme en ligne des contenus signalés

Décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de services de plateforme en ligne conservent temporairement les contenus qui leur ont été signalés

Ministère de l'Intérieur et des Outre-mer (MIOM) - Secrétariat général (SG) / Direction des libertés publiques et des affaires juridiques (DLPAJ)

Décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de services de plateforme en ligne fournissent certaines informations aux mineurs âgés de moins de quinze ans lors de leur inscription au service

Ministère de l'économie, des finances et de la souveraineté industrielle et numérique (MEFSIN) - Direction générale des entreprises (DGE)

Ministère de la culture - Direction générale des médias et des industries culturelles (DGMIC)

26

Mesures d'adaptation du code de la consommation

Néant

Sans objet

27

Mesures d'adaptations du code du commerce

Néant

Sans objet

28

Mesures d'adaptation de la loi relative à la liberté de communication

Néant

Sans objet

29

Mesures d'adaptation de la loi relative à la lutte contre la manipulation de l'information

Néant

Sans objet

30

Mesures d'adaptation du code électoral

Néant

Sans objet

31

Mesures d'adaptation de la loi informatique et libertés et désignation de la CNIL pour la supervision des organismes altruistes en matière de données reconnus dans le cadre du DGA

Décret en Conseil d'Etat

 

32

Mesures d'adaptation de la loi informatique et libertés et désignation de la CNIL pour la supervision des plateformes en ligne dans le cadre du DSA

Décret en Conseil d'Etat

 

33

Mesures d'adaptations de la loi relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques

Néant

Sans objet

34

Mesures d'adaptation de la loi visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal.

Néant

Sans objet

35

Application Outre-mer

Ordonnance

Ministère de l'intérieur et des outre-mer - Direction générale des Outre-mer

36

Entrée en vigueur

Néant

Sans objet

TABLEAU D'INDICATEURS

Indicateur

Objectif et modalités de l'indicateur

Objectif visé (en valeur et/ou en tendance)

Horizon temporel de l'évaluation (période ou année)

Identification et objectif des dispositions concernées

Nombre d'injonctions émises

Mesurer le nombre d'injonctions de retrait émises par l'Arcom

En valeur

Annuel

Article 2

Rapport annuel de l'Arcom remis au gouvernement et au parlement

Nombre d'adresses électroniques qui ont fait l'objet d'une mesure de blocage d'accès ou de déréférencement

Mesurer le nombre d'adresses électroniques qui ont fait l'objet d'une mesure de blocage d'accès ou de déréférencement par l'Arcom

En valeur

Annuel

Article 2

Rapport annuel de l'Arcom remis au gouvernement et au parlement

Volume des demandes de retrait exécutées

Favoriser le retrait volontaire des contenus pédopornographiques

Augmentation du volume de contenus retirés volontairement et baisse du nombre de demandes de retrait ou de déréférencement des contenus pédopornographiques

Un an

Article 3

Diminution du volume et de la visibilité des contenus pédopornographique

Nombre de sanctions pénales prononcées

Favoriser le retrait volontaire des contenus pédopornographiques

Augmentation du volume de contenus retirés volontairement et baisse du nombre de demandes de retrait ou de déréférencement des contenus pédopornographiques

Un an

Article 3

Diminution du volume et de la visibilité des contenus pédopornographique

Nombre de mises en demeure ou d'injonctions délivrées par l'Arcom pour violation des sanctions visant les médias

Nombre d'opérateurs diffusant des contenus produits par des médias sanctionnés et ayant reçu une injonction ou mise en demeure de l'Arcom - Evaluation par l'Arcom

Arrêt de la diffusion des contenus médiatiques

Annuel

Article 4

Faire cesser la diffusion de médias sanctionnés

Délai de retrait d'un contenu visé par les sanctions

Délai moyen de retrait d'un contenu produit par un média sanctionné à la suite d'une injonction ou mise en demeure de l'Arcom - Evaluation par l'Arcom

Retrait rapide du contenu (inférieur à 72h)

Annuel

Article 4

Faire cesser dans un délai raisonnable la violation des mesures restrictives visant les médias

Taux de confiance dans le e-commerce

Améliorer la confiance des français dans le numérique

Plus de 10 points par rapport à 2024. Le taux est actuellement de 61%

2025

Article 6

Taux de confiance dans l'usage des services numériques de l'administration

Améliorer la confiance des français dans le numérique

Plus de 10 points par rapport à 2024. Le taux est actuellement de 70%.

2025

Article 6

Temps moyen de déploiement du filtre pour les utilisateurs après réception du marqueur (24/7)

Alerter le plus rapidement possible les utilisateurs pour diminuer l'efficacité des cyber attaques

4 heures pour 95% des cas.

2025

Article 6

Baisse du nombre de dépôts de plaintes et signalements sur Thésée dans les catégories couvertes par le filtre anti arnaque

Faire baisser le nombre de victimes de « cyber arnaques »

Baisse de 15% par rapport à 2024

2025

Article 6

Traitement des faux positifs

Taux de faux positif faible (nombre de réclamations annuels sur nombre de marqueurs moyens)

Taux de faux positif < 1%

2025

Article 6

Revenus des fournisseurs français de services d'informatique en nuage

Cet indicateur vise à mesurer l'évolution des revenus des fournisseurs français de services d'informatique en nuage suite à la suppression des obstacles techniques, économiques et commerciaux à la migration

Augmentation des revenus

Valeur de base des revenus des fournisseurs de cloud alternatifs : 4,64 Md€ ; valeur cible : augmentation de 2,36Md€, soit 50% de hausse.

Deux ans

Articles 7, 8, 9 et 10

L'encadrement des avoirs d'informatique en nuage, la suppression des frais de transfert et l'interopérabilité des services d'informatique en nuage permettront d'accroître le libre choix des utilisateurs, et de renforcer la compétitivité des fournisseurs français sur le marché, à la faveur d'une hausse de leurs revenus.

Nombre d'ETP chargés du contrôle de la réglementation

Cet indicateur, qui pourra être mesuré par l'autorité chargée d'opérer le dispositif de centralisation des données, a pour objectif d'évaluer la réduction du nombre d'ETP dans la réalisation des missions de contrôle et de veille au niveau des communes.

Réduction des coûts humains et financiers pour les communes

Deux ans après la mise en service du service de centralisation

Article 17

Mise à la disposition des communes des données récupérées par le dispositif de centralisation

Nombre de procédures administratives

Cet indicateur, qui pourra être mesuré par l'autorité chargée d'opérer le dispositif de centralisation des données, a pour objectif d'évaluer la réduction du nombre de procédures administratives induites par les transmissions d'informations en matière de locations de meublés de tourisme. Il pourra s'appuyer sur la détermination du nombre de communes et de plateformes bénéficiant du dispositif.

Centralisation et économie d'échelle ayant pour effet une réduction de la charge administrative pour les acteurs concernés

Deux ans après la mise en service du service de centralisation

Article 17

Création du dispositif de centralisation des données

Nombre d'injonctions émises

Mesurer le nombre d'injonctions émises

En valeur

Une année

Article 25

Nombre de sanctions prises

Mesurer le nombre de sanctions prises par l'Arcom

En valeur

Une année

Article 25

Nombre d'organismes altruistes certifiés selon les modalités du règlement (UE) 2022/868

Cet indicateur vise à mesurer l'adoption des modalités visant à promouvoir une circulation accrue des données dans un cadre de confiance, fondé sur le consentement, au profit de l'intérêt général, en application du DGA

Certification par l'autorité compétente de 25 organismes altruistes

24 mois

Article 31

[Désignation de la Commission nationale de l'informatique et des libertés pour la mise en oeuvre du chapitre IV du règlement 2022/868]

TITRE I - PROTECTION DES MINEURS EN LIGNE

CHAPITRE IER - PROTECTION DES MINEURS EN LIGNE

SECTION 1 - RENFORCEMENT DES POUVOIRS DE L'AUTORITÉ DE RÉGULATION DE LA COMMUNICATION AUDIOVISUELLE ET NUMÉRIQUE EN MATIÈRE DE PROTECTION EN LIGNE DES MINEURS

Article 1er - Recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l'accès aux sites pornographiques

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

L'exposition des mineurs aux contenus pornographiques disponibles en ligne pose des risques psychologiques et psychopathologiques graves (voir par exemple, le rapport de l'Académie Nationale de Médecine « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations »5(*)). Or, une étude Ifop parue en avril 2022 a indiqué que 53 % des adolescents français de 15 à 17 ans ont déjà été exposés à de la pornographie en ligne, en moyenne au cours des derniers 25 jours, dont 41 % en se rendant sur des sites dédiés6(*). En 2017, l'âge moyen de premier visionnage d'une vidéo pornographique se situait autour de 14 ans et les garçons seraient majoritairement exposés7(*). L'essentiel de cette consommation s'effectue via des sites gratuits et plus de la moitié des jeunes jugent avoir été exposés trop jeunes à leur premier visionnage8(*). De ce fait, une crainte croissante et une perte de confiance touchent les parents qui ne considèrent plus l'espace en ligne comme sécurisé pour leurs enfants.

Schéma n° 1 : Taux d'exposition à des images pornographiques en fonction de l'âge et du sexe

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, Sondage Opinionway 2018.

En France, le dispositif législatif actuel encadre pourtant déjà en partie la vérification de l'âge par les sites présentant du contenu à caractère pornographique :

- L' article 227-24 du code pénal interdit la fabrication, le transport et la diffusion, par quelque moyen que ce soit et quel qu'en soit le support, ainsi que le commerce, de tout message « à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Ces infractions sont punies de trois ans d'emprisonnement et de 75 000 euros d'amende.

- Depuis la l oi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, l'article 227-24 du code pénal relatif à l'infraction de diffusion à des mineurs de messages notamment pornographiques ou violents précise que l'infraction est constituée, « y compris si l'accès d'un mineur aux messages [...] résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans ». L'article 23 de la loi du 30 juillet 2020 permet au président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), lorsqu'il constate qu'un site ne respecte pas l'interdiction prévue à l'article 227-24 du code pénal, d'enjoindre au site concerné de prendre toute mesure pour bloquer l'accès aux contenus pornographiques pour les utilisateurs mineurs. En cas d'inexécution de l'injonction dans un délai de 15 jours, et si les contenus litigieux restent accessibles aux mineurs, le président de l'Arcom peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner, selon la procédure accélérée au fond, que les fournisseurs d'accès à Internet bloquent l'accès au service. Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique précise que le président de l'Arcom tient compte dans son appréciation du niveau de fiabilité du procédé technique mis en place par le site pour s'assurer que les utilisateurs souhaitant accéder au service sont majeurs. Il prévoit en outre que l'Arcom peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques. Ces dernières n'ont toutefois pas encore été élaborées.

Les éditeurs des services diffusant un contenu pornographique ont ainsi l'obligation de mettre en place un dispositif de vérification d'âge efficace pour s'assurer que les contenus ne sont pas accessibles aux mineurs et ne peuvent donc plus se contenter d'une réponse positive à la simple question « Avez-vous plus de 18 ans ? ». Or, cette pratique de vérification reste majoritaire chez les éditeurs de sites à contenus pornographiques (cf. exemples présentés dans le schéma n°2).

Schéma n° 2 : Fenêtre d'accueil au moment de l'accès à des sites pornographiques

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, vérifications de la délégation en juillet 2022

La loi du 30 juillet 2020 ne fournit pas de prescriptions spécifiques sur les fonctionnalités et exigences techniques requises sur les systèmes de vérification d'âge employés par les éditeurs de sites à contenus pornographiques. Cette dernière a ainsi été contestée par des opérateurs de sites à contenu pornographique qui, après une assignation de l'Arcom, ont transmis une question prioritaire de constitutionnalité (QPC) sur la conformité de l'article 23 de la loi n°2020-936 de 2020 et de l'article 227-24 du code pénal aux principes de légalité des délits et des peines et de la liberté d'expression et de communication, en arguant de leur imprécision et par suite, de leur inopposabilité, en raison de l'absence de prescriptions définies. La Cour de cassation, par sa décision rendue le 5 janvier 20239(*), a estimé qu'il n'y avait pas lieu de transmettre au Conseil constitutionnel la QPC, indiquant que les termes de loi de 2020 étaient « suffisamment clairs et précis pour exclure tout risque d'arbitraire ». Enfin, elle affirme qu'imposer de recourir à un dispositif de vérification de l'âge autre qu'une simple déclaration de majorité, pour accéder à du contenu pornographique, porte une atteinte à la liberté d'expression « nécessaire, adapté et proportionné à l'objectif de protection des mineurs ».

Bien que la Cour de cassation reconnaisse l'opposabilité de la loi, il est proposé d'introduire une disposition législative visant à mandater expressément l'Arcom pour élaborer, après consultation de la Commission nationale de l'informatique et des libertés (CNIL) un référentiel contraignant établissant des exigences techniques en matière de fiabilité du contrôle de l'âge des utilisateurs et de respect de leur vie privée auxquels devront répondre les dispositifs de vérification de l'âge mis en place par les sites pornographiques. Le non-respect de ce référentiel entrainerait une sanction administrative pour l'acteur concerné.

S'agissant de la protection de la vie privée des utilisateurs, afin de permettre un contrôle efficace tout en évitant que les plateformes ne recueillent plus de données personnelles, la CNIL et le PEReN ont préconisé l'utilisation d'une solution de double anonymat : ce mécanisme permet d'empêcher le tiers de confiance vérificateur d'identifier le site ou l'application à l'origine d'une demande de vérification et de faire obstacle à la transmission au site ou à l'application proposant des contenus, de données d'identification relatives à l'utilisateur concerné. Ainsi, aucun prestataire n'a à la fois accès aux données d'identification de l'utilisateur et aux données relatives aux sites consultés en ligne. Des travaux d'expérimentation sont en cours entre la CNIL et le PEReN sur le développement d'une solution de double anonymat.

Schéma n° 3 : Principe du mécanisme de double anonymat avec extension de navigateur

Source : PeRen, rapport, Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ?, mai 2022.

D'autres systèmes de vérifications ont également été examinés par le PEReN mais n'offraient pas les garanties nécessaires en matière d'efficacité (tels que l'auto-déclaration), de protection des données personnelles (tels que le profilage basé sur le contenu publié par l'utilisateur) ou encore de contraintes imposées aux utilisateurs (tels que le contrôle par un bureau de tabac).

Schéma n°4 : Analyse résumée des solutions de vérifications de l'âge

Source : PeRen, rapport, Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ?, mai 2022.

Le recours à un dispositif de double anonymat devrait répondre aux exigences techniques prévues dans les recommandations de l'Arcom en matière de respect de la vie privée.

Afin de s'assurer de la mise en oeuvre effective de ce référentiel par les acteurs, l'Arcom pourra sanctionner, après une mise en demeure, les éditeurs de sites à contenus pornographiques qui ne s'y conforment pas. La sanction administrative ne pourra excéder 75 000 euros ou 1 % du chiffre d'affaires mondial, voire 150 000 euros ou 2 % du chiffre d'affaires mondial en cas de réitération.

La délégation aux droits des femmes du Sénat a recommandé une mesure similaire dans son rapport publié le 27 septembre 2022, qui vise à analyser des principaux contenus pornographiques en ligne aujourd'hui et souligne la consommation massive, banalisée et toxique, chez les enfants et adolescents. Ce rapport invite le gouvernement à « faire de la lutte contre les violences pornographiques et leurs conséquences une priorité de politique publique et pénale »10(*).

1.2. CADRE CONSTITUTIONNEL

Concernant les différents moyens qui pourraient être avancés lors de l'examen de la constitutionnalité du présent article :

Ø Sur la possibilité de confier à l'Arcom un pouvoir de sanction

Le Conseil constitutionnel juge qu'il est loisible au législateur de charger une autorité administrative indépendante de veiller au respect des principes constitutionnels en matière de communication audiovisuelle et, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, de doter cette autorité indépendante de pouvoirs de sanction dans la limite nécessaire à l'accomplissement de sa mission11(*).

Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction, dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice de ce pouvoir de sanction est assorti par la loi de mesures destinées à assurer les droits et libertés constitutionnellement garantis. En particulier doivent être respectés les principes de la nécessité et de la légalité des peines, ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle.12(*)

Ainsi que le souligne le rapport sénatorial sur l'industrie de la pornographie, l'Arcom dispose déjà d'importants pouvoirs de sanctions en matière de lutte contre la haine en ligne. Introduites dans le droit positif par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, ces dispositions permettent à l'Arcom de mettre un opérateur en demeure de se conformer aux obligations découlant de l'article 6-4 de la loi n° 2004-575 du 21 juin 2004 et de répondre aux demandes d'informations qu'il lui a adressées13(*). Si l'opérateur ne se conforme pas à la mise en demeure qui lui est adressée, l'Arcom peut prononcer une sanction pécuniaire, adaptée à la gravité des manquements et, le cas échéant, à leur caractère réitéré, sans pouvoir excéder 20 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Le Conseil d'Etat, saisi pour avis de la proposition de loi devenue la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet (dite loi Avia), préconisait de restreindre le pouvoir de sanction du Conseil supérieur de l'audiovisuel (CSA) à « l'attitude systémique non coopérative de l'opérateur, après prise en compte des moyens qu'il met en oeuvre pour prévenir la diffusion des contenus odieux manifestement illicites et la faire cesser ». Lors du prononcé d'une sanction, le Conseil d'Etat recommandait au CSA de tenir compte de comportements répétés de refus de retrait ou de retraits timorés, pusillanimes, ou au contraire excessifs. Enfin, si le montant maximal de la sanction fixé à 4% du chiffre d'affaires ne posait pas de difficulté, le législateur devrait préciser explicitement que le montant de la sanction tiendra compte de la gravité des manquements commis et de leur éventuelle réitération14(*).

La mesure proposée par le gouvernement prévoit bien que le montant de la sanction administrative qui sera prononcée par l'Arcom lorsqu'un éditeur ne se conforme pas à la mise en demeure prenne en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment. En outre, une gradation est bien prévue en cas de récidive : la sanction administrative ne pourra excéder 75 000 euros ou 1 % du chiffre d'affaires mondial, voire 150 000 euros ou 2 % du chiffre d'affaires en cas de réitération.

Ø Sur le cumul des sanctions administratives et pénales et le principe non bis in idem

L'article 227-24 du code pénal sanctionne de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de donner accès à des mineurs à des contenus pornographiques (ainsi qu'à des contenus violents, etc.). En parallèle, la proposition faite au présent article est que l'Arcom édicte un « référentiel » obligatoire relatif aux mesures que doivent prendre les sites pornographiques en matière de contrôle d'accès, qui doivent garantir la fiabilité du contrôle de l'âge des utilisateurs (et donc indirectement la conformité à l'article 227-24 du code pénal), mais aussi offrir des garanties de respect de la vie privée. L'Arcom peut mettre en demeure un site de se conformer à ce référentiel, et à défaut de mise en conformité, elle pourra prononcer une sanction administrative : le montant plafond de la sanction administrative envisagé est de 1% du chiffre d'affaires mondial ou 75 000 euros. Ce cumul de sanctions pourrait poser question au vu de l'interdiction du cumul de poursuites de nature similaire (non bis in idem).

S'agissant du cumul des sanctions, le Conseil constitutionnel juge « que, si l'éventualité d'une double procédure peut ainsi conduire à un cumul de sanctions, le principe de proportionnalité implique, qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ». Il appartient aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence.

Il découle du principe de nécessité des délits et des peines, tiré de l'article 8 de la DDHC, « qu'une même personne ne peut faire l'objet de plusieurs poursuites tendant à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux »15(*). Pour éviter le cumul des poursuites de nature similaire l'un des critères ci-dessous doit être rempli :

- les sanctions ne tendent pas à réprimer des mêmes faits qualifiés de manière identique ;

- ces deux répressions ne protègent pas les mêmes intérêts sociaux ;

- ces deux répressions aboutissent au prononcé de sanctions de nature différente.

En premier lieu, s'agissant du critère des mêmes faits qualifiés de manière identique, il convient de relever que le référentiel édicté par l'Arcom aura des composantes distinctes : d'une part, la fiabilité du contrôle d'âge, comme l'article 227-24 du code pénal, et d'autre part, le respect de la vie privée des utilisateurs. Ce prisme « vie privée » est absent de l'article 227-24 du code pénal, de sorte qu'un site pourrait assurer sa conformité à la disposition pénale tout en portant atteinte au droit au respect de la vie privée de ses utilisateurs.

En outre, le juge apprécie le critère relatif à la nature des sanctions en comparant les différentes sanctions encourues puis en tenant compte, si nécessaire, de leur sévérité. Il a ainsi considéré que ne peuvent être regardées comme des sanctions de nature différente la sanction pénale pour délit d'initié et la sanction administrative pour manquement d'initié alors que la sanction pénale comprenait une peine de deux ans d'emprisonnement et une amende de 1 500 000 euros. En effet, les pénalités financières infligées en cas de manquement d'initié présentaient une « très grande sévérité »16(*). La sanction administrative proposée par le gouvernement en cas de non-respect du référentiel de l'Arcom par les éditeurs de sites à contenus pornographiques ne peut excéder 75 000 euros ou 1 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 150 000 euros ou 2 % du chiffre d'affaires mondial hors taxes. Ce montant de sanction administrative apparait suffisamment faible, par comparaison avec les trois ans d'emprisonnement prévus à l'article 227-24 du code pénal, pour considérer que les deux sanctions sont de nature différente.

Au regard de cette grille d'analyse, il apparait que la sanction administrative proposée en cas de non-respect du référentiel de l'Arcom et la sanction pénale prévue à l'article 227-24 du code pénal sont susceptibles de pouvoir se cumuler sans risque d'atteinte à la règle non bis in idem.

Ø S'agissant de la liberté d'entreprendre

En premier lieu, l'appréciation de la proportionnalité de cette disposition avec la liberté d'entreprendre appelle plusieurs observations. La liberté d'entreprendre n'étant pas une liberté constitutionnelle absolue, le contrôle du Conseil constitutionnel porte avant tout sur le caractère proportionné des atteintes au regard de l'objectif d'intérêt général poursuivi : « considérant qu'il est loisible au législateur d'apporter à la liberté d'entreprendre, qui découle de l'article 4 de la Déclaration des droits de l'homme et du citoyen de 1789, des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi »17(*). Or, l'objectif poursuivi ici est la protection de l'intérêt supérieur de l'enfant, principe constitutionnel du Préambule de la Constitution de 1946 dont le Conseil constitutionnel doit garantir le respect18(*).

En outre, imposer aux éditeurs de sites à contenus pornographiques de mettre en place un dispositif de contrôle de l'âge apparaît proportionnée notamment au regard des éléments suivants :

- la palette d'offres sur les outils de vérification d'âge ne cesse de s'accroître ;

- les contraintes afférentes à une solution de vérification de l'âge sont technologiquement maîtrisables par les opérateurs de sites à contenu pornographique qui pourront aisément faire appel à des services externes spécialisés dans ces technologies ;

- les performances économiques des sites à contenu pornographique.

Ø S'agissant de la liberté d'expression

Comme indiqué supra, dans sa décision rendue en première chambre civile le 5 janvier 202319(*), la Cour de cassation a rappelé que l'atteinte à la liberté d'expression induite par l'obligation de recourir à un dispositif de vérification de l'âge autre qu'une simple déclaration de majorité, pour accéder à du contenu pornographique, était « nécessaire, adapté et proportionné à l'objectif de protection des mineurs ». Le projet du gouvernement s'inscrit dans la poursuite de cet objectif tout en ajoutant une dimension complémentaire de protection de la vie privée de l'ensemble des utilisateurs des sites pornographiques. En ce sens, toute atteinte à la liberté d'expression induite par cette proposition paraît également nécessaire, adaptée et proportionnée à la poursuite de ces deux objectifs d'intérêt général.

En conclusion, le présent article ne présente pas de risque de contrariété avec une règle ou norme à valeur constitutionnelle.

1.3. CADRE CONVENTIONNEL

1.3.1. Directive e-commerce

La directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (dite directive « e-commerce ») a pour objet d'établir un cadre général pour couvrir certains aspects juridiques du commerce électronique dans le marché intérieur. A cette fin, cette directive énonce notamment des règles relatives aux obligations imposées aux fournisseurs de services en ligne en matière de communications commerciales ou encore en matière de contrats conclus par voie électronique. Elle prévoit notamment que les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre (principe du pays d'origine, PPO).

Néanmoins le PPO admet des dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive. Elle est soumise à deux conditions : d'une part, la mesure nationale doit être nécessaire à l'ordre public (la protection des mineurs est explicitement reconnue comme un motif d'ordre public qui peut justifier de la nécessité de prendre des mesures dérogatoires au PPO au niveau national, article 3(4)). D'autre part, les restrictions portées par le texte national doivent présenter un caractère proportionné. La disposition limite son champ aux services de communication au public en ligne proposant des contenus pornographiques et sa portée à l'imposition de certaines exigences techniques minimales pour les outils de vérification d'âge desdits sites. Elle semble donc proportionnée.

La mesure proposée par le gouvernement justifie une dérogation au principe du pays d'origine prévu par la directive e-commerce. Pour le respect du principe de sécurité juridique, cet article devra néanmoins être notifié à la Commission européenne conformément à cette même directive.

1.3.2. Directive 2015/1535

Au regard de ses effets et des services visés, majoritairement installés hors du territoire national, cette mesure législative devra également faire l'objet d'une notification en application de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

1.3.3. Règlement 2022/2065 (Digital Services Act)

Cette proposition nationale s'inscrit dans un contexte européen plus large d'adoption récente du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques, « Digital Services Act » ou DSA) qui vise à responsabiliser les plateformes en ligne pour que ces dernières prennent les mesures de modération nécessaires afin de lutter efficacement contre les contenus illicites et préjudiciables en ligne. Le DSA prévoit notamment dans son article 35 que les plus grandes plateformes en ligne analysent et atténuent les risques systémiques identifiés, en adoptant des mesures consistant notamment en « l'adoption de mesures ciblées visant à protéger les droits de l'enfant, y compris la vérification de l'âge ».

Ces mesures pourraient apparaître comme se recoupant partiellement avec la disposition nationale qui est proposée. Néanmoins, les dispositions du DSA ne visent que les très grandes plateformes, la vérification de l'âge n'est qu'une mesure d'atténuation possible parmi d'autres mesures que les très grandes plateformes pourront prendre, et ces obligations sont sous la supervision exclusive de la Commission européenne. Le champ de la disposition proposée diffère du DSA et permettra au régulateur national, l'Arcom, de conserver un certain contrôle sur l'effectivité de la protection des mineurs sur les sites pornographiques accessibles sur le territoire français.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Une étude de législation comparée parue le 30 septembre 2022 et commandée par la délégation aux droits des femmes du Sénat20(*) conclu qu'aucun pays démocratique n'est parvenu à mettre en place une législation pleinement satisfaisante et efficace afin d'interdire l'accès des mineurs aux contenus pornographiques.

Ainsi, faute de solution technique satisfaisante, le Royaume-Uni a dû renoncer en 2019 aux dispositions du Digital Economy Act de 2017 qui imposaient une vérification de l'âge pour l'accès aux contenus pornographiques en ligne. Un projet de loi modifié a été déposé21(*) le 17 mars 2022 devant le Parlement et est actuellement en cours de discussion. Tous les services fournissant du contenu pornographique auraient le devoir d'empêcher les enfants d'accéder à ce matériel (par exemple, par la vérification de l'âge). L'Office of communication (OFCOM, autorité de régulation) serait chargée de publier des lignes directrices sur la manière de se conformer à ces obligations et pourra également infliger des amendes pouvant atteindre 18 millions de livres (21,2 millions d'euros) ou 10 % du chiffre d'affaires mondial de l'entreprise (selon le montant le plus élevé), ainsi que des mesures de restriction des activités après demande auprès d'un tribunal.

En Allemagne, comme en France, l'offre de contenus pornographiques aux mineurs est interdite par le code pénal mais en pratique les contenus pornographiques sont souvent accessibles sans aucune vérification de l'âge. Néanmoins la Commission pour la protection de la jeunesse dans les médias (Kommission für Jugendmedienschutz, ci-après KJM) joue un rôle central dans l'évaluation des solutions techniques de vérification de l'âge ainsi que dans le contrôle du respect des normes de protection de la jeunesse.

Elle a ainsi développé sa propre procédure d'évaluation positive des solutions techniques de contrôle de l'âge : elle ne communique que sur les évaluations ayant abouti à un résultat positif de conformité avec les exigences de protection de la jeunesse. Elle peut également évaluer les nouvelles solutions techniques des entreprises, à la demande de ces dernières. Constatant le manque d'effectivité de certains systèmes, la KJM a défini différents critères d'évaluation des solutions techniques. Elle exige ainsi que la vérification de l'âge s'effectue en deux étapes interconnectées : une indentification personnelle, permettant de vérifier la majorité, et une authentification lors de chaque session. Au mois de mars 2022, la KJM a conclu à une évaluation positive pour 90 solutions techniques de vérification de l'âge. Parmi ces solutions figure un logiciel d'évaluation de l'âge au moyen de l'intelligence artificielle et de l'apprentissage automatique. Néanmoins la KJM a constaté que les solutions techniques n'étaient pas encore suffisantes lorsque l'utilisation par les enfants et adolescents est faite avec des smartphones.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Au vu de la difficulté à imposer aux éditeurs de sites incriminés la mise en place de tels outils et à s'assurer de leur effectivité, il apparait nécessaire de renforcer le dispositif législatif en prévoyant, d'une part, que le référentiel technique élaboré par l'Arcom sur les solutions de vérification d'âge en ligne soit contraignant à l'égard de ces acteurs et, d'autre part que la non-conformité des sites soit sanctionnée par des amendes dissuasives, ce qui requiert l'intervention du législateur.

2.2. OBJECTIFS POURSUIVIS

Les objectifs de cette disposition sont multiples :

- une confiance et une protection des mineurs renforcés en ligne ;

- consolider l'effectivité de l'article 227-24 applicable aux éditeurs de sites pornographiques et assurer l'efficacité et la sécurité des systèmes de vérification de l'âge mis en place par ces derniers ;

- ce référentiel élaboré par l'Arcom, conjointement avec la CNIL, permettra également de positionner la France à l'avant-garde dans les travaux européens sur la protection des mineurs en ligne ;

- dès lors que ces exigences techniques seront publiées, et l'obligation légale créant une incitation du marché, il est anticipé que les offres et solutions de vérifications d'âge fiables et robustes seront développées par les acteurs les mieux placés.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Il a été envisagé de modifier le décret d'application précité de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales afin de prévoir que l'Arcom édicte des lignes directrices sur les outils reconnus en matière de vérification de l'âge. Toutefois, la voie du décret ne permettait pas de conférer une valeur contraignante à ces lignes directrices.

En outre, inscrire les exigences techniques dans la loi n'apparait pas pertinent au regard des avancées techniques et des pratiques - diverses et évolutives - des acteurs. Le référentiel permet de laisser une certaine souplesse et capacité d'adaptation à l'Arcom pour définir les caractéristiques requises.

3.2. OPTION RETENUE

Afin de permettre une application efficace de l'interdiction prévue à l'article 227-24 du code pénal et renforcer la protection de la vie privée en ligne, il a été décidé d'introduire une disposition législative visant à mandater expressément l'Arcom pour élaborer, après consultation de la Commission nationale de l'informatique et des libertés (CNIL), un référentiel établissant des exigences techniques en matière de fiabilité du contrôle de l'âge des utilisateurs et de respect de leur vie privée auxquels doivent répondre les systèmes de vérification de l'âge mis en place par les éditeurs de sites pornographiques.

L'Arcom disposera des pouvoirs d'exécution suivants afin d'assurer la mise en oeuvre de cette obligation par les éditeurs : 

- L'Arcom pourra mettre en demeure les éditeurs de sites pornographiques qui ne respectent pas les exigences techniques prévues dans le référentiel de se conformer dans un délai d'un mois à ces dernières ;

- Si l'éditeur ne se conforme pas à la mise en demeure dans le délai indiqué, l'Arcom pourra, dans les conditions prévues à l'article 42-7 de la loi n°86-1067 du 30 septembre relative à la liberté de communication, prononcer une sanction pécuniaire dont le montant ne peut excéder 75 000 euros ou 1% du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu. En cas de réitération dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive, ce montant pourra s'élever à 150 000 euros ou 2% du chiffre d'affaires mondial hors taxes.

Cette disposition permet d'assurer une opposabilité et efficacité de la règle, tout en conservant une souplesse dans le dispositif. Elle sera introduite au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) dans un nouvel article 10.

Ces propositions s'inscrivent également dans la lignée des recommandations faites par le Sénat dans son rapport sur l'industrie pornographique publié le 27 septembre 202222(*).

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Le choix est fait d'insérer cette disposition au sein de la LCEN, à son article 10, qui fait l'objet d'une restructuration importante.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Comme indiqué supra, cette disposition s'inscrit dans la lignée du règlement européen DSA qui vise notamment à protéger les mineurs, tout en proposant un champ d'application complémentaire à ce règlement. Le PPO prévu par la directive e-commerce admet certaines dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La protection des mineurs est explicitement reconnue comme motif de dérogation au PPO. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive et nécessitera une notification auprès de la Commission européenne, ainsi qu'une notification en application de la directive 2015/1535.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Le déploiement des solutions recommandées par l'Arcom engendrerait un coût pour les éditeurs de sites diffusant des contenus pornographiques, en raison :

- à la fois de la baisse d'audience : les mineurs de moins de 15 ans représentaient par exemple plus d'un million de visiteurs uniques en juillet 201923(*). En rendant l'accès plus complexe, les solutions de vérification de l'âge pourraient également dissuader certains visiteurs majeurs à se rendre sur ces sites

- et donc de revenus, et des coûts de mise en conformité (notamment en faisant appel à prestataires extérieurs qui développeront ces solutions de vérification de l'âge) avec les solutions recommandées.

Toutefois, l'industrie de la pornographie génère d'importants chiffres d'affaires et connaît une forte croissance. Selon les informations disponibles24(*) « depuis 2012, le chiffre d'affaires de l'industrie du X a bondi de 50 % pour passer à 7,5 milliards de dollars, et la plupart des grandes entreprises du secteur affichent une santé florissante ». Il est toutefois difficile d'obtenir des informations financières sur ces sociétés, qui tiennent ces informations confidentielles. MindGeek (le groupe qui détient le site leader du marché : Pornhub) par exemple ne divulgue pas d'information financière. Certaines sources évaluent à plus d'un milliard de dollars canadiens le chiffre d'affaires annuel mondial du groupe25(*).

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure appellera des moyens humains complémentaires pour élaborer le référentiel, notamment en sollicitant de nouvelles compétences. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires pour l'Arcom, la CNIL, mais également le PEReN, associé au dispositif, ou à une réorientation des priorités de ces derniers.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

La mise en oeuvre de ce nouveau pouvoir normatif et de sanction de l'Arcom élargit le champ de compétence de cette autorité administrative indépendante et suscite une activité supplémentaire pour cette dernière. Des ETP supplémentaires au sein de l'Arcom pourraient s'avérer nécessaires.

4.5. IMPACTS SOCIAUX

L'accès des mineurs à la pornographie a des conséquences désastreuses sur les rapports entre hommes et femmes, sur leur sexualité, sur la construction de leur personnalité et sur leur représentation d'eux-mêmes et d'autrui, ainsi que sur la diffusion de représentations sexistes et violentes dans l'ensemble de la société. Selon plusieurs chercheurs en sociologie, la pornographie entérine les stéréotypes de genre et rend particulièrement difficile l'éducation à l'égalité et la parité. Le rapport de l'Académie Nationale de Médecine rappelle que la pornographie promeut de forts stéréotypes de genre et souligne qu'elle « contribue à une vision du monde moins progressiste en termes d'égalité de genre. »26(*)

Le rapport du Sénat (n° 900) de 2022 susmentionné, et diverses enquêtes de presse, ont également dressé le constat de productions pornographiques qui « atteignent le paroxysme de violence », notamment à travers une marchandisation du sexe et du corps des femmes (certains producteurs exploitant la vulnérabilité économique et psychologique de jeunes femmes) et des violences sexuelles, physiques et verbales qui se sont massivement répandues. Dès lors, la consommation de pornographie chez les mineurs tendrait à intégrer et normaliser le modèle véhiculé par ces contenus pornographiques et à propager une vision déformée et violente de la sexualité.

D'autres conséquences seraient également nombreuses et inquiétantes chez les mineurs : traumatismes, troubles du sommeil, de l'attention et de l'alimentation, renforcement de l'anxiété, difficultés à nouer des relations avec des personnes du sexe opposé, (hyper) sexualisation précoce, développement de conduites à risques ou violentes, risque d'addiction, etc.

Aussi, limiter l'accès des mineurs à des contenus pornographiques, via un système de vérification d'âge robuste et respectueux de la vie privée, permettrait d'atténuer certaines conséquences néfastes chez les mineurs, et contribuer à la lutte en faveur de l'égalité entre les hommes et les femmes, en prévenant une exposition trop précoce à des contenus inadaptés.

4.6. IMPACTS SUR LES PARTICULIERS

La mise en place de la mesure est également de nature à réduire les préoccupations des familles et des parents quant à l'usage par leurs enfants des médias numériques.

L'imposition d'exigences en matière de respect de l'anonymat des utilisateurs devrait par ailleurs fortement réduire les risques d'atteinte à leur vie privée.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie le 4 avril 2023 pour cet article. Cette consultation est obligatoire.

Les auteurs du rapport du Sénat (n° 900) de 2022 soutiennent la mesure.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Ces dispositions entrent en vigueur au lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie-française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Les présentes dispositions n'appellent aucune mesure d'application.

Article 2 - Pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom)

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

L'exposition des mineurs aux contenus pornographiques disponibles en ligne pose des risques psychologiques et psychopathologiques graves (voir par exemple, le rapport de l'Académie Nationale de Médecine « Accès à la pornographie chez l'enfant et l'adolescent : conséquences et recommandations »27(*)). Or, une étude Ifop parue en avril 2022 a indiqué que 53 % des adolescents français de 15 à 17 ans ont déjà été exposés à de la pornographie en ligne, en moyenne au cours des derniers 25 jours, dont 41 % en se rendant sur des sites dédiés28(*). En 2017, l'âge moyen de premier visionnage d'une vidéo pornographique se situait autour de 14 ans et les garçons seraient majoritairement exposés29(*). L'essentiel de cette consommation s'effectue via des sites gratuits et plus de la moitié des jeunes jugent avoir été exposés trop jeunes à leur premier visionnage30(*). De ce fait, une crainte croissante et une perte de confiance touchent les parents qui ne considèrent plus l'espace en ligne comme sécurisé pour leurs enfants.

Schéma n°1 : Taux d'exposition à des images pornographiques en fonction de l'âge et du sexe

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, Sondage Opinionway 2018.

En France, le dispositif législatif actuel encadre pourtant déjà en partie la vérification de l'âge par les sites présentant du contenu à caractère pornographique :

- L' article 227-24 du code pénal interdit la fabrication, le transport et la diffusion, par quelque moyen que ce soit et quel qu'en soit le support, ainsi que le commerce, de tout message « à caractère violent, incitant au terrorisme, pornographique, y compris des images pornographiques impliquant un ou plusieurs animaux, ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Ces infractions sont punies de trois ans d'emprisonnement et de 75 000 euros d'amende.

- Depuis la l oi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales, l'article 227-24 du code pénal relatif à l'infraction de diffusion à des mineurs de messages notamment pornographiques ou violents précise que l'infraction est constituée, « y compris si l'accès d'un mineur aux messages [...] résulte d'une simple déclaration de celui-ci indiquant qu'il est âgé d'au moins dix-huit ans ». L'article 23 de la loi du 30 juillet 2020 permet au président de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), lorsqu'il constate qu'un site ne respecte pas l'interdiction prévue à l'article 227-24 du code pénal, d'enjoindre au site concerné de prendre toute mesure pour bloquer l'accès aux contenus pornographiques pour les utilisateurs mineurs. En cas d'inexécution de l'injonction dans un délai de quinze jours, et si les contenus litigieux restent accessibles aux mineurs, le président de l'Arcom peut saisir le président du tribunal judiciaire de Paris aux fins d'ordonner, selon la procédure accélérée au fond, que les fournisseurs d'accès à Internet bloquent l'accès au service. Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique précise que le président de l'Arcom tient compte dans son appréciation du niveau de fiabilité du procédé technique mis en place par le site pour s'assurer que les utilisateurs souhaitant accéder au service sont majeurs. Il prévoit en outre que l'Arcom peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques. Ces dernières n'ont toutefois pas encore été élaborées.

Les éditeurs des services diffusant un contenu pornographique ont ainsi l'obligation de mettre en place un dispositif de vérification d'âge efficace pour s'assurer que les contenus ne sont pas accessibles aux mineurs et ne peuvent donc plus se contenter d'une réponse positive à la simple question « Avez-vous plus de 18 ans ? ». Or, cette pratique de vérification reste majoritaire chez les éditeurs de sites à contenus pornographiques (cf. exemples présentés dans le schéma n° 2).

Schéma n° 2 : Fenêtre d'accueil au moment de l'accès à des sites pornographiques

Source : rapport d'information du Sénat fait au nom de la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes sur l'industrie de la pornographie, vérifications de la délégation en juillet 2022

L'article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales prévoit que le président de l' Autorité de régulation de la communication audiovisuelle et numérique (Arcom) peut mettre en demeure un éditeur de service de communication au public en ligne, établi en France ou non, qui permet à des mineurs d'avoir accès à un contenu pornographique, en violation de l' article 227-24 du code pénal. Ce dispositif a été complété par le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise oeuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique.

L'intervention du président de l'Arcom à l'égard de l'éditeur prend la forme d'une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. Le président de l'Arcom peut, en cas d'inexécution de l'injonction et si le contenu reste accessible aux mineurs, saisir le président du tribunal judiciaire de Paris afin que ce dernier ordonne le blocage technique de l'accès au service en cause par les fournisseurs d'accès à Internet (FAI), ou toute mesure destinée à faire cesser le référencement du service par un moteur de recherche. Comme évoqué supra dans l'étude d'impact de l'article 1, en novembre 2021, les cinq principaux sites pornographiques en France ont été sommés par l'Arcom de bloquer leur accès aux moins de dix-huit ans. Face à l'inefficacité de ces mises en demeure et malgré des constats d'huissiers, l'Arcom a alors été contraint de saisir le président du tribunal judiciaire de Paris pour demander le blocage immédiat des plateformes récalcitrantes.

L'action de l'Arcom est freinée par plusieurs limites : d'une part, ses agents ne sont pas assermentés pour constater les manquements des sites pornographiques, l'obligeant à recourir à des huissiers pour faire constater les infractions et faire valoir juridiquement les manquements auprès du juge, d'autre part, la nécessité de saisir le juge judiciaire pour faire bloquer les sites litigieux entraîne des longs délais, incompatibles avec l'impératif d'une action rapide.

1.2. CADRE CONSTITUTIONNEL

Concernant les différents moyens qui pourraient être avancés lors de l'examen de la constitutionnalité du présent article :

1.2.1. Sur la possibilité de confier à l'Arcom un pouvoir de sanction

Le Conseil constitutionnel juge qu'il est loisible au législateur de charger une autorité administrative indépendante de veiller au respect des principes constitutionnels en matière de communication audiovisuelle et, sans qu'il soit porté atteinte au principe de la séparation des pouvoirs, de doter cette autorité indépendante de pouvoirs de sanction dans la limite nécessaire à l'accomplissement de sa mission31(*).

Ni le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction, dès lors, d'une part, que la sanction susceptible d'être infligée est exclusive de toute privation de liberté et, d'autre part, que l'exercice de ce pouvoir de sanction est assorti par la loi de mesures destinées à assurer les droits et libertés constitutionnellement garantis. En particulier doivent être respectés les principes de la nécessité et de la légalité des peines, ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle.32(*)

Ainsi que le souligne le rapport sénatorial sur l'industrie de la pornographie, l'Arcom dispose déjà d'importants pouvoirs de sanctions en matière de lutte contre la haine en ligne. Introduites dans le droit positif par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, ces dispositions permettent à l'Arcom de mettre un opérateur en demeure de se conformer aux obligations découlant de l'article 6-4 de la loi n° 2004-575 du 21 juin 2004 et de répondre aux demandes d'informations qu'il lui a adressées33(*). Si l'opérateur ne se conforme pas à la mise en demeure qui lui est adressée, l'Arcom peut prononcer une sanction pécuniaire, adaptée à la gravité des manquements et, le cas échéant, à leur caractère réitéré, sans pouvoir excéder 20 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Le Conseil d'Etat, saisi pour avis de la proposition de loi devenue la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet (dite loi Avia), préconisait de restreindre le pouvoir de sanction du Conseil supérieur de l'audiovisuel (CSA) à « l'attitude systémique non coopérative de l'opérateur, après prise en compte des moyens qu'il met en oeuvre pour prévenir la diffusion des contenus odieux manifestement illicites et la faire cesser ». Lors du prononcé d'une sanction, le Conseil d'Etat recommandait au CSA de tenir compte de comportements répétés de refus de retrait ou de retraits timorés, pusillanimes, ou au contraire excessifs. Enfin, si le montant maximal de la sanction fixé à 4% du chiffre d'affaires ne posait pas de difficulté, le législateur devrait préciser explicitement que le montant de la sanction tiendra compte de la gravité des manquements commis et de leur éventuelle réitération34(*).

1.2.2. Sur le cumul des sanctions administratives et pénales et le principe non bis in idem

L'article 227-24 du code pénal sanctionne de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de donner accès à des mineurs à des contenus pornographiques (ainsi qu'à des contenus violents, etc.). En parallèle, la proposition faite à l'article 2 du présent projet de loi prévoit également des sanctions administratives (avec pour plafond : 250 000 euros ou une somme équivalente à 4% du chiffre d'affaires mondial hors taxe) pour non-respect par les éditeurs des obligations prévues à l'article 227-24 du code pénal.

S'agissant du cumul des sanctions, le Conseil constitutionnel juge « que, si l'éventualité d'une double procédure peut ainsi conduire à un cumul de sanctions, le principe de proportionnalité implique, qu'en tout état de cause, le montant global des sanctions éventuellement prononcées ne dépasse pas le montant le plus élevé de l'une des sanctions encourues ». Il appartient aux autorités administratives et judiciaires compétentes de veiller au respect de cette exigence.

Il découle du principe de nécessité des délits et des peines, tiré de l'article 8 de la DDHC, « qu'une même personne ne peut faire l'objet de plusieurs poursuites tendant à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux »35(*). Pour éviter le cumul des poursuites de nature similaire l'un des critères ci-dessous doit être rempli :

- les sanctions ne tendent pas à réprimer des mêmes faits qualifiés de manière identique ;

- ces deux répressions ne protègent pas les mêmes intérêts sociaux ;

- ces deux répressions aboutissent au prononcé de sanctions de nature différente.

Aussi, il est possible de cumuler un régime de sanction administrative avec un régime de sanctions pénales, comme proposé au présent article, pourvu que la somme des deux n'excède pas les plafonds.

1.2.3. Sur le régime de sanction

En outre, les sanctions proposées en cas de non-respect de cet article apparaissent proportionnées et adaptées selon la situation :

- Le texte prévoit que le montant de la sanction prend en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment.

- En outre, ce montant varie selon le la gravité du manquement : les sanctions pour défaut de blocage des FAI ou défaut de déréférencement par les moteurs de recherche ou des annuaires s'élèvent à 1% du CA ou 75 000 euros maximum. Ces sanctions sont donc moins importantes, au vu de la gravité du manquement qui apparait moindre en comparaison du manquement de l'éditeur de sites à contenus pornographiques qui ne met pas en place de mécanisme conforme de vérification d'âge et qui pourra être sanctionné à hauteur de 4% ou 250 000 euros d'amende maximum.

- Enfin, le dispositif prévoit des aggravations en cas de réitération : les sanctions peuvent s'élever à hauteur de 2% et 150 000 euros maximum pour les FAI, moteurs de recherche et annuaires et 6% ou 500 000 euros d'amende maximum pour les éditeurs.

1.2.4. Sur la possibilité de confier un pouvoir de blocage administratif à l'Arcom

La proposition au présent article est de substituer le blocage administratif au blocage judiciaire existant à l'article 23 de la loi n°2020-936 visant à protéger les victimes de violences conjugales.

Le droit positif montre qu'un certain nombre d'autorités administratives disposent d'un tel pouvoir.

L'article 6-1 de la LCEN confère à une autorité administrative le pouvoir de restreindre, pour la protection des utilisateurs d'internet, l'accès à des services de communication au public en ligne lorsque sont diffusées des images de pornographie infantile ou des contenus à caractère terroriste. Selon le Conseil constitutionnel, « en instituant un dispositif permettant d'empêcher l'accès aux services de communication au public en ligne diffusant des images pornographiques représentant des mineurs, le législateur n'a commis aucune erreur manifeste d'appréciation ». Il relève que la décision prise par l'autorité administrative peut être contestée à tout moment et par toute personne intéressée devant la juridiction compétente, le cas échéant en référé. Ainsi, ce pouvoir de blocage assure une conciliation qui n'est pas disproportionnée entre la sauvegarde de l'ordre public et liberté de communication36(*).

L' article L. 521-3-1 du code de consommation confère à la Direction générale de la consommation, de la concurrence et de la répression des fraudes (DGCCRF) le pouvoir de procéder au blocage des sites qui contreviendraient aux règles de ce code.

Au regard de ces précédents, il apparaît dès lors possible de confier à l'Arcom un pouvoir de blocage administratif des sites internet donnant accès à du contenu pornographique aux mineurs. En effet, la lutte contre l'accès des mineurs à la pornographie justifie un tel mécanisme.

En outre, la procédure de blocage administratif prévue au présent article respecte les principes suivants :

- le respect des droits de la défense car elle laisse un délai suffisant à la personne concernée pour présenter ses observations : les éditeurs de site disposent en effet d'un délai de quinze jours pour présenter leurs observations suite à une mise en demeure par l'Arcom. En cas de non-respect entrainant une injonction de l'Arcom, ces derniers disposent de nouveau d'un délai d'exécution d'au moins quinze jours avant la demande de blocage par les FAI ;

- la mesure de blocage est encadrée dans le temps : la durée maximale est de vingt-quatre mois et est réévaluée, d'office ou sur demande, au minimum tous les douze mois ;

- les éditeurs, ainsi que les FAI, moteurs de recherche et annuaires, disposent également d'un droit à un recours juridictionnel effectif.

En conclusion, le présent article ne présente pas de risque de contrariété avec une règle ou norme à valeur constitutionnelle.

1.3. CADRE CONVENTIONNEL

1.3.1. Directive e-commerce

La directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (dite directive « e-commerce ») a pour objet d'établir un cadre général pour couvrir certains aspects juridiques du commerce électronique dans le marché intérieur. A cette fin, cette directive énonce notamment des règles relatives aux obligations imposées aux fournisseurs de services en ligne en matière de communications commerciales ou encore en matière de contrats conclus par voie électronique. Elle prévoit notamment que les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre (principe du pays d'origine, PPO).

Néanmoins le PPO admet des dérogations et les Etats-membres sont fondés à adopter des mesures nationales opposables à des services en ligne dont le siège est établi hors de leurs territoires, dès lors que ces mesures répondent à des intérêts publics supérieurs. La possibilité d'une telle dérogation est expressément prévue par l'article 3 de la directive. Elle est soumise à deux conditions : d'une part, la mesure nationale doit être nécessaire à l'ordre public (la protection des mineurs est explicitement reconnue comme un motif d'ordre public qui peut justifier de la nécessité de prendre des mesures dérogatoires au PPO au niveau national, article 3(4)). D'autre part, les restrictions portées par le texte national doivent présenter un caractère proportionné.

La mesure proposée par le gouvernement justifie une dérogation au principe du pays d'origine prévu par la directive e-commerce. Cet article devra néanmoins être notifié à la Commission européenne conformément à cette même directive.

1.3.2. Directive 2015/1535

Au regard de ses effets et des services visés, majoritairement installés hors du territoire national, cette mesure législative devra également faire l'objet d'une notification en application de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

1.3.3. Règlement 2022/2065 (Digital Services Act)

Cette proposition nationale s'inscrit dans un contexte européen plus large d'adoption récente du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques, (« Digital Services Act » ou DSA) qui vise à responsabiliser les plateformes en ligne pour que ces dernières prennent les mesures de modération nécessaires afin de lutter efficacement contre les contenus illicites et préjudiciables en ligne. Le DSA laisse le régime des injonctions administratives entièrement sous le système juridique des Etats-Membres, aussi cette disposition est bien compatible avec le DSA.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

En Allemagne, la Commission pour la protection de la jeunesse (Kommission für Jugendmedienschutz, ci-après KJM), qui relève des Länder, est directement compétente pour prononcer des mesures de blocage de sites pornographiques. Ainsi, en mars 2022, à la suite d'une première demande, la KJM a décidé d'une mesure de blocage par les FAI à l'encontre du site pornographique le plus utilisé en Allemagne, qui n'a pas su mettre en place un système de contrôle de l'âge pour empêcher les personnes mineures d'accéder à son catalogue Néanmoins, le fournisseur de la plateforme pornographique a contourné ce blocage en changeant de nom de domaine, la décision ne s'appliquant pas automatiquement à tous les domaines distribuant des contenus identiques, à la différence des dispositions prévues au présent article qui visent également les sites miroirs.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Afin de remédier aux lourdeurs constatées dans les actions de l'Arcom contre les sites contrevenants, il est nécessaire que la loi, d'une part, habilite les agents de l'Arcom à procéder aux constats des manquements, et d'autre part, confère directement à l'Arcom les pouvoirs d'injonction de blocage des sites pornographiques, à la place du juge.

Ces dispositions relèvent du domaine de la loi.

2.2. OBJECTIFS POURSUIVIS

L'objectif poursuivi est de permettre à l'Arcom de disposer de pouvoirs d'enquêtes et d'interventions efficaces et rapides pour l'accomplissement de sa mission.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Plusieurs possibilités ont été étudiées :

- la possibilité d'introduire une sanction administrative (soit par substitution, soit en plus de la sanction judiciaire). Cette introduction posait néanmoins certaines difficultés s'agissant des voies d'exécution de cette sanction administrative et le respect du principe de non-cumul des sanctions, dès lors que l'infraction pénale est actuellement punie de trois ans d'emprisonnement et de 75 000 euros d'amende.

- En sus, la possibilité de demander le blocage administratif du site en plus du blocage judiciaire (ou par substitution).

3.2. OPTION RETENUE

Il a été décidé de remplacer la procédure de blocage judiciaire par une procédure de blocage administrative, accompagnée d'une sanction pécuniaire. Le constat est aujourd'hui assez partagé sur les avantages en termes d'efficacité des régimes de sanction administrative en comparaison des sanctions judiciaires (gains de temps et économie de moyens) et certaines limites des poursuites judiciaires, comme l'a illustré le contentieux entre l'Arcom et les sites pornographiques, et la médiation ordonnée par l'autorité judiciaire37(*)..

En outre, l'ensemble du régime du règlement sur les services numériques38(*) est fondé sur la sanction administrative et le projet de loi prévoit bien un régime de sanctions administratives pour toutes les infractions au règlement sur les services numériques sous compétence de l'Arcom.

Les pouvoirs de l'Arcom seront donc renforcés à plusieurs niveaux :

- En premier lieu, en prévoyant que les agents de l'Arcom puissent être assermentés pour constater directement les infractions des sites pornographiques de manière accélérée et à moindre coût. Ceci permettrait d'accélérer et de réduire les coûts de ces constatations.

- En second lieu, le présent article confère à l'Arcom des pouvoirs d'injonctions directs contre les sites litigieux (et auprès des fournisseurs d'accès à internet et des moteurs de recherche) sans être contrainte de solliciter l'intervention préalable du juge :

o Un pouvoir d'injonction administrative à l'encontre des sites contrevenants. Ces derniers disposeront d'un délai d'exécution qui ne peut être inférieur à 15 jours pour se mettre en conformité.

o Lorsque le site litigieux ne se conforme pas à l'injonction, le pouvoir d'enjoindre aux FAI le blocage de l'accès à ces sites, dans un délai de 48 heures, ou d'imposer aux moteurs de recherche ou aux annuaires de déréférencer les sites contrevenants, dans un délai de cinq jours, ainsi que leurs sites miroirs.

o Pour tout manquement à ces obligations, le pouvoir de prononcer une sanction administrative à l'encontre des sites contrevenants, FAI, moteurs de recherche ou annuaires. Les sanctions s'élèvent à 1% du CA mondial ou 75 000 euros d'amende maximum pour défaut de blocage ou de déréférencement des FAI, moteurs de recherche ou annuaires et 4% du CA mondial ou 250 000 euros maximum si l'éditeur ne met pas en place de mécanisme conforme de vérification d'âge. Des aggravations de ces sanctions sont prévues en cas de réitération du manquement (réciproquement :150 000 euros ou 2% et 500 000 euros ou 6% maximum). Le montant de la sanction administrative qui sera prononcée par l'Arcom lorsqu'un éditeur ne se conforme pas à la mise en demeure prend bien en compte la nature, la gravité et la durée du manquement ainsi que, le cas échéant, les avantages tirés de ce manquement et les manquements commis précédemment.

Cette procédure s'inspire de celle prévue à l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) s'agissant des pouvoirs d'injonctions de blocage et de déréférencement de l'autorité administrative (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication - OCLCTIC) pour lutter contre les contenus terroristes et pédopornographiques. Les dispositions relatives au contrôle des injonctions par une personnalité qualifiée n'ont, en revanche, pas été reprises, car l'autorité compétente ici est une autorité administrative indépendante (Arcom) et de telles garanties ne semblent donc pas nécessaires.

Comme pour l'article 1er du présent projet, ces propositions s'inscrivent dans la lignée des recommandations faites par le Sénat dans son rapport sur l'industrie pornographique, publié le 27 septembre 202239(*).

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Ces dispositions modifient l'article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les dispositions viennent compléter les dispositions prévues par le règlement DSA, qui renforce également les compétences de l'Arcom pour lutter contre les contenus illicites et préjudiciables en ligne et renforcer la protection des mineurs.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Néant.

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure entraînera vraisemblablement la création d'un contentieux initié. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires ou une réorientation des priorités de l'Arcom.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

La mesure envisagée permettra d'améliorer l'efficacité procédurale et contentieuse de l'Arcom. Toutefois, ces pouvoirs seront également assortis d'une activité supplémentaire (dont une activité contentieuse). Des ETP supplémentaires pourraient dès lors s'avérer nécessaires à l'Autorité.

4.5. IMPACTS SOCIAUX

L'accès des mineurs à la pornographie a des conséquences désastreuses sur les rapports entre hommes et femmes, sur leur sexualité, sur la construction de leur personnalité et sur leur représentation d'eux-mêmes et d'autrui, ainsi que sur la diffusion de représentations sexistes et violentes dans l'ensemble de la société. Selon plusieurs chercheurs en sociologie, la pornographie entérine les stéréotypes de genre et rend particulièrement difficile l'éducation à l'égalité et la parité. Le rapport de l'Académie Nationale de Médecine rappelle que la pornographie promeut de forts stéréotypes de genre et souligne qu'elle « contribue à une vision du monde moins progressiste en termes d'égalité de genre. »40(*)

Le rapport du Sénat (n° 900) de 2022 susmentionné, et diverses enquêtes de presse, ont également dressé le constat de productions pornographiques qui « atteignent le paroxysme de violence », notamment à travers une marchandisation du sexe et du corps des femmes (certains producteurs exploitant la vulnérabilité économique et psychologique de jeunes femmes) et des violences sexuelles, physiques et verbales qui se sont massivement répandues. Dès lors, la consommation de pornographie chez les mineurs tendrait à intégrer et normaliser le modèle véhiculé par ces contenus pornographiques et à propager une vision déformée et violente de la sexualité.

D'autres conséquences seraient également nombreuses et inquiétantes chez les mineurs : traumatismes, troubles du sommeil, de l'attention et de l'alimentation, renforcement de l'anxiété, difficultés à nouer des relations avec des personnes du sexe opposé, (hyper) sexualisation précoce, développement de conduites à risques ou violentes, risque d'addiction, etc.

Aussi, limiter l'accès des mineurs à des contenus pornographiques, via un système de vérification d'âge robuste et respectueux de la vie privée, permettrait d'atténuer certaines conséquences néfastes chez les mineurs, et contribuer à la lutte en faveur de l'égalité entre les hommes et les femmes, en prévenant une exposition trop précoce à des contenus inadaptés.

4.5.1. Impacts sur la société

V. éléments supra.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

V. éléments 4.5.

4.5.4. Impacts sur la jeunesse

V. éléments 4.5.

4.5.5. Impacts sur les professions réglementées

Sans objet.

4.6. IMPACTS SUR LES PARTICULIERS

La mise en place de la mesure est également de nature à réduire les préoccupations des familles et des parents quant à l'usage par leurs enfants des médias numériques.

L'imposition d'exigences en matière de respect de l'anonymat des utilisateurs devrait par ailleurs fortement réduire les risques d'atteinte à leur vie privée.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie le 4 avril 2023 pour cet article. Cette saisine est obligatoire. Elle s'est prononcée par la délibération n° 2023-036 du 20 avril 2023.

Le Conseil supérieur des tribunaux administratifs et des cours administratives d'appel connaît des questions intéressant le fonctionnement et l'organisation des tribunaux administratifs et des cours administratives d'appel dans les conditions prévues à l'article L. 232-3 du code de justice administrative. À ce titre, celui-ci est « consulté sur toute question relative à la compétence, à l'organisation et au fonctionnement des tribunaux administratifs et des cours administratives d'appel ». Par un avis du 20 avril 2023, le CSTACAA s'est prononcé sur les dispositions de l'article 2 de ce projet de loi.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

L'article 2 entre en vigueur le 1er janvier 2024. Toutefois, les procédures déjà engagées au 31 décembre 2023 restent régies par les dispositions de l'article 23 de la loi n° 2020-936 du 30 juillet 2020 dans sa version en vigueur à cette date.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure proposée telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Un décret en Conseil d'Etat est prévu pour l'application des présentes mesures.

SECTION 2 - PÉNALISATION DU DÉFAUT D'EXÉCUTION EN VINGT-QUATRE HEURES D'UNE DEMANDE DE L'AUTORITÉ ADMINISTRATIVE DE RETRAIT DE CONTENU PÉDOPORNOGRAPHIQUE

Article 3 - Sanction pénale pour défaut d'exécution d'une demande de retrait de contenu pédopornographique 

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Afin de lutter contre la diffusion des contenus à caractère terroriste et pédopornographique en ligne, l'article 6-1 de la loi n° 2004-575 pour la confiance dans l'économie numérique (LCEN)41(*) permet à l'autorité administrative42(*) de demander aux hébergeurs et éditeurs de retirer les contenus provoquant à des actes terroristes ou en faisant l'apologie (en violation de l'article 421-2-5 du code pénal) et ceux à caractère pédopornographique (en violation de l' article 227-23 du code pénal).

Le non-respect de cette demande dans les vingt-quatre heures ne fait toutefois l'objet d'aucune sanction. Ce dispositif n'est donc pas contraignant. Il entraîne seulement la possibilité pour l'autorité administrative, si le retrait des contenus illicites précités n'est pas effectué dans le délai de rigueur de vingt-quatre heures, de demander aux fournisseurs d'accès à internet de procéder au blocage administratif ou au déréférencement du site mettant à la disposition du public ces contenus illicites.

Une copie de la demande de retrait est transmise à la personnalité qualifiée désignée en son sein par l'Autorité de régulation de la communication audiovisuelle et numérique. En cas d'irrégularité constatée, et si l'autorité administrative refuse d'y mettre fin, la personnalité qualifiée peut exercer un recours devant la juridiction administrative compétente, conformément aux procédures de droit commun prévues par le code de justice administrative.

En 2022, la plateforme PHAROS du ministère de l'intérieur et des outre-mer a procédé aux demandes suivantes :

 

Retrait

Blocage

Déréférencement

Contenus pédopornographiques

73 925

343

3 201

Contenus terroristes

15 132

11

823

S'agissant des seuls contenus à caractère terroriste, le dispositif a été récemment enrichi par le règlement (UE) 2021/784 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (dit « TCO »)43(*) qui permet à la même autorité administrative de délivrer une injonction de retrait, dans un délai d'une heure, de certains contenus à caractère terroriste à l'encontre des fournisseurs de services d'hébergement au public en ligne ; dispositif introduit aux articles 6-1-1 et suivants de la LCEN par la loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne. A la différence du dispositif prévu par l'article 6-1, cette injonction s'applique aux seuls contenus terroristes, à l'exclusion donc des contenus pédopornographiques, et sa violation par un hébergeur est pénalement sanctionnée (un an d'emprisonnement et 250 000 euros d'amende). En outre, les injonctions de retrait sont susceptibles de recours devant le tribunal administratif afin de garantir le droit au recours effectif imposé par le règlement (UE) 2021/784 précité. $

1.2. CADRE CONSTITUTIONNEL

Le mécanisme de lutte contre la diffusion des contenus à caractère terroriste et pédopornographique prévu à l'article 6-1 de la LCEN a fait l'objet de plusieurs contrôles de constitutionnalité.

Dans sa décision n° 2011-625 DC du 10 mars 2011 relative à la loi d'orientation et de programmation pour la performance de la sécurité intérieure, le Conseil constitutionnel a déclaré conforme à la Constitution le dispositif de blocage administratif des sites prévu par le deuxième alinéa de l'article 6-1.

En revanche, dans sa décision n° 2020-801 DC du 18 juin 2020 relative à la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet, le Conseil constitutionnel a censuré un dispositif d'injonction aux hébergeurs et éditeurs de retirer dans un délai d'une heure les contenus à caractère terroriste et pédopornographique. Le Conseil a en effet considéré qu'il en résultait une atteinte qui n'était pas adaptée, nécessaire et proportionnée au principe de la liberté d'expression, au motif que : « le dispositif proposé soumet la détermination du caractère illicite du contenu en cause à la seule appréciation de l'administration, alors que le recours contre la décision de retrait de l'administration n'est pas suspensif, que l'accès au juge est impossible dans le délai de retrait en 1h, que la peine encourue dès le premier manquement est lourde»

Toutefois, le Conseil constitutionnel a récemment validé le mécanisme d'injonction de retrait des contenus terroristes en une heure prévu par l'article 6-1-1 de la LCEN introduit par la loi n° 2022-841 DC du 13 août 2022 (cf. 1.1), aux motifs, notamment, qu'il s'agissait d'une mesure d'adaptation d'un règlement européen en vigueur laissant aux Etats membre le soin de définir la nature de sanctions applicables, que le contenu terroriste était suffisamment défini et limité, que l'injonction contenait une motivation suffisamment détaillée, que la personnalité qualifiée de l'ARCOM exerçait un contrôle de régularité, que les recours prévus présentaient des garanties suffisantes et qu'aucune sanction pénale n'était prévue lorsque l'inexécution du fournisseur découle d'un cas de force majeure, d'une impossibilité de fait qui ne lui est pas imputable ou des erreurs manifestes ou de l'insuffisance des informations que comporte l'injonction44(*).

1.3. CADRE CONVENTIONNEL

Le règlement (UE) 2021/784 du 7 juin 2022 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne « TCO » a conduit à insérer dans notre droit national une procédure d'injonction de retrait en une heure pour les contenus à caractère terroriste, applicable à l'encontre des fournisseurs de services d'hébergement (articles 6-1-1 et suivants de la LCEN, introduits par la loi n° 2022-1159 du 16 août 2022).

De plus, la Commission européenne a présenté le 11 mai 2022 une proposition de règlement visant à prévenir et à combattre les abus sexuels sur les enfants (règlement dit « ASM »)45(*). Ce dernier complètera la directive 2011/93/UE du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie46(*), et remplacera le règlement (UE) 2021/1232 du 14 juillet 202147(*) (dérogatoire à la directive ePrivacy48(*)) dont la durée d'application était limitée à trois ans, pour permettre aux opérateurs de continuer à pouvoir détecter et signaler, de manière volontaire, les contenus à caractère pédopornographique. Le règlement s'appliquera à tous les fournisseurs de services de la société de l'information (fournisseurs d'hébergement, fournisseurs d'accès à internet, fournisseurs de boutiques d'applications logicielles, fournisseurs de services de communications interpersonnelles). Outre des obligations d'évaluation et d'atténuation des risques, de signalement, de retrait et de blocage de contenus, le projet de règlement ASM introduit une nouvelle forme d'injonction de détecter des contenus à caractère pédopornographique, imposée à certains fournisseurs de service, lorsque des risques importants de détournement de leurs services à des fins d'abus sexuels sur mineurs ont été identifiés.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Tant le dispositif en vigueur de lutte contre la diffusion des contenus pédopornographiques (article 6-1 LCEN) que l'introduction d'une sanction pénale relèvent du domaine de la loi, conformément à l'article 34 de la Constitution.

Le Gouvernement souhaite aligner au maximum, pour ce qui concerne les hébergeurs, le régime de répression du non-respect des demandes de retrait des contenus pédopornographiques sur celui relatif aux contenus terroristes prévu par l'article 6-1-1 de la LCEN, ainsi que la procédure de recours dérogatoire prévue par l'article 6-1-5 de la loi précitée en cas de recours devant la juridiction administrative, cette dernière disposition d'adaptation du droit national au règlement (UE) 2021/784 ayant été récemment validée par le Conseil constitutionnel, et anticiper ainsi sur l'entrée en vigueur du règlement relatif à la lutte contre les abus sexuels sur mineur en cours de négociation.

En premier lieu, l'écart actuel entre la pénalisation du non-respect des injonctions de retrait de contenus terroristes (en une heure) et l'absence de sanction pénale en cas de non-respect des demandes de retrait de contenus pédopornographiques (en vingt-quatre heures) n'est pas fondé. Le législateur a d'ailleurs considéré que ces deux infractions (contenus à caractère terroriste ou pédopornographique) étaient d'une gravité suffisamment comparable pour leur appliquer le même mécanisme administratif de retrait et de blocage prévu par l'article 6-1 LCEN.

En second lieu, il serait incohérent de maintenir une disharmonie entre les deux régimes de recours exercés l'un contre des injonctions de retrait de contenus à caractère terroriste et l'autre contre des demandes de retrait de contenus à caractère pédopornographique. En effet, le projet de règlement européen relatif à la lutte contre les abus sexuels commis sur des mineurs en ligne prévoit l'obligation pour les Etats membres de garantir, dans leur droit national, des voies de recours effectives contre les demandes de retrait des contenus pédopornographiques. Pour satisfaire à cette exigence, et comme cela est actuellement prévu pour les contenus terroristes, il est donc nécessaire de transposer aux contenus pédopornographiques le régime de recours prévu en matière de contenus terroristes par l'article 6-1-5 de la LCEN.

2.2. OBJECTIFS POURSUIVIS

L'objectif, d'intérêt général, de cette disposition, est de rendre ces contenus pédopornographiques inaccessibles au public dans les plus brefs délais.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Il a d'abord été envisagé un dispositif de sanction pénale pour non-retrait de contenus pédopornographiques en vingt-quatre heures visant aussi bien les fournisseurs de services d'hébergement que les éditeurs de ces contenus.

L'option d'une sanction pénale pesant sur les éditeurs a toutefois été écartée aux motifs que le droit de l'Union européenne ne prévoit aucun mécanisme de retrait des contenus pénalement sanctionné mis à la charge des éditeurs et que les éditeurs sont d'ores et déjà responsables en qualité d'auteurs des contenus illicites en application de l'article 42 de la loi 29 juillet 1881 sur la liberté de la presse.

En outre, il a initialement été envisagé de rendre applicables les voies de recours de droit commun prévues par le code de justice administrative, sans dispense de conclusions du rapporteur public lors de l'audience et sans renvoyer au pouvoir règlementaire le soin de fixer les modalités spécifiques d'exercice de ces recours (détermination de la compétence territoriale des juridictions notamment).

3.2. OPTION RETENUE

Il a été choisi de cibler la nouvelle sanction pénale pour non-respect d'une demande de retrait d'un contenu pédopornographique émise en application de l'article 6-1 LCEN sur les hébergeurs. Les contenus en ligne étant toujours hébergés, une sanction visant les hébergeurs est apparue suffisante pour atteindre l'objectif poursuivi.

Ce régime de sanction pénale est assorti de nombreuses garanties tenant compte de l'évolution récente du contexte juridique :

- Une sanction adaptée à l'objectif poursuivi : le champ infractionnel visé est strictement limité aux contenus à caractère pédopornographique ;

- Un délai de retrait de vingt-quatre heures ;

- Des garanties de proportionnalité inhérentes à l'article 6-1 de la LCEN :

o un quantum de peines aligné sur ceux prévus tant pour non-respect d'une demande de blocage ou de déréférencement, que pour non-respect d'une injonction de retrait en une heure (un an d'emprisonnement et 250 000 euros) ;

o l'effectivité du contrôle et du droit de recours satisfaite en application du troisième alinéa de l'article 6-1 par un contrôle de la demande de retrait par la personnalité qualifiée de l'Arcom qui peut le cas échéant recommander à l'autorité d'y mettre fin, et le cas échéant possibilité de saisir la juridiction administrative si l'autorité administrative ne suit pas cette recommandation ;

- Des garanties reprises du dispositif d'injonction de retrait de contenu terroriste prévu par le règlement TCO dont l'adaptation en droit national a été validé en 2022 par le Conseil constitutionnel :

o gradation de la sanction pénale selon que l'infraction est commise ou non à titre habituel, par cohérence avec le dispositif de l'article 6-1-1 de la LCEN ;

o non-exécution de la demande de retrait en cas de force majeure, d'une impossibilité de fait non imputable au service ou d'une erreur matérielle ;

o information préalable douze heures avant toute première demande de retrait.

S'agissant du régime contentieux applicable aux demandes de retrait, le choix a été fait de s'aligner sur celui prévu en matière de contenus terroristes par l'article 6-1-5 de la LCEN :

- Obligation pour le fournisseur de services d'hébergement d'informer le fournisseur des contenus du retrait de ces derniers, notamment des motifs du retrait et des voies de recours qui lui sont ouvertes, et de transmettre une copie de la demande émise par l'autorité administrative ;

- Maintien de la possibilité de recourir aux procédures de référés prévus aux articles L. 521-1 et L. 521-2 du code de justice administrative ;

- Ouverture d'un recours au fond aux fournisseurs d'hébergement ainsi qu'aux fournisseurs de contenus dans un délai de 48 heures, le tribunal administratif disposant de 72 heures pour statuer ;

- L'audience est publique et se déroule sans conclusions du rapporteur public compte tenu des délais extrêmement resserrés précités ;

- Appel possible dans un délai de dix jours à compter de la notification de la décision des juges du fond ;

- Renvoi à un décret en Conseil d'Etat de la détermination des modalités d'application du recours dérogatoire exercé, au fond mais à bref délais, devant le tribunal administratif ;

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Le présent article :

- modifie l'article 6-2 de la LCEN s'agissant des formalités préalables à une demande de retrait d'un contenu pédopornographique et de l'obligation des fournisseurs de services d'hébergement d'informer les fournisseurs de contenus du retrait opéré aux fins de leur permettre d'exercer, le cas échéant, un recours ;

- introduit un article 6-2-1 pour créer la nouvelle sanction pénale ;

- crée un article 6-2-2 relatif à l'exercice des recours dérogatoires applicables devant le tribunal administratif.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

La disposition envisagée vise à anticiper l'entrée en vigueur du règlement relatif à la lutte contre les abus sexuels sur mineurs publié par la Commission européenne le 11 mai 2022. Ce projet de règlement prévoit la possibilité pour les autorités nationales compétentes d'émettre des injonctions de retrait des contenus à caractère pédopornographique dans un délai de 24 heures, étant précisé que le non-respect de cette obligation devra faire l'objet d'une sanction en droit interne.

La disposition envisagée est en outre cohérente avec une autre règlementation sectorielle, celle du règlement (UE) 2021/794 relatif à la lutte contre les contenus terroristes en ligne (TCO), adaptée en droit français par la loi du 16 août 2022 précitée, qui prévoit la possibilité pour une autorité administrative de délivrer des injonctions de retrait à l'encontre de certains contenus à caractère terroriste sous peine de sanction pénale.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Le présent article rendant ainsi contraignantes les demandes de retrait en vingt-quatre heures de contenus pédopornographiques, les entreprises qui fournissent un service d'hébergement devront être en capacité de répondre à ces demandes et devront probablement augmenter leurs capacités de réaction. En effet, les entreprises devront être en mesure de traiter l'ensemble des demandes de retrait dans un délai de 24 heures pour éviter une sanction pénale. En raison de la subsidiarité des demandes prévue à l'article 6-1 LCEN, il peut être estimé que les demandes de blocage et de déréférencement représentent les contenus qui n'ont pas été retirés par les services d'hébergement. En 2022, ces contenus représentent 4% des contenus ayant fait l'objet d'une demande de retrait. Les services d'hébergement devront être en capacité de traiter sous 24 heures, soit de manière automatique ou manuelle l'ensemble des contenus signalés.

4.2.3. Impacts budgétaires

Néant.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

L'impact sur l'autorité administrative sera limité car sa pratique de délivrance d'une demande de retrait sera inchangée.

Toutefois, la création d'une sanction pénale aura pour effet de faire peser une charge supplémentaire sur l'autorité judiciaire chargée de la prononcer.

En outre, la consécration de voies de recours dérogatoires aura pour effet d'imposer une contrainte supplémentaire à la juridiction administrative chargée de rendre une décision, sur le fond, dans un délai resserré de 72 heures.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

La mesure contribuera à renforcer la lutte contre la diffusion d'images pédopornographiques et plus largement la protection des mineurs.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les dispositions de l'article 3 du projet de loi qui définissent des sanctions pénales ont vocation à s'appliquer dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, sous réserve des ajustements nécessaires à leur application (actualisation des dispositions pertinentes de la LCEN).

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25. 

5.2.3. Textes d'application

Les dispositions du IV du nouvel article 6-2-2 renvoient les modalités d'application de la procédure contentieuse ad hoc à un décret en Conseil d'Etat.

Titre II - Protection des citoyens dans l'environnement numérique

Article 4 - Protection des citoyens contre les vecteurs de propagande étrangère manifestement destinés à la désinformation et à l'ingérence

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

A la suite de l'invasion de l'Ukraine par la Fédération de Russie, l'Union européenne a adopté des mesures restrictives d'une ampleur inédite à l'encontre des personnes et entités proches du pouvoir russe. Certains règlements édictent des interdictions de diffusion des contenus produits par les médias sanctionnés, d'autres prononcent le gel de leurs avoirs. Ces mesures s'appliquent sur le territoire de l'Union européenne, aussi bien aux Etats membres qu'aux opérateurs économiques établis sur le territoire de l'UE.

C'est dans ce contexte que la diffusion d'une quinzaine de médias russes tels que les chaînes Russia Today ou Sputnik a été interdite sur le territoire de l'UE par modifications successives du Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine. D'autres mesures restrictives prises à l'encontre de groupes médiatiques russes et prévoyant un gel de leurs avoirs impliquent par ailleurs l'interdiction de diffusion des contenus, une telle diffusion étant assimilée à un moyen de mise à disposition de fonds ou ressources économiques de ces entités.

Les règlements européens relatifs aux mesures restrictives s'appliquent directement et sans délai aux Etats et aux opérateurs économiques de l'Union européenne49(*), sans qu'une transposition en droit national ne soit nécessaire.

Au cours de l'année 2022, plusieurs contournements des mesures restrictives visant les médias ont été identifiés, notamment par l'intermédiaire de sites internet. Ainsi, plusieurs plateformes domiciliées hors de l'UE (Etats-Unis et Canada), comme ODYSEE ou RUMBLE, ont rediffusé et partagé les contenus de RT FRANCE, l'une des chaînes russes visées par les sanctions. Ces cas de contournement ont mis en évidence l'absence de dispositif idoine garantissant la mise en oeuvre efficace de ces mesures restrictives.

En France, il n'existe en effet pas de dispositif dédié garantissant la mise en oeuvre des mesures restrictives européennes visant les médias.

1.2. CADRE CONSTITUTIONNEL

Les dispositions de l'article 4 respectent les principes de liberté d'expression et d'opinion garantis par l'article 11 de la Déclaration des droits de l'homme et du citoyen50(*). L'atteinte qu'elles portent à ces principes est proportionnée au regard de l'objectif de valeur constitutionnelle de sauvegarde de l'ordre public, les dispositions permettant de protéger les personnes de la diffusion de contenus médiatiques produits par des vecteurs de propagande et destinés à la désinformation du public.

Il est rappelé qu'à la différence du dispositif envisagé par la proposition de loi n° 1785 relative à la lutte contre la haine en ligne et qui avait fait l'objet de l'avis du Conseil d'Etat n° 397368, le dispositif envisagé conduit au retrait de contenus qui sont prohibés par le droit de l'Union.

1.3. CADRE CONVENTIONNEL

Les dispositions introduites par l'article 4 sont compatibles avec la liberté d'expression et d'opinion et avec la liberté de communiquer des informations garanties par l'article 10 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales51(*). L'atteinte à ces principes est en effet justifiée et proportionnée au regard de l'objectif, consistant à garantir la sécurité nationale, la sûreté publique et la protection de la morale.

Du reste, dans un arrêt du 27 juillet 2022 (T-125-22), le Tribunal de l'Union européenne a jugé que la nature et l'étendue de l'interdiction temporaire de diffusion qui concernait le média Russia Today respectait « le contenu essentiel de la liberté d'expression et ne remett[ait] pas en cause cette liberté en tant que telle ».52(*) Il a également jugé que « les limitations à la liberté d'expression de la requérante que les mesures restrictives en cause sont susceptibles de comporter sont proportionnées, en ce qu'elles sont appropriées et nécessaires, aux buts recherchés ».

1.4. ÉLÉMENTS DE DROIT COMPARÉ

1.4.1. Un dispositif articulé autour de deux administrations compétentes pour la mise en oeuvre des sanctions visant les médias

En Suède, deux administrations se partagent la charge de la mise en oeuvre des sanctions visant les médias en fonction des opérateurs. L'Autorité de la presse et de la diffusion (Myndigheten för press, radio och tv) régule les opérateurs de radio et de télévision, et l'Autorité des postes et des télécommunications (Post-och telestyrelsen) suit les opérateurs de communication au public en ligne. Leurs compétences sont détaillées dans la loi Radio et Télévision (2010:968) et la loi sur les Communications électroniques (20022:482). Les sanctions pour la mise à disposition de fonds ou de ressources économiques au profit d'une personne sanctionnée sont détaillées dans la loi (1996:95) sur certaines sanctions internationales et incluent des amendes ou des peines de prison allant jusqu'à quatre ans.

1.4.2. Un dispositif qui repose entièrement sur la mise en oeuvre par les opérateurs économiques

Le système allemand s'appuie sur l'obligation de mise en oeuvre des sanctions par les opérateurs économiques. Aucune des administrations en charge de la supervision des contenus médiatiques ne délivre d'injonctions aux opérateurs. Néanmoins la Bundesnetzagentur, l'agence fédérale des réseaux, a publié une liste des sites internet que les fournisseurs d'accès à internet doivent bloquer.

En cas de défaillance d'un fournisseur d'accès internet, le procureur peut entamer des poursuites à son encontre.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

A la suite de cas de contournement des sanctions visant les médias et de l'absence d'outils à la main des pouvoirs publics à y mettre fin, il est apparu nécessaire pour la France de se doter d'un dispositif lui permettant de respecter ses obligations en matière de mise en oeuvre des sanctions et de faire cesser rapidement la diffusion d'un média sanctionné.

Aucune administration n'est aujourd'hui dotée d'outils juridiques pour prendre des mesures permettant de faire cesser en France et dans l'immédiat la diffusion de contenus d'un média russe visé par des sanctions européennes, aussi bien sur un site Internet que par satellite ou par un distributeur de chaînes de télévision. Le cadre juridique ne confère à aucune administration les compétences nécessaires pour garantir la bonne application des sanctions visant les médias.

La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (dite « Loi Léotard ») qui définit les pouvoirs et les compétences de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) n'inclut en effet pas la mise en oeuvre des sanctions européennes visant les médias.

De même, les dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (dite « LCEN ») ne sont pas adaptées à la mise en oeuvre des mesures restrictives. Les mécanismes préventifs de retrait, blocage et déréférencement des contenus illicites en application des articles 6-1, 6-1-1 et 6-3 de la LCEN visent pour leur part seulement les contenus à caractère terroriste ou pédopornographique, uniquement sur internet.

Par ailleurs, si le juge judiciaire peut, sur le fondement de l'article 4 de la loi pour la confiance dans l'économie numérique (LCEN), ordonner toute mesure propre à empêcher l'accès au contenu visé par les sanctions, cette procédure peut prendre plusieurs semaines et ne permet pas de clarifier la question de l'autorité compétente pour veiller à la bonne application des mesures restrictives.

Enfin, l'article 459 du code des douanes, qui permet de sanctionner d'une peine de cinq ans d'emprisonnement la violation des sanctions internationales après enquête des services douaniers et dépôt d'une plainte du ministre des finances, ne permet pas de faire cesser rapidement la diffusion de médias sanctionnés.

Dans ce contexte, l'Arcom apparaît comme l'autorité appropriée pour assurer la mise en oeuvre efficace des mesures restrictives. Régulateur historique de la communication audiovisuelle régie par la loi n° 86-1067 précitée et régulateur pour partie de la communication au public en ligne régie par la LCEN, l'Arcom dispose, en sa qualité d'autorité publique indépendante, aussi bien de l'expertise technique que de la connaissance des acteurs médiatiques et numériques nécessaires.

Pour ce faire, l'élargissement des compétences de l'Arcom, en modifiant la loi Léotard n° 86-1067 du 30 septembre 1986 et la loi LCEN n° 2004-575 du 21 juin 2004, paraît nécessaire.

2.2. OBJECTIFS POURSUIVIS

L'objectif poursuivi est de faire cesser dans un délai très rapide la diffusion de contenus produits par des médias visés par les mesures restrictives prises par l'UE, quel que soit leur canal de diffusion (télévision, radio, sites internet). Le dispositif permettra à l'Arcom :

- d'enjoindre à un opérateur étranger ou français de faire cesser la diffusion d'un contenu faisant l'objet d'une mesure restrictive sur le territoire national ;

- de demander à un opérateur français d'arrêter la diffusion d'un contenu faisant l'objet d'une mesure restrictive européenne dans d'autres Etats.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Le cadre juridique en vigueur ne permet pas de garantir la mise en oeuvre des mesures restrictives européennes visant les médias. Dans ce contexte, la création d'un dispositif spécifique garantissant la mise en oeuvre des sanctions à l'encontre des médias est apparue nécessaire.

Option 1 : création d'un dispositif inspiré de l'article 6-1 de la LCEN pour tous les opérateurs (écartée)

Il a été initialement envisagé de créer un dispositif inspiré de l'article 6-1 de la LCEN qui aurait permis à l'Arcom d'émettre des injonctions en cas de non-respect des sanctions visant les médias à l'encontre de tous les opérateurs intervenant dans la diffusion de contenus médiatiques, aussi bien en ligne que via des canaux plus classiques comme la télévision ou la radio.

Cette option a finalement été écartée car il a été jugé plus pertinent de s'appuyer sur le dispositif existant à l'article 42 de la loi Léotard n° 86-1067 du 30 septembre 1986 et applicable aux opérateurs de communication audiovisuelle, et de ne créer un nouveau dispositif que pour les opérateurs de communication au public en ligne.

3.2. OPTION RETENUE

Dispositif retenu : un dispositif s'appuyant sur deux outils adaptés à deux catégories d'acteurs concernés, à savoir les opérateurs de communication audiovisuelle et les opérateurs de communication au public en ligne.

Les dispositions des articles 42 et suivants de la loi du 30 septembre 1986 sont étendues afin d'inclure les opérateurs de communication audiovisuelle pour les cas de méconnaissance des mesures restrictives visant les médias. L'Arcom pourra dès lors mettre en demeure les opérateurs de faire cesser la diffusion des contenus sanctionnés. En l'absence d'exécution, l'Arcom pourra prononcer une sanction ou mettre en oeuvre la procédure de « référé audiovisuel » prévue par l'article 42-10 de la loi susmentionnée, qui permet au président de la section du contentieux du Conseil d'Etat d'ordonner toute mesure propre à faire cesser un manquement. Son injonction peut être assortie d'une astreinte.

En ce qui concerne les opérateurs de communication au public en ligne, le nouveau dispositif créé s'inspire des dispositions de l'article 6-1 LCEN. L'Arcom peut délivrer des injonctions aux acteurs qui assurent ou permettent la diffusion de contenus sanctionnés afin que cette diffusion cesse dans un délai de soixante-douze heures, délai durant lequel ils pourront lui adresser des observations et saisir le juge des référés du Conseil d'Etat53(*). En l'absence d'exécution, et lorsque le contenu est en ligne, l'Arcom pourra enjoindre aux fournisseurs d'accès à Internet de bloquer le site internet diffusant le contenu. En cas de méconnaissance de l'obligation de retirer les contenus ou de faire cesser leur diffusion par les opérateurs, l'Arcom pourra prononcer une sanction pécuniaire à leur encontre, tenant compte de la gravité du manquement ou de la réitération. Pour les personnes fournissant des services d'hébergement ou d'édition de service de communication au public, le montant de la sanction ne peut excéder 4% du chiffre d'affaires ou 250 000 euros ou, en cas de réitération, 6% du chiffre d'affaires ou 500 000 euros. Pour les fournisseurs d'accès internet, la montant de la sanction peut atteindre 75 000 euros ou 1% du chiffre d'affaires, et en cas de réitération 150 000 euros ou 2% du chiffre d'affaires. Lorsque sont prononcées une amende administrative et une amende pénale en application de l'article 459 du code des douanes54(*) (pouvant aller de 450 euros à 225 000 euros) à l'encontre de la même personne, le montant global des amendes ne dépasse pas le maximum légal le plus élevé des sanctions encourues.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Le présent article vient, en premier lieu, modifier l'article 42 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, et étendre les compétences de l'Arcom sur les éditeurs et distributeurs de services de communication audiovisuelle, les opérateurs de réseaux satellitaires et les prestataires techniques en ce qui concerne le respect de la règlementation européenne prise sur le fondement de l'article 215 du traité sur le fonctionnement de l'Union européenne portant sur l'interdiction de diffusion de contenus de services de communication audiovisuelle.

En deuxième lieu, les présentes dispositions ajoutent un article 11 à la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Il crée la possibilité pour l'Arcom de demander aux opérateurs de communication au public en ligne de retirer les contenus produits par des médias visés par les mesures restrictives européennes, et en cas d'absence d'obtempération dans un délai de soixante-douze heures, de s'adresser aux fournisseurs d'accès internet pour bloquer l'accès à ces contenus. Il introduit également des sanctions en cas de non-respect de ses injonctions, tant pour les opérateurs de communication au public que les fournisseurs d'accès internet.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les dispositions introduites par le présent article découlent des obligations énoncées par les règlements européens, en particulier les dispositions prises sur le fondement de l'article 215 du Traité sur le fonctionnement de l'Union européenne qui peuvent entraîner l'interdiction de diffusion de contenus de services de communication audiovisuelle.

A titre d'exemple, le règlement (UE) du Conseil n° 833/2014 du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine introduit à l'article 2 septies une interdiction de diffusion de certains médias désignés en annexe du règlement. De surcroît, d'autres règlements tels que le règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l'intégrité territoriale, la souveraineté et l'indépendance de l'Ukraine ou le règlement (UE) n° 359/2011du Conseil concernant des mesures restrictives à l'encontre de certaines personnes, entités et organismes au regard de la situation en Iran introduisent des mesures restrictives à l'encontre de groupes médiatiques susceptibles d'impliquer des interdictions de diffusion de leurs contenus par des opérateurs économiques européens.

Ces règlements sont, en vertu du deuxième alinéa de l'article 288 du Traité sur le fonctionnement de l'Union européenne (TFUE), obligatoires dans tous leurs éléments et directement applicables dans tout État membre au jour de leur publication au Journal officiel de l'Union européenne et aucune mesure nationale n'est requise pour qu'ils puissent s'appliquer.

Le présent article crée un dispositif qui garantit la mise en oeuvre efficace des mesures restrictives visant les médias en France par l'Arcom et répond ainsi aux exigences du droit européen.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Les dispositions introduites par le présent article ne devraient pas avoir d'impacts macroéconomiques significatifs étant donné que les contournements de mesures restrictives européennes visant les médias restent à ce stade d'ampleur limitée au regard de l'ensemble des contenus diffusés par les opérateurs médiatiques, qui se conforment très largement à leurs obligations au regard des règlements de sanctions.

4.2.2. Impacts sur les entreprises

Les dispositions introduites dans cet article ne devraient pas avoir d'impact significatif sur les entreprises du secteur, qui doivent déjà appliquer les règlements européens susmentionnés.

Néanmoins, l'extension des compétences de l'Arcom à la mise en oeuvre des sanctions visant les médias et la possibilité d'adresser des injonctions aux opérateurs ne respectant pas leurs obligations en la matière devraient avoir un effet dissuasif sur l'ensemble des acteurs concernés. De même, la possibilité pour l'Arcom de prononcer des amendes en cas de non-respect de ses injonctions à faire cesser la diffusion de contenus de médias sanctionnés devrait renforcer l'effet de dissuasion pour les opérateurs de communication audiovisuelle et de communication au public en ligne.

4.2.3. Impacts budgétaires

L'impact budgétaire apparaît limité pour l'Arcom au regard du nombre restreint de contournements répertoriés.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Les impacts pour l'Arcom devraient être limités puisque jusqu'à présent, peu de cas de contournements des sanctions visant les médias ont été répertoriés. L'Arcom sera amenée à former ses personnels impliqués dans ce dispositif.

Les cas de contournements des sanctions étant a priori limités, il n'est pas envisagé d'augmentation du volume du contentieux porté devant les juridictions administratives ou judiciaires.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Le dispositif introduit au présent article permettra de garantir l'efficacité des mesures restrictives décidées au niveau européen, notamment s'agissant de la protection de la population contre la désinformation, quel que soit leur vecteur de diffusion.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Le dispositif introduit par le présent article aura pour conséquence d'empêcher des particuliers d'accéder à des contenus médiatiques produits par des médias sanctionnés, si les opérateurs ne se sont pas conformés d'eux-mêmes à leurs obligations au regard du droit de l'UE.

Le dispositif ne vise que les contenus diffusés au public et non ceux partagés par l'intermédiaire de messages privés.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

L'Arcom a été consultée tout au long de l'élaboration du dispositif et pour la rédaction des dispositions de l'article 4, en application de l'article 9 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication qui dispose : « L'Autorité de régulation de la communication audiovisuelle et numérique est consultée sur les projets de loi et d'actes réglementaires relatifs au secteur de la communication audiovisuelle. »

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut. En vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Les présentes dispositions ne requièrent aucun texte d'application.

Article 5 - Peine complémentaire de suspension de l'accès à un service de plateforme en ligne

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Aujourd'hui, lorsque les fournisseurs de services de plateformes en ligne constatent des infractions à leurs conditions générales d'utilisation (CGU) ou à la loi, ils suspendent et suppriment des comptes d'accès à leurs services sous certaines conditions.

Par exemple, en cas d'infractions graves55(*), Facebook peut désactiver des comptes sans qu'ils ne puissent être restaurés. En cas de suspicion d'un comportement qui enfreint les CGU, la plateforme désactives temporairement les comptes concernés. Il est d'ailleurs précisé dans ses CGU qu'en cas de désactivation du compte, les utilisateurs acceptent de ne pas en créer un nouveau sans l'autorisation de la plateforme.56(*)

Le cyber harcèlement constitue une forme spécifique de harcèlement commis en ligne. Le cyber harcèlement constitue une infraction prévue par l'article 222-33-2-2 du code pénal qui réprime le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale. Ces faits sont punis de deux ans d'emprisonnement et de 30 000 euros d'amende notamment lorsqu'ils ont été commis par l'utilisation d'un service de communication au public en ligne ou par le biais d'un support numérique ou électronique. Les peines peuvent être portées à trois ans d'emprisonnement et 45 000 euros d'amende lorsque les faits ont été commis dans au moins deux des circonstances mentionnées aux 1° à 5° de l'article 222-33-2-2 du code pénal.

Il existe peu de chiffres sur les nombres de comptes suspendus d'initiative par les plateformes de réseaux sociaux et aucun sur la durée des suspensions et les potentiels remises en ligne de comptes. Seul le réseau social Twitter communique sur le nombre de comptes suspendus, les autres plateformes communiquant sur les contenus retirés. Au niveau européen, 72 139 comptes ont ainsi été suspendus pour avoir enfreint les règles de Twitter relatives au cyber harcèlement (« abusive behaviour ») et 127 954 comptes ont été suspendus pour avoir enfreint les règles de la plateforme relatives à la haine en ligne à caractère discriminatoire (« hateful conduct ») - soit un total de plus de 200 000 comptes suspendus.

1.2. CADRE CONSTITUTIONNEL

1.2.1. S'agissant du principe de nécessité et de proportionnalité des peines

Le principe de nécessité et de proportionnalité des peines est garanti par l'article 8 de la Déclaration des Droits de l'Homme et du Citoyen du 26 août 1789. Il implique que toute peine édictée en répression d'une infraction pénale doit être « strictement et évidemment » nécessaire. Selon la formule habituelle du Conseil constitutionnel, « si la nécessité des peines attachées aux infractions relève du pouvoir d'appréciation du législateur, il incombe au Conseil constitutionnel de s'assurer de l'absence de disproportion manifeste entre l'infraction et la peine encourue »57(*).

1.2.2. S'agissant de la protection de la liberté d'expression

La protection constitutionnelle de la liberté d'expression et de communication se fonde sur l'article 11 de la Déclaration des Droits de l'Homme et du Citoyen du 26 août 1789.

Ainsi que l'a jugé le Conseil Constitutionnel, « en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication en ligne ainsi qu'à l'importance prise par ces services pour la participation à la vie démocratique et l'expression des idées et des opinions, ce droit implique la liberté d'accéder à ces services et de s'y exprimer »58(*). Les atteintes qui peuvent y être portées ne sont possibles que si elles sont motivées par un objectif d'intérêt général, au nombre desquels figure l'ordre public, dont la protection de la dignité humaine est l'une des composantes59(*), et à condition qu'elles apparaissent, sous le contrôle du juge, comme nécessaires, adaptées et proportionnées.

Le Conseil constitutionnel a ainsi estimé que l'instauration d'une peine complémentaire obligatoire d'inéligibilité de cinq à dix ans à l'encontre de toute personne coupable de certains délits de presse punis d'une peine d'emprisonnement portait une atteinte disproportionnée à la liberté d'expression60(*).

En revanche, le Conseil constitutionnel a déclaré conformes à la Constitution des dispositions organisant la répression pénale de l'apologie du terrorisme. Il a jugé, en premier lieu, que « le législateur a entendu prévenir la commission de tels actes [de terrorisme] et éviter la diffusion de propos faisant l'éloge d'actes ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur. Ce faisant, le législateur a poursuivi l'objectif de valeur constitutionnelle de prévention des atteintes à l'ordre public et des infractions, dont participe l'objectif de lutte contre le terrorisme ». En second lieu, l'atteinte portée à la liberté d'expression et de communication était nécessaire, adaptée et proportionnée à un tel objectif. À cet égard, le Conseil a relevé, d'une part, que « l'apologie publique, par la large diffusion des idées et propos dangereux qu'elle favorise, crée par elle-même un trouble à l'ordre public. Le juge se prononce en fonction de la personnalité de l'auteur de l'infraction et des circonstances de cette dernière, notamment l'ampleur du trouble causé à l'ordre public »61(*).

Le Conseil constitutionnel a également considéré que la peine complémentaire de suspension de l'accès à internet, pour une durée d'un an, de toute personne rendue coupable de contrefaçon, assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un service de même nature auprès de tout opérateur, instaurée à l' article L. 335-7 du code de la propriété intellectuelle, ne méconnaissait aucune règle ni aucun principe constitutionnel62(*). La sanction prévue à l' article 434-41 du code pénal, qui punit de deux ans d'emprisonnement et de 30 000 euros d'amende la méconnaissance, par le condamné, de l'interdiction de souscrire un nouveau contrat d'abonnement à un service de communication au public en ligne résultant de cette peine complémentaire n'a pas été jugée manifestement disproportionnée par le Conseil constitutionnel63(*).

Le pouvoir de prononcer une telle mesure de suspension de l'accès à internet, s'agissant d'une sanction conduisant à restreindre l'exercice, par toute personne, de son droit de s'exprimer et de communiquer librement, notamment depuis son domicile, ne saurait toutefois être confié à une autorité administrative, qui n'est pas une juridiction64(*)

1.3. CADRE CONVENTIONNEL

La liberté d'expression est protégée par l'article 10 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. La Cour européenne des droits de l'homme estime que les limitations que les Etats parties peuvent apporter à cette liberté sont d'une interprétation étroite, quoique l'article 17 de la Convention permette de leur accorder une marge de manoeuvre plus étendue lorsque les propos litigieux incitent à l'usage de la violence à l'égard d'un individu ou d'une partie de la population65(*).

S'agissant des sanctions restreignant la liberté d'expression, la Cour, qui considère l'intervention d'un juge indispensable, estime que l'interdiction d'accès à un média peut être regardée comme justifiée et proportionnée dès lors notamment qu'il existe d'autres possibilités de diffusion des idées par le biais d'autres médias ou d'autres canaux66(*). Elle a ainsi écarté comme irrecevables les griefs dirigés à l'encontre du blocage d'accès au site Myspace, dès lors que le requérant était seulement privé d'une possibilité parmi d'autres d'exercer sa liberté d'expression67(*).

Les décisions de censure pour inconventionnalité68(*) sont surtout intervenues dans les cas où les mesures de blocage de l'accès à certains services (Google, YouTube) ne reposaient sur aucune base légale nationale habilitant les autorités publiques à agir de façon proportionnée.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Les fournisseurs de services de plateformes en ligne suspendent déjà, sous certaines conditions, les comptes d'accès à leurs services. Toutefois, la désactivation du compte est laissée à la libre appréciation du fournisseur de service de plateforme en ligne concerné. Il n'existe actuellement aucun moyen à la disposition des autorités publiques permettant de le contraindre à prendre une telle mesure.

Par ailleurs, il reste relativement aisé pour les détenteurs de comptes supprimés de recréer un compte en utilisant d'autres informations : les auteurs de haine en ligne ou cyber-harcèlement continuent donc d'agir, rendant inopérantes les mesures mises en place par les plateformes.

Dès lors, il apparait nécessaire de créer un mécanisme permettant d'empêcher les utilisateurs dont les comptes sont suspendus pour des actes de haine en ligne ou cyber-harcèlement, de se recréer un compte. Le dispositif va au-delà de la seule suspension du compte en appelant les plateformes à empêcher également la création par la personne condamnée d'un nouveau compte de substitution.

2.2. OBJECTIFS POURSUIVIS

Il s'agit d'établir un dispositif permettant de lutter plus efficacement contre la haine en ligne et le cyber-harcèlement en évitant que les utilisateurs condamnés pour ces types de délits puissent se créer de nouveaux comptes lorsque le compte utilisé pour commettre les délits a été suspendu par le service de plateforme en ligne.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTION ENVISAGÉE : CONFIER À L'ARCOM LA POSSIBILITÉ DE DEMANDER AU JUGE JUDICIAIRE DE BANNIR CERTAINS COMPTES

Une première option consisterait à confier à l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) la possibilité de demander au juge judiciaire d'enjoindre les plateformes de bannir un compte et de prendre les mesures nécessaires pour éviter que l'utilisateur puisse se recréer un compte. En outre, l'Arcom pourrait demander directement aux plateformes d'empêcher l'accès aux comptes « miroirs » crées par des utilisateurs dont un compte a été bannis par décision de justice.

Le dispositif bénéficierait alors de la légitimité renforcée de l'intervention du juge, saisi par l'Arcom, et s'inscrirait dans le prolongement des prérogatives conférées au président du tribunal judiciaire en matière d'interdiction des sites miroirs sur le fondement du 8 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) introduit par l'article 39 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République. Un tel dispositif permettrait d'assurer la bonne mise en oeuvre de la décision du juge grâce à la possibilité pour l'Arcom de demander administrativement le blocage des comptes « miroirs ».

Cette option n'a pas été retenue car elle ne présente pas suffisamment de garanties permettant d'assurer la proportionnalité du dispositif. En effet, un tel dispositif revêt un champ d'application trop large car il n'est pas réservé aux personnes condamnées pour des infractions de cyber-harcèlement ou de haine en ligne.

3.2. OPTION RETENUE

L'option retenue introduit une peine complémentaire de suspension du compte d'accès à un service de plateforme en ligne, pour les utilisateurs condamnés pour certaines infractions de haine en ligne ou de cyber-harcèlement commises au moyen du service de plateforme en ligne. Cette peine complémentaire de suspension peut être prononcée par le juge pour une durée maximale de six mois, cette durée étant portée à un an dans le cas où la personne condamnée se trouve en état de récidive légale.

Cette peine complémentaire, prévue dans un nouvel article 131-35-1 du code pénal, est réservée aux infractions les plus graves commises au moyen d'un service de plateforme en ligne. Elle s'applique aux faits de cyber-harcèlement et de haine en ligne.

Le champ d'application de cette peine complémentaire recouvre les infractions suivantes :

- L'ensemble des délits de harcèlement prévus aux articles 222-33 (harcèlement sexuel), 222-33-2-1 (harcèlement par conjoint), 222-33-2-2 (harcèlement moral), 222-33-2-3 (harcèlement scolaire), au deuxième alinéa de l'article 222-33-3 (diffusion de l'enregistrement d'images relatives à la commission d'une atteinte volontaire à l'intégrité de la personne) ;

- Certains délits portant une atteinte particulière à l'ordre public et à la dignité de la personne susceptibles d'être commis par internet, prévus aux articles 225-4-13 (pratiques visant à modifier ou réprimer l'orientation sexuelle ou l'identité de genre d'une personne), 225-5 (proxénétisme) et 225-6 (infractions assimilées au proxénétisme), 227-23 (diffusion, offre, cession images pédopornographiques), 227-24 (fabrication, transport, diffusion, de message violent, pornographique, ou contraire à la dignité, accessible à un mineur) et 421-2-5 du code pénal (provocation et apologie du terrorisme) du code pénal ;

- Les délits de presse les plus graves prévus aux cinquième, septième et huitième alinéas de l'article 24 (apologie publique de certaines crimes prévus par le code pénal, des crimes de guerre, des crimes contre l'humanité, des crimes de réduction en esclavage, ou des crimes et délits de collaboration avec l'ennemi ; provocation à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée ; provocation à la haine ou aux discrimination ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap) et à l'article 24 bis (négationnisme) de la loi du 29 juillet 1881 sur la liberté de la presse.

La décision de condamnation est signifiée au fournisseur de service de plateforme en ligne concerné. Ce dernier doit, à compter de la signification de la décision et pendant toute la durée de l'exécution de la peine, bloquer le compte ayant fait l'objet de la suspension.

En outre, le fournisseur de service de plateforme en ligne concerné met en oeuvre des mesures permettant de procéder au blocage des autres comptes d'accès à son service éventuellement détenus par la personne condamnée et d'empêcher la création de nouveaux comptes par la personne condamnée.

Le non-respect, par le fournisseur de service de plateforme en ligne concerné, de son obligation de procéder au blocage du compte ayant fait l'objet d'une suspension est puni de 75 000 euros d'amende.

Plusieurs garanties sont prévues afin d'assurer la proportionnalité de cette peine complémentaire.

- En premier lieu, le prononcé de cette peine complémentaire revêt un caractère facultatif, laissé à l'appréciation du juge.

- En deuxième lieu, cette peine complémentaire n'est encourue qu'en cas de condamnation pour des infractions graves commises au moyen d'un service de plateforme en ligne. Il s'agit de délits portant atteinte à l'ordre public et aux droits des tiers, et spécifiquement à la dignité de la personne.

- En troisième lieu, la peine de suspension des comptes ne concerne que les services de plateforme en ligne ayant été utilisés pour commettre l'infraction.

- En dernier lieu, la personne condamnée peut solliciter le relèvement de cette peine à l'expiration d'un délai de trois mois après la décision initiale de condamnation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

L'article 131-35-1 du code pénal est rétabli.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les plateformes sont soumises à des obligations imposées par le règlement « DSA »69(*) concernant les suspensions de comptes. L'article 23 et le considérant 64 établissent des mesures de lutte et de protection contre les utilisations abusives. Les plateformes ont l'obligation de suspendre temporairement leurs services aux utilisateurs qui fournissent fréquemment des contenus manifestement illicites. Le DSA précise que cela n'empêche pas les plateformes de prendre des mesures plus strictes comme la suspension définitive.

Il n'apparait pas que la peine complémentaire de suspension contrevienne aux dispositions du droit de l'Union européenne.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Les présentes dispositions n'entraînent pas en elles-mêmes d'impact macroéconomique.

4.2.2. Impacts sur les entreprises

Les fournisseurs de service de plateforme en ligne dont les utilisateurs sont concernés par la peine complémentaire de suspension devront, pendant toute la durée de l'exécution de la peine, bloquer le compte d'accès à leur service.

Ils devront aussi mettre en oeuvre des mesures permettant de procéder au blocage des autres comptes éventuellement détenus par la personne condamnée et d'empêcher la création de nouveau comptes par celle-ci.

Les fournisseurs de service de plateforme en ligne disposent déjà d'outils leur permettant de bloquer les comptes d'utilisateurs, notamment lorsqu'ils constatent que ces derniers ne respectent pas les conditions générales d'utilisation de leurs services. L'application des présentes dispositions ne devrait donc pas représenter une charge supplémentaire pour les fournisseurs de service de plateforme en ligne.

4.2.3. Impacts budgétaires

Les présentes dispositions n'entraînent pas en elles-mêmes d'impact budgétaire.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Néant.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Obliger les plateformes en ligne à bloquer les comptes des utilisateurs ayant déjà fait l'objet de mesure de suspension de compte contribue à faire cesser des actes de haine en ligne et de cyber-harcèlement.

En effet, cette peine complémentaire de suspension de compte dissuade les utilisateurs dont les comptes ont déjà été suspendus à récidiver et également d'autres utilisateurs qui pourraient être tentés de se livrer à des comportements similaires.

L'obligation pour les plateformes d'empêcher la création de nouveaux comptes par ces utilisateurs récidivistes prévient d'autant plus de tels comportements et protège les utilisateurs de contenus néfastes et préjudiciables.

Ainsi, le présent dispositif contribue à faire des plateformes en ligne des espaces numériques sécurisés et de confiance.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

La disposition renforce les sanctions à l'encontre des particuliers auteurs des délits visés, qui, au-delà des peines prévues par le code pénal, seront privés de l'usage de leurs comptes de réseau social pendant six mois. En miroir, les usagers de ces plateformes pourront bénéficier d'une plus grande protection vis-à-vis des contenus de cyber-harcèlement et d'espaces numériques plus sûrs.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Le présent projet de loi entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. S'agissant de dispositions pénales plus sévères, elles ne seront applicables qu'aux faits commis après leur entrée en vigueur.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les dispositions de l'article 5 du projet de loi, qui relèvent du domaine du droit pénal, ont vocation à s'appliquer dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, sous réserve des ajustements nécessaires à leur application (actualisation des compteurs afférents).

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25. 

5.2.3. Textes d'application

Les présentes dispositions n'appellent aucune mesure d'application.

Article 6 - Déploiement d'un filtre national de cybersécurité grand public

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

A la faveur de la démocratisation des équipements et usages numériques, les Français sont de plus en plus exposés à des tentatives d'arnaque, de fraude ou de vols de données personnelles et financières.

Ainsi, la plateforme Cybermalveillance.gouv.fr, opérée par le Groupement d'Intérêt Public Action contre la Cybermalveillance (GIP ACYMA), rencontre une très nette augmentation des demandes d'assistance depuis plusieurs années :

- 2020 : 1,2 millions de visiteurs et 105 000 parcours d'assistance ;

- 2021 : 2,4 millions de visiteurs et 173 000 parcours d'assistance, soit + 65 % ;

- 2022 : 3,8 millions de visiteurs et 280 000 parcours d'assistance, soit + 62 %.70(*)

Le Ministère de l'Intérieur a mis en place la plateforme THESEE visant à permettre un dépôt de plainte en ligne pour les victimes d'arnaques sur internet. Lancée en mars 2022, la plateforme dénombrait déjà près de 60 000 déclarations en ligne mi-octobre 2022.

Face à cette recrudescence de la cybercriminalité du quotidien (92% des recherches d'assistance concernant les particuliers dont 38% pour des cas de hameçonnage71(*)), il est impératif de passer d'une logique unique de traitement des flux de victimes a posteriori à une logique préventive, sur le modèle de certains Etats occidentaux numériquement avancés.

Dans cette perspective, le Président de la République a pris l'engagement, lors de la campagne électorale de 2022, de mettre en place un filtre anti-arnaque qui « avertira en temps réel tous les usagers d'Internet avant qu'ils ne se rendent sur un site potentiellement piégé ».

Les arnaques en ligne couvertes par le dispositif sont centrées dans le faits sur les actes de cybermalveillance basés sur des tentatives de hameçonnage, qui sont qualifiables en droit des infractions prévues aux articles 226-4-1 (usurpation d'identité), 226-18 (collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite) et 323-1 (accès frauduleux à un système de traitement automatisé de données) du code pénal, ainsi qu'à l'article L. 163-4 (usage frauduleux de moyen de paiement) du code monétaire et financier.

1.2. CADRE CONSTITUTIONNEL

L'articulation entre la présente disposition et le respect de la liberté d'entreprendre, de la liberté d'expression et de la liberté de communication appelle l'intervention du pouvoir législatif au sens de l'article 34 de la Constitution, selon lequel la loi fixe notamment les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques.

Le dispositif envisagé permet à des agents de l'autorité administrative spécialement désignés et habilités à cette fin d'identifier une liste de sites malveillants et de demander aux fournisseurs de navigateur internet, à titre conservatoire, d'afficher un message d'alerte lorsqu'un utilisateur tente de se connecter à ces sites. Lorsque l'éditeur du site ne peut être identifié, l'autorité administrative peut demander aux fournisseurs de navigateur internet, aux fournisseurs d'accès internet et aux fournisseurs de systèmes de résolution de nom de domaine de prendre toute mesure pour empêcher l'accès à ce site par les utilisateurs. Pour les éditeurs de sites internet, la présence de leur site sur cette liste les expose à ce que l'internaute tentant d'y accéder soit redirigé vers un message exposant les risques encourus et que cet internaute n'accède pas au site.

Au regard de ses finalités de neutralisation préventive de la menace, le dispositif procédera à la classification du site internet puis à son filtrage immédiat et à titre conservatoire, sur la base d'une qualification préalable de son caractère manifestement malveillant par des agents de l'autorité administrative spécialement désignés et habilités à cette fin.

Par ses modalités, ce dispositif est à rapprocher du dispositif de filtrage prévu au 1° de l'article L. 521-3-1 du code de la consommation72(*), permettant aux agents de la DGCCRF d'ordonner, selon des conditions et modalités particulières73(*), aux opérateurs de plateformes en ligne, aux fournisseurs d'accès à internet ainsi qu'aux exploitants de navigateurs internet d'afficher un message avertissant les consommateurs du risque de préjudice encouru s'ils accèdent au contenu manifestement illicite, et au b du 2° du même article, qui leur permet d'ordonner à ces mêmes opérateurs et aux hébergeurs de prendre toute mesure utile destinée à limiter l'accès à ces contenus.

Ce dispositif de filtrage déjà existant permet de limiter l'accès des utilisateurs à des sites internet ou à des applications dont les contenus sont de nature à porter atteinte à la loyauté des transactions commerciales ou à l'intérêt des consommateurs, en imposant la disparition de leurs adresses électroniques dans le classement ou le référencement mis en oeuvre par les opérateurs de plateforme en ligne. La mesure ne s'applique que lorsqu'il est constaté la mise en ligne de contenus présentant un caractère manifestement illicite et que l'auteur de la pratique frauduleuse constatée sur l'interface n'a pu être identifié ou qu'il n'a pas déféré à une injonction de mise en conformité prise après une procédure contradictoire.

Le Conseil constitutionnel s'est prononcé, dans sa décision QPC n° 2022-101674(*), sur la mesure de déréférencement prévue au 2°, a), de ce même article L. 521-3-1 qui présente, par ses effets, des similitudes avec le dispositif projeté.

Au vu de la décision précitée du Conseil constitutionnel et compte tenu de la proximité du dispositif projeté avec celui examiné dans cette décision, le juge constitutionnel devrait l'appréhender selon un contrôle de proportionnalité analogue.

S'il devait juger que la disposition relative au filtre national de cybersécurité porte effectivement atteinte au libre exercice d'une activité ainsi qu'à la liberté d'expression ou de communication, il s'assurerait que ces atteintes ne sont pas pour autant contraires à la Constitution au vu, d'une part, de l'objectif d'intérêt général poursuivi (en l'espèce : nécessité d'assurer une protection en temps réel des internautes) et, d'autre part, de leur caractère adapté et proportionné à l'objectif poursuivi. Il vérifierait, sur ce dernier point, le caractère suffisant des garanties prévues par le législateur (en l'espèce, notamment : caractère manifeste des infractions, supervision du dispositif par une personnalité qualifiée disposant d'un pouvoir d'injonction, recours effectif avec effet suspensif immédiat).

En l'espèce, le dispositif de filtrage envisagé est construit en s'efforçant de reproduire soigneusement les garde-fous et garanties évoquées par la jurisprudence constitutionnelle.

Le dispositif envisagé a un champ d'application précis et limité75(*), prévoit des garanties suffisantes pour assurer la proportionnalité de la mesure, telles que la possibilité d'un recours effectif, l'intervention d'une autorité administrative indépendante chargée de contrôler l'action de l'autorité compétente76(*), ou encore la mise en place d'une procédure contradictoire préalable pendant laquelle les éditeurs de sites identifiables peuvent faire valoir leurs observations, ainsi qu'un réexamen régulier de la nécessité de la mesure77(*) (cf. 3.2.2).

1.3. CADRE CONVENTIONNEL

Les principaux textes européens visant la cybersécurité sont :

- La directive 2016/1148 NIS 178(*) destiné à assurer un niveau de sécurité des réseaux et des systèmes d'information minimal dans l'Union ;

- La directive 2022/2555 NIS 279(*) venant élargir le périmètre des secteurs soumis à la directive NIS 1 ;

- Le règlement 2019/881 CSA80(*) venant définir le statut de l'agence européenne pour la cybersécurité et venant définir un cadre commun de certification de cybersécurité.

Le dispositif proposé s'inscrit en bonne articulation avec ces différents textes ayant pour chacun des champs d'application différents de celui de la présente mesure. En effet, les directives NIS1 et NIS2 ont pour principal objectif de renforcer la sécurité des opérateurs de services essentiels (c'est-à-dire des entreprises, quel que soit leur secteur d'activité) qui opèrent un service justifiant une sécurité renforcée. Le présent dispositif est a contrario et de manière complémentaire destiné à protéger le grand public.

De même, le règlement CSA a défini un cadre de certification des produits de sécurité afin de permettre aux utilisateurs de pouvoir déterminer aisément le niveau de sécurité correspondant à un produit donné. Si ce règlement concourt à améliorer la sécurité des citoyens européens en les éclairant sur le niveau de sécurité des produits de sécurité qu'ils utilisent, il n'a pas de vocation à prescrire des moyens précis de protection des utilisateurs et se situe donc dans un champ différent de la présente mesure.

Le principe de neutralité d'Internet, consacré en droit positif par le Règlement « internet ouvert »81(*), garantit l'égalité de traitement des contenus sur Internet, et donc leur libre circulation. Il est notamment affirmé par le règlement (UE) 2015/2120 du 25 novembre 201582(*).

Le règlement (UE) 2015/2120 précité prévoit néanmoins des exceptions à ce principe, mentionnées aux considérants 13 à 15 de son préambule. En particulier, le principe ne fait pas obstacle à la mise en place de dispositifs législatifs de restriction d'accès à un service de communication au public en ligne, s'ils sont justifiés par un impératif de sauvegarde de l'ordre public. Par exemple, des dérogations au principe sont autorisées lorsqu'elles sont « nécessaires pour protéger l'intégrité et la sécurité du réseau, par exemple en prévenant les cyberattaques qui se produisent par la diffusion de logiciels malveillants ou l'usurpation d'identité des utilisateurs finaux qui résulte de l'utilisation de logiciels espions ».

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Dispositif

Périmètre

Solutions techniques

Bouclier anti-phising (Belgique)

Cybercriminalité, Cyber-arnaques, Malware

Service informatique distribué de gestion des noms de domaines (Domaine Name System) activé par défaut par les fournisseurs d'accès à internet (FAI)

Redirige le site malveillant vers une page d'avertissement hébergée par le Centre pour la Cybersécurité Belge

Canadian Shield (Canada)

Malware, Phishing, botnet, Cyber-arnaques

DNS récursif filtrant les noms de domaine

Configuration manuelle du DNS nécessaire

Quad9 (Suisse)

Logiciels malveillants, phishing, botnets, Cyber-arnaques, fraude financière

DNS récursif filtrant les noms de domaine

Configuration manuelle du DNS nécessaire

Protective DNS (Etats-Unis)

Malware, serveurs « command & control »

DNS récursif filtrant les noms de domaine

Protective DNS (Royaume Uni)

Malware, serveurs « command & control »

DNS récursif filtrant les noms de domaine

Support dédié

Dashboard pour l'organisme

Existence d'un plugin Windows 10

Servicio anti botnet (Espagne)

Réseaux zombies

Scan sur le terminal

Extension du navigateur et sur application mobile

La solution proposée s'inspire des modèles utilisant la solution DNS en particulier le modèle belge, en le complétant techniquement pour être plus exhaustif en couverture des différents moyens de navigation internet. Le modèle belge ne vise que les fournisseurs d'accès internet (FAI) quand la proposition française visera les fournisseurs d'accès internet mais également les fournisseurs de résolveurs DNS et fournisseurs de navigateurs internet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Des dispositifs de filtrage, par voie judiciaire ou administrative, existent déjà en droit positif pour protéger les internautes contre certaines catégories de contenus ou sites particulièrement préjudiciables : les contenus haineux sur internet ou les atteintes aux personnes83(*), les atteintes au droit d'auteur84(*), les pratiques commerciales déloyales, trompeuses ou agressives85(*) , l'apologie du terrorisme86(*) , la diffusion de contenus pédopornographiques87(*) et les activités en ligne de nature à altérer la sincérité des scrutins à venir88(*)

Toutefois, aucun de ces dispositifs ne vise le périmètre couvert par le dispositif proposé.

La disposition envisagée s'appuie sur le constat selon lequel il n'existe pas de précédent identifiable en droit français permettant de répondre à la préoccupation de lutter préventivement contre les actes de cybermalveillance visés par le dispositif et de façon aussi rapide et efficace que les modes opératoires standardisés, évolutifs et extrêmement réactifs des cybercriminels.

Ces derniers sont en effet organisés en de véritables entreprises, avec des fonctions RH, support et marketing dédiées, et ils recourent à des outils de phishing clés en main accessibles sur le web non indexé (dark web) à faible coût. Une campagne d'hameçonnage peut aujourd'hui être orchestrée en quelques clics, à l'aide de bases de données personnelles compromises qui servent à diffuser des messages trompeurs pour diriger les victimes vers un site internet frauduleux où elles seront par exemple incitées à effectuer des démarches, renseigner des informations personnelles sensibles ou effectuer des paiements sans contrepartie. Ces sites frauduleux sont généralement construits puis désactivés quelques heures après la diffusion massive et automatisée des messages d'hameçonnage, une fois que le cybercriminel aura estimé avoir touché un nombre suffisant de cibles.

Pour faire face à la standardisation et à l'industrialisation des pratiques des cybercriminels, il est nécessaire d'inventer un nouveau modèle de réponse en s'inspirant pour partie des dispositifs de blocages de sites illicites en vigueur et des exemples de dispositifs actuellement mis en oeuvre à l'étranger (Belgique, Canada, USA, Royaume-Uni, Espagne).

Pour ce faire, la logique retenue au sein du dispositif proposé consiste à s'inspirer de l'idée de mesures conservatoires en dotant des agents de l'autorité administrative spécialement désignés et habilités à cette fin d'un pouvoir d'injonction permettant d'imposer une mise en oeuvre immédiate du filtrage, assorti de fortes garanties procédurales ex ante et de contrôle ex post.

Plus précisément, le dispositif prévoit une procédure contradictoire préalable de cinq jours pendant laquelle l'éditeur du site concerné, à la condition qu'il soit identifiable et puisse être contacté, peut faire valoir ses observations et contester la qualification retenue tout en ne s'exposant qu'à une seule mesure conservatoire possible : l'affichage d'un message avertissant l'internaute sur les risques encourus, l'internaute restant en capacité d'accéder s'il le souhaite au site malgré ces risques.

En outre, au cours des consultations menées avec les acteurs concernés par la disposition du présent projet de loi ainsi que lors des travaux juridiques conduits au sein du groupe de travail interministériel, il est apparu qu'il est nécessaire de légiférer afin d'assurer une application proportionnée du dispositif et prévoir des garanties suffisantes en matière de protection des libertés fondamentales. Au vu de l'impact potentiel d'un tel dispositif sur les libertés d'expression et d'entreprendre garanties par la Constitution, le recours à la loi est prescrit aux termes de l'article 34 de la Constitution.

2.2. OBJECTIFS POURSUIVIS

La cybermalveillance est devenue un phénomène de masse en quelques années, qui sape la confiance des citoyens dans la société numérique. Cette menace provoque une insécurité culturelle, source de désaffiliation, qui prive de facto nos concitoyens de la possibilité d'exploiter pleinement les potentialités des technologies numériques.

Le filtre de cybersécurité a pour principal objectif de protéger les Français en limitant la capacité des cybercriminels à exploiter facilement les vecteurs habituels de diffusion d'une cyberattaque et en perturbant leurs modèles d'affaires. Le dispositif rehaussera le coût et l'effort à assumer pour attaquer nos concitoyens, ce qui aura pour effet de réduire la cybermalveillance qui vise les internautes en France.

En ce sens, l'objectif de diminution du nombre de victimes d'actes de cybermalveillance est indissociable d'un objectif d'alerte rapide aux utilisateurs.

La disposition retenue poursuit l'objectif d'assurer aussi bien la proportionnalité des atteintes aux libertés fondamentales en cause que de permettre une très forte réactivité dans la gestion des cas de blocage indus de sites légitimes.

Elle repose sur l'établissement, par des agents spécialement désignés et habilités de l'autorité administrative, d'une liste de sites manifestement cybermalveillants transmise aux fournisseurs d'accès internet (FAI), fournisseurs de résolveurs DNS et fournisseurs de navigateurs internet.

Cette liste est ensuite exploitée par ces trois catégories de professionnels pour protéger les utilisateurs contre les actions malveillantes de ces sites.

Le scénario typique contre lequel le dispositif vise à se prémunir est le suivant : un utilisateur reçoit un message (courriel, SMS) l'invitant à cliquer sur un lien imitant un service public ou un service marchand. Si l'utilisateur clique sur le lien, le site auquel il accède va le plus souvent tenter de lui soutirer des informations personnelles (informations d'état civil, informations bancaires etc.) ou tenter de compromettre le terminal de l'utilisateur.

Le dispositif mis en place vise à faire en sorte que, lorsqu'il clique sur ce lien réputé malveillant, l'utilisateur ne soit pas re-dirigé vers le site malveillant mais vers une page l'avertissant de sa tentative de connexion vers un lien malveillant.

Le dispositif mis en place repose sur deux mécanismes complémentaires :

- Dans les cas où les éditeurs de sites malveillants sont identifiables et peuvent être contactés afin d'engager une procédure de contradictoire préalable, un dispositif mis en place par les fournisseurs de navigateur à titre conservatoire pour une durée n'excédant pas sept jours, avant confirmation par l'intervention d'une nouvelle décision motivée de l'autorité administrative. L'accès à internet se fait le plus souvent au moyen d'un navigateur internet installé sur le système d'exploitation du terminal de l'utilisateur. Le dispositif mis en place prévoit que les fournisseurs de navigateur intègrent à leur navigateur une fonctionnalité qui filtre l'accès aux sites web manifestement cybermalveillants afin d'afficher un message d'avertissement contournable avant qu'une connexion vers ce site n'ait lieu. L'utilisateur reste libre, s'il le souhaite, malgré les risques dont il a été averti, d'accéder au site ;

- Dans les cas où les éditeurs de sites malveillants ne sont pas identifiables ou si le constat d'infraction est toujours valable à l'issue de la période de contradictoire, un dispositif mis en place par les FAI et les fournisseurs de résolveurs DNS : lorsqu'un utilisateur se connecte à un site web via son adresse web, encore appelée URL, (exemple : www.gouvernement.fr/test), son terminal se connecte à un résolveur DNS (fourni par son FAI ou par un fournisseur alternatif) qui transforme le nom de domaine ( www.gouvernement.fr) associé à cette adresse web en adresse IP (ex : 185.11.125.117) ce qui permettra au terminal de l'utilisateur de déterminer comment acheminer des flux vers ce site. Le dispositif mis en place prévoit que les FAI et fournisseurs de résolveurs DNS lorsqu'ils reçoivent sur leurs résolveurs une requête associée à un site manifestement cybermalveillant, ne communiquent pas l'adresse de ce site mais celle d'une page statique d'avertissement.

Définition objectif

Indicateurs

Performance cible

Horizon temporel

Taux de confiance dans le e-commerce

Améliorer la confiance des Français dans le numérique

Plus de 10 points par rapport à 2024

2025

Taux de confiance dans l'usage des services numériques de l'administration

Améliorer la confiance des Français dans le numérique

Plus de 10 points par rapport à 2024

2025

Temps moyen de déploiement du filtre pour les utilisateurs après réception du marqueur (24/7)

Alerter le plus rapidement possible les utilisateurs pour diminuer l'efficacité des cyberattaques

Cible de 4 heures maximum pour 95% des cas

2025

Baisse du nombre de dépôts de plaintes et signalements sur Thésée dans les catégories couvertes par le filtre anti arnaque

Faire baisser le nombre de victimes de « cyber arnaques »

Baisse de 15% par rapport à 2024

2025

Traitement des faux positifs

Taux de faux positifs faible (nombre de réclamations annuelles sur nombre de marqueurs moyens)

Taux de faux positif < 1%

2025

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

3.1.1. Dispositifs incitatifs et librement consentis par les acteurs

Le scénario consistant à opter pour des dispositifs incitatifs se heurte à des difficultés tenant à un niveau insuffisant de maturité de la population générale par rapport au risque cyber, si bien que l'incertitude pesant sur l'adoption desdits dispositifs compromettrait l'objectif de protection recherché. Il en va notamment ainsi d'une option consistant pour les pouvoirs publics à développer une application ou une extension dédiée pour un navigateur web ou un terminal qui ne permettrait pas de couvrir de manière large l'ensemble de la population.

3.1.2. Agir sur le routage du trafic

Une autre solution technique permettant d'empêcher l'accès à un site internet consiste à intervenir sur les règles de transmission (routage) des flux sur internet pour empêcher l'acheminement des flux vers les sites cybermalveillants.

Les solutions reposant sur une modification des règles de transmission des flux n'ont pas été retenues dans la mesure où elles engendrent des risques importants en matière d'acheminement du trafic légitime en cas d'erreur dans la configuration des règles de filtrage89(*).

3.1.3. Agir en s'appuyant sur les seuls systèmes de résolution DNS des FAI

Cette solution consiste à s'appuyer sur le système de gestion des noms de domaines des fournisseurs d'accès à internet. Elle consiste à transmettre au client une réponse différente de celle stockée par le serveur de nom faisant autorité.

Le filtre serait alors opéré uniquement au niveau du fournisseur d'accès à internet et serait transparent pour le bénéficiaire.

Cette solution présente l'avantage d'un déploiement rapide avec un taux de couverture large, l'adossement à une infrastructure existante permettant de réduire les coûts et de faciliter l'implémentation technique à court terme.

Les infrastructures des opérateurs télécoms disposent d'une capacité native à absorber la charge de traitement des sites cybermalveillants signalés et cette solution permet, le cas échéant, un élargissement de la couverture vers d'autres menaces (command & control, machines zombies).

Toutefois, elle présente plusieurs limites qui ont conduit à ne pas pouvoir la considérer comme auto-suffisante :

- Précision limitée du filtrage (au niveau du domaine et non d'une adresse complète - URL), qui conduit à couvrir nécessairement moins de menaces afin de prévenir les phénomènes de sur-blocage ;

- Evolution de marché tendant à une décroissance du recours aux DNS des opérateurs au profit du protocole DNS over HTTPS (DoH) ;

- Impossibilité d'afficher la page d'avertissement en cas de requête adressée vers un site HTTPS (50% des cas), mais affichage d'une page d'erreur tant que certaines extensions au protocole DNS, qui sont actuellement en cours de développement, n'auront pas été implémentées.

3.1.4. Agir en s'appuyant sur les seuls navigateurs internet

Cette solution consiste à s'appuyer sur les services de détection et de filtrage des domaines et des sites malveillants intégrés au sein des navigateurs internet (ex : Google Safe Browsing, Microsoft SmartScreen). Elle présente des avantages similaires à la solution de filtrage reposant sur le système de résolution DNS des fournisseurs d'accès à internet en matière de déploiement, d'adossement à une infrastructure existante et d'absorption de la charge.

La possibilité d'une meilleure précision de filtrage, d'un filtrage effectif sur n'importe quel navigateur et l'absence de restriction d'affichage de la page d'avertissement constituent en outre des avantages supplémentaires.

Toutefois, l'implémentation technique de cette solution est jugée plus complexe et plus longue à mettre en oeuvre que la solution DNS, si bien qu'elle n'a pas pu être considérée comme une solution auto-suffisante.

3.2. OPTION RETENUE

Les principes de fonctionnement du dispositif retenu sont les suivants : réactif, accessible, gratuit, simple à utiliser, et reposant essentiellement sur une réorientation de l'internaute vers une page de signalement en lieu et place du site cybermalveillant.

3.2.1. En dehors de la loi

Le dispositif reposera sur une base technologique socle permettant d'agréger les noms de domaine et adresses de sites préalablement signalés comme cybermalveillants par un groupe d'acteurs publics et privés spécialisés et reconnus dans la lutte contre la cybercriminalité ou susceptibles de collecter des informations sectorielles pertinentes, certains d'entre eux pouvant être assimilés aux « signaleurs de confiance » au sens du règlement sur les services numériques (DSA), avant vérification du caractère manifestement cybermalveillant par l'autorité administrative chargée d'émettre les injonctions de filtrage.

Acteurs publics :

- Direction générale de la concurrence, de la consommation et de la répression des fraudes qui a pour mission d'enquêter et de sanctionner les pratiques commerciales abusives, mensongères ou trompeuses, visant particuliers et entreprises ;

- Autorité de contrôle prudentiel et de résolution qui, dans sa mission de protection des particuliers, émet des alertes et publie une liste d'acteurs non autorisés à prester en matière bancaire ou assurantiel ;

- Autorité des marchés financiers qui, dans sa mission de mise en garde des épargnants, dispose d'une liste noire des sites non autorisés ;

- Sous-direction de la lutte contre la cybercriminalité de la police nationale, composée de 150 agents répartis entre l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), d'une division de la preuve numérique, d'une division de l'anticipation et de l'analyse et d'un bureau de coordination stratégique ;

- Commandement de la gendarmerie dans le cyberespace (COMCyberGEND), qui vise à animer, coordonner et renforcer les capacités de la gendarmerie dans le domaine cyber, à travers quatre divisions fonctionnelles (proximité numérique, enquête numériques, appui aux opérations numériques et stratégie, prospective et partenariats) ;

- Agence nationale de la sécurité des systèmes d'information (ANSSI) ;

- Groupement d'intérêt public « action contre la cybermalveillance » (ACYMA) dont les membres institutionnels sont : le ministère de l'Intérieur, le ministère de la Justice, le ministère de l'Économie et des Finances, le ministère de l'Education, le ministère des Armées, l'Agence nationale de sécurité des systèmes d'informations, et qui opère la plateforme de prévention et d'assistance aux victimes « cybermalveillance.gouv.fr » ;

- Mission d'appui au patrimoine immatériel de l'Etat qui propose un accompagnement stratégique et opérationnel aux services de l'État concernant les actifs immatériels.

Acteurs privés chargés de missions d'intérêt public :

- L'association loi de 1901 « Signal Spam » qui exploite un service de signalement des mails indésirables.

Ces acteurs alimenteront dans un premier temps la base socle au travers des signalements de sites cybermalveillants.

Les faux sites visés en priorité par le filtre anti-arnaque se présentent sous la forme de :

- Typo-squatting : consiste à usurper à des fins d'escroquerie le nom et l'apparence d'un site en vue de commettre un acte de cybermalveillance ;

- Phishing : vise à leurrer dans l'offre d'un service en vue d'un vol de données personnelles ou d'identifiants en ligne, à des fins d'attaque ou d'escroquerie ultérieures ou d'utilisation frauduleuse des moyens de paiement.

3.2.2. Dans la loi

Conformément à l'analyse réalisée par le groupe de travail des différentes options techniques envisageables, la solution retenue permet d'engager en parallèle le déploiement d'une solution de filtrage s'appuyant sur la résolution de noms de domaine par les résolveurs DNS des fournisseurs d'accès à internet (FAI) et le déploiement d'une solution de filtrage s'appuyant sur les services proposés par les éditeurs de navigateur internet.

Ce déploiement simultané est justifié par l'existence d'avantages et d'inconvénients liés à ces deux solutions techniques et à la nécessité de minimiser les risques de mise en oeuvre en faisant levier sur leur complémentarité, dans une logique itérative.

Le dispositif envisagé doit fonctionner en deux temps, avec un filtrage immédiat à titre conservatoire pour une durée limitée, et une confirmation de la mesure à l'issue d'un contradictoire plus renforcé.

Un premier constat de cyber malveillance sera délivré par un agent spécialement désigné et habilité de l'autorité administrative. Celle-ci le notifiera immédiatement à l'éditeur du site concerné, sous réserve qu'il ait mis à disposition des informations de contact le permettant, afin qu'il puisse faire valoir ses observations dans un délai de cinq jours. Simultanément, l'autorité administrative notifiera l'adresse du site aux fournisseurs de navigateurs en vue de l'affichage sans délai d'un message d'avertissement pendant une durée de sept jours. Pendant cette période, l'utilisateur reste libre d'accéder au site malgré les risques encourus dont il a été averti.

Si, après avoir pris connaissance des observations de l'éditeur du site, l'autorité administrative constate l'absence d'infraction, elle devra demander sans délai la levée des mesures conservatoires.

Si les observations ne remettent pas en cause le constat de l'existence d'une infraction, ou en l'absence d'observations dans le délai imparti, ou si l'éditeur n'avait pas publié ses coordonnées, l'autorité administrative pourra adopter une décision motivée, qu'elle notifiera à l'éditeur si elle a ses coordonnées, par laquelle elle demandera aux FAI, aux fournisseurs de système de résolution de noms de domaine et aux fournisseurs de logiciels de navigation, de bloquer l'accès au site. Elle pourra demander à tout instant aux personnes concernées de lever les mesures de blocage/filtrage s'il apparaît que le constat sur lequel elles étaient fondées n'est plus valable.

Les notifications et la liste de sites cyber-malveillants ayant fait l'objet de ces mesures seront transmises sans délai à une personnalité qualifiée désignée au sein de la CNIL, qui s'assurera de leur régularité et pourra recommander de mettre fin aux mesures conservatoires et/ou de blocage/filtrage. Cette personnalité qualifiée pourra saisir le collège de la CNIL, lorsque l'enjeu le justifie, et pourra à tout moment enjoindre l'autorité administrative de mettre fin aux mesures qu'elle a prises sur la base du constat de cybermalveillance.

Lorsque l'éditeur du site en cause saisit la personnalité qualifiée désignée au sein de la CNIL d'un recours, les mesures de blocage sont immédiatement suspendues le temps de l'instruction de ce recours.

Conformément aux recommandations techniques, la disposition inclut dès lors les FAI, les fournisseurs de système de résolution de noms de domaine et les éditeurs de navigateurs internet dans le champ des acteurs auxquels l'autorité administrative peut adresser des injonctions à filtrer les domaines et URL qu'elle a préalablement qualifiés comme malveillants.

Il s'agit de se placer dans des situations de risque de cyber malveillance limité aux tentatives de phishing, où l'autorité administrative a relevé des agissements caractérisés et manifestement constitutifs d'une infraction.

Afin de pouvoir faire un lien suffisamment direct entre le contenu de la page concernée et l'existence d'une infraction, il est proposé de s'appuyer sur les infractions mentionnées aux articles 226-4-1 (usurpation d'identité), 226-18 (collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite) et 323-1 (accès frauduleux à un système de traitement automatisé de données) du code pénal, ainsi qu'à l'article L. 163-4 (usage frauduleux de moyen de paiement) du code monétaire et financier, qui sont généralement retenues par le juge dans les affaires de hameçonnage.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

La mesure envisagée crée un nouvel article 12 au sein de la loi pour la confiance en l'économie numérique.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

La mise en oeuvre de la solution de filtrage consistant à s'appuyer sur les navigateurs internet nécessitera de faire reconnaître une dérogation au « principe du pays d'origine » tel qu'établi dans la directive 2000/31/CE90(*) dite « e-commerce » pour les services de la société de l'information et de notifier les dispositions en cause à la Commission européenne.

En effet, les principaux exploitants de navigateurs utilisés sont Google, Microsoft, Apple et Mozilla, et ces exploitants ont établi leur siège social européen hors de France, ce qui les rend justiciables, en vertu du principe du pays d'origine, de la juridiction de l'Etat membre où le siège social est implanté.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

La mise à disposition d'un filtre anti-arnaque sous la forme d'un service public accessible gratuitement pourrait permettre une réduction importante du nombre de cyber arnaques.

Le dispositif devrait également avoir un effet positif sur la posture cyber générale de la population et conduire à un accroissement de la vigilance individuelle face au risque cyber, engendrant ainsi un renforcement de la confiance dans l'économie numérique.

Un effet parallèle pourrait être la réduction du coût des polices d'assurances (notamment bancaire) et ce faisant un soutien indirect au développement de polices d'assurance destinées à couvrir le risque cyber.

Enfin, le renforcement de la mutualisation de la connaissance sur les sites cybermalveillants entre les différents services de l'Etat intervenant sur ces questions aura un effet positif sur l'efficacité des services de l'Etat intervenant dans le domaine cyber.

4.2.2. Impacts sur les entreprises

L'impact sur les entreprises se limiterait à un impact sectoriel visant les fournisseurs d'accès à internet (FAI), les fournisseurs de systèmes de résolution de domaine et les navigateurs.

Les fournisseurs d'accès à internet auraient à charge d'assurer le déploiement des listes de sites transmises en s'appuyant sur leurs solutions de filtrage existantes s'appuyant sur leurs résolveurs DNS.

Les éditeurs de navigateur internet auraient à charge d'assurer le déploiement d'une solution de filtrage s'appuyant sur leurs services préexistants (ex : Google Safe Browsing, Microsoft SmartScreen).

Les FAI, résolveurs et navigateurs auraient également à assurer la bonne application et le suivi du blocage ou du message d'alerte sur la base des notifications, confirmations et/ou demandes de levées provenant de l'autorité administrative en charge du filtre anti-arnaque.

L'impact sur ces entreprises serait similaire à celui demandé aux fournisseurs d'accès internet dans le cas d'autres dispositifs impliquant des mesures de filtrage pour lutter contre les contenus haineux sur internet ou les atteintes aux personnes91(*), les atteintes au droit d'auteur92(*), les pratiques commerciales déloyales, trompeuses ou agressives93(*), l'apologie du terrorisme94(*), la diffusion de contenus pédopornographiques95(*) et les activités en ligne de nature à altérer la sincérité des scrutins à venir96(*).

4.2.3. Impacts budgétaires

D'après le bilan qui a été dressé par le groupe de travail et le GIP ACYMA, le coût de développement du service par l'autorité administrative est estimé à 1 115 000 euros pour ce qui est de l'investissement initial, sans inclure les frais de maintenance pour l'année 2023 et 2024.

4.3. IMPACTS SUR LES SERVICES ADMINISTRATIFS

L'autorité administrative qui sera désignée par voie réglementaire pour piloter la mise en place du dispositif devra être dotée des moyens humains nécessaires à la réalisation de ses missions : pilotage du développement et de la maintenance de l'outil informatique, contrôles devant être effectués pour vérifier les blocages, vérification de la qualité des données transmises, etc.

4.4. IMPACTS SUR LES PARTICULIERS

Le dispositif aura pour effet positif d'offrir aux particuliers une protection renforcée lors de leurs activités en ligne et d'accroître leur confiance dans les services numériques.

Toutes choses égales par ailleurs, la mise en place du filtre de cybersécurité devrait ainsi permettre une réduction significative du nombre de particuliers qui sont victimes d'actes de cybercriminalité, et notamment de tentatives d'hameçonnage.

Les atteintes à la liberté de navigation des particuliers seront limitées dans la mesure où l'accès ne sera filtré que si la requête mène vers un site inscrit sur la liste noire de sites qualifiés comme manifestement cybermalveillants par l'autorité administrative compétente.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Pour préparer la mise en oeuvre de cette mesure, le ministre délégué chargé de la Transition numérique et des Télécommunications a demandé à un groupe de travail interministériel d'évaluer les enjeux techniques, juridiques, organisationnels et budgétaires devant éclairer la décision politique.

Conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL a été saisie pour avis sur ce dispositif

L'Arcep a également été consultée sur la base de l'article L. 36-5 du code des postes et des communications électroniques, dès lors qu'elle est envisagée comme autorité administrative indépendante au sein de laquelle une personnalité qualifiée sera en charge de la supervision du dispositif.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Le dispositif entrera en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française. Il ne sera applicable qu'à compter du lendemain de la publication du texte d'application au Journal officiel de la République française. 

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues par l'ordonnance prévue à l'article 25 du présent projet de loi. 

5.2.3. Textes d'application

Les modalités d'application du dispositif seront précisées par décret en Conseil d'Etat, notamment le contenu et les modalités de présentation du message d'avertissement ainsi que la désignation de l'autorité administrative compétente pour qualifier les sites devant être intégrés aux solutions de filtrage.

TITRE III - RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE

CHAPITRE IER - PRATIQUES COMMERCIALES DÉLOYALES ENTRE ENTREPRISES SUR LE MARCHÉ DE L'INFORMATIQUE EN NUAGE

Article 7 - Encadrement des frais de transfert et des crédits d'informatique en nuage

I- Encadrement des crédits d'informatique en nuage

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le marché des services d'informatique en nuage revêt une importance stratégique en matière de souveraineté numérique et de compétitivité économique, en particulier au regard de la forte croissance anticipée au cours des prochaines années :

- Au niveau mondial : le marché du cloud public s'élève à environ 384 milliards d'euros en 202297(*) (il s'agit du segment le plus dynamique) et l'écosystème cloud dans son ensemble pèsera environ 1 247 milliards d'euros en 202598(*) ;

- En Europe : les revenus du marché du cloud étaient de 65 milliards d'euros en 202199(*) et pourraient atteindre 560 milliards d'euros en 2030, soit près de 10 fois plus qu'en 2021100(*) ;

En France : les revenus du marché du cloud étaient de 16 milliards d'euros en 2021 et pourraient atteindre 27 milliards d'euros en 2027101(*). La croissance annuelle devrait donc être en moyenne de 14%.

Toutefois, un enjeu de rattrapage du retard de l'économie et des entreprises françaises en matière d'adoption des services d'informatique en nuage se pose. Les entreprises françaises utilisent peu l'informatique en nuage par rapport à l'ensemble des entreprises européennes : en 2021, le pourcentage d'entreprises qui utilisent des services d'informatique en nuage est de 41% dans l'ensemble de l'Union Européenne contre seulement 29% en France102(*). Il ressort que ce sont les petites et moyennes entreprises (PME) qui sont les moins bien équipées avec en moyenne 53% des entreprises de taille intermédiaire et 38% des petites entreprises qui utilisent l'informatique en nuage, en Europe103(*). Pourtant, l'utilisation de l'informatique en nuage est un vecteur central de compétitivité pour les entreprises utilisatrices, en leur permettant de bénéficier de nombreux avantages : optimisation des coûts informatiques, accès à des produits et services compétitifs de nature à favoriser l'innovation, meilleure protection contre les risques cyber, etc.

Il apparaît nécessaire d'assurer des conditions favorables au recours accru aux solutions d'informatique en nuage pour l'ensemble des entreprises, et en particulier des PMEs françaises et européennes.

Ainsi, la concentration du marché de l'informatique en nuage autour d'un nombre restreint d'acteurs (cf. graphique n°1) - en France, 71% des parts de marché sont détenues par les trois fournisseurs dominants : AWS possède 46% des parts de marché, Azure (Microsoft) 17% et Google Cloud Platform (GCP) 8%104(*) - appelle à un encadrement des pratiques commerciales restrictives afin de mettre fin à l'enfermement propriétaire au sein de l'environnement des fournisseurs dominants, et de renforcer la liberté de choix des entreprises utilisatrices.

Graphique 1 : les principaux acteurs du marché du cloud au niveau mondial.

Source : « Cloud : 10 acteurs se partagent 77% du marché », Siècle Digital (6 avril 2021).

Les autres fournisseurs américains et européens se partagent les 29 % restants du marché. Il s'agit notamment d'OVHcloud, IBM, Oracle, Orange Business Services, Scaleway, T-Systems, 3D Outscale (groupe Dassault), Capgemini et Atos. Ces acteurs minoritaires ont réalisé une croissance de 23% en 2021105(*). Ces plus petits fournisseurs se concentrent sur des segments spécifiques du marché quand les fournisseurs dominants sont présents sur toutes les couches de l'informatique en nuage. Ils sont notamment spécialisés dans la cybersécurité, les plateformes applicatives, le cloud souverain, la gestion de cloud hybride et du multicloud.

La pratique consistant à offrir des services gratuits pendant une certaine période, par le biais de crédits, est courante sur le marché de l'informatique en nuage, mais elle n'est ni réglementée ni transparente. Bien que l'octroi de crédits d'informatique en nuage puisse constituer une pratique vertueuse, en favorisant l'adoption des technologies d'informatique en nuage pour les entreprises et administrations ayant des contraintes économiques importantes, le déséquilibre concurrentiel observé sur le marché de la prestation de services appelle à un encadrement.

Au regard de la nécessité de maintenir un environnement concurrentiel favorisant l'innovation et la compétitivité, il apparaît nécessaire de limiter les effets pervers engendrés par l'absence d'encadrement des crédits cloud, au bénéfice des utilisateurs ainsi que des fournisseurs de service.

Les avoirs d'informatique en nuage faussent le libre jeu de la concurrence sur le marché, en incitant les utilisateurs, dans les conditions d'utilisation, à choisir des services, non sur la base de critères objectifs, mais en fonction du fournisseur dont l'offre d'avoirs sera la plus généreuse, au détriment de leur compétitivité, et plus globalement de l'innovation. Cette pratique introduite par ces fournisseurs dominants fait désormais partie intégrante des pratiques de marché attendues par les utilisateurs, obligeant l'ensemble des acteurs du marché à proposer ces offres gratuites. En outre, les fournisseurs de services dominants visent en particulier les utilisateurs les plus contraints en matière de ressources financières à consacrer aux dépenses informatiques, en particulier les start-ups françaises prometteuses, pour lesquels ces avoirs sont particulièrement attractifs. À titre d'exemple, les start-ups prennent davantage en compte la gratuité des offres que le prix réel de la solution d'informatique en nuage qui devra être payée, une fois les avoirs d'informatique en nuage épuisés. Ce manque de corrélation entre le coût effectif des services proposés et le prix payé par l'utilisateur engendre un risque de surdimensionnement des besoins réels des utilisateurs et fait peser un risque économique sur les plus petits acteurs bénéficiant de ces avoirs.

Par ailleurs, les fournisseurs d'informatique en nuage dominants exploitent leur puissance de marché pour proposer des avoirs d'informatique en nuage dont les montants sont inégalables pour les fournisseurs de services d'informatique en nuage concurrents, posant un véritable enjeu de concurrence.

Les avoirs d'informatique en nuage sont également utilisés par les fournisseurs de services pour retenir les utilisateurs, et les dissuader de recourir aux services de fournisseurs concurrents. Ainsi, certains grands fournisseurs d'informatique en nuage ont compensé l'augmentation du prix de certaines de leurs licences en proposant des avoirs d'informatique en nuage pour leurs couches logicielles plus basses. D'autres fournisseurs ont été amenés à renforcer leurs offres d'avoirs d'informatique en nuage avec l'objectif de rester compétitifs avec les fournisseurs dominants sur le marché, au détriment de l'innovation et de la qualité des services qui sont commercialisés.

Les pratiques des fournisseurs de service concernant les avoirs d'informatique en nuage diffèrent de manière substantielle en matière de volumes, en particulier au regard du déséquilibre concurrentiel observé sur le marché : jusqu'à 100 000 dollars sur un an offerts par AWS106(*) et Google107(*), 150 000 dollars par Azure108(*), 500 dollars et 70% de réduction offerts pendant les deux premières années pour toutes les start-ups par Oracle109(*) ; contre maximum 36 000 dollars sur un an offerts par Scaleway110(*) et pour maximum 50 start-ups sélectionnées. En outre, les montants affichés peuvent s'avérer plus élevés en pratique et ne comprennent pas toujours l'intégralité des avantages proposés, tels que l'offre de services supplémentaires gratuits, le renouvellement des programmes d'avoirs à des étapes stratégiques de la relation commerciale, ou encore la mise à disposition d'équivalent temps plein (ETP) gratuitement pour assurer le support technique et l'accompagnement, pendant un certain nombre de mois. Les divergences en matière d'octroi d'avoirs se traduisent ainsi aussi bien en matière de fréquence et de volume de distribution, que de nombre de bénéficiaires concernés.

Ces avoirs sont également étalés dans le temps, le plus souvent sur 1 an, dépassant ainsi la simple période d'essai. Pendant cette période, les start-ups, principales bénéficiaires de ces offres, disposent des délais nécessaires pour développer leurs activités commerciales avec les outils du primo-fournisseur, générer des données (création de valeur) et monter en compétence sur l'utilisation des outils. Conjugué à l'obstacle commercial à la migration engendré par la facturation de frais de transfert dissuasifs (cf. infra), les start-ups se retrouvent captives du primo-fournisseur d'informatique en nuage. En France, 71 % des start-ups utilisaient des services d'informatique en nuage en 2020111(*). Au regard des volumes distribués par les fournisseurs de services dominants, cela signifie qu'a minima la moitié des start-ups françaises pourraient faire l'objet de pratiques d'enfermement propriétaire, au détriment de la concurrence sur le marché et de l'innovation (cf. tableau n° 1).

Tableau 1 : les start-ups et le cloud en France en 2019 et 2020.

 

2019

2020

Pourcentage de start-ups qui utilisent le cloud

57 %

71 %

Pourcentage d'entreprises qui sont des start-ups et qui utilisent le cloud

0,9 %

1,4 %

Source : enquêtes TIC entreprises 2020 et 2021, Insee (traitement DGE).

1.2. CADRE CONSTITUTIONNEL

Dans l'hypothèse où le juge constitutionnel examinerait la constitutionnalité de dispositions de droit national prises pour renforcer les conditions d'équité du marché de l'informatique en nuage, le présent article ne présente pas de risque de contrariété avec une règle ou norme de valeur constitutionnelle.

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique préjudiciable et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus (Décision n° 2012-280 QPC, 12 octobre 2012, cons. 11), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de la capacité préservée des fournisseurs à proposer d'autres offres commerciales et promotionnelles

Afin de préserver la liberté d'entreprendre des fournisseurs de service d'informatique en nuage, l'encadrement des avoirs d'informatique en nuage prévoit l'exclusion de toute autre offre promotionnelle commerciale du champ d'application de la mesure au travers de l'utilisation du terme « avoir d'informatique en nuage ». Ainsi, des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées.

1.3. CADRE CONVENTIONNEL

Les travaux européens vont dans le sens d'un encadrement renforcé du marché de l'informatique en nuage. En atteste, le projet de règlement sur les données (Data Act)112(*), qui prévoit des dispositions visant à lever les barrières commerciales et techniques à la migration, par un encadrement renforcé des services d'informatique en nuage, à l'instar de la suppression des frais liés au transfert de données et à la migration (article 25), ou de l'encadrement des conditions contractuelles liées à la migration (articles 23 et 24). Toutefois, malgré le travail de conviction mené par les autorités françaises dans le cadre des négociations du projet de règlement, l'encadrement des avoirs d'informatique en nuage est insuffisamment traité dans les mandats de négociation adoptés respectivement au Conseil et au Parlement européen.

Par ailleurs, d'autres travaux européens, et non-européens, notamment de l'Autorité de la concurrence néerlandaise (août 2022)113(*) et de la Chambre des représentants des Etats-Unis (2020)114(*), identifient les avoirs d'informatique en nuage comme un phénomène qui participe à l'enfermement propriétaire des utilisateurs et au maintien de fortes barrières à l'entrée du marché des services d'informatique en nuage.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe selon lequel les Etats membres ne peuvent restreindre la libre prestation des services de la société de l'information en Europe pour des raisons relevant du domaine coordonné. Si le cadre général repose sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union, celui-ci prévoit des possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Par ailleurs, est précisé au i de l'article 2 de la même directive que le domaine coordonné a trait aux exigences que le prestataire doit satisfaire et qui concernent l'accès à l'activité d'un service, ou l'exercice de l'activité d'un service « telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service ». Compte tenu de la nature de l'encadrement des crédits d'informatique en nuage proposé, qui ne modifie ni le contenu, ni la qualité du service, la présente mesure ne relève pas du domaine coordonné et, par conséquent, ne constitue pas une entrave à la libre prestation de service et au principe du pays d'origine au sens de la directive 2000/31. 

En outre, la mesure visant à l'encadrement des avoirs d'informatique en nuage répond à la condition de proportionnalité nécessaire à justifier une dérogation aux principes de libre prestation et du pays d'origine : la capacité des fournisseurs à proposer d'autres offres commerciales et promotionnelles est préservée ainsi que la possibilité laissée aux fournisseurs de renouveler ces crédits. Le champ de la mesure d'encadrement est strictement rapporté à celui des avoirs d'informatique en nuage et exclue toutes autres catégories d'offres promotionnelles et commerciales. Ainsi, des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées.

Enfin, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»115(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la France.Le gouvernement est à cet égard résolument engagé à soutenir la compétitivité du marché français et vise à un rééquilibrage des conditions de concurrence entre les fournisseurs. Cette stratégie nationale pour le cloud116(*), présentée en novembre 2021, se déploie sur trois piliers essentiels : la doctrine d'informatique en nuage au centre, qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance. L'évolution du contexte réglementaire européen (règlement sur les marchés numériques117(*) et règlement sur les données118(*) notamment) fournit aujourd'hui l'opportunité de disposer d'un levier économique supplémentaire puissant : la mise en oeuvre de mesures de rétablissement des conditions de concurrence équitables entre les fournisseurs en mettant fin aux pratiques commerciales et techniques déloyales employées par certains fournisseurs. . Le fluidification du marché français du cloud, passant par un desserrement des contraintes associées à la migration d'un fournisseur à un autre pour un client, se concrétisera par l'instauration de mesures ayant trait à l'environnement commercial et technique dans lequel les services de cloud se déploient . Le levier réglementaire pour supprimer les obstacles économiques et commerciaux à la migration s'avère à ce titre indispensable. De plus, la mesure envisagée en matière d'encadrement des avoirs d'informatique en nuage est nécessaire à la préservation de l'ordre public économique, en ce qu'elle garantit le rétablissement de conditions équitables entre les fournisseurs de services d'informatique en nuage et les utilisateurs.

De plus, les entreprises, notamment les petites et moyennes, sont amenées à utiliser massivement les services d'informatique en nuage pour réaliser leur transition numérique, facteur central de compétitivité. La forte dépendance vis-à-vis des acteurs américains pose donc un réel enjeu de souveraineté numérique.

La Commission européenne met en avant dans différentes études (notamment l'étude d'impact de la proposition de règlement sur les données119(*)) que les barrières à la migration et les pratiques déloyales qui entraînent la captivité des entreprises au sein des écosystèmes d'informatique en nuage des grands fournisseurs ont pour effet direct de réduire la concurrence, le choix des consommateurs et d'augmenter les prix.

En outre, le rapport d'information n° 755 (2021-2022) déposé le 6 juillet 2022 au nom de la commission des affaires économiques du Sénat (Mmes Sophie Primas, Amel Cacquerre et M. Franck Montaugé) souligne que les stratégies d'octroi de crédits cloud constituent un levier pour les grands fournisseurs destiné à capter des parts de marchés dès la création de jeunes entreprises innovantes120(*).

Ainsi, il est nécessaire d'encadrer les avoirs d'informatique en nuage afin d'harmoniser les pratiques, rétablir des conditions commerciales équitables entre les fournisseurs sur le marché de l'informatique en nuage, à la faveur d'un marché plus compétitif et innovant.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

2.2. OBJECTIFS POURSUIVIS

L'encadrement de cette pratique prédatrice de marché vise à rétablir des conditions de concurrence équitables entre les fournisseurs. D'une part, encadrer les avoirs d'informatique en nuage vise à rétablir des conditions équitables entre les fournisseurs de services d'informatique en nuage qui bénéficieront de conditions de marché plus saines. Sans de tels avoirs, les entreprises utilisatrices seront incitées à identifier les outils dont elles ont réellement besoin (sans être obligées d'acheter des offres groupées standards) et à comparer les coûts réels, entre les services proposés par les différents fournisseurs. D'autre part, encadrer les avoirs d'informatique en nuage a pour objectif d'assurer une liberté de choix aux entreprises françaises pour mener leur stratégie d'informatique en nuage ainsi qu'une indépendance technologique vis-à-vis des grands fournisseurs.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Option 1 : Interdiction d'octroyer des avoirs d'informatique en nuage (écartée)

Une interdiction pour les fournisseurs de services d'informatique en nuage de distribuer des avoirs d'informatique en nuage a été envisagée mais rapidement écartée en raison de l'incompatibilité avec le principe de liberté commerciale et de l'impératif de proportionnalité de la mesure.

Option 2 : Encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs (écartée)

Un encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs a été envisagé. Une limite de montant autorisé d'avoirs d'informatique en nuage par entreprise bénéficiaire aurait été fixée par décret. L'option a été écartée en raison de la difficulté de déterminer un montant-plafond pertinent pour l'ensemble des situations contractuelles entre les fournisseurs de services d'informatique en nuage et les entreprises.

Option 3 : Encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs et temporels (écartée)

Un encadrement des avoirs d'informatique en nuage au moyen de plafond quantitatifs et temporels a été envisagé afin d'éviter que les fournisseurs de services d'informatique en nuage ne contournent une mesure d'encadrement des avoirs d'informatique en nuage en compensant une limite de montant par des avoirs d'informatique en nuage qui s'étalent sur les premières années du contrat ou inversement. L'option a été écartée pour les mêmes raisons qui ont conclu à écarter l'option 2. En outre, il n'est pas forcément nécessaire d'encadrer les avoirs d'informatique en nuage au moyen d'un double plafond car le montant importe moins dans le cas d'une limite temporelle.

Option 4 : Encadrement des avoirs d'informatique en nuage au moyen de plafond temporels (retenue)

3.2. OPTION RETENUE

L'option retenue pour encadrer les avoirs d'informatique en nuage est de limiter la durée pendant laquelle les fournisseurs pourraient proposer de tels avantages financiers. La loi renvoie au décret pour définir ce seuil temporel.

Cet encadrement temporel évite les avoirs d'informatique en nuage ou avantages financiers équivalents étendus sur les premières années du contrat, ce qui permet de maintenir une logique d'offres d'essai. L'actuelle absence d'encadrement des délais durant lesquels les entreprises bénéficient de ces avoirs d'informatique en nuage les désincite à véritablement évaluer leurs besoins en matière de services d'informatique en nuage, résultant in fine en une surconsommation de services d'informatique en nuage qui se révèlent trop onéreux une fois les réductions expirées.

Cette orientation élude la question de la détermination du montant-plafond tout en assurant l'efficacité du dispositif, se rapprochant d'une logique d'offres d'essai. En outre, le montant importe moins dans le cas d'une limite en durée. Par exemple, 100 000€ d'avoirs ne peuvent être utilisés par des jeunes entreprises en 1 ou 2 mois car celles-ci ne sont pas encore assez développées ni ne génèrent assez de données pour utiliser un tel montant durant une courte période de temps. Les offres promotionnelles seraient limitées dans le temps et par entreprise bénéficiaire afin d'éviter tout phénomène de contournement de la mesure au travers de multiples contractualisations.

Dans le cadre de l'option retenue, l'encadrement des avoirs d'informatique en nuage s'applique à l'ensemble des avoirs qui peuvent être proposés au cours de la relation commerciale, à la signature du contrat mais également à toute étape du contrat si l'utilisateur n'en a pas bénéficié au préalable, ou si l'avoir d'informatique en nuage est renouvelé dans les conditions prévues par l'encadrement. Afin de préserver la liberté commerciale des fournisseurs de service d'informatique en nuage, le dispositif exclut les autres offres promotionnelles commerciales du champ d'application de la mesure au travers de l'utilisation de la terminologie « avoir d'informatique en nuage ». Ainsi, encadrer la pratique des avoirs d'informatique en nuage en durée et clarifier que ceux-ci n'incluent pas d'autres avantages promotionnels permet d'assurer la proportionnalité du dispositif car des offres commerciales promotionnelles et temporaires pendant l'exécution du contrat pourront continuer à être proposées ce qui préserve la liberté commerciale des fournisseurs d'informatique en nuage. Par ailleurs, afin d'assurer la proportionnalité du dispositif au regard de la situation concurrentielle sur le marché, la mesure envisagée prévoit la possibilité de renouveler l'offre d'avoirs dans des conditions précisément définies par décret.

Le non-respect de l'interdiction de distribuer des avoirs d'informatique en nuage ou d'avantages financiers équivalents qui dépassent la durée définie par décret est passible d'une amende administrative dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d'euros pour une personne morale. Le maximum de l'amende encourue est porté à 400 000 euros pour une personne physique et deux millions d'euros pour une personne morale en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

La création d'un dispositif d'encadrement des avoirs d'informatique en nuage implique l'ajout d'un nouvel article L. 442-12, après l'article L. 442-11 du code de commerce. En particulier, il convient de créer ce nouvel article pour prévoir les définitions (« service d'informatique en nuage » et « avoir d'informatique en nuage ») ainsi que l'encadrement des avoirs d'informatique en nuage et les sanctions encourues.

Un décret en Conseil d'Etat précisera la durée de validité des avoirs d'informatique en nuage et les conditions dans lesquelles ceux-ci peuvent être renouvelés.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Dans le cadre des négociations européennes du projet de règlement sur les données au Conseil, les autorités françaises ont défendu l'encadrement des crédits cloud.

En outre, cette disposition ne rentre pas en contradiction avec le cadre juridique, et s'inscrit dans une logique d'aiguillon des négociations européennes en cours, afin de positionner la France comme cheffe de fil de la réflexion.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Les revenus du marché de l'informatique en nuage s'élèvent à 16 milliards d'euros en 2021 et les fournisseurs français représentent moins de 30% des parts du marché français de l'informatique en nuage121(*). L'impact attendu en matière de compétitivité de l'offre française de services d'informatique en nuage au travers de l'encadrement des avoirs d'informatique en nuage, combiné aux autres mesures de l'article 7 (interdiction de la facturation de frais de transfert à l'exception des frais de migration liés au changement de fournisseur ) et celles de l'article 8 (obligations d'interopérabilité à la charge des services d'informatique en nuage) du projet de loi, serait un gain de 10% à 13% des parts de marché de l'informatique en nuage pour les fournisseurs français122(*) ainsi qu'une hausse de leurs revenus d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%.

4.2.2. Impacts sur les entreprises

L'impact de l'encadrement des avoirs d'informatique en nuage est de réduire les coûts liés au recours à des services d'informatique en nuage par les entreprises, d'en moyenne 20%. Partant du constat que les entreprises prennent davantage en compte la gratuité des offres que le prix réel des solutions d'informatique en nuage et que les offres françaises d'informatique en nuage sont en moyenne 30% moins chères, la suppression des avoirs d'informatique en nuage incitera les grands fournisseurs à réduire leurs prix d'au moins 15% pour rester compétitifs.

La réduction des coûts des entreprises utilisatrices de services d'informatique en nuage, d'une part, et l'augmentation des revenus des fournisseurs français d'informatique en nuage, d'autre part, permettra à moyen terme d'accroître leurs ressources et investissements en R&D, renforçant in fine le niveau d'innovation.

L'encadrement des avoirs d'informatique en nuage avec un délai temporel n'est pas de nature à faire peser un poids disproportionné sur les TPE/PME, car les coûts de mise en conformité avec cette mesure pour les fournisseurs de services d'informatique en nuage sont nuls. Les fournisseurs de services d'informatique en nuage qui offrent actuellement des sommes importantes en avoirs d'informatique en nuage pourront réemployer les ressources financières générées par la limitation des avoirs d'informatique en nuage pour accroître et diversifier leurs investissements, notamment en R&D.

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est attendu. La mise en oeuvre de la mesure appellera des contrôles par les services de la direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) habilités par le code du commerce. Cette nouvelle disposition engendrera une mobilisation des services et des moyens supplémentaires de la DGCCRF (cf. infra), dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur, conformément aux orientations stratégiques de la direction dans le domaine de l'économie numérique.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française avec, d'une part, le développement du secteur numérique et, d'autre part, le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Au sein de cette demande, le volume final d'emplois nécessaires au contrôle du respect des dispositions relatives à l'encadrement temporel des avoirs d'informatique en nuage est en cours de définition, en fonction du volume et des modalités de contrôles qui seront retenus.

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Le ministère de l'Économie sera chargé de s'assurer de la mise en oeuvre de cet article qui relève de la régulation des pratiques commerciales restrictives. La DGCCRF dispose d'une compétence reconnue en cette matière et d'une expérience conséquente dans la mise en oeuvre de mesures pro-concurrentielles. Elle aura une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Au regard de l'objectif concurrentiel de la mesure d'encadrement des avoirs d'informatique en nuage prévue à l'article 7 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

La mesure envisagée s'appliquera dès le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable). Par conséquent, ces dispositions ne seront pas applicables dans ces territoires. Les articles L. 930-1 (pour la Nouvelle-Calédonie), L. 940-1 (pour la Polynésie française) et L. 950-1 du code de commerce (pour les îles Wallis-et-Futuna) précisent également les dispositions applicables dans ces territoires. Le titre IV du livre IV du code du commerce dans lequel est placée la mesure envisagée y est exclu pour la Nouvelle-Calédonie et la Polynésie française. Certains articles du titre IV du livre IV sont toutefois applicables aux îles Wallis-et-Futuna, une ordonnance pourra donc venir compléter afin de la rendre applicable dans ce territoire.

5.2.3. Textes d'application

L'encadrement des avoirs d'informatique en nuage nécessite l'adoption d'un décret en Conseil d'État précisant la durée maximale durant laquelle des avoirs d'informatique en nuage peuvent être distribués et les conditions de leur renouvellement.

II- Interdiction des frais de transfert

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

L'imposition de frais pour transférer les données vers un autre fournisseur d'informatique en nuage fait partie intégrante du modèle commercial des principaux fournisseurs d'informatique en nuage. Ces frais s'appliquent également dans l'hypothèse où un utilisateur souhaiterait recourir simultanément à plusieurs fournisseurs de services d'informatique en nuage, voire même à plusieurs services d'informatique en nuage commercialisés par le même fournisseur. Néanmoins, les fournisseurs dominants imposent des frais de migration et de sortie très élevés, qui ne reflètent pas le coût réel nécessaire pour extraire et transférer les données, afin de dissuader leurs utilisateurs de migrer.

La méthodologie de calcul de ces coûts de sortie est opaque et rarement prévisible. Les frais sont dix fois plus importants chez les trois principaux fournisseurs d'informatique en nuage que chez les autres fournisseurs, et certains fournisseurs français d'informatique en nuage ne facturent aucun frais.

Les prix affichés par les grands fournisseurs d'informatique en nuage semblent limités, compte tenu du fonctionnement du modèle basé sur un taux s'appliquant aux volumes de données/d'actifs numériques concernés par la migration. Toutefois, les frais de transfert facturés atteignent des montants dissuasifs. Les frais sont dix fois plus importants chez les trois principaux fournisseurs de cloud (AWS, Azure et Google) que chez OVHcloud ou Oracle123(*). Par exemple, AWS, Azure et Google facturent respectivement 4300$, 3450$ et 3392$ pour l'extraction de 50 tera-bits de données en dehors de leurs écosystèmes, contre aucun frais facturé par Scaleway et OVH. Aussi, pour un grand compte hébergé chez un grand fournisseur de services d'informatique en nuage, le coût de migration peut représenter plusieurs millions d'euros. Pourtant, les coûts réels supportés par le fournisseur de service dans le cadre d'un processus de migration pour transférer les données vers un fournisseur tiers sont limités, et ont vocation à décroître au regard de l'évolution du marché de la bande passante. Les frais de transfert facturés aux utilisateurs par les fournisseurs de service sont ainsi décorrélés de leurs coûts réels. De plus, au cours des dix dernières années, les prix de gros du transit ont baissé en moyenne de 23 % par an ; cumulée sur cette période, la bande passante de gros est 93 % moins chère qu'il y a dix ans. En outre, les frais sont injustifiés car les coûts sont absorbés par les abonnements payés par les entreprises. Ainsi, il est à constater qu'aujourd'hui, la facturation des frais de transfert est un modèle d'affaire à part entière pour les grands fournisseurs d'informatique en nuage. Cela représente, par exemple, 16% des revenus de la branche d'informatique en nuage du premier fournisseur mondial, sans qu'aucune production de valeur n'en découle. Il s'agit d'une rente arbitraire maintenue artificiellement à un niveau élevé et permise par la position dominante de certains fournisseurs d'informatique en nuage, au détriment des utilisateurs.

Aussi, les fournisseurs d'informatique en nuage ne savent pas justifier les coûts facturés pour la migration ou la sortie des données. Par exemple, aucun frais d'entrée n'est facturé alors que la bande passante mobilisée est similaire, à volume égal, à celle utilisée pour le transfert des données.

Enfin, le manque de prévisibilité des coûts de sortie constitue un frein supplémentaire à la libre circulation des données. Les coûts de sortie restent abstraits pour les entreprises clientes qui ne connaissent, au moment de la souscription du contrat, ni le volume de données qui sera hébergé chez le fournisseur d'informatique en nuage choisi, ni la fréquence de migration de ces données. Le montant des frais dont ils doivent s'acquitter lors d'un changement de fournisseur ou d'une utilisation de plusieurs services d'informatique en nuage (multi-cloud) est donc largement imprévisible et dissuade toute migration des données.

1.2. CADRE CONSTITUTIONNEL

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique restrictive et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus124(*), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de (i) la capacité des fournisseurs à absorber les coûts engendrés par l'interdiction (ii) son périmètre restreint

La proportionnalité de l'interdiction de facturer des frais de transfert de données au regard de la liberté d'entreprendre et du principe de libre prestation de service se justifie au travers du périmètre restreint de la mesure. L'interdiction introduite par le présent projet de loi est strictement limitée aux frais facturés au titre du transfert des données des utilisateurs vers une autre infrastructure, et assure la possibilité pour les fournisseurs de service de continuer à facturer des frais au titre de l'ensemble des coûts techniques, organisationnels et contractuels engendrés par le processus de migration dans son ensemble, à l'instar des frais liés à la mobilisation d'équivalents temps plein supplémentaires ou à la fourniture de prestations de conseil additionnelles.

Par ailleurs, les pratiques en matière de facturation des frais de transfert de données divergent de manière substantielle entre les fournisseurs de service dominants et les autres fournisseurs de service. Pour rappel, les frais sont dix fois plus importants chez les trois principaux fournisseurs de cloud (AWS, Microsoft Azure et Google Cloud Platform) que chez OVHcloud ou Oracle125(*), bien que les coûts réels supportés par ceux-ci dans le cadre du transfert de données soient équivalents en ce qu'ils reposent principalement sur le coût de la bande passante nécessaire au transfert.

Enfin, les fournisseurs de service ne facturant pas de tels frais ont indiqué que l'interdiction de facturation de ces frais de transfert pourrait aisément être absorbée. Scaleway et OVH ne facturent d'ores et déjà aucun frais de transfert de données ou presque nuls.

La proportionnalité de la mesure, au regard de la liberté d'entreprendre et du principe de libre prestation de service s'apprécie en observant que le projet de règlement européen sur les données126(*), qui prévoit une interdiction identique de ces frais.

1.3. CADRE CONVENTIONNEL

La proposition de règlement européen sur les données (Data Act) présenté par la Commission européenne, en cours de négociation, prévoit des dispositions visant à encadrer et progressivement interdire les frais de sortie et de migration, trois années après l'entrée en vigueur du règlement.

En anticipation de l'adoption du règlement européen sur les données, le projet de loi porte les ambitions françaises d'une suppression immédiate des frais de transfert imposés par les fournisseurs de services d'informatique en nuage. Néanmoins, une disposition d'extinction est introduite à l'article 36 du projet de loi qui prévoit que le présent article cessera de s'appliquer le 15 février 2027, soit 36 mois après l'entrée en vigueur anticipée du règlement européen sur les données.

Le projet de règlement européen sur les données (Data Act) présenté par la Commission européenne, en cours de négociation, prévoit des dispositions visant à encadrer et progressivement interdire les frais de sortie et de migration, trois années après l'entrée en vigueur du règlement.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe de la libre prestation des services de la société de l'information en Europe. Le cadre général repose donc sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union tempérée par certaines possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Par ailleurs, est précisé au i de l'article 2 de la même directive que le domaine coordonné a trait aux exigences que le prestataire doit satisfaire et qui concernent l'accès à l'activité d'un service, ou l'exercice de l'activité d'un service « telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service ». Compte tenu de la nature de l'encadrement des crédits d'informatique en nuage proposé, qui ne modifie ni le contenu, ni la qualité du service, la présente mesure ne relève pas du domaine coordonné et, par conséquent, ne constitue pas une entrave à la libre prestation de service et au principe du pays d'origine au sens de la directive 2000/31. 

Conformément à leurs obligations, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

Par ailleurs, dans l'éventualité où la présente mesure était considérée comme relevant du domaine coordonné, celle-ci remplit les justifications dérogatoires aux principes de libre prestation de service et au principe du pays d'origine. En particulier, l'article 3 de la directive 2000/31 prévoit que les Etats membres peuvent déroger au principe de la libre circulation des services de la société de l'information au titre, entre autres, « de la protection des consommateurs, y compris des investisseurs » et de « l'ordre public ».

En outre, la mesure visant à l'interdiction des frais de transfert répond à la condition de proportionnalité : le périmètre de l'interdiction est strictement réduit aux frais de transfert de données, à l'exclusion de tous autres frais de migration et la capacité des fournisseurs à absorber les coûts engendrés par l'interdiction est démontrée.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

La pratique de facturation de frais de migration et de sortie a fait l'objet d'études étayées par plusieurs institutions étrangères. Dans un rapport datant d'octobre 2020, la chambre des représentants des États-Unis127(*) estime qu'imposer des frais de transfert est une technique courante pour verrouiller les clients. La Commission japonaise des pratiques commerciales déloyales a souligné dans un rapport de l'été 2022128(*) que les frais de sortie et de migration font partie des actes susceptibles de nuire à la concurrence dans le domaine des services d'informatique en nuage. L'Autorité néerlandaise de la concurrence a également publié, en septembre 2022129(*), une enquête sectorielle sur le marché de l'informatique en nuage dans laquelle elle indique notamment que des investissements de plusieurs millions d'euros sont parfois nécessaires pour changer de fournisseur et que cet investissement est parfois égal à l'investissement initial réalisé pour utiliser les services d'informatique en nuage. Enfin, l'Autorité française de la concurrence mène actuellement une enquête sur le marché de l'informatique en nuage qui s'intéresse notamment à l'impact des frais de sortie et de migration sur la concurrence.

Si les enjeux économiques liés à la facturation de frais de transfert de données ont été traités par plusieurs rapports, aucune interdiction de ces frais n'a encore été mise en oeuvre aux niveaux européen et mondial. Le projet de règlement européen sur les données fait ainsi figure de précurseur dans le traitement de la problématique, et à ce titre également la France en s'inscrivant en anticipation de la législation européenne.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»130(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la France. Le gouvernement est à cet égard résolument engagé à soutenir la compétitivité du marché français et vise à un rééquilibrage des conditions de concurrence entre les fournisseurs

La stratégie nationale pour le cloud, publiée en novembre 2021 traduit un engagement fort de soutien à l'offre française d'informatique en nuage et vise à un rééquilibrage en faveur des acteurs nationaux. Cette stratégie131(*) se déploie sur trois piliers essentiels : la doctrine « cloud au centre », qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance. L'évolution du contexte réglementaire européen (règlement sur les marchés numériques et règlement sur les données notamment) fournit aujourd'hui l'opportunité d'un levier économique supplémentaire puissant avec la mise en oeuvre de conditions de concurrence équitable entre les différents fournisseurs sur le marché français du cloud. . Le rétablissement de conditions de concurrence équitable se traduisant par la facilitation de la procédure migration des entreprises d'un fournisseur à un autre ne pourra être véritablement opérationnel que si l'environnement et les conditions techniques à cette migration sont réunis. Le levier réglementaire pour supprimer les obstacles économiques et commerciaux à la migration s'avère à ce titre indispensable. La mesure envisagée en matière de suppression des frais de transfert est nécessaire à la préservation de l'ordre public économique, en ce qu'elle garantit le rétablissement de conditions équitables entre les fournisseurs de services d'informatique en nuage et les utilisateurs.

La pratique d'enfermement propriétaire par la facturation de frais de transfert est une barrière commerciale à la migration et au développement d'un environnement qui permet aux utilisateurs de recourir à plusieurs fournisseurs de service d'informatique en nuage de manière simultanée. Les utilisateurs sont donc captifs du premier fournisseur d'informatique en nuage utilisé, ce qui entraîne des situations de dépendance technologique. En effet, recourir à plusieurs fournisseurs de service d'informatique en nuage engendre des frais constants de transfert de données d'un service à l'autre. Le prix à payer est élevé comparé à la valeur ajoutée d'utiliser des services de plusieurs fournisseurs.

Par ailleurs, l'interdiction des frais de transfert est nécessaire car ces frais devraient augmenter - puisque le volume de données créées, analysées et stockées devrait croître de 20 % par an jusqu'en 2025 - cette pratique représentera un obstacle de plus en plus important au changement de fournisseur de services d'informatique en nuage dans les années à venir.

Ce verrouillage est également problématique car un fournisseur de services d'informatique en nuage peut augmenter ses prix, une fois les utilisateurs captifs, et baisser la qualité de ses produits, sans que les utilisateurs puissent choisir de changer de fournisseur, les coûts liés à la migration étant dissuasifs. À titre d'exemple, pour un grand compte hébergé chez un grand fournisseur de services d'informatique en nuage, le coût de migration peut représenter plusieurs millions d'euros.

Une autre problématique identifiée suite aux importants frais facturés est l'incapacité de certains acteurs à se conformer au droit de l'Union européenne. Pour transférer des données d'un centre de données basé aux États-Unis à un autre basé en Europe, même au sein d'un même fournisseur d'informatique en nuage, des frais peuvent être imposés. Ainsi, certains acteurs sont contraints, pour des raisons financières, de maintenir les données de leurs utilisateurs dans des centres de données situés aux États-Unis, alors même que cela peut mettre l'utilisateur dans l'illégalité vis-à-vis des normes européennes en vigueur, par exemple en matière de protection des données personnelles.

Dans le prolongement des propositions formulées par le rapport d'information n° 755 de la commission des affaires économiques du Sénat132(*), la mesure vise à encadrer les conditions de migration des actifs numériques d'un utilisateur d'un fournisseur à un autre. Il convient à cet égard de souligner que le dispositif a pour objet d'anticiper les termes d'une norme européenne - le règlement européen sur les données (Data Act) - et d'aiguillonner le débat européen sur le sujet. Pour les autorités françaises, il est primordial de marquer leur ambition sur les enjeux de concurrence soulevés sur les marchés d'informatique en nuage.

Compte tenu du dynamisme du marché français de l'informatique en nuage et du renforcement de la position dominante de certains fournisseurs via l'emploi de mesures commerciales déloyales, il apparait opportun d'agir à cet égard en anticipation de la proposition de règlement sur les données, dont les mesures relatives n'entreront pleinement en application que 36 mois après l'entrée en vigueur de cette dernière. La mise en oeuvre rapide d'une suppression des frais de transferts contribuera ainsi à accroître la compétitivité du marché français et à réduire les coûts d'utilisation de services d'informatique en nuage pour les entreprises utilisatrices à la faveur également de leur compétitivité.

En mettant fin dans de brefs délais à la facturation de frais de transferts de données par les fournisseurs de services d'informatique en nuage à leurs clients, un gain de compétitivité pour les entreprises est attendu par le jeu d'un effet de prix. En supprimant rapidement et totalement cette barrière financière de plus en plus identifiée par les entreprises, le recours à des solutions d'informatique en nuage, facteur de productivité et de maîtrise des coûts, va gagner en attractivité pour les entreprises françaises. L'usage accru des technologies de l'informatique en nuage, résultant de la suppression de cette barrière dissuasive à l'emploi de ce type de services, se traduira par un gain de productivité et d'efficacité pour les entreprises françaises, qui gagneront ainsi en compétitivité sur les marchés européens et mondiaux.

La mise en oeuvre rapide de l'interdiction de ces frais de transferts permettra également aux entreprises utilisatrices une meilleure maîtrise de leurs dépenses en informatique en nuage. Compte tenu de l'effet dissuasif de ces frais à la migration d'un fournisseur à un autre pour un utilisateur, les utilisateurs sont parfois conduits à rester chez un fournisseur bien que ce dernier augmente le prix de ses services. En levant cette barrière qui contribue à l'enfermement des utilisateurs, ces derniers seront en capacité de migrer plus facilement leurs actifs numériques selon les prix pratiqués par les différents fournisseurs, et pourront ainsi ajuster leurs dépenses en informatique en nuage selon leurs besoins. Cette meilleure maîtrise des coûts se traduira par une compétitivité accrue des entreprises utilisatrices.

Aussi, cette interdiction se traduira par une concurrence renforcée entre les fournisseurs de services, lesquels ne seront plus en mesure de facturer des frais de transferts dissuasifs afin de retenir leurs utilisateurs. Cette concurrence accrue aura un effet prix à la faveur d'une baisse du prix des services d'informatique en nuage et stimulera l'innovation, au profit d'un gain de compétitivité pour les entreprises utilisatrices.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

2.2. OBJECTIFS POURSUIVIS

Supprimer les frais de transfert vise à assurer une liberté de choix aux entreprises françaises utilisatrices de services d'informatique en nuage ainsi qu'une indépendance technologique vis-à-vis des grands fournisseurs de services d'informatique en nuage dont elles sont captives.

La mesure vise également à réduire le coût du changement de fournisseur d'informatique en nuage et plus généralement les coûts liés au déploiement de leur stratégie d'utilisation des services d'informatique en nuage.

Enfin, la suppression des frais de transfert vise à favoriser la croissance et la compétitivité du marché français en instaurant un jeu concurrentiel ouvert. . En rétablissant des conditions de concurrence équitables entre les fournisseurs, les acteurs non-dominants peuvent ainsi accroitre leur part de marché.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Option 1 : Suppression des frais liés au transfert des données et à la migration avec un encadrement des autres frais relatifs à la migration des données (écartée)

Une suppression des frais strictement liés à l'extraction et au transfert des données dans le cadre du processus de migration vers un autre fournisseur d'informatique en nuage et un encadrement des autres frais engendrés par la migration des données, tels que la prestation de services et la conduite d'opérations techniques par des équipes du fournisseur d'origine nécessitant le déploiement d'équivalents temps plein nécessaire à la migration ont été envisagées. .Les frais relatifs à la migration des données (autre que l'extraction et le transfert de données) auraient été encadrés avec l'obligation qu'ils soient prévisibles, transparents, objectivables, si possibles stipulés contractuellement au préalable et facturés à l'utilisateur à un prix strictement égal aux coûts engendrés par le processus de migration concerné et supportés par le fournisseur de service d'informatique en nuage d'origine.

Cette option a été écartée en raison des difficultés à définir et identifier les frais liés à la migration entre plusieurs fournisseurs de service, qui diffèrent des frais de transfert. Par ailleurs, les frais de migration peuvent correspondre à des frais légitimes pour les fournisseurs de service. Bien que leur suppression soit prévue par le projet de règlement sur les données, les autorités françaises ont défendu un encadrement basé sur les coûts afin d'éviter de faire peser un poids disproportionné sur les fournisseurs de service français et européens, qui seraient davantage impactés en raison de la difficulté à amortir ces coûts via leurs bases de clients moins larges. La suppression des frais de migration engendrerait des conséquences négatives pour la compétitivité des fournisseurs français et européens.

Option 2 : Interdire la facturation des frais de sortie et de migration à l'ensemble des fournisseurs (écartée)

Une interdiction de facturer des frais de sortie et de migration à destination de tous les fournisseurs d'informatique en nuage a été envisagée. Cette option n'a pas été retenue en raison du caractère disproportionné de l'interdiction au regard de la capacité des plus petits fournisseurs d'informatique en nuage, notamment les micros, petits et moyens fournisseurs, à absorber les coûts résultant de cette suppression des frais de sortie et de migration.

Option 3 : Interdire la facturation des frais de sortie et de migration, à l'exception des fournisseurs se qualifiant en tant que micro, petites et moyennes entreprises (écartée)

Une interdiction de facturer des frais de sortie et de migration à destination de tous les fournisseurs d'informatique en nuage, assortie d'une exemption des fournisseurs de services se qualifiant comme micros, petites et moyennes entreprises, a été envisagée. Cette option n'a pas été retenue en raison de la difficulté à définir de manière suffisamment précise le champ d'application des frais de migration, et au regard de la nécessité d'assurer la cohérence avec le cadre règlementaire européen en cours de négociation.

Option 4 : Interdire aux fournisseurs d'informatique en nuage la facturation des frais de transfert (retenue)

3.2. OPTION RETENUE

L'option retenue vise à interdire la facturation de frais de transfert, à l'exception des frais de migration liés au changement de fournisseur, dans les contrats conclus entre un fournisseur de service d'informatique en nuage et une personne, physique ou morale, exerçant des activités de production, de distribution ou de services. Cette interdiction ne s'appliquera qu'aux contrats conclus postérieurement à l'entrée en vigueur du projet de loi, afin de préserver la sécurité juridique aux situations légalement acquises.

Le non-respect de l'interdiction de facturer des frais de transfert dans les contrats est passible d'une amende administrative dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d'euros pour une personne morale. Le maximum de l'amende encourue est porté à 400 000 euros pour une personne physique et deux millions d'euros pour une personne morale en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

La création d'un dispositif d'interdiction des frais de transfert pourra utilement être transcrit dans un nouvel article L. 442-12 après l'article L. 442-11 du code de commerce. En particulier, il convient de créer, dans ce nouvel article, l'interdiction de facturer les transferts et les sanctions encourues en cas de non-respect de cette interdiction. L'article 36 du présent projet de loi prévoit une clause d'extinction assurant l'écrasement du dispositif une fois que les dispositions du règlement sur les données portant sur le même objet seront entrées en application (36 mois après la date d'entrée en vigueur anticipée du règlement européen sur les données).

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Le projet de règlement sur les données (Data Act)133(*) présenté par la Commission le 23 février 2022 vise à établir des règles harmonisées relatives à l'accès et à l'utilisation équitable des données. La loi sur les données permettra la levée des barrières à la circulation des données au profit des entreprises, des citoyens et des administrations publiques. Le projet de règlement prévoit notamment de nouvelles règles établissant les conditions permettant aux clients de migrer efficacement entre différents fournisseurs de services d'informatique en nuage afin de de rétablir des conditions de concurrence équitables sur le marché européen. Le projet de règlement est toujours en cours de négociations au niveau européen, les trilogues devant débuter le 29 mars 2023.

S'agissant des frais de transfert, le projet de règlement prévoit (article 25) une suppression progressive de ceux-ci. Pendant une période de trois ans suivant la date d'entrée en vigueur du règlement, les fournisseurs de services d'informatique en nuage doivent réduire les frais de transfert, de manière à ce qu'ils n'excèdent par les coûts supportés par le fournisseur de service d'informatique en nuage et directement liés au transfert des données et au processus de migration ou de sortie. Ensuite, une interdiction de facturer tous frais de migration et de transfert s'applique trois ans après l'entrée en vigueur du règlement.

En l'état des discussions au Conseil de l'UE et au Parlement européen, un délai de 36 mois, à partir de sa publication au JOUE, est prévu pour la mise en application des dispositions relatives à la suppression des frais de migration et de transfert. Ainsi, même si le processus d'adoption du texte par les co-législateurs aboutit dès le quatrième trimestre 2023, la mise en oeuvre de cette mesure n'interviendrait qu'à partir de 2026.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

La suppression des frais de transfert, combiné aux autres mesures de l'article 7 (encadrement des frais de transfert et des crédits d'informatique en usage) et à celles de l'article 8 (obligations d'interopérabilité à la charge des services d'informatique en nuage) du projet de loi, permettra de favoriser une migration facile et peu coûteuse des données pour laisser libre choix aux entreprises françaises d'utiliser des offres d'informatique en nuage selon leurs besoins.

L'interdiction de facturer des frais au titre du transfert de données doit permettre un renforcement de la compétitivité des fournisseurs qui ne facturent pas de tels frais. Par exemple, l'impact estimé de ce renforcement s'élève à entre 10% et 13% de gain de parts de marché134(*) pour les fournisseurs français ainsi qu'une hausse de leurs revenus annuels d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%. Cette hausse de parts de marché et de revenus permettra de renforcer le niveau d'investissement en recherche et développement des fournisseurs de services d'informatique en nuage afin de maintenir leur niveau de compétitivité dans un contexte propice au rétablissement de conditions équitables de concurrence entre tous les fournisseurs.

La suppression des frais de transfert incitera davantage les entreprises françaises à adopter les technologies d'informatique en nuage et à adopter une stratégie de recours à des prestataires multiples d'informatique en nuage, ce qui permettra de renforcer la concurrence sur le marché des services d'informatique en nuage et d'augmenter le niveau d'innovation dans ce marché en constante évolution.

4.2.2. Impacts sur les entreprises

La suppression des frais de transfert profitera en premier lieu aux entreprises utilisatrices de services d'informatique en nuage en réduisant le coût du changement de fournisseur et plus généralement les coûts liés au recours à des services d'informatique en nuage d'en moyenne 20%.

Les coûts de changement de fournisseur s'élèvent actuellement à 125 % des coûts d'abonnement annuels135(*) et 60 % des clients des services d'informatique en nuage sont confrontés à des dépassements de coûts136(*). Une enquête d'International Data Corp137(*) a révélé que 99 % des utilisateurs de services d'informatique en nuage ont déclaré avoir encouru des frais de transfert représentant en moyenne 6 % de leurs coûts d'utilisation de services d'informatique en nuage. En outre, 78% des décideurs en charge des technologies de l'information dans les entreprises estiment sous-exploiter les technologies d'informatique en nuage et leurs ressources à cause de ce phénomène de frais de transfert.

D'autre part, cette réduction de coût entraînée par la suppression des frais de transfert incitera les entreprises à migrer vers des solutions d'informatique en nuage alternatives et à opérer une stratégie « multi-cloud », ce qui représentera un bénéfice immédiat pour les entreprises françaises qui fournissent des services d'informatique en nuage (cf. infra - gains d'environ 10% supplémentaires de parts de marché et hausse d'environ 50% des revenus).

Enfin, la suppression des frais de transfert aura un impact mesuré sur les revenus des fournisseurs de services d'informatique en nuage qui facturent actuellement de tels frais. En effet, ces fournisseurs ont la capacité d'absorber les coûts résultant de cette suppression, qui sont plutôt des manques à gagner, avec les abonnements payés par les entreprises utilisatrices des services d'informatique en nuage qui constituent une base d'utilisateurs très large. Il est estimé que les coûts réels des frais de transfert sont très faibles par rapport aux coûts de fourniture du service, malgré des tarifs pratiqués parfois importants et sans relation avec les coûts.

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est attendu. La mise en oeuvre de la mesure appellera des contrôles par les services de la direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) habilités par le code du commerce. Cette nouvelle disposition engendrera une mobilisation des services et des moyens supplémentaires de la DGCCRF (cf. infra), dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur, conformément aux orientations stratégiques de la direction dans le domaine de l'économie numérique.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française, avec d'une part le développement du secteur numérique, et d'autre part le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Au sein de cette demande, le volume final d'emplois nécessaires au contrôle du respect des dispositions relatives à l'encadrement temporel des avoirs d'informatique en nuage est en cours de définition, en fonction du volume et des modalités de contrôles qui seront retenus.

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Le ministère de l'Economie sera chargé de s'assurer de la mise en oeuvre de cet article qui relève de la régulation des pratiques commerciales restrictives. La DGCCRF dispose d'une compétence reconnue en cette matière et d'une expérience conséquente dans la mise en oeuvre de mesures pro-concurrentielles. Elle aura une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Au regard de l'objectif concurrentiel de la mesure d'encadrement des frais de transfert prévue à l'article 7 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

La mesure envisagée entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. Cette mesure ne s'appliquera toutefois qu'aux contrats conclus postérieurement à l'entrée en vigueur du projet de loi, afin de préserver la sécurité juridique aux situations légalement acquises.

La mesure s'appliquera jusqu'au 15 février 2027, correspondant à la date d'entrée en application anticipée des mesures relatives à l'interdiction des frais de transfert prévues par le règlement 2022/0047 (COD) du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable). Par conséquent, ces dispositions ne seront pas applicables dans ces territoires. Les articles L. 930-1 (pour la Nouvelle-Calédonie), L. 940-1 (pour la Polynésie française) et L. 950-1 du code de commerce (pour les îles Wallis-et-Futuna) précisent également les dispositions applicables dans ces territoires. Le titre IV du livre IV du code du commerce dans lequel est placée la mesure envisagée y est exclu pour la Nouvelle-Calédonie et la Polynésie française. Certains articles du titre IV du livre IV sont toutefois applicables aux îles Wallis-et-Futuna, une ordonnance pourra donc venir compléter afin de la rendre applicable dans ce territoire.

5.2.3. Textes d'application

Les présentes dispositions n'appellent aucune mesure d'application.

CHAPITRE II - INTEROPÉRABILITÉ ET PORTABILITÉ DES SERVICES D'INFORMATIQUES EN NUAGE

Articles 8, 9 et 10 - Obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le marché des services d'informatique en nuage revêt une importance stratégique en matière de souveraineté numérique et de compétitivité économique, en particulier au regard de la forte croissance anticipée au cours des prochaines années :

- Au niveau mondial : le marché du cloud public s'élève à environ 384 milliards d'euros en 2022138(*) (il s'agit du segment le plus dynamique) et l'écosystème cloud dans son ensemble pèsera environ 1 247 milliards d'euros en 2025139(*) ;

- En Europe : les revenus du marché du cloud étaient de 65 milliards d'euros en 2021140(*) et pourraient atteindre 560 milliards d'euros en 2030, soit près de 10 fois qu'en 2021141(*) ;

- En France : les revenus du marché du cloud étaient de 16 milliards d'euros en 2021 et pourraient atteindre 27 milliards d'euros en 2027142(*). La croissance annuelle devrait donc être en moyenne de 14%143(*).

Toutefois, un enjeu de rattrapage du retard de l'économie et des entreprises françaises en matière d'adoption des services d'informatique en nuage se pose. Les entreprises françaises utilisent peu l'informatique en nuage par rapport à l'ensemble des entreprises européennes : en 2021, le pourcentage d'entreprises qui utilisent des services d'informatique en nuage est de 41% dans l'ensemble de l'Union Européenne contre seulement 29% en France144(*). Il ressort que ce sont les petites et moyennes entreprises (PME) qui sont les moins bien équipées avec en moyenne 53% des entreprises de taille intermédiaire et 38% des petites entreprises qui utilisent l'informatique en nuage, en Europe145(*). Pourtant, l'utilisation de l'informatique en nuage est un vecteur central de compétitivité pour les entreprises utilisatrices, en leur permettant de bénéficier de nombreux avantages : optimisation des coûts informatiques, accès à des produits et services compétitifs de nature à favoriser l'innovation, meilleure protection contre les risques cyber, etc.

Il apparaît nécessaire d'assurer des conditions favorables au recours accru aux solutions d'informatique en nuage pour l'ensemble des entreprises, et en particulier des PMEs françaises et européennes.

Ainsi, la concentration du marché de l'informatique en nuage autour d'un nombre restreint d'acteurs (cf. graphique n°1) appelle à un encadrement des pratiques commerciales et techniques restrictives afin de mettre fin à l'enfermement propriétaire au sein de l'environnement de certains fournisseurs, et de renforcer la liberté de choix des entreprises utilisatrices.

Graphique 1 : les principaux acteurs du marché du cloud au niveau mondial.

Source : « Cloud : 10 acteurs se partagent 77% du marché », Siècle Digital (6 avril 2021).

Les autres fournisseurs américains et européens se partagent les 29 % restants du marché. Il s'agit notamment d'OVHcloud, IBM, Oracle, Orange Business Services, Scaleway, T-Systems, 3D Outscale (groupe Dassault), Capgemini et Atos. Ces acteurs minoritaires ont réalisé une croissance de 23% en 2021146(*).Ces plus petits fournisseurs se concentrent sur des segments spécifiques du marché quand les fournisseurs dominants sont présents sur toutes les couches de l'informatique en nuage. Ils sont notamment spécialisés dans la cybersécurité, les plateformes applicatives, le cloud souverain, la gestion de cloud hybride et du multicloud.

Au-delà des barrières commerciales au changement de fournisseur d'informatique en nuage appréhendées par l'article 7, des barrières techniques existent et sont causées par un manque d'interopérabilité entre les différents services d'informatique en nuage. En particulier, un des principaux obstacles techniques à la portabilité et l'interopérabilité est l'absence de langage commun pour décrire les données, leurs modalités d'hébergement et les moyens techniques qui permettent à un fournisseur de service d'y accéder. À titre d'exemple, les interfaces de programmation applicatives (application programming interface (API)) constituent le principal moyen d'accès aux données pour les utilisateurs et fournisseurs de service tiers. La normalisation de ce type d'outils, notamment par le biais de la définition d'un langage commun pour décrire les interfaces et leurs modalités d'accès, est nécessaire afin de permettre aux fournisseurs de service tiers de transformer des requêtes génériques en requêtes spécifiques à l'API du fournisseur d'origine. Ce langage commun permettra aux fournisseurs tiers de s'interconnecter avec les APIs mises à disposition des fournisseurs d'origine sans engendrer de développements logiciels substantiels de leur part.

L'interopérabilité permet de garantir la capacité de reproduire ou redéployer des services à fonctionnalités égales d'un fournisseur d'informatique en nuage à un autre, et donc la capacité des utilisateurs à recourir à plusieurs fournisseurs de services d'informatique en nuage en fonction de leurs besoins et de leurs contraintes de sécurité. L'utilisation de plusieurs services d'informatique en nuage de manière simultanée (multi-cloud) offre de nombreux avantages, notamment la limitation de la dépendance et la résilience accrue des systèmes informatiques.

Plusieurs fournisseurs d'informatique en nuage de taille modeste développent leurs solutions en source ouverte (open source) via des logiciels libres lorsque les fournisseurs de services d'informatique en nuage dominants développent des applications basées sur des technologies propriétaires, engendrant des coûts pour les autres fournisseurs qui doivent adapter leurs services afin de les rendre interopérables avec les couches standards des grands fournisseurs. Les technologies propriétaires développées par les fournisseurs dominants s'imposent ainsi comme des standards de marché, repris par l'ensemble des fournisseurs tiers, pour lesquels l'interopérabilité et le « multi-cloud » font partie intégrante de leur stratégie de développement.

Le manque d'interopérabilité incite les vendeurs de logiciels indépendants à développer leurs services sur des infrastructures qui appartiennent aux fournisseurs de services d'informatique en nuage les plus utilisés afin de toucher une large clientèle. Ce phénomène accentue l'enfermement des clients et l'exclusivité en faveur des fournisseurs de services d'informatique en nuage qui dominent le marché. Ainsi, les entreprises sont enfermées dans un écosystème de services d'informatique en nuage intégrés qui ne fonctionnent de façon optimale qu'entre eux et qui appartiennent à un seul fournisseur. Ces écosystèmes sont donc très difficilement contestables par des acteurs émergents qui ne peuvent proposer la même qualité de service sur l'utilisation de plusieurs services d'informatique en nuage concomitamment (multi-cloud).

1.2. CADRE CONSTITUTIONNEL

La constitutionnalité des dispositions de droit national prises afin de renforcer les conditions de concurrence du marché de l'informatique en nuage au travers du renforcement de l'interopérabilité et de la portabilité, en particulier en matière de liberté d'entreprise et du principe de libre prestation de service qui en découle, semble assurée au regard de (i) l'objectif poursuivi et (ii) de la proportionnalité de la mesure.

La mesure relève de l'ordre public économique

Le Conseil constitutionnel au travers de sa décision n° 2000-439 DC, 16 janvier 2001, cons. 13. a confirmé qu'il « est loisible au législateur d'apporter à la liberté d'entreprendre [...] des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ».

Plus spécifiquement, la jurisprudence constitutionnelle confirme que la régulation concurrentielle répond à un objectif d'ordre public économique, au travers de la décision Société Système U Centrale Nationale (Décision n° 2011-126 QPC, 13 mai 2011, cons. 5.) du Conseil constitutionnel, dans laquelle le Conseil a considéré les pouvoirs conférés à l'autorité publique afin de faire cesser les pratiques restrictives de concurrence interdites par l'article L. 442-6 du code de commerce, avaient permis au législateur d'opérer « eu égard aux objectifs de préservation de l'ordre public économique qu'il s'est assigné, une conciliation entre le principe de la liberté d'entreprendre et l'intérêt général tiré de la nécessité de maintenir un équilibre dans les relations commerciales ».

Ainsi, au regard de son objectif de rétablissement de conditions de concurrence équitables au travers de l'encadrement d'une pratique restrictive et, par conséquent, de contribution au fonctionnement concurrentiel du marché, la présente mesure s'inscrit dans le cadre de l'ordre public économique au regard de la jurisprudence constitutionnelle. Cette interprétation par la jurisprudence est également confirmée par la décision Société Groupe Canal Plus (Décision n° 2012-280 QPC, 12 octobre 2012, cons. 11), dans laquelle le Conseil constitutionnel rapproche « les objectifs de préservation de l'ordre public économique » et le contrôle des opérations de concentration qui a « pour objet d'assurer un fonctionnement concurrentiel du marché dans un secteur déterminé ».

La proportionnalité de la mesure est assurée au regard de (i) des décisions de précision qui seront adoptées par l'autorité (ii) de l'approche retenue reposant sur la valorisation des travaux de normalisation développés par l'écosystème.

Les mesures d'interopérabilité reposent sur une obligation de conformité avec trois exigences : l'interopérabilité, la portabilité, toute deux assurées dans des conditions sécurisées, et la mise à disposition des utilisateurs et des fournisseurs tiers par le fournisseur de service d'origine des interfaces nécessaires à la portabilité et l'interopérabilité. Ces exigences sont précisées par des décisions adoptées par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse au travers de la publication de spécifications techniques ouvertes et de standards harmonisés. L'autorité compétente s'appuiera en priorité sur les normes d'ores et déjà développées et utilisées par les acteurs de l'écosystème, et pourra, au besoin, mandater des organismes de standardisation nationaux afin de définir des standards de préciser encore davantage ces exigences , en lien étroit avec l'écosystème fournisseurs et utilisateurs, et les initiatives de normalisation déjà lancées. Ces modalités usuelles de concertation interprofessionnelle pour la mise en oeuvre de standards assurent la proportionnalité de l'obligation de conformité, en ce qu'elles garantissent un alignement systématique avec les pratiques techniques vertueuses développées par les fournisseurs.

Les fournisseurs de service sont soumis à une deuxième obligation de publication et de mise à jour d'une offre de référence technique qui détaille la mise en oeuvre des exigences , en s'appuyant, le cas échéant, sur les décisions de précision adoptées par l'autorité compétente. Cette obligation permet d'accroître la transparence et le libre-choix des utilisateurs, notamment en précisant les conditions techniques et tarifaires de mise en oeuvre des exigences .

Le manquement aux exigences instaurant une obligation d'interopérabilité et de portabilité pour les services d'informatique en nuage sera sanctionné, le cas échéant, sur la base des décisions de précision adoptées par l'Autorité, garantissant à la fois la proportionnalité de la mesure et la cohérence avec les dispositions correspondantes prévues dans le projet de règlement européen sur les données.

Par ailleurs, l'obligation de faciliter l'équivalence fonctionnelle dans le service de destination introduite au III de l'article 9 est limitée aux fournisseurs de services relevant de la catégorie IaaS (Infrastructure-as-a-Service), conformément aux dispositions du projet de règlement européen sur les données, garantissant la proportionnalité de la mesure au regard des contraintes techniques et de la complexité de prestation de services d'informatique en nuage.

Enfin, les décisions prises par l'autorité compétente en matière d'interopérabilité seront susceptibles de contestation et recours dans les conditions de droit commun applicables aux décisions de ladite autorité.

1.3. CADRE CONVENTIONNEL

Le projet de règlement européen sur les données (Data Act) présenté par la Commission européenne le 23 février 2022 est actuellement négocié au niveau des institutions européennes. Il prévoit des dispositions qui poursuivent l'objectif de donner naissance à une économie de la donnée innovante et compétitive. Dans cet esprit, le projet de règlement européen sur les données prévoit des mesures en matière de régulation des données et d'interopérabilité des services d'informatique en nuage, notamment au travers de la mise en oeuvre d'obligations pour les fournisseurs de services d'informatique en nuage :

(i) de mettre à disposition des interfaces de programmation à des fins de portabilité et d'interopérabilité auprès de leurs clients et des fournisseurs tiers auxquels les utilisateurs souhaitent donner l'accès,

(ii) de la mise en conformité de leurs services avec de standards et spécifications techniques ouvertes d'interopérabilité.

La directive 2000/31 du 8 juin 2000 sur le commerce électronique a établi historiquement le cadre juridique des services de la société de l'information. Les services d'informatique en nuage relèvent de la catégorie des services de la société de l'information. Cette directive pose le principe de la libre prestation des services de la société de l'information en Europe. Le cadre général repose donc sur la libre circulation des services de la société de l'information entre les Etats-membres de l'Union, tempérée par certaines possibilités de déroger à ce principe sous réserve de plusieurs conditions.

Ainsi, dans l'éventualité où la présente mesure était considérée comme relevant du domaine coordonné au titre de leur impact potentiel sur l'exercice de l'activité du service de la société d'information, celle-ci remplit les justifications dérogatoires aux principes de libre prestation de service et au principe du pays d'origine. En particulier, l'article 3 de la directive 2000/31 prévoit que les Etats membres peuvent déroger au principe de la libre circulation des services de la société de l'information au titre, entre autres, « de la protection des consommateurs, y compris des investisseurs » et de « l'ordre public ».Les mesures répondent à un objectif d'ordre public économique, le rétablissement des conditions nécessaires à une concurrence loyale sur le marché du cloud (comme exposé supra au point 1.2).

De plus, ces mesures poursuivent l'objectif premier de favoriser la libre circulation des services en garantissant la capacité de transférer des actifs numériques et de reproduire des services à fonctionnalités égales d'un fournisseur d'informatique en nuage à un autre et, par conséquent, de maintenir la liberté de choix des utilisateurs.

Par ailleurs, les mesures portant les obligations d'interopérabilité et de portabilité à la charge des services d'informatique en nuage répondent à la condition de proportionnalité. Les exigences d'interopérabilité et de portabilité seront précisées par voie de décisions de l'Arcep. L'autorité s'appuiera en priorité sur les normes d'ores et déjà développées et utilisées par les acteurs de l'écosystème, et pourra, au besoin, mandater des organismes de standardisation nationaux afin de définir des standards de préciser encore davantage ces exigences , en lien étroit avec l'écosystème fournisseurs et utilisateurs, et les initiatives de normalisation déjà lancées. Ces modalités usuelles de concertation interprofessionnelle pour la mise en oeuvre de standards assurent la proportionnalité de l'obligation de conformité, en ce qu'elles garantissent un alignement systématique avec les pratiques techniques vertueuses développées par les fournisseurs. Les décisions prises par l'autorité en matière d'interopérabilité seront par ailleurs susceptibles de contestation et recours dans les conditions de droit commun applicables aux décisions de ladite autorité

Enfin, conformément à leurs obligations, les autorités françaises procéderont, à l'instar d'autres mesures présentées dans le projet de loi, à la notification du dispositif auprès des services de la Commission européenne en vertu de la directive 2000/31 du 8 juin 2000 et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, qui prévoient une notification pour les dispositions ayant trait aux services de la société de l'information. Des échanges informels ont déjà été engagés avec la Commission européenne à ce sujet.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

L'informatique en nuage fait partie intégrante des priorités du gouvernement en matière de souveraineté numérique. Comme l'a relevé le rapport d'information « Bâtir et promouvoir une souveraineté numérique nationale et européenne»147(*), présenté le 29 juin 2021, l'informatique en nuage constitue une technologie critique à la compétitivité technologique de la FranceLa stratégie sur les services d'informatique en nuage est au centre des priorités de souveraineté numérique du gouvernement. En effet, le gouvernement engage une action résolue de soutien à l'offre française d'informatique en nuage et vise à un rééquilibrage en faveur des acteurs nationaux. Cette stratégie, présentée en 2021, se déploie sur trois piliers essentiels : la doctrine « cloud au centre », qui encadre les projets numériques des administrations publiques, la stratégie « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles, et une politique industrielle ambitieuse, qui bâtit les fondements d'une offre d'informatique en nuage de confiance.

L'évolution du contexte réglementaire européen (règlement sur les marchés numériques et règlement sur les données notamment) fournit aujourd'hui l'opportunité de rééquilibrer les conditions de concurrence sur le marché de l'informatique en nuage, laquelle est entravée par des obstacles de diverses natures. Le levier réglementaire pour supprimer ces obstacles techniques à la migration s'avère à ce titre indispensable.

Le présent projet de loi constitue une opportunité pour la France de porter cette ambition en matière d'interopérabilité au niveau national, et d'anticiper les travaux de définition de standards d'interopérabilité qui seront nécessaires suite à l'adoption du projet de règlement européen sur les données.

Si les mesures proposées par la France en matière d'interopérabilité sont intégrées dans le règlement européen sur les données, un travail de normalisation sera lancé au niveau européen à compter de son entrée en vigueur. Afin d'anticiper ces travaux européens et de positionner l'autorité compétente comme aiguillon dans ce cadre, des travaux de normalisation seraient lancés de manière similaire au niveau français à la suite de l'adoption du présent projet de loi, sous la conduite de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), et seraient ensuite écrasés par le cadre européen une fois celui-ci adopté.

Compte tenu du dynamisme du marché français de l'informatique en nuage et du renforcement de la position dominante de certains fournisseurs via l'emploi de mesures commerciales déloyales, il apparait opportun d'agir à cet égard en anticipation de la proposition de règlement sur les données, dont les mesures relatives qui n'entreront pleinement en application que 18 à 24 mois après l'entrée en vigueur de cette dernière. En l'état des discussions au Conseil et au Parlement européen, un délai oscillant entre 18 et 24 mois est en effet prévu pour la mise en application du texte à partir de sa publication au JOUE, qui devrait intervenir au plus tôt à la fin de l'année 2023. Ce délai d'entrée en application retarde encore davantage la mise en oeuvre effective des mesures d'interopérabilité, justifiant une intervention rapide au niveau national afin de lancer promptement les travaux de normalisation et mobiliser l'écosystème des fournisseurs de service.

La mise en oeuvre rapide d'exigences en matière d'interopérabilité et de portabilité favorisant la liberté de choix des utilisateurs permettra à ces derniers d'élaborer une stratégie de recours à l'informatique en nuage répondant précisément à leurs besoins. En facilitant le changement de fournisseur et en permettant plus facilement aux utilisateurs de recourir simultanément à des services proposés par plusieurs fournisseurs, les entreprises utilisatrices pourront opérer une meilleure gestion de leurs coûts et opter pour des services parfaitement calibrés pour leurs besoins. Cette maîtrise des coûts, couplée au recours de solutions plus adaptées aux besoins, permettra aux utilisateurs d'engranger rapidement des gains de compétitivité.

Aussi, la possibilité offerte aux utilisateurs de recourir, avec agilité, aux services de plusieurs fournisseurs constitue un facteur d'attractivité à l'usage des technologiques d'informatiques en nuage. Une hausse du taux d'utilisation des services d'informatique en nuage renforcera la compétitivité de nos entreprises.

La levée rapide des barrières techniques à l'interopérabilité et la portabilité des actifs numériques entre différents fournisseurs contribuera significativement à la fin de l'enfermement propriétaire dans lequel se trouvent de nombreux utilisateurs, au profit d'une concurrence accrue entre les fournisseurs. Cette concurrence accrue aura un effet prix à la faveur d'une baisse du prix des services d'informatique en nuage et stimulera l'innovation, au profit d'un gain de compétitivité pour les entreprises utilisatrices.

Enfin, la mesure envisagée relève du domaine de la loi au titre de l'article 34 de la Constitution, qui indique que la loi fixe les règles concernant les « obligations civiles et commerciales ».

2.2. OBJECTIFS POURSUIVIS

L'interopérabilité entre les services d'informatique en nuage vise au rétablissement de conditions favorables à un jeu concurrentiel plus ouvert. En effet, l'interopérabilité des services d'informatique en nuage aura de nombreux bénéfices pour l'ensemble des fournisseurs de services, en particulier pour les offreurs de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS), qui bénéficieront de conditions de marché plus saines et pourront proposer leurs services à des clients qui utilisent des infrastructures d'autres fournisseurs, notamment les plus encrés sur le marché.

Obliger les fournisseurs d'informatique en nuage à mettre à disposition des interfaces d'interopérabilité au bénéfice des offres tierces alternatives, est un puissant moyen de rompre l'exclusivité qui se traduit par un continuum d'offres liées entre les infrastructures, les plateformes et les logiciels en tant que services (IaaS-PaaS-SaaS). En effet, selon l'étude d'impact de la Commission européenne relative au projet de règlement européen sur les données, l'absence d'interface de programmation permettant l'interopérabilité est la cause technique la plus importante de l'enfermement propriétaire des entreprises dans les services d'informatique en nuage, notamment en ce qui concerne les solutions de plateformes en tant que services (PaaS) et de logiciels en tant que services (SaaS). Ainsi, le présent article a pour objectif de permettre aux offres françaises d'offrir leurs services dans un continuum avec l'écosystème des fournisseurs d'informatique les plus utilisés du marché, augmentant ainsi leur attractivité auprès des utilisateurs.

Les présentes dispositions visent également à permettre aux utilisateurs de bénéficier de services d'informatique en nuage plus innovants et compétitifs. En effet, l'interopérabilité des services d'informatique en nuage favorisera l'adoption des technologies d'informatique en nuage pour les utilisateurs, en leur permettant de bénéficier d'une plus grande liberté de choix et d'une meilleure qualité de service. Les PME et startups françaises s'appuient parfois intégralement sur des solutions d'informatique en nuage opérées par un seul fournisseur pour réaliser leur transformation numérique. La possibilité d'adopter des solutions provenant de plusieurs fournisseurs (multi-cloud) permettra donc d'éviter les situations de dépendance vis-à-vis d'un seul fournisseur, faisant souvent partie des acteurs dominants du marché, et de recourir aux solutions les plus adaptées aux différents besoins des utilisateurs.

Enfin, l'objectif de la mesure est de permettre aux entreprises clientes de tirer un avantage en termes de qualité de service dans la mesure où les fournisseurs d'informatique en nuage ne seront dès lors plus en compétition sur des outils mais bien sur la qualité des services et l'interopérabilité de ces services.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Option 1 : Obligation pour les fournisseurs de services d'informatique en nuage de mettre publiquement des interfaces de programmation à disposition des fournisseurs de services d'informatique en nuage tiers (écartée)

Cette option a été écartée en raison des effets de bords potentiels d'une ouverture publique des interfaces de programmation des fournisseurs d'informatique en nuage sur la sécurité, l'intégrité et le bon fonctionnement des services au regard du nombre important de services pouvant librement utiliser les interfaces de programmation mise à disposition publiquement.

En outre, cette option diffère substantiellement du projet de règlement européen sur les données en cours de négociation car elle introduit une obligation disproportionnée au regard des objectifs du texte et de la plus-value qu'elle apporterait. Le principal risque lié à cette obligation serait de faire peser un poids économique disproportionné sur les fournisseurs de service, qui devraient maintenir de manière continue des interfaces de programmation applicatives ouvertes à la disposition des fournisseurs tiers, au détriment des petits et moyens fournisseurs qui ne disposent pas des ressources nécessaires à mettre en oeuvre cette mesure.

Option 2 : obligation pour les fournisseurs de services d'informatique en nuage d'assurer la conformité de leurs services avec des exigences d'interopérabilité et de portabilité détaillées dans une offre de référence technique d'interopérabilité publique (retenue)

3.2. OPTION RETENUE

L'option retenue fixe une obligation pour les fournisseurs d'informatique en nuage d'assurer la conformité de leurs services avec les exigences suivantes :

- l'interopérabilité, dans des conditions sécurisées, de leurs services ;

- la portabilité, dans des conditions sécurisées, de leurs services ;

- la mise à disposition des interfaces nécessaires à la portabilité et l'interopérabilité des services.

Une offre technique d'interopérabilité et de portabilité, mise à disposition publiquement par les fournisseurs de service, détaille la mise en oeuvre de ces exigences, afin d'accroître la transparence sur les pratiques des fournisseurs de service, au bénéfice de la liberté de choix des utilisateurs. Cette offre technique doit également comprendre la documentation relative aux interfaces de programmation nécessaires à la portabilité et à l'interopérabilité, afin de permettre aux fournisseurs d'informatique en nuage alternatifs de développer des services interopérables.

À ces obligations de conformité avec les exigences prévues au II de l'article 8 du projet de loi et de publication d'une offre technique de référence, s'ajoute l'obligation pour les fournisseurs de services d'informatique en nuage relevant de la catégorie d'infrastructure en tant que service, (Infrastructure-as-a-Service - IaaS) de prendre les mesures en leur pouvoir afin de faciliter l'équivalence fonctionnelle, telle que définie au I de l'article 8, dans l'utilisation du service de destination. La définition de l'équivalence fonctionnelle ainsi que la limitation de l'obligation aux fournisseurs de services d'informatique en nuage IaaS est pleinement conforme à l'approche proportionnée retenue dans le cadre du projet de règlement européen sur les données.

Les exigences font l'objet de décisions de précisions par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. Dans le cadre de ce travail de précision, l'Autorité peut s'appuyer sur les normes et travaux de normalisation effectués au niveau national ou européen dans le cadre du Règlement 1025/2012 relatif à la normalisation européenne148(*) et qui régit la coopération entre les organisations européennes de normalisation, les organisations nationales de normalisation, les États membres et la Commission européenne. L'Autorité peut également, au besoin, s'appuyer sur des organismes français de normalisation, à l'instar de l'AFNOR, en émettant une demande d'élaboration d'une norme nationale pour définir les exigences d'interopérabilité et de portabilité. Pour la mise en oeuvre de ces obligations, l'Autorité dispose de deux leviers :

- Un mécanisme de règlement des différends relatifs à la mise en oeuvre des obligations de conformité et de publication d'une offre technique d'interopérabilité, dont elle peut être saisie par l'une des parties ;

- Un pouvoir de sanctions en cas de manquements à ces mêmes obligations, exercé dans les conditions prévues à l'article 36-11 du CPCE. Dans ce cadre, l'autorité peut prononcer des sanctions pécuniaires aux fournisseurs de services d'informatique en nuage en cause.

Cette option a été retenue car elle est cohérente avec le projet de règlement européen sur les données, l'interopérabilité des services d'informatique en nuage se fait à la demande des fournisseurs de services d'informatique en nuage tiers désireux de s'interopérer avec un autre fournisseur et, enfin, la précision des exigences au travers de spécifications techniques et de standards assurent la proportionnalité et la sécurité juridique de l'obligation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

La création d'un dispositif d'interopérabilité des services d'informatique en nuage n'implique pas d'abroger, compléter ou modifier les normes existantes de l'ordre juridique interne. Un dispositif autonome est directement inséré dans la présente loi. Les articles 8 et 9 et 10 du projet de loi prévoient les définitions, les modalités d'application de l'interopérabilité entre les services d'informatique en nuage, les pouvoirs de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dans l'application du dispositif ainsi que les sanctions encourues en cas de manquement aux obligations d'interopérabilité.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Le projet de règlement sur les données (Data Act) présenté par la Commission le 23 février 2022 vise à établir des règles harmonisées relatives à l'accès et à l'utilisation équitable des données. La loi sur les données permettra la levée des barrières à la circulation des données au profit des entreprises, des citoyens et des administrations publiques. Le projet de règlement prévoit notamment de nouvelles règles établissant les conditions permettant aux clients de migrer efficacement entre différents fournisseurs de services d'informatique en nuage afin de de rétablir des conditions de concurrence équitables sur le marché européen. Le projet de règlement est toujours en cours de négociations au niveau européen, les trilogues ayant débuté le 29 mars 2023.

Le projet de règlement européen sur les données prévoit des mesures ambitieuses en matière d'interopérabilité des services d'informatique en nuage, notamment au travers de la mise en oeuvre de standards et spécifications techniques ouvertes. Le projet de règlement sur les données prévoit également l'obligation pour les fournisseurs de service de mise à disposition d'interfaces de programmation à des fins de portabilité et d'interopérabilité auprès de leurs clients et des fournisseurs tiers auxquels les utilisateurs souhaitent donner l'accès.

L'ambition des présentes dispositions est donc d'anticiper la mise en oeuvre de ces obligations et de développer une solide compétence française en matière d'encadrement de l'interopérabilité sur les marchés de l'informatique en nuage afin de positionner la France comme cheffe de file sur ces sujets au niveau européen.

En l'état des discussions au Conseil de l'UE et au Parlement européen, un délai oscillant entre 18 et 24 mois est prévu pour la mise en application du texte à partir de sa publication au JOUE, qui devrait intervenir au plus tôt à la fin de l'année 2023. Ainsi, tenant compte du fait que le présent article pourrait entrer en conflit avec cette future norme européenne, il sera assorti d'une clause d'extinction prévue à l'article 36 du projet de loi permettant de faire cesser son application le 15 février 2026. Cela correspond à la date d'entrée en application anticipée des articles du projet de règlement européen sur les données qui prévoient des mesures en faveur de l'interopérabilité des services d'informatique en nuage.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

En termes d'impacts macroéconomiques, cette obligation de permettre une interopérabilité entre les services d'informatique en nuage facilitera l'adoption de services d'informatique en nuage par les entreprises, faisant augmenter la demande sur le marché français d'environ 10,9% en 2025 (soit 7,1 milliards d'euros)149(*). Cette hausse de la demande est estimée en lien avec les impacts des mesures de l'article 7 du présent projet de loi.

Aussi, un régime d'interopérabilité permettra une plus grande concurrence sur le marché des services d'informatique en nuage via la diminution des barrières techniques au changement de fournisseurs. Ainsi, les fournisseurs alternatifs auront accès à une plus grande part du marché, avec un gain estimé entre 10% et 13%150(*) des parts de marché de l'informatique en nuage pour les fournisseurs français ainsi qu'une hausse de leurs revenus d'environ 2,4 milliards d'euros, soit une augmentation d'environ 50%. Ces évolutions permettront d'accroître leurs ressources et leurs investissements en R&D, renforçant in fine le niveau d'innovation.

4.2.2. Impacts sur les entreprises

D'une part, l'interopérabilité des services d'informatique en nuage aura de nombreux bénéfices pour les fournisseurs de services d'informatique en nuage car ils bénéficieront de conditions de marché plus saines et pourront proposer leurs services à des entreprises qui utilisent les services de fournisseurs tiers. En termes d'attractivité des technologies de l'informatique en nuage la possibilité d'offrir des services dans un continuum avec l'écosystème des différents fournisseurs de services d'informatique en nuage constitue un levier important d'accroissement du marché français du cloud cf.supra.

D'autre part, les mesures d'interopérabilité des services d'informatique en nuage auront des impacts positifs pour les entreprises utilisatrices de solutions d'informatique en nuage, notamment en matière de liberté de choix, de quantité d'offres disponibles et de qualité de service. L'interopérabilité leur permettra d'utiliser, en même temps, plusieurs services d'informatique en nuage en fonction de leurs besoins précis, créant ainsi des combinaisons sur mesure de solutions d'informatique en nuage. Aussi, les mesures d'interopérabilité rétabliront des conditions de concurrence équitables entre les fournisseurs de services d'informatique en nuage cf. supra, avec comme impact positif pour les entreprises utilisatrices de baisser les prix et d'augmenter la qualité des services suite à la hausse du niveau d'innovation.

Le poids économique que la mise en oeuvre des obligations prévues par les présentes dispositions fera peser sur les fournisseurs de services d'informatique en nuage sera proportionné au regard du mécanisme d'adoption de spécifications techniques et de standards, qui garantira la définition suffisamment précise et circonscrite des exigences , en lien étroit avec les pratiques du marché et les travaux de normalisation d'ores et déjà engagés. L'étude d'impact151(*) menée par la Commission européenne dans le cadre du règlement européen sur les données indique à ce titre qu'une approche de normalisation se reposant sur les travaux réalisés par l'industrie devrait limiter les coûts pour les fournisseurs, en particulier lorsque les offres de services des fournisseurs contiennent déjà des logiciels pour faciliter l'exportation des données. Cela incitera également les développeurs de logiciels à prévoir des fonctions d'exportation de données dès le début de la conception de leurs applications. Toutefois, les coûts initiaux devraient être compensés par les avantages que les fournisseurs tireront de la demande supplémentaire de services en nuage, et ceux-ci bénéficieront par ailleurs d'une réduction des coûts liés au (re)formatage nécessaire pour transmettre et utiliser les données sur le marché.

Enfin, en cas de manquement aux obligations définies aux II de l'article 8 et aux I et II de l'article 9 , l'ARCEP peut prononcer à l'encontre du prestataire de services d'informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé, néanmoins l'application de ces mesures devra être prise en compte dans le dialogue budgétaire.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Les collectivités territoriales utilisatrices de services d'informatique en nuage bénéficieront au même titre que l'ensemble des utilisateurs des conditions renforcées de portabilité et d'interopérabilité, à la faveur d'un recours accru à ces services. L'utilisation de services d'informatique en nuage est un facteur déterminant de performance et de sécurité, qui permettra aux collectivités territoriales d'améliorer la gestion de leurs ressources dédiées à l'informatique.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse sera responsable de la mise en oeuvre de ce dispositif. Elle dispose à la fois d'une expertise reconnue en matière de régulation économique et d'une compétence technique, en particulier en matière de normalisation.

Compte tenu de la nécessité de mettre en oeuvre une régulation tenant compte des problématiques techniques et économiques des acteurs du marché, et qui favorise l'innovation et une concurrence accrue dans le secteur de l'informatique en nuage, l'ARCEP pourra s'appuyer à la fois sur son expérience reconnue en matière de régulation économique, et sur son expertise en matière d'interopérabilité technique, acquise dans le champ des télécommunications. En effet, la mise en oeuvre des mesures d'interopérabilité requiert une expertise technique et une maîtrise des enjeux liés à la normalisation des services, afin d'assurer que l'adoption et l'élaboration de standards d'interopérabilité des services d'informatique en nuage soient à la fois suffisamment ambitieuses pour déverrouiller la circulation des données, et permette de répondre aux problématiques de concurrence sur le marché des services d'informatique en nuage en favorisant le développement de services innovants.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Le renforcement des conditions de portabilité et d'interopérabilité, et les progrès qu'il permettra en matières d'innovation et de compétitivité, impactera positivement la croissance économique du marché français du cloud, et le niveau d'emploi du secteur.

Le recours simultané à plusieurs fournisseurs de cloud, et plus généralement le recours accru aux services d'informatique en nuage, permettront le renforcement de la cybersécurité, et de la protection des données non-personnelles et personnelles des citoyens.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Les particuliers bénéficieront de manière similaire aux entreprises de conditions de portabilité et d'interopérabilité renforcées, au profit d'une plus grande liberté de choix en matière de fournisseurs de service.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

En application de l'article L. 36-5 du code des postes et des communications électroniques, les dispositions du présent article ont été soumises à la consultation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse qui a rendu son avis le 20 avril 2023.

En outre, au regard de l'objectif concurrentiel des mesures prévues aux articles 8, 9 et 10 du projet de loi, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

La mesure envisagée entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française. Elle s'appliquera jusqu'au 15 février 2026, correspondant à la date d'entrée en application anticipée des mesures portant sur le même objet prévues par le règlement 2022/0047 (COD) du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (articles 26, 28 et 29).

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance à l'article 35 du présent projet de loi. 

5.2.3. Textes d'application

Les présentes dispositions nécessitent l'adoption de plusieurs décrets simples précisant la mise en oeuvre des dispositions relatives aux décisions de précision adoptées par l'autorité et (ii) à la publication d'une offre technique d'interopérabilité prévues à l'article 9 du présent projet de loi.

CHAPITRE III - RÉGULATION DES SERVICES D'INTERMÉDIATION DE DONNÉES

Articles 11, 12, 13 et 14 - Désignation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse comme autorité compétente pour la supervision des prestataires de services d'intermédiation de données

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

La stratégie européenne pour les données152(*) est une composante de la priorité « Une Europe adaptée à l'ère du numérique »153(*) de la Commission européenne. Cette stratégie se donne pour objectif de faire en sorte que l'UE devienne un modèle et un acteur majeur d'une société dont les moyens d'action sont renforcés par les données. Notamment, la création d'un marché unique des données permettra la libre circulation de ces dernières au sein de l'UE et entre les secteurs, dans l'intérêt des entreprises, des chercheurs et des administrations publiques.

Dans le cadre de cette stratégie européenne pour les données, la Commission européenne a d'une part déployé des moyens financiers (au sein du Programme pour une Europe numérique ou `Digital Europe Program'154(*)) contribuant principalement au soutien au développement des espaces de données155(*) à hauteur de 410 M€156(*) en 2021-2022 et 113M€157(*) en 2023-2024 et d'autre part présenté des instruments juridiques, sous la forme de deux règlements (Data Governance Act et Data Act), destinés à accroitre le partage des données. La Commission européenne juge que le potentiel économique de l'utilisation des données est considérable, en termes de nouveaux produits et services basés sur de nouvelles technologies, de production plus efficace et de moyens de lutte contre les défis sociétaux.

Les autorités françaises ont favorablement accueilli cet ensemble d'initiatives et ont participé aux négociations du Data Governance Act et du Data Act.

Publié au Journal Officiel de l'Union européenne sous la Présidence française du Conseil de l'UE le 30 mai 2022, le Data Governance Act (règlement (UE) n° 2022/868) entrera en application en septembre 2023. Ce règlement ambitionne de mettre en place des mécanismes solides pour (i) faciliter la réutilisation de certaines catégories de données protégées du secteur public, (ii) renforcer la confiance dans les services d'intermédiation de données (objet du présent article) et (iii) favoriser l'altruisme en matière de données dans l'ensemble de l'UE.

Une plus large réutilisation des données protégées du secteur public : le règlement sur la gouvernance des données crée un mécanisme permettant de réutiliser en toute sécurité certaines catégories de données du secteur public soumises à des droits d'autrui. Il s'agit notamment des secrets d'affaires, des données à caractère personnel et des données protégées par des droits de propriété intellectuelle. Les organismes du secteur public autorisant ce type de réutilisation devront être dûment équipés, sur le plan technique, afin que le respect de la vie privée et la confidentialité soient pleinement préservés.

Un nouveau modèle commercial pour l'intermédiation de données : le règlement sur la gouvernance des données crée un cadre visant à promouvoir un nouveau modèle commercial - les services d'intermédiation de données - qui fournira un environnement sûr dans lequel les entreprises ou les particuliers pourront partager des données. Pour les entreprises, ces services peuvent prendre la forme de plateformes numériques qui permettront le partage volontaire de données entre entreprises et faciliteront le respect des obligations en matière de partage de données fixées par cette loi mais également d'autres législations, qu'elles soient européennes ou nationales. Grâce à ces services, les entreprises pourront partager leurs données sans craindre qu'elles soient utilisées de manière abusive ni risquer de perdre leur avantage concurrentiel.

Les prestataires de services d'intermédiation de données devront être inscrits dans un registre de manière à ce que leurs clients sachent qu'ils peuvent leur faire confiance. Les prestataires de services ne seront pas autorisés à utiliser les données partagées à d'autres fins. Ils ne pourront pas tirer parti des données, en les vendant par exemple. Ils pourront en revanche facturer les transactions qu'ils effectuent.

Le règlement sur la gouvernance des données définit (article 2, 11) un « service d'intermédiation de données » comme un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d'une part, et d'utilisateurs de données, d'autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l'exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l'exclusion au minimum de ce qui suit :

a) des services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d'en accroître substantiellement la valeur et concèdent une licence d'utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données ;

b) des services axés sur l'intermédiation de contenus protégés par le droit d'auteur ;

c) des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d'utiliser les données qu'il détient, ou qui sont utilisés par des personnes morales multiples au sein d'un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d'objets et de dispositifs connectés à l'internet des objets ;

d) des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales.

Un bon exemple de plateforme de données qui serait désireuse d'obtenir le nouveau statut de services d'intermédiation de données est AgDataHub, entreprise qui cherche à se positionner comme l'intermédiaire de référence pour la circulation des données agricoles en France et en Europe : https://agdatahub.eu/.

Altruisme en matière de données pour le bien commun : le règlement sur la gouvernance des données rend également plus facile pour les particuliers et les entreprises la mise à disposition volontaire de données pour le bien commun, dans le cas de projets de recherche médicale, par exemple. Les entités qui cherchent à collecter des données pour des finalités d'intérêt général peuvent demander à être inscrites dans un registre national des organisations reconnues en ce qui concerne l'altruisme en matière de données. Les organisations enregistrées seront reconnues dans toute l'UE.

La Commission Européenne a par ailleurs publié le 23 février 2022 la proposition de règlement sur les données (Data Act). Ce texte est une déclinaison législative de la stratégie européenne pour les données, qui complétera le règlement sur la gouvernance des données (Data Governance Act). L'ambition du règlement est :

- d'une part de poser un cadre homogène dans l'Union en matière de partage de données privées de type : « Business to Government » (B2G), « Business to Business » (B2B), et « Business to Consumer » (B2C) ;

- d'autre part de proposer un cadre de régulation des services d'hébergement de données en nuage sur leur interopérabilité et leur exposition aux législations extraterritoriales.

Le Conseil et le Parlement ont respectivement adopté leur mandat de négociation le 24/03 et le 14/03.

1.2. CADRE CONSTITUTIONNEL

La désignation des autorités compétentes ainsi que les mesures d'adaptation du droit français, nécessaires en prévision de l'entrée en application du règlement sur la gouvernance des données, est conforme à l'exigence constitutionnelle résultant de la décision n° 2004-496, 22 juin 2004158(*).

La mise en oeuvre en droit national des mesures pro-concurrentielles portées par le règlement 2022/868 qui tendent à imposer un cadre de régulation à cette nouvelle catégorie d'acteurs poursuit un objectif d'ordre public économique, conforme à la Constitution, s'inscrivant dans la jurisprudence constitutionnelle159(*).

1.3. CADRE CONVENTIONNEL

La mise en oeuvre des dispositions législatives intervient dans le cadre de l'entrée en application du règlement sur la gouvernance des données (UE) 2022/868 du 30 mai 2022.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Au titre de ses obligations découlant du droit de l'Union européenne, il incombe au gouvernement de procéder aux ajustements nécessaires en l'entrée en application du règlement sur la gouvernance des données. Compte tenu du choix, pour la supervision des dispositions relatives aux prestataires de services d'intermédiation de données, de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, une Autorité administrative indépendante donc les objectifs et moyens d'action sont fixés dans la loi, il est nécessaire de recourir à un vecteur législatif.

2.2. OBJECTIFS POURSUIVIS

La désignation des autorités compétentes au titre de l'entrée en application du règlement sur la gouvernance des données et les ajustements législatifs associés visent à instaurer un cadre de confiance et en faveur de l'innovation pour le développement des services de prestataires d'intermédiation de données, afin d'atteindre les objectifs de développement de l'économie de la donnée.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Option 1 :

Il a été envisagé de désigner l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse pour la supervision et le contrôle des prestataires de services d'intermédiation de données.

Option 2 :

Il a été également envisagé de désigner la Commission nationale de l'informatique et des libertés pour la supervision et le contrôle des prestataires de services d'intermédiation de données comme autorité compétente en matière de services d'intermédiation de données au sens de l'article 13 du règlement (UE) 2022/868 du 30 mai 2022, et pour l'application de son chapitre III.

Compte tenu de la typologie de données que seront amenées à traiter ces acteurs émergents, essentiellement des données non-personnelles, et au regard de la dimension pro-concurrentielles du cadre règlementaire applicables aux intermédiaires de données, la désignation de la CNIL a été écartée.

3.2. OPTION RETENUE

Compte tenu des exigences pro-concurrentielles retenues par le règlement sur la gouvernance des données concernant la désignation des autorités compétences pour les prestataires de services d'intermédiation de données, et de l'ambition pro-innovation affichée pour cette nouvelle typologie d'acteurs, il est proposé de retenir l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Le véhicule législatif n'emporte de modification substantielle du code des postes et des communications électroniques, néanmoins des ajustements mineurs sont à prévoir concernant les pouvoirs de la formation restreinte de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dévolus par l'article L. 130 dudit code. 

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

La désignation de l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse interviendra au titre de l'entrée en application du règlement sur la gouvernance des données.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

La Commission européenne a produit une étude d'impact détaillée qui aborde en détail les impacts économiques du règlement européen sur les données160(*). Au global, le règlement 2022/868 pourrait permettre un gain de croissance au niveau de l'Union européenne de l'ordre de 10,9 Mds€, soit 0,079% du PIB de l'UE, à horizon 2028. Plus spécifiquement, la mise en oeuvre des mécanismes de partage orchestrés par les prestataires de services d'intermédiation de données labélisés doit permettre un gain de PIB au niveau de l'Union de l'ordre de 700 M€ par an.

Il n'a pas été possible de déterminer un impact national différencié.

4.2.2. Impacts sur les entreprises

L'instauration d'un système de labélisation des entreprises de services d'intermédiation de données doit permettre à ses acteurs une accélération de leur développement commercial de l'ordre de 25% à 50%161(*).

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est identifié.

Néanmoins, un impact budgétaire indirect est envisageable. Cette désignation appellera des contrôles par les services de l'Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et des moyens supplémentaires à définir.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Il n'y a pas d'impact sur les collectivités territoriales en tant que telles, néanmoins celles-ci pourront bénéficier du développement des services d'intermédiation de données.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

L'impact sur les services de l'Arcep se traduira par le traitement des notifications portées par les prestataires de services d'intermédiation selon l'article 11 du règlement 2022/868, et le contrôle du respect des exigences applicables à ces acteurs en vertu du l'article 12 du même règlement. Le contrôle de ces exigences, essentiellement pro-concurrentielles et de nature économique, recouvre les contrôles effectués par l'Arcep dans le cadre du secteur des télécommunications, et recouvrira également les nouveaux pouvoirs de l'Autorités résultant des articles 8 et 9 du présent projet de loi.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

En application de l'article L. 36-5 du code des postes et des communications électroniques, les dispositions du présent article ont été soumises à la consultation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse qui a rendu son avis le 20 avril 2023.

En outre, au regard de l'objectif concurrentiel des mesures du règlement 2022/868, l'Autorité de la Concurrence a été saisie en application de l'article L. 462-1 du Code de commerce et a rendu son avis le 20 avril 2023.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

L'article 11 entrera en vigueur le 24 septembre 2023.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 35 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35 du présent projet de loi.

La Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna sont soumises au principe de « spécialité législative ». La mesure telle que rédigée, sans mention expresse, n'est donc pas applicable dans ces territoires. Les dispositions pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 35 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35.

5.2.3. Textes d'application

Un décret d'application sera nécessaire pour fixer les conditions de traitement des demandes formulées par les prestataires de services d'intermédiation de données au titre du paragraphe 9 de l'article 11 du DGA.

TITRE IV - ASSURER LE DÉVELOPPEMENT EN FRANCE DE L'ÉCONOMIE DES OBJETS DE JEU NUMÉRIQUES MONÉTISABLES DANS UN CADRE PROTECTEUR

Le développement rapide et la mise à disposition de technologies dites « Web 3.0 », telles que la blockchain et les jetons non-fongibles (JNF), constituent de puissantes opportunités de développement pour le secteur du jeu, particulièrement créatif et innovant. De très nombreux jeux émergent ou sont en phase de développement, en France comme dans d'autres pays.

Il s'agit principalement de jeux dans lesquels est proposé l'achat d'objets numériques de jeu (sous forme de carte JNF par exemple), nécessaires pour participer au jeu. Si le joueur gagne, il peut se voir offrir comme gain ou récompense des actifs numériques ou de nouveaux objets de jeu qu'il est possible de revendre à des tiers soit sur la plateforme de l'éditeur du jeu soit sur une place de marché secondaire. Le web 3.0 a fait naître le modèle des « play to earn », qui suppose d'avoir la « propriété » sur ses objets et de pouvoir les monétiser en dehors du jeu. Dans ce modèle, l'éditeur finance le développement du jeu par l'émission des premiers objets numériques (par exemple, des cartes sous forme de JNF) et tire un revenu régulier de l'émission de nouvelles séries d'objets. Il peut en outre prélever de façon automatique une commission sur l'échange des JNF par les joueurs, même si ces échanges n'ont pas lieu sur une plateforme qu'il gère, si cette règle a été fixée dès la création du JNF.

Si le troc d'objets numériques est ancien dans l'univers du jeu vidéo, le fonctionnement des jeux antérieurs au Web 3.0 était caractérisé par une « boucle fermée » : les objets échangés ne pouvaient pas être revendus, ils restaient dans le jeu.

Le web 3.0 facilite l'introduction des objets numériques échangeables, cessibles et monétisables et constitue un nouveau type de jeux en ligne, dans lequel les objets sont désormais en « boucle ouverte » et peuvent être revendus en dehors du jeu. Dès lors, ces jeux peuvent mêler plusieurs motivations : le plaisir de jouer mais aussi la volonté de gagner de l'argent en remportant des objets numériques revendables.

En raison de leur caractère attractif auprès des mineurs et de la nécessité de protéger ceux-ci, des possibilités qu'ils ouvrent en matière de blanchiment des capitaux et de financement du terrorisme et afin de prévenir d'éventuelles atteintes à l'ordre public et à l'ordre social telles que l'addiction aux jeux, ces jeux émergents doivent faire l'objet d'un encadrement juridique spécifique en fixant des conditions d'exploitation strictes.

Si réguler un secteur encore émergent n'est pas aisé au regard de l'incertitude sur l'impact que ces jeux peuvent avoir sur la société, il importe d'élaborer, en recourant éventuellement à l'expérimentation, un cadre juridique tempérant la préservation des capacités d'innovation agile d'un secteur qui renouvelle l'expérience de divertissement par la transposition adaptée de mécanismes protecteurs déjà bien connus dans l'univers des jeux d'argent et de hasard.

Article 15 - Article d'habilitation à légiférer par voie d'ordonnance afin de définir les jeux à objets numériques monétisables (JONUM), leurs conditions d'exploitation et fixer le cadre de régulation de ces jeux

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le développement rapide et la mise à disposition de technologies dites « Web 3.0 », telles que la blockchain162(*) et les jetons non-fongibles (JNF)163(*), constituent de puissantes opportunités de développement pour le secteur du jeu en ligne. En effet, les caractéristiques des JNF, jetons numériques uniques auxquels peuvent être associés des droits et utilisables dans des jeux, rendent possible la création de marchés secondaires pour de tels objets numériques, intéressant d'autres joueurs ou des collectionneurs. Ces objets numériques acquièrent donc une valeur marchande et sont monétisables.

Ainsi, de très nombreux jeux émergent ou sont en phase de développement, en France comme dans d'autres pays. D'après l'Autorité nationale des jeux (ANJ), de l'ordre de deux mille jeux dits « Play to earn » étaient en 2022 en cours de développement dans le monde et sont destinés notamment aux joueurs français. Par ailleurs, douze milliards de dollars ont été investis dans les jeux utilisant des JNF en 2022 dans le monde. Leur création est facilitée par les avancées des technologies de la blockchain qui rendent le développement de ses applications plus simple, plus rapide et plus économique.

Ils constituent un levier de développement important pour le secteur du jeu vidéo français, qui est l'un des plus dynamiques en Europe et dans le monde (près de 5 milliards d'euros de chiffre d'affaires, plus de 18 000 emplois en 2022).

Cependant, la législation actuelle n'est pas adaptée à ces nouveaux jeux, qui empruntent des caractéristiques à la fois aux jeux de loisirs (gaming) et aux jeux d'argent (gambling) et qui interrogent la pertinence des catégories actuelles de jeux et la sécurité juridique offerte aux acteurs du secteur.

Aussi, certains de ces jeux pourraient être requalifiés comme des jeux d'argent et de hasard illégaux, sauf lorsqu'ils ont été autorisés conformément à la loi, en application de l'article L. 320-1 du code de la sécurité intérieure. Ce cadre très restrictif n'est pas conçu pour les spécificités des jeux en cours de développement. Inversement, les jeux vidéo qui intègrent des objets numériques monétisables peuvent créer des risques nouveaux pour les joueurs ainsi qu'en matière de blanchiment des capitaux et de financement du terrorisme.

Les entreprises qui proposent des jeux avec des objets numériques monétisables (dits « JONUM ») exerceront une activité nouvelle. Il s'agit principalement de jeux dans lesquels est proposé l'achat d'objets numériques de jeu (sous forme de carte JNF par exemple), nécessaires pour participer au jeu ou pour avancer plus rapidement dans le jeu. Si le joueur gagne, il peut se voir offrir comme gain ou récompense de nouveaux objets de jeu qu'il est possible de revendre à des tiers soit sur la plateforme de l'éditeur du jeu soit sur une place de marché secondaire. Selon de premières études récentes, ces jeux présenteraient des risques d'ordre public et d'ordre social, tels que des risques d'addiction ou de fraude, pour certains proches de ceux des jeux d'argent et de hasard, au motif notamment que les objets numériques peuvent être cédés à titre onéreux. En outre, sans interdiction prévue par la loi, ces jeux seraient accessibles aux mineurs.

Il convient de définir ces nouveaux jeux, leurs conditions d'exploitation, un encadrement de l'activité des entreprises qui souhaitent proposer des JONUM et de fixer des modalités de contrôle et de régulation adaptées aux spécificités de ces jeux, à la technologie utilisée (web 2.0 ou web 3.0) et aux risques associés. Ces nouveaux jeux pourront être autorisés à titre expérimental.

1.2. CADRE CONSTITUTIONNEL

L'article 38 de la Constitution prévoit que « Le Gouvernement peut, pour l'exécution de son programme, demander au Parlement l'autorisation de prendre des mesures par ordonnances, pendant un délai limité ».

La régulation d'un secteur économique porte atteinte à la liberté d'entreprendre protégée par la Constitution. Le Conseil constitutionnel a confirmé dans sa décision n° 2012-285 QPC du 30 novembre 2012 que la liberté d'entreprendre comprend deux objets, à savoir : « non seulement la liberté d'accéder à une profession ou à une activité économique mais également la liberté dans l'exercice de cette profession ou de cette activité ». Des limitations peuvent néanmoins lui être apportées si elles sont justifiées au regard des risques d'atteintes à l'ordre public et à l'ordre social notamment les risques de fraude et de blanchiment de capitaux et de financement du terrorisme164(*).


Dans de nombreuses décisions, le Conseil constitutionnel a considéré :

"(...) 13. (...) qu'il est loisible au législateur d'apporter à la liberté d'entreprendre, qui découle de l'article 4 de la Déclaration des droits de l'homme et du citoyen de 1789, des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi ; (...)»165(*)

1.3. L'ARTICLE 37-1 DE LA CONSTITUTION PRÉCISE QUE « LA LOI ET LE RÈGLEMENT PEUVENT COMPORTER, POUR UN OBJET ET UNE DURÉE LIMITÉS, DES DISPOSITIONS À CARACTÈRE EXPÉRIMENTAL ».CADRE CONVENTIONNEL

Les articles 56 et suivants du traité de fonctionnement de l'Union européenne (TFUE) prohibent toute restriction à la libre prestation des services. Néanmoins, des restrictions peuvent être justifiées par des raisons impérieuses d'intérêt général à la condition qu'elles soient proportionnées.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

L'émergence de ces nouveaux jeux et technologies est une problématique très récente, à laquelle sont confrontés les pays dont le secteur du jeu vidéo est innovant. Beaucoup de ces pays réfléchissent à un cadre de régulation ad hoc. C'est notamment le cas de l'Espagne, qui envisage un encadrement spécifique, plus souple que celui des jeux d'argent et de hasard, pour les « coffres à butin » (lootboxes)166(*).

Ainsi, l'Espagne envisage d'encadrer les seuls « coffres à butin », ou lootboxes, dont le gain serait « échangeable ». Cette caractéristique est appréciée de manière large par les Espagnols considérant qu'il s'agit d'une simple interchangeabilité, soit par échange avec d'autres participants aux jeux, soit par son échange contre de l'argent ou contre d'autres types d'objets virtuels, quels qu'ils soient. Un avant-projet de loi a été publié par le ministère espagnol de la consommation le 1er juillet 2022.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Le Gouvernement souhaite être habilité à prendre par ordonnance, en application de l'article 38 de la Constitution, toute mesure relevant du domaine de la loi permettant de définir le régime, les objectifs et les modalités d'encadrement, de régulation et de contrôle des entreprises qui commercialisent les JONUM.

Aujourd'hui, l'Autorité nationale des jeux, autorité française de régulation des jeux d'argent et de hasard, considère que certains des jeux proposant des objets numériques monétisables (JNF ou non) répondent aux quatre critères cumulatifs de définition des jeux d'argent et de hasard prohibés de l'article L. 320-1 du code de la sécurité intérieure : une opération offerte au public, un sacrifice financier, une espérance de gain due même partiellement au hasard.

Sans évolution législative, sauf à arrêter leur activité ou à obtenir un agrément au titre des jeux d'argent et de hasard (au prix d'une dénaturation du jeu proposé), ces entreprises s'exposent aux risques de blocage administratif d'accès à leur site internet, et encourent des sanctions pénales de trois ans d'emprisonnement et de 90 000 € d'amende ainsi que des peines complémentaires pour les personnes physiques167(*).

En outre, la mesure proposée vient fixer un encadrement de l'exploitation d'un nouveau secteur économique, les jeux utilisant des objets numériques monétisables (dits « JONUM »), soumis à des obligations commerciales ou en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme spécifiques, ce qui justifie de définir cette nouvelle activité par la loi en application à l'article 34 de la Constitution.

2.2. OBJECTIFS POURSUIVIS

La présente mesure vise à fixer par ordonnance la définition des JONUM, leurs conditions d'exploitation et un encadrement propre à concilier principalement trois objectifs :

- Favoriser l'innovation et le développement de nouvelles activités pour le secteur du jeu en ligne, grâce à un cadre juridique adapté. Pour ce faire, la législation proposée se veut neutre technologiquement (adaptée aux technologies du web 3.0, ou antérieures (web 2.0 notamment), ou à venir).

- Offrir une sécurité juridique suffisante aux éditeurs de ces nouveaux jeux et aux investisseurs, ainsi qu'aux opérateurs agréés du secteur des jeux d'argent et de hasard.

- Protéger les joueurs et le secteur des risques accompagnant une commercialisation insuffisamment contrôlée de ces jeux, alors même que le marché est encore émergent et les risques, par voie de conséquence, encore peu étudiés. Il s'agit notamment d'atténuer les risques en matière de blanchiment des capitaux et de financement du terrorisme posés par le secteur.

L'ordonnance définira les jeux autorisés et les modalités d'encadrement et de contrôle des entreprises qui commercialisent les JONUM ainsi que les modalités de la régulation. Ces modalités de régulation incluent les règles applicables en vue de prévenir les risques d'atteinte à l'ordre public dont la fraude et le blanchiment d'argent et de protéger la santé et les mineurs.

L'enjeu réside à encadrer de manière proportionnée un nouveau secteur d'activité et à prévenir les risques de développement d'atteintes à l'ordre public.

Le recours à l'expérimentation pour la commercialisation de ces nouveaux jeux sera envisagé.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

L'inclusion de l'ensemble du régime des JONUM et des modalités de régulation de ce nouveau secteur économique dans le projet de loi initial a été envisagée. Pour autant, au regard des enjeux d'ordre public, du nombre de dispositions nécessaires pour encadrer ce nouveau marché, de leur technicité et de leur nouveauté, un délai incompressible sera nécessaire pour consulter l'ensemble des administrations et autorités de régulation potentiellement concernées (CNIL168(*), Tracfin169(*), ARCOM170(*), AMF171(*), ACPR172(*), ADLC173(*), MILDECA174(*), etc.) et poser le cadre le plus adapté aux spécificités de ces nouveaux jeux et aux risques associés.

3.2. DISPOSITIF RETENU

L'habilitation à prendre une ordonnance permet au Gouvernement de consulter dans des délais suffisants les administrations concernées par cette industrie naissante, les acteurs du secteur et des secteurs voisins (jeux vidéo et jeux d'argent et de hasard) et de mettre en place un travail interministériel afin d'établir un cadre proportionné aux enjeux de cette activité économique nouvelle et aux risques associés et de réfléchir à l'opportunité d'avoir recours à l'expérimentation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

L'analyse précise des conséquences attendues de la mesure sera effectuée dans la fiche d'impact exposant les dispositions de l'ordonnance prise sur le fondement de la présente habilitation. Néanmoins, ainsi que le prévoit le dispositif d'habilitation qui définit certains des objectifs poursuivis pour l'ordonnance, il peut d'ores et déjà être fait état des impacts suivants :

1° l'ordonnance aura pour objectif de protéger les mineurs en prévoyant des obligations pour empêcher l'accès à des jeux dont l'objectif pour le joueur ne serait pas la seule activité de loisir mais d'essayer de s'enrichir.

2° l'ordonnance fixera des règles pour protéger les joueurs des risques de jeu excessif et encadrera la promotion de ces jeux. Les JONUM peuvent en effet engendrer des risques d'addiction. Les premières études disponibles, encore rares et portant sur des champs limités, montrent que ces jeux présentent des risques comportementaux, notamment du fait de l'intérêt économique qu'ils procurent, et qu'ils sont susceptibles d'attirer des joueurs ayant une pratique de jeu excessive entrainant une perte de contrôle175(*).

3° l'ordonnance définira les obligations des entreprises à même de prévenir le développement sur leur site d'actions frauduleuses ou de tentatives de blanchiment d'argent et de financement du terrorisme et les obligations en matière d'intégrité et de transparence de l'offre de jeu.

5. JUSTIFICATION DU DÉLAI D'HABILITATION

Concernant l'habilitation donnée au Gouvernement de prendre par ordonnance les mesures prévues au présent article, un délai d'habilitation de quatre mois est nécessaire compte tenu de la technicité des dispositions à prendre et des consultations obligatoires à mener.

Un projet de loi de ratification devra être déposé devant le Parlement dans un délai de trois mois à compter de la publication de l'ordonnance.

TITRE V - PERMETTRE À L'ETAT D'ANALYSER PLUS EFFICACEMENT L'ÉVOLUTION DES MARCHÉS NUMÉRIQUES

Article 16 - Élargissement des pouvoirs de collecte des données par le Pôle d'Expertise de la Régulation du Numérique (PEReN) pour des activités de recherche publique

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

L'émergence et le développement économique du modèle de la plateforme numérique, notamment au travers des plus grandes d'entre elles (Google, Apple, Meta, Amazon, Microsoft, Baidu, Alibaba, Tencent dont l'offre commerciale couvre la quasi-totalité des services essentiels, a mécaniquement conduit ces acteurs globaux à disposer de données et d'informations surpassant largement, en nombre et en qualité, celles jusque-là accessibles aux autorités publiques pour les besoins de l'élaboration et de la conduite des politiques dont elles ont la responsabilité.

Pour tenter de résoudre cette asymétrie d'information, plusieurs dispositifs juridiques ont été mis en place permettant à quelques autorités publiques d'obtenir certaines des données collectées sur les plateformes numériques. Deux types de dispositifs sont recensés à l'heure actuelle, en fonction des finalités auxquelles ils répondent.

Une première catégorie de dispositifs se rattache aux missions de régulation, contrôle et sanction des administrations. On y trouve notamment :

- Le droit d'enquête, de visite et de saisie dont disposent, notamment, les administrations fiscale176(*) et douanière177(*), comme la plupart des autorités administratives ou publiques indépendantes178(*). Il ne vise certes pas spécifiquement les données numériques, ni même les plateformes, mais il les inclut nécessairement.

- Le droit de communication applicable aux données de connexion dont disposent -sensiblement - les mêmes autorités publiques179(*). Il porte de manière spécifique sur des données numériques non publiques, mais reste limité aux seules données de connexion des opérateurs de communication électronique.

- Le droit de communication non nominatif créé en 2014 en matière fiscale180(*) et sociale181(*)

Ces dispositifs ont pour caractéristique d'être contraignants pour les personnes visées, mais la nature et l'étendue des données pouvant être recueillies, comme les conditions et les limites de leur utilisation sont strictement bornées. Les évolutions jurisprudentielles récentes qui ont eu pour effet de restreindre drastiquement les possibilités d'accès aux données de connexion par les autorités publiques l'attestent182(*).

Une seconde catégorie de dispositifs juridiques permet l'accès aux données d'opérateurs de plateforme pour les besoins de l'élaboration des politiques publiques. Il s'agit en particulier de :

- La législation relative aux statistiques publiques183(*) qui permet un accès complet aux données agrégées issues des bases de données privées, sous réserve d'une procédure rigoureuse et pour les besoins exclusifs d'études statistiques obligatoires184(*).

Depuis 2016185(*), la loi de 1951 en matière de statistiques permet au ministre chargé de l'économie d'imposer aux personnes privées, à peine de sanction, de communiquer les informations contenues dans les bases de données qu'elles détiennent, sous réserve de quatre séries de conditions :

- l'obligation n'est applicable que pour les besoins des enquêtes que le programme statistique annuel déclare obligatoires ;

- la mise en oeuvre est précédée d'une concertation avec les opérateurs concernés ;

- les données sont agrégées, non identifiantes et ne peuvent être utilisées qu'à des fins statistiques ;

- les données reçues par le dépositaire ne peuvent faire l'objet d'aucune communication à des tiers (sous réserve de l'application de la loi « archives »)

Plusieurs législations sectorielles, notamment dans le domaine des transports, imposent aux opérateurs de plateforme de rendre accessibles certaines de leurs données aux autorités publiques en charge de l'élaboration des politiques publiques.

- Un dispositif européen impose aux opérateurs de transport et aux fournisseurs services de partage de véhicules et cycles de rendre accessibles, notamment aux autorités publiques, et réutilisables, les données statiques et dynamiques sur les déplacements et la circulation ainsi que les données historiques concernant la circulation186(*).

- La loi « Climat et résilience » a imposé aux services numériques d'assistance au déplacement (toutes les plateformes proposant des services de transport ou d'itinéraires) de rendre accessible aux autorités en charge des transports les données pertinentes relatives aux déplacements et à la circulation qu'ils détiennent187(*). Les décrets d'application sont à l'ordre du jour188(*). Le non-respect de l'obligation est puni d'une amende de 300 000 euros.

- En matière ferroviaire, la loi prévoit que l'Etat et les autorités publiques responsables ont accès aux informations relatives au trafic ferroviaire et aux données économiques nécessaires à la conduite d'études et de recherches189(*).

Plusieurs dispositifs autorisent la mise en oeuvre, par des autorités publiques, de traitements de chalutage (« scraping ») de données publiquement disponibles sur certaines plateformes numériques. Le « scraping » le fait de collecter, emmagasiner et traiter toutes ou partie des données ouvertes des plateformes au moyen d'outils d'analyse avancés. Les données sont certes incomplètes par comparaison avec les données non publiques. Toutefois, sous réserve de la possibilité pour les autorités publiques d'ouvrir un compte sur les plateformes concernées et de pouvoir traiter de manière systématique et automatisée l'ensemble des données qui n'ont pas été explicitement « privatisées » par les utilisateurs (y compris éventuellement les commentaires), cette technique peut permettre d'aboutir à des résultats d'analyse portant sur des échantillons statistiques importants. Elle peut aussi permettre de disposer de données en quantité suffisante pour entraîner des systèmes d'apprentissage automatisés - des outils d'IA avancés comme Chat GPT et Notion ont été réalisés par l'entraînement supervisé de systèmes d'IA au moyen de données publiquement disponibles collectées sur internet. Les données agrégées par ces traitements peuvent ensuite être réutilisées de plein droit pour les besoins de l'élaboration des politiques publiques190(*) :

- Chalutage des données manifestement rendues publiques par les utilisateurs de plateformes en ligne aux fins de lutte contre la fraude fiscale et douanière191(*).

- Collecte et l'exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne192(*), y compris lorsque l'accès à ces plateformes requiert une inscription à un compte, dans le but d'identifier les ingérences numériques étrangères193(*).

- Collecte automatisée des données publiquement accessibles des plateformes en ligne, y compris lorsque l'accès requiert l'ouverture d'un compte, autorisant le PEReN à concevoir ou évaluer des outils techniques ayant pour strict objet la réflexion portant sur la régulation des opérateurs de plateforme en ligne194(*).

Ces dispositifs représentent une vision agrégée des différents leviers à la disposition des pouvoirs publics pour collecter des données sur les plateformes numériques.

1.2. CADRE CONSTITUTIONNEL

Sur le plan constitutionnel, le dispositif proposé s'appuie sur le pouvoir de collecte des données accessibles publiquement déjà reconnu au PEReN par la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique. S'agissant de données publiquement accessibles, le risque d'atteinte au secret des affaires, paraît donc très réduit et maitrisé également par les modalités d'organisation opérationnelles garantissant que l'accès du PEReN aux données et leur traitement ne portera pas atteinte à ce secret.

Le dispositif garantit que les données collectées resteront exclusivement destinées à des activités de recherche publique et ne feront l'objet d'aucune diffusion ultérieure. L'atteinte au droit de propriété peut donc être regardée comme proportionnée.

Le risque d'atteinte disproportionnée au droit au respect de la vie privée et à la liberté d'expression et de communication est nul car le champ du dispositif se limite aux données publiques. La création d'un traitement de données à caractère personnel ne nécessite plus aujourd'hui, en principe, de dispositions législatives particulières, sous réserve que le traitement respecte les exigences du règlement général sur la protection des données (RGPD) et de la loi n° 78-18 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés195(*).

1.3. CADRE CONVENTIONNEL

La proposition de règlement Data Act présenté par la Commission européenne prévoit, à ce stade des négociations, une procédure de « réquisition » des détenteurs de données au bénéfice des organismes du secteur public, sur demande, lorsqu'est démontré l'existence d'un besoin exceptionnel196(*). Cette notion recouvre notamment les situations d'urgence publique (crise sanitaire, ...) mais également celles dans lesquelles l'organisme établit que la mission d'intérêt public qu'il poursuit nécessite des données qu'il ne peut obtenir par d'autres moyens et établit qu'il ne peut obtenir les mêmes données autrement, notamment en les acquérant sur le marché privé. Y compris dans cette dernière situation, la procédure conserve un caractère exceptionnel.

Le Digital Services Act (DSA) prévoit explicitement à son article 40 plusieurs dispositifs d'accès obligatoire des régulateurs et de chercheurs aux données publiques ou non publiques des très grandes plateformes numériques. Cette ouverture a pour finalités exclusives de contrôler l'application du DSA et de mener des recherches relatives aux risques systémiques, au regard notamment des droits fondamentaux, que suscite l'activité des très grandes plateformes dans l'Union.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

L'Etat et les services d'Etat sont aujourd'hui sous-équipés en matière d'accès aux données et aux systèmes d'information des grandes plateformes numériques, ce qui entrave leurs missions de stratèges et concepteurs de la politique publique de régulation de ces grandes plateformes. Or, le traitement des données publiques des plateformes est une solution permettant d'offrir des résultats pertinents pour l'élaboration des politiques publiques. Les données publiquement disponibles sur les plateformes sont une source d'information, certes incomplète, mais potentiellement riche d'enseignements pour améliorer l'élaboration et la mise en oeuvre des politiques publiques.

En revanche, cette technique est sous-utilisée, faute d'un encadrement juridique clair. L'analyse des données publiques, moins attentatoire aux droits et libertés que celle des donnés non publiques, est en l'état très peu utilisée par les administrations publiques, du fait de l'insécurité juridique de l'encadrement normatif actuel. A s'en tenir aux seules techniques ayant fait l'objet de dispositions législatives ou réglementaires ad hoc, quatre seulement seraient mis en oeuvre : le « scraping » de l'administration fiscale ayant pour finalité d'orienter les contrôles, l'analyse en temps réel de détection des ingérences étrangères par Viginum, le « scraping » du PEReN pour des finalités de recherche, et l'analyse en temps réel de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) aux fins d'identification des actes de piratage informatique.

Alors même que le PEReN exprime de réels besoins de recours à des techniques d'analyse des données publiques des plateformes, il estime que les restrictions du cadre juridique actuel ne permettent pas de sécuriser la légalité de la collecte de données.

Deux facteurs principaux d'insécurité juridique ont pu être identifiés :

- L'analyse selon laquelle la mise en oeuvre de techniques d'analyse des données publiques des plateformes ne peut être réalisée à moins que des dispositions juridiques particulières ne l'autorisent expressément ;

- Les incertitudes quant au degré de norme nécessaire pour édicter une telle autorisation. Elle tient notamment au fait que le Conseil constitutionnel a reconnu la valeur législative197(*) des dispositions de la loi de finances pour 2020 autorisant à titre expérimental le scraping de l'administration fiscale aux fins de recherche de fraudes et de manquements en matière fiscale et douanière (article 154 de la loi), alors que le Conseil d'Etat a ultérieurement considéré que la mise en oeuvre d'un traitement d'analyse de données publiques des plateformes (Viginum) pouvait être autorisée par voie réglementaire, sur le fondement de la loi « informatique et liberté » et du RGPD et sans qu'il soit besoin d'adopter d'autres dispositions législatives particulières198(*).

Ainsi, si les législations nationales comme européennes, notamment avec le DSA et le Digital Markets Act (DMA), consolident le droit d'accès des autorités indépendantes de supervision aux données en aval, le cadre juridique actuel apporte encore peu d'appui aux services de l'Etat qui conçoivent la régulation, en amont. Or, le décideur public, pour forger sa stratégie et ses orientations de politique publique sur la régulation du numérique, a besoin de connaissances robustes et opérationnelles, qui dépendent intrinsèquement de ses capacités de pénétration et de compréhension des systèmes d'information des grandes plateformes.

Il est proposé d'introduire dans le projet de loi le renforcement proportionné du pouvoir autonome du PEReN d'accès aux données publiques exploitées par les grandes plateformes en assurant aussi la sécurité juridique et l'applicabilité.

2.2. OBJECTIFS POURSUIVIS

Le PEReN a aujourd'hui un accès limité aux données publiquement accessibles sur les plateformes numériques. L'article 36 de la loi du 25 octobre 2021 précitée permet des traitements de données publiques limités pour fins d'expérimentation d'outils ou de recherche.

L'objectif est de faciliter et sécuriser la collecte, le traitement et la conservation des données accessibles sur les plateformes numériques pour le PEReN. Le cadre actuel limite les projets que le PEReN peut réaliser, du fait du caractère très restrictif de l'expérimentation d'outils, qui ne répond pas toujours aux besoins des services partenaires, notamment dans le cadre de l'élaboration des politiques publiques.

Cet accès renforcé aux données publiques permettra une amélioration des traitements de données utilisés par le PEReN dans le cadre ses travaux :

- Le « ratissage » ou « chalutage » ou « scraping » des données publiques,

- L'analyse en « boîte noire ». Elle consiste, en substance, à créer et tester des scénarios de chemins utilisateurs, en comparant les sorties avec les résultats normalement attendus. Outre sa rapidité et la simplicité de sa mise en oeuvre, elle offre l'avantage de permettre d'analyser de manière externe et objective (sans influence de l'opinion du développeur) des systèmes dont le fonctionnement interne n'est pas connu et/ou le code source inaccessible. S'agissant des plateformes, elle nécessite non seulement de créer des comptes utilisateurs, mais aussi de pouvoir faire entrer des données massives sur les plateformes sans identification du fait qu'il s'agit d'un même utilisateur, par exemple en faisant varier régulièrement les adresses IP de l'utilisateur (technique dite de « IP rotating »).

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Deux options ont été envisagées puis écartées.

Une première option était de confier au PEReN un pouvoir autonome de collecte des données publiques et non publiques des plateformes numériques à des fins d'expertise et d'aide à la conception de politiques publiques pour les administrations commanditaires.

Cette option a été abandonnée en raison des difficultés juridiques pour assurer le caractère proportionné de la collecte de données et l'explicitation précisément restreinte des finalités d'accès. Les traitements massifs de données nécessitent des dispositions législatives qui précisent de manière suffisante les finalités de ces traitements, les administrations et les personnes (grades etc.) accédant aux données ainsi que les principales conditions de conservation des données. Or, le dispositif qui était envisagé visait le PEReN, c'est-à-dire le relai technique d'obtention et d'analyse des données, et non les futures administrations commanditaires.

Une deuxième option était de conférer au PEReN le statut de chercheur agréé défini à l'article 40 du règlement du 19 octobre 2022 relatif à un marché unique des services numériques, qui ouvre un droit d'accès aux données des très grandes plateformes199(*). Cela aurait conféré au PEReN un accès aux données publiques et non publiques des très grandes plateformes numériques mais « à la seule fin de procéder à des recherches contribuant à la détection, au recensement et à la compréhension des risques systémiques dans l'Union ».

Cette option paraissait juridiquement envisageable mais a été abandonnée en raison des difficultés opérationnelles et politiques pouvant intervenir. En effet, attribuer au PEReN le statut de chercheur agréé au sens du DSA semblait complexe et n'aurait conféré qu'un accès restreint aux données non publiques des plateformes. Le DSA n'autorise l'accès aux données non publiques qu'à des projets de recherche préalablement agréés par le coordinateur des services numériques de l'Etat d'établissement et portant exclusivement sur les risques systémiques dans l'Union européenne. En plus des évolutions organisationnelles qui viennent d'être envisagées, l'obtention de l'agrément impliquerait, au regard des conditions prévues par le DSA, que le PEReN soit adossé à un organisme de recherche public - par exemple un établissement public de recherche tel que le Centre national de la recherche scientifique (CNRS), l'Institut national de recherche en sciences et technologie du numérique (INRA), etc. Cet organisme aurait alors la responsabilité d'élaborer le projet de recherche, conjointement avec l'administration commanditaire et de conduire le projet.

En outre, la détermination de l'autorité chargée d'agréer les projets de recherche qui, dans le champ interne, permettrait d'accéder aux données non publiques est apparue délicate. Si l'on étend à l'ensemble du dispositif national la compétence du coordinateur des services numériques, cela pourrait conduire ce dernier à se prononcer sur des questions entièrement hors du champ de ses compétences définies en droit national.

3.2. OPTION RETENUE

Un élargissement des pouvoirs de collecte des données publiques du PEREN pour des fins de recherche a été retenu. Les missions de recherche publique du PEReN sont définies par l'article L. 112-1 du code de la recherche comme « le développement d'une capacité d'expertise et d'appui aux associations et fondations, reconnues d'utilité publique, et aux politiques publiques menées pour répondre aux défis sociétaux, aux besoins sociaux, économiques et du développement durable ».

Depuis la loi du 25 octobre 2021 susmentionnée, le PEReN peut, dans le cadre de ses activités d'expérimentation d'outils, intervenir en tant que responsable de traitement au sens de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et peut mettre en oeuvre des méthodes proportionnées de collecte automatisée de données publiquement accessibles, y compris lorsque l'accès à ces données nécessite la connexion à un compte. Les plateformes numériques ne peuvent opposer au service ni refus d'accès aux interfaces de programmation qu'elles ont développées et rendues accessibles aux tiers, ni de limites d'extraction des bases de données publiquement accessibles, ni d'interdictions prévues par les conditions générales d'utilisation des services mettant les données visées à la disposition du public. Les données collectées sont détruites à l'issue des travaux, et au plus tard neuf mois après leur collecte.

Les dispositions proposées permettront au PEReN d'agir en tant que responsable de traitement au sens de la loi du 6 janvier 1978 pour ses missions de recherche publique comme pour ses missions d'expérimentation d'outils. Cela permettra au PEReN de bénéficier des mêmes pouvoirs de collecte dans les deux cas et donc de sécuriser juridiquement ses travaux selon les mêmes modalités, quelles que soient les finalités. Il bénéficie de l'accès aux données des fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Les mesures proposées entrainent une modification de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et la protection de l'accès aux oeuvres culturelles, en l'abondant avec les dispositions au point 3.2 supra.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les dispositions présentées, adaptant le pouvoir de collecte du PEReN se réfèrent à ses missions de recherche publique définies par la loi du 25 octobre 2021 précitée dont le périmètre diffère de celui des missions de recherche évoquées à l'article 40 du DSA, ou de celui défini pour l'accès aux données non publiques tel que prévu par la proposition de règlement Data Act.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

En matière d'accès aux données publiques, la nature du pouvoir de collecte de données publiquement accessibles est inchangée à l'égard des plateformes numériques. L'impact additionnel sera donc réduit, mais la collecte de leurs données publiques par le PEReN sera vraisemblablement élargie et plus fréquente.

4.2.3. Impacts budgétaires

L'élargissement des pouvoirs de collecte du PEReN ne demande pas de ressources budgétaires supplémentaires au service pour la réalisation de ses missions.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Les dispositions proposées pourront être assurées par les effectifs actuels du PEReN, sans besoin d'équivalent temps plein supplémentaires.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Le renforcement du pouvoir de collecte des données publiques permettra une amélioration des traitements de données utilisés par le PEReN mais aussi l'émergence de nouveaux projets. Ces nouveaux travaux permis par l'extension des pouvoirs de recherche vont in fine favoriser l'élaboration et la mise en oeuvre des politiques publiques répondant aux défis numériques systémiques.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

La Commission nationale de l'informatique et des libertés (CNIL) a été consultée, le 4 avril 2023, sur la rédaction des dispositions du présent article, conformément aux dispositions de l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

La mesure s'appliquera dès le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Concernant la Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna qui sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable), aucune mention expresse d'application de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique n'est prévue pour ces territoires. Par conséquent, ces dispositions n'y seront donc pas applicables. Elles pourront toutefois y être rendues applicables par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Un décret en Conseil d'Etat devra être pris après avis public motivé de la CNIL pour préciser la mise en oeuvre des méthodes de collecte de données.

Article 17 - Centralisation des données devant être transmises par les opérateurs numériques aux communes en matière de location de meublés de tourisme

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Si les meublés de tourisme existent depuis de nombreuses années, ils ont cependant pris un nouvel essor avec le développement des outils numériques. On estime ainsi à près de 800 000 le nombre de meublés en France200(*). Selon une étude de l'Insee201(*), en 2019, les hôtes ont passé plus de 554 millions de nuits dans un hébergement réservé par l'intermédiaire des plateformes comme Airbnb, Booking, Expedia Group ou encore Tripadvisor dans l'Union européenne (UE). Cette même étude révèle que près de 109 millions de nuitées202(*) ont été enregistrées en 2019 dans les hébergements proposés par des particuliers en France via les principales plateformes internationales, soit près de 20 % de l'ensemble des nuitées européennes. La France se classe au deuxième rang européen, juste derrière l'Espagne (111 millions de nuitées) et devant l'Italie (82 millions de nuitées). En particulier, deux villes françaises se classent parmi les dix premières villes touristiques européennes : Paris, première ville touristique d'Europe avec 15 millions de nuitées réalisées, et Nice, qui comptabilise près de 5,3 millions de nuitées et se positionne au neuvième rang européen. En tout, huit villes françaises203(*) figurent parmi les cinquante villes de l'UE les plus visitées par des touristes hébergés via les plateformes et concentrent à elles seules plus de 25 % des nuitées réalisées en meublés de tourisme sur le territoire national.

Il est admis que les plateformes de réservation en ligne proposant des meublés de tourisme à la location peuvent constituer une opportunité pour les particuliers et les territoires. En ce sens, elles peuvent favoriser le développement touristique et économique, compléter l'offre d'hébergements classiques et permettre aux particuliers d'améliorer leurs revenus, par exemple grâce à la location occasionnelle de leur résidence principale. Toutefois, en l'absence de régulation, cet essor des meublés de tourisme peut aussi parfois être source d'inquiétudes pour les territoires et les riverains, lorsque le développement de ces hébergements entre en concurrence avec l'offre destinée aux habitants permanents204(*) ou lorsque l'augmentation du nombre de visiteurs nécessite pour la collectivité d'adapter l'offre de services qu'elle propose aux habitants205(*).

Pour répondre à ces enjeux, un cadre juridique a été progressivement construit au travers de divers textes de loi.

La loi Alur206(*) (2014) a ainsi prévu que la location d'un logement comme meublé de tourisme constituait un changement d'usage (cf. article 16 de la loi) et a mis à la charge des plateformes de location des obligations d'information des loueurs207(*) (cf. article 11 de la loi). Avec l'article 51 de la loi pour une République numérique208(*) (2016), a été créée une procédure visant à imposer aux loueurs une déclaration donnant lieu à enregistrement de leur bien locatif auprès des communes tandis que les plateformes se sont vu imposer l'obligation de limiter à 120 jours la location par leur intermédiaire d'une résidence principale. L'article 145 de la loi Elan209(*) (2018) a rappelé cette limite des 120 jours à l'égard des loueurs, a clarifié la définition des meublés de tourisme210(*) et a institué une procédure de transmission d'informations aux communes qui appliquent le dispositif d'enregistrement des meublés211(*). Enfin, L'article 55 de la loi « engagement et proximité »212(*) (2019) a entraîné la création d'une procédure d'autorisation pour la location de locaux commerciaux comme meublés de tourisme.

Aujourd'hui, ce cadre fournit de nombreux outils, en grande partie à disposition des communes. C'est ainsi à ces collectivités qu'il appartient de choisir de mettre en oeuvre ces dispositifs de régulation, de les adapter à leur situation particulière et de maîtriser en conséquence le développement des meublés de tourisme sur leur territoire, en cohérence avec leurs besoins et objectifs propres. Le tableau ci-après donne un aperçu de ces divers dispositifs.

Dispositif

Objectif

Communes concernées

Meublés concernés

Déclaration préalable en mairie

Permettre aux communes de connaître les meublés de tourisme présents sur leur territoire

Toutes communes (obligatoirement)

Tous sauf les résidences principales

Limitation à 120 jours par année civile pour les résidences principales

S'assurer que les résidences principales déclarées comme telles ne sont pas réellement louées comme meublés à l'année

Toutes communes (obligatoirement) - ces dispositions sont renforcées dans les communes qui appliquent le numéro d'enregistrement

Résidences principales

Réglementation du changement d'usage

Protéger l'habitat à destination de la population permanente

Communes de plus de 200 000 habitants et de la petite couronne parisienne (obligatoirement), communes appartenant à une zone d'urbanisation continue de plus de 50 000 habitants dont la liste est fixée par décret213(*) (de manière facultative), autres communes (sur autorisation préfectorale)

Résidences secondaires et résidences principales au-delà de 120 jours de location

Numéro d'enregistrement

Faciliter le contrôle du respect de la réglementation sur le changement d'usage

Communes mettant en oeuvre le changement d'usage (sur décision de la commune)

Tous les meublés

Demande annuelle de données aux plateformes

Améliorer le contrôle du respect de l'ensemble de la réglementation applicable

Communes mettant en oeuvre le numéro d'enregistrement (sur décision de la commune)

Tous les meublés

Procédure d'autorisation de location des locaux commerciaux

Éviter la pénurie de locaux commerciaux nécessaires à la population permanente

Communes mettant en oeuvre le numéro d'enregistrement (sur décision de la commune)

Locaux commerciaux

Taxe de séjour

Assurer la contribution des locations de meublés de tourisme au développement local

Toutes communes appliquant la taxe de séjour

Tous les meublés

Source : Guide pratique de la réglementation des meublés de tourisme à destination des communes, ministère chargé du logement, janvier 2022.

Actuellement, la réglementation des meublés de tourisme s'appuie principalement sur les articles L. 631-7 à 631-9 et L. 651-2 du code de la construction et de l'habitation (CCH), pour la réglementation du changement d'usage, ainsi que sur les articles L. 324-1 à L. 324-2-1 et D. 324-1 à R. 324-3 du code du tourisme (CT), pour la définition des meublés de tourisme, les procédures de déclaration et d'enregistrement, les échanges de données entre communes et plateformes numériques, la limite de 120 jours de location d'une résidence principale et l'autorisation de location d'un local commercial.

En ce qui concerne plus particulièrement la procédure de changement d'usage, il s'agit d'un dispositif relativement ancien qui vise à lutter contre la pénurie de logements. Sa mise en oeuvre a pour effet de soumettre à autorisation la transformation de tout logement en un local à autre usage, notamment, mais pas uniquement, en meublé de tourisme. Cette procédure, qui ne s'applique pas aux résidences principales louées au maximum 120 jours par année civile, interdit en revanche la location, sans avoir obtenu l'autorisation de changement d'usage, d'une résidence secondaire, quelle que soit la durée de cette location. La délivrance d'une autorisation de changement d'usage peut être soumise à compensation.

Cette procédure de changement d'usage s'applique de plein droit dans les onze communes de plus de 200 000 habitants214(*), ainsi que dans les communes des Hauts-de-Seine, de Seine-Saint-Denis et du Val-de-Marne215(*). Dans les autres communes, cette procédure doit être mise en oeuvre par une délibération de l'établissement public de coopération intercommunale (EPCI) compétent en matière de plan local d'urbanisme ou, à défaut, du conseil municipal. Une autorisation administrative (préfectorale) est, en outre, nécessaire dans les communes n'appartenant pas à des zones d'urbanisation continue de plus de 50 000 habitants, dont la liste est fixée par décret216(*).

Les communes qui appliquent le changement d'usage (que cette application soit facultative ou non) ont, par ailleurs, la faculté de mettre en oeuvre par délibération un dispositif renforcé de contrôle et de suivi des meublés de tourisme ; il s'agit d'une procédure de déclaration donnant lieu à enregistrement et se traduisant notamment par la délivrance d'un numéro d'enregistrement attribué aux meublés concernés217(*). L'obtention du numéro d'enregistrement, qui doit intervenir avant toute location d'un meublé de tourisme et pour chaque local à mettre en location, ne dispense pas du respect des autres aspects de la réglementation, notamment, le cas échéant, de l'obtention d'une autorisation de changement d'usage ou de mise en location d'un local commercial. Par ailleurs, lorsque le numéro d'enregistrement est appliqué, il devient obligatoire, pour les loueurs comme pour les plateformes, de faire figurer ce numéro sur toute annonce relative au bien, y compris sur la plateforme (article L. 324-2 du code du tourisme). Dans ces communes qui appliquent la procédure d'enregistrement218(*), il appartient en outre aux plateformes d'empêcher la location par leur intermédiaire d'une résidence principale au-delà de 120 jours (II de l'article L. 324-2-1 du code du tourisme).

Les communes qui appliquent la procédure de changement d'usage et le numéro d'enregistrement peuvent en outre, une fois par an, demander aux plateformes offrant à la location des biens situés sur leur territoire la transmission d'un état récapitulatif du nombre de nuitées de location de chaque local pendant l'année en cours et l'année précédente. Cet état précise également le nom du loueur, si le local constitue ou non sa résidence principale, ainsi que le numéro d'enregistrement et l'adresse précise du local. Ces demandes ont pour objectif de contrôler le respect de la réglementation relative au changement d'usage et au numéro d'enregistrement. Ainsi, les communes peuvent s'en servir pour s'assurer que les locaux mis en location ont bien obtenu un numéro d'enregistrement ou, le cas échéant, une autorisation de changement d'usage s'il s'agit d'une résidence secondaire, ou encore que les résidences principales ne sont pas louées au-delà de 120 jours par an. Le défaut de transmission, par une plateforme, des données demandées par une commune dans ce cadre est passible d'une amende maximale de 50 000 € par annonce faisant l'objet du manquement.

1.2. CADRE CONSTITUTIONNEL

Comme il a été rappelé supra, l'article 16 de la loi pour l'accès au logement et un urbanisme rénové de 2014 (dite loi Alur) a complété le code de la construction et de l'habitation par l'introduction de l'application du régime d'autorisation préalable de changement d'usage à la location de meublés de courte durée, de la mise en place d'un régime d'autorisation temporaire pour ce type de location, ainsi que de la possibilité pour les « communes appartenant à une zone d'urbanisation continue de plus de 50 000 habitants définie à l'article 232 du code général des impôts » et les communes tierces de mettre en place ce système d'autorisation préalable par décision de l'autorité administrative sur proposition du maire ou par une délibération municipale.

Le Conseil constitutionnel a été saisi de ces dispositions pour statuer sur la contrainte excessive et disproportionnée qu'elles auraient pu représenter au regard des motifs d'intérêt général poursuivis, ainsi que sur l'atteinte à la liberté contractuelle. Par une décision du 20 mars 2014219(*), le juge constitutionnel a considéré que les dispositions de l'article 16 de la loi ALUR n'étaient entachées d'aucune inintelligibilité et ne méconnaissaient aucune autre exigence constitutionnelle aux motifs qu'elles répondaient à l'objectif poursuivi. Elles ont donc été déclarées conformes à la Constitution.

Par un arrêt du 5 juillet 2018220(*), la Cour de cassation a refusé de transmettre une question prioritaire de constitutionnalité (QPC) soulevant l'atteinte au droit de propriété causée par l'amende encourue en cas de non-respect de l'obligation de changement d'usage d'un local d'habitation proposé à la location de courte durée. Le juge a retenu que l'amende encourue constituait une sanction ayant le caractère de punition, en lien direct avec le non-respect sanctionné et ne paraissait pas manifestement disproportionnée au regard de l'objectif de lutte contre la pénurie de logements destinés à la location dans certaines zones déterminées. Ce régime de sanctions ne portait donc pas d'atteinte disproportionnée au droit de propriété.

Comme il a été vu précédemment, la loi portant évolution du logement, de l'aménagement et du numérique (dite loi Elan) a introduit, en son article 145, la possibilité pour les communes dotées d'un régime d'autorisation préalable de changement d'usage d'instaurer une procédure d'enregistrement des meublés de tourisme. Si le Conseil constitutionnel a été saisi pour statuer sur la conformité à la Constitution de certains des articles de cette loi, il ne s'est pas prononcé explicitement sur ces dispositions221(*).

1.3. CADRE CONVENTIONNEL

Au niveau de l'Union européenne, l'activité des plateformes de location de courte durée est qualifiée de service de la société de l'information222(*) au sens de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015223(*) et se voit donc appliquer le corpus régissant de tels services, en particulier la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000224(*). Cette directive sur le commerce électronique a en particulier consacré le principe selon lequel les opérateurs de ces services ne font l'objet d'une réglementation (liée à l'accès et à l'exercice de ces services) que dans le pays de l'Union européenne (UE) où ils ont leur siège statutaire - et non dans le pays où sont situés les serveurs, courriers électroniques et boîtes postales qu'ils utilisent. Elle prévoit par ailleurs que les État membres ne peuvent restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre que pour des motifs tenant à l'ordre public, à la protection de la santé publique, à la sécurité publique ou à la protection des consommateurs. Ce corpus a récemment été complété par le règlement sur les services numériques et par celui sur les marchés numériques, aux dispositions desquels le présent projet de loi vise à adapter le droit national. Ainsi, les opérateurs de plateformes de locations de courte durée se verront appliquer les règles relatives à la lutte contre les contenus illicites ainsi qu'à l'absence d'obligation générale de surveillance prévues par le règlement sur les services numériques225(*). Le règlement sur les marchés numériques226(*) met quant à lui en place des outils de régulation pour créer une concurrence loyale entre les acteurs du numérique. Il pourra s'appliquer à certaines plateformes importantes de location de meublés de tourisme qui pourraient se voir attribuer la qualification de « contrôleurs d'accès ».

S'agissant de l'activité de location de meublés, le juge européen a confirmé qu'elle relevait elle-même du champ d'application de la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur227(*). Il a par ailleurs jugé que la réglementation nationale était bien conforme à cette directive en considérant que la soumission de certaines activités de location de courte durée à un régime d'autorisation préalable applicable dans certaines communes où la tension sur les loyers était particulièrement marquée était justifiée par une raison impérieuse d'intérêt général tenant à la lutte contre la pénurie de logements destinés à la location et proportionnée à l'objectif poursuivi228(*).

Par ailleurs, le règlement général sur la protection des données229(*) s'applique à la collecte, au traitement et au partage des données à caractère personnel détenues par les plateformes230(*) et communiquées aux autorités qui ont à en connaître.

Enfin, ayant constaté le manque de fiabilité des données disponibles ainsi que l'hétérogénéité et la fragmentation des réglementations en la matière, la Commission européenne a présenté en novembre 2022 une proposition de règlement concernant la collecte et le partage des données relatives aux services de location de logements de courte durée. Ce cadre européen aura pour objectifs d'harmoniser les exigences en matière d'enregistrement des locations de courte durée et de rationaliser le partage des données entre les plateformes numériques et les autorités publiques (voir § 4.1.2 infra).

1.4. ELÉMENTS DE DROIT COMPARÉ

Au sein de l'Union européenne, vingt-trois Etats membres231(*) disposaient à la fin de l'année 2022 d'une réglementation encadrant la location de meublés de tourisme par des procédures d'enregistrement ou des demandes de transmission d'informations entre autorités compétentes et plateformes numériques. Une telle législation était en cours de préparation dans un Etat, la Roumanie.

Certains Etats membres disposent d'une législation encadrant les locations de meublés de tourisme plus souple que la réglementation nationale française, notamment en matière d'obligations pour les loueurs. Par exemple, le Danemark n'impose pas de procédure d'enregistrement mais exige une transmission d'informations par les plateformes aux autorités fiscales.

D'autres Etats membres ont mis en place un système d'enregistrement abouti, à l'image de la législation française. En Espagne, la réglementation touristique relevant de la compétence de l'Etat et des régions autonomes, plusieurs normes existent, variant selon les zones géographiques et les besoins locaux. Au niveau national, la limitation ou l'interdiction des locations saisonnières au sein des immeubles d'habitation ainsi que la modification de la répartition des frais de copropriété peuvent se faire sans l'unanimité de la copropriété232(*). La location de meublés de tourisme nécessite l'obtention d'une licence touristique locale. L'établissement doit être inscrit auprès de la communauté autonome concernée, qui met en place une procédure qui lui est propre. Des textes réglementaires différents déterminent les démarches obligatoires pour les loueurs. Sans la licence touristique, l'activité de location n'est pas reconnue comme légale et elle est sanctionnée par une amende administrative ; il n'est par ailleurs pas possible d'être référencé sur les plateformes numériques. En complément de la législation nationale, les municipalités peuvent adopter des programmes d'urbanisme propres à leur territoire. Ainsi, des villes comme Madrid ou Valence ont instauré des systèmes de compensation restrictifs (tels que l'obligation de louer en rez-de-chaussée ou l'interdiction de laisser en libre accès le logement) ainsi que des zones d'application délimitées pour la location touristique233(*). A Barcelone, les plateformes doivent informer les loueurs des obligations locales et vérifier l'existence et l'affichage des numéros d'enregistrement conformément aux listes qu'elles tiennent.

En Belgique, les régions et communautés réglementent les locations de meublés de tourisme (dont la définition française d'un logement à l'usage exclusif du locataire correspond au terme de « résidence de tourisme » dans le droit local). La location de meublés de tourisme est soumise à déclaration préalable auprès de la ville, avec l'attribution d'un numéro d'enregistrement devant être affiché pour pouvoir exercer cette activité. La transmission d'informations par les plateformes dépend quant à elle des réglementations locales. A titre d'exemple, la région de Bruxelles réglemente l'hébergement touristique et impose aux loueurs de meublés de tourisme une déclaration préalable, un enregistrement et l'attribution d'un numéro avant toute publication d'annonce, sous peine d'amendes administratives234(*).

A l'inverse, l'Italie a introduit l'enregistrement des meublés de tourisme de manière uniforme sur son territoire, afin d'obtenir un suivi régulier de l'activité des loueurs via une base de données centralisée.

Seuls trois Etats membres n'ont mis en oeuvre aucune législation encadrant la location des meublés de tourisme, soit l'Estonie, la Finlande et la Suède.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

L'application du cadre juridique relatif à la transmission de données depuis les opérateurs numériques vers les collectivités territoriales présente des limites, révélant des difficultés opérationnelles importantes, tant pour les plateformes de location que pour les communes.

Actuellement, seules les communes sont habilitées à demander aux opérateurs numériques les données relatives aux locations de meublés de tourisme. La communication entre les communes et ces opérateurs n'est pas intermédiée, le II de l'article L. 324-2 du code du tourisme disposant que « la commune peut, jusqu'au 31 décembre de l'année suivant celle au cours de laquelle un meublé de tourisme a été mis en location, demander à la personne mentionnée au I du présent article [soit la plateforme de location] [...] de lui transmettre le nombre de jours au cours desquels ce meublé de tourisme a fait l'objet d'une location par son intermédiaire ».

Ces demandes sont formulées par voie électronique et mettent en relation, par le biais d'échanges bilatéraux, toutes les communes habilitées à formuler une telle demande et l'ensemble des plateformes concernées (voir schéma ci-après).

Source : Direction générale des entreprises.

Avec un tel dispositif, les collectivités éprouvent des difficultés à consolider et à exploiter des données qui émanent de multiples acteurs et dont la qualité est perfectible, ce qui engendre des coûts de traitement élevés235(*). L'identification d'un même meublé de tourisme mis en location par l'intermédiaire de plusieurs opérateurs numériques s'avère également problématique, ce qui complique la vérification de la limite des 120 jours applicable à la location des résidences principales. La multiplicité des interlocuteurs fait obstacle à une automatisation plus poussée des processus administratifs, qui pourrait se traduire par des gains de temps et d'efficacité. Enfin, l'absence de chiffres fiables ne permet pas aux élus locaux d'étayer de manière satisfaisante les décisions à prendre en matière de régulation des meublés de tourisme, faute de pouvoir mesurer précisément l'impact de ces hébergements sur le territoire.

Les opérateurs numériques connaissent quant à eux des difficultés pour identifier les communes habilitées à les solliciter en matière de transmission d'informations. Ils notent également le manque de fiabilité des données saisies par les loueurs sur les plateformes et la charge que représente le traitement manuel des demandes formulées par les communes236(*). Ils font enfin mention d'une augmentation du nombre de collectivités qui ont recours au dispositif237(*), même si cette augmentation est difficile à vérifier, car il n'existe pas, pour le moment, de liste des communes ayant demandé une transmission d'informations. Cependant, le développement significatif et continu238(*) du nombre d'annonces de meublés de tourisme, en particulier dans les grandes villes, traduit également le nombre croissant de territoires (communes, EPCI) pouvant bénéficier de ce dispositif.

Face à ces limites, une expérimentation a été engagée par l'administration239(*) entre février et septembre 2022. Ce dispositif expérimental, dénommé « API meublés », a consisté à développer et à tester une plateforme pour faciliter les échanges de données entre opérateurs numériques de location de meublés de tourisme (ou « intermédiaires de location ») et communes, et à faciliter leur exploitation. Ce projet avait plus particulièrement pour objectifs :

- l'harmonisation et la simplification des échanges entre communes et intermédiaires de location ;

- la numérisation et l'automatisation des échanges pour accélérer et faciliter la mise à disposition de l'information ;

- la mutualisation de l'effort de correction et de réconciliation des données pour les communes.

Cette expérimentation a pris la forme d'un essai d'un prototype (développé par le PEReN) ayant associé cinq communes240(*) ainsi que cinq plateformes de location241(*) sur le fondement de conventions multipartites.

2.2. OBJECTIFS POURSUIVIS

Le bilan de l'expérimentation, produit à la clôture du dispositif en septembre 2022, s'est révélé positif. Il a permis de mieux mettre en évidence les besoins et les attentes des différents acteurs de ce dispositif de transmission de données, besoins présentés dans le tableau ci-après :

Acteurs du dispositif

Agents concernés

Besoins

Collectivités territoriales

· Chargés d'instruction

· Chargés d'analyse

· Ingénieurs de données

· Elus

· Disposer de données fiables

· Disposer d'un outil unique

· Augmenter l'automatisation des processus administratifs pour gagner du temps et de l'efficacité

· Pouvoir exploiter des données à des fins décisionnelles

Opérateurs numériques de location

· Responsables des affaires publiques

· Chargés du pilotage de la conformité avec la règlementation

· Facilité la vérification de la légalité des demandes

· Améliorer l'information aux communes sur le cadre légal et les modalités des demandes

· Automatiser autant que possible les flux de données pour lisser la charge dans le temps

Source : Direction générale des entreprises.

Ce bilan s'est également efforcé d'évaluer le prototype réalisé au regard des besoins répertoriés. Il a ainsi été démontré que ce prototype avait bien mis à la disposition des acteurs un outil unique de contrôle proposant un fichier consolidé de données conformes à la réglementation. Des besoins non couverts ont également été identifiés, tels que la nécessité d'une amélioration de la fiabilité et de la structuration des données ou encore d'une automatisation accrue des processus administratifs ; des évolutions ont été recommandées, portant notamment sur un dimensionnement plus important de certaines briques logicielles en cas de mise à l'échelle ou sur une amélioration des conditions de sécurité des traitements.

Le bilan réalisé a surtout montré qu'une plateforme de centralisation des données pouvait répondre tant aux besoins des communes (qui ont pu visualiser les données de près de 10 000 logements) que des intermédiaires de location de meublés de tourisme, qui sollicitent une pérennisation du dispositif.

Dans le prolongement de cette expérimentation, il est donc envisagé de confier à un organisme spécialement désigné à cet effet la gestion d'un guichet unique centralisant les données adressées aux collectivités par les plateformes de location de meublés. Contrairement au dispositif actuel où chaque commune doit saisir chaque plateforme de location pour récupérer les informations relatives aux locations, cet organisme deviendra l'interlocuteur unique de ces plateformes et des collectivités concernées.

Les objectifs poursuivis par ce nouveau dispositif sont :

- un allégement de la charge administrative en faveur des acteurs concernés, grâce notamment à une gestion centralisée des demandes des communes, à une transmission des données par interface de programmation applicative (API) ou à l'automatisation de certaines tâches ;

- une amélioration du contrôle du respect de la réglementation, grâce à la fiabilisation et à la structuration des données rendues possibles par un traitement des données par l'outil visant à contrôler et à enrichir ces dernières ;

- in fine, une facilitation des décisions des autorités locales au sujet de leurs politiques en matière de lutte contre la pénurie de logements, grâce à la fiabilisation des informations disponibles et à des dispositifs de visualisation des données.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La réforme vise à permettre l'intervention d'un acteur tiers, qui servirait d'intermédiaire entre les opérateurs numériques et les communes, pour recueillir et ventiler selon le schéma ci-après les informations devant être transmises242(*).

Source : Direction générale des entreprises.

Or, cette intervention n'est pas actuellement juridiquement permise.

Si l'expérimentation a pu être déployée sur le fondement de conventions liant les différents acteurs concernés, c'est essentiellement parce qu'elle portait sur des données qui avaient déjà été transmises selon les modalités prévues par la réglementation. Le dispositif expérimental n'avait ainsi pas vocation à se substituer aux flux imposés par les dispositions du code du tourisme mais visait seulement à éprouver la pertinence d'une centralisation des transmissions d'informations.

L'option d'une poursuite des modalités juridiques ayant permis la mise en oeuvre de l'expérimentation n'était donc pas pertinente, d'autant plus qu'elle reposait sur un dispositif contractuel particulièrement contraignant243(*) et qu'elle ne pouvait permettre d'offrir aux collectivités y participant l'assurance de pouvoir disposer de l'ensemble des données pour leur territoire étant donné le caractère volontaire de la participation des opérateurs numériques à l'expérimentation.

Il seyait par conséquent de recourir à une intervention normative visant à généraliser ce vecteur de transmission à la fois pour les collectivités et pour les plateformes, vecteur appelé à se substituer aux échanges bilatéraux actuel. Il y avait plus particulièrement lieu de modifier une disposition législative du code du tourisme, l'article L. 324-2-1 précité, afin de prévoir la possibilité d'une intermédiation entre les opérateurs numériques et les collectivités territoriales.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

La mesure envisagée modifie le II de l'article L. 324-2-1 du code du tourisme, qui prévoit à l'heure actuelle la faculté pour les communes où s'applique la procédure d'enregistrement de demander aux opérateurs numériques la communication du nombre de jours au cours desquels un meublé de tourisme a fait l'objet d'une location par leur intermédiaire.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

La réforme anticipe partiellement sur la mise en oeuvre d'un projet de règlement européen proposé en novembre 2022 par la Commission européenne sur la collecte et le partage des données relatives aux services de location de logements de courte durée. Partant du constat que les données provenant des plateformes numériques actives sur le marché de la location de logements de courte durée ne sont actuellement pas normalisées en raison de la diversité des règles et des méthodes établies par les États membres, les autorités européennes proposent la création d'un cadre, harmonisé au niveau de l'Union européenne, pour la collecte et le partage de ces données au niveau national, qui devrait comprendre également des dispositions visant à mieux tenir compte des systèmes d'enregistrement déjà en place dans les États membres.

Les ministres, réunis au sein du Conseil « Compétitivité », sont convenus le 2 mars 2023 d'un mandat de négociation (orientation générale) à l'égard de ce règlement. L'orientation générale arrêtée donne mandat à la présidence du Conseil pour entamer les négociations avec le Parlement européen une fois que ce dernier aura arrêté sa position. A ce stade, le projet de règlement prévoit que les États membres qui exigent des plateformes qu'elles leur communiquent des données devront mettre en place un « point d'entrée numérique unique » au niveau national pour la transmission de données entre les plateformes numériques de location de courte durée et les autorités publiques. La centralisation des échanges d'informations voulue au niveau national dans le cadre du dispositif présenté ici s'inscrit dans la logique de la création future de ce point d'entrée numérique unique.

Il convient d'ajouter que le projet de règlement, en l'état actuel des négociations, prévoit la tenue de deux listes au niveau national : celle des autorités ayant mis en place l'enregistrement et celle des autorités demandant la transmission d'informations.

De plus, en modifiant le seul code du tourisme, le dispositif présenté concerne exclusivement la location des meublés de tourisme, et non l'ensemble des locations de courte durée visées par le projet de règlement européen. En effet, il existe d'autres locations de courte durée (baux mobilité, chambres chez l'habitant, etc.) qui sont actuellement dans le champ d'application du projet de règlement et qui relèvent en France d'autres réglementations que celle qui figure au sein du code du tourisme.

Le droit français devra donc être de nouveau adapté une fois le règlement européen définitivement adopté, tant dans le code du tourisme que dans d'autres réglementations nationales applicables à des locations de courte durée différentes des locations de meublés de tourisme.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

La mise à disposition de données relatives aux meublés de tourisme se base sur le principe d'une « régulation dynamique », soutenu par Quattrone et al. (2016)244(*), c'est-à-dire une régulation qui s'appuie sur de grands ensembles de données pour s'adapter à l'évolution de la demande. Dans ce cadre, la mise en place d'une plateforme de centralisation des données permettra un suivi amélioré de l'offre de meublés de tourisme sur le territoire national (distribution géographique, concentration de l'offre par certains acteurs, nombre de jours de location des meublés de tourisme).

Par ailleurs, les sources de données existantes, issues de la méthode du moissonnage245(*), suggèrent qu'une partie de l'offre de meublés de tourisme n'est pas conforme à tout ou partie de cette réglementation existante (par exemple, on estime le volume d'offre non-conforme au cadre réglementaire à près de 34 % de l'offre totale à Paris, 46 % sur le marché lyonnais).

4.2.2. Impacts sur les entreprises

En matière de communication des informations relatives aux locations de meublés de tourisme par leur intermédiaire, la nature de l'obligation est inchangée à l'égard des opérateurs numériques. En revanche, au lieu de devoir répondre à une multitude d'interlocuteurs (les communes où une procédure d'enregistrement des meublés s'applique et qui formulent une demande de transmission de données), ces opérateurs pourront adresser leurs données à un point d'entrée numérique unique, qui se chargera de les mettre à la disposition des collectivités demanderesses. Il devrait en résulter une diminution substantielle de la charge administrative pour les plateformes numériques. Sous l'hypothèse de 350 communes bénéficiaires de ce dispositif de centralisation des données, le nombre de procédures administratives traitées globalement par les plateformes et les communes devraient diminuer de 3 500246(*) (situation actuelle) à 370247(*) (après le déploiement du dispositif).

Par ailleurs, l'amélioration de la transparence et de la fiabilité des données sectorielles porte un double enjeu, tant pour les plateformes de locations de meublés que pour les entreprises de secteurs concurrents. Des acteurs du secteur de l'hébergement touristique traditionnel s'inquiètent du manque de traçabilité de l'activité de meublés de tourisme et dénoncent la pression concurrentielle exercée par les particuliers offreurs des plateformes d'hébergement de courte durée, s'interrogeant sur les conditions d'exercice de cette concurrence en raison d'une réglementation ou d'une fiscalité jugées asymétriques. Si le dispositif de centralisation des données, présenté ici, ne constitue pas un encadrement de l'exercice de l'activité des meublés, il est de nature de permettre à la puissance publique de mieux adapter le cadre normatif.

En améliorant la collecte d'information, ce dispositif facilitera la réalisation d'études sur le secteur et donc, indirectement, permettra aux différentes entreprises du tourisme d'avoir une meilleure connaissance du marché des meublés de tourisme, se traduisant par une diminution des coûts de recherche et de prospection.

4.2.3. Impacts budgétaires

D'après le bilan qui a été dressé de l'expérimentation, le coût estimé de développement de la plateforme de centralisation est de quelque 300 000 euros pour ce qui est de l'investissement initial, correspondant à 160 jours-hommes248(*), pour un développement de l'interface de programmation applicative (API) sur huit mois. Les frais de maintenance annuels sont évalués à 80 000 euros249(*).

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

La réforme projetée devrait permettre de faciliter la caractérisation, le contrôle et la sanction des fraudes par les services des collectivités territoriales. Les difficultés opérationnelles identifiées grâce à l'expérimentation susrappelée, telles que la fourniture d'un numéro d'enregistrement erroné ou l'existence de deux numéros identiques, devraient être palliées par la centralisation des données. Les collectivités territoriales auront la faculté de disposer des informations que les plateformes transmettront au guichet unique. Au lieu d'échanges bilatéraux engendrant une charge administrative non négligeable, elles n'auront plus à formuler une demande par plateforme numérique mais pourront disposer de données centralisées en un seul point de contact. Il sera également plus aisé d'identifier les manquements des loueurs à leurs obligations de déclaration et au respect du seuil 120 jours de location par an applicable aux résidences principales.

Jusqu'à 350 communes pourraient être concernées par le dispositif, avec une charge de réalisation des contrôles pouvant représenter de 0,5 ETP (petite ville et ville moyenne, avec une population inférieure à 5 000 habitants250(*)) à deux agents (Paris)251(*). Le niveau de charge de réalisation des contrôles (en ETP) est fortement corrélé au volume d'activité des meublés de tourisme, en particulier la taille du parc de meublés de tourisme et leur taux d'occupation annuel moyen, ainsi que le nombre de plateformes via lesquelles les hôtes publient leur annonce. Paris comptant près de 65 000 annonces sur la plateforme Airbnb, occupés près de 64 jours/an252(*), dans ce cadre, les missions de contrôles de conformité réglementaire nécessitent des moyens humains et techniques particulièrement importants. Pour les petites et moyennes villes, l'offre est significativement plus faible (entre trois à six fois moins en moyenne)253(*) que sur les principaux marchés français, où l'offre de meublés de tourisme est particulièrement développée (Paris, Nice, Marseille, Cannes, Montpellier, Bordeaux, Bayonne...). Mécaniquement, les charges de réalisation des contrôles seront près de quatre fois plus faibles pour les petites villes que pour les principaux marchés de meublés de tourisme en France.

Globalement, la réduction des moyens de contrôle de conformité bénéficiera autant aux petites et moyennes communes qu'aux métropoles, pour lesquelles la centralisation des données de location de meublés de tourisme permettra de diminuer le nombre d'heures de travail des chargés d'instruction, des chargés d'analyse ou des ingénieurs de données dans le cadre du traitement, de l'analyse et du contrôle des données.

Enfin, la quantification de l'offre au niveau des territoires devrait permettre aux communes et EPCI d'améliorer le recouvrement de certaines taxes locales, à l'instar de la taxe de séjour254(*).

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

L'organisme qui sera désigné par voie réglementaire pour opérer la plateforme de centralisation devra être doté des moyens humains nécessaires à la réalisation de ses missions : pilotage ou gestion du développement et de la maintenance de l'outil informatique, contrôles devant être effectués pour vérifier le respect, par les collectivités, des conditions les habilitant à formuler des demandes de données, vérification de la qualité des données transmises, assistance technique et administrative fournie aux utilisateurs du point d'entrée numérique unique.

La charge liée au fonctionnement de l'API meublés est estimée à deux développeurs ainsi qu'à deux emplois de maintenance informatique.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

La création de cette plateforme de centralisation des données permettra d'améliorer la régulation des meublés de tourisme en fournissant des informations fiables et complètes aux décideurs locaux. Elle favorisera la mise en oeuvre de politiques adaptées à cette régulation, sécurisées sur le plan juridique et visant à prévenir les effets négatifs d'une concentration excessive de meublés de tourisme, notamment dans les communes connaissant une forte tension sur le marché du logement : loyers ou prix de l'immobilier élevés, inadaptation de l'offre de services publics ou commerciaux, nuisances de voisinage...

Si le concept de gentrification établit par Ruth GLASS255(*) en 1964 préexistait au marché des locations saisonnières, l'intensification des locations de courte durée, aux dépens des locations résidentielles opère et amplifie ce phénomène dans certaines villes ou certains quartiers, aux dépens des populations résidentielles aux plus faibles revenus Lopez-Gay (2020)256(*). L'augmentation de l'offre locative dans les villes pourrait réduire les tensions sur les prix, facilitant l'accès au logement.

Dans les grandes villes touristiques sous tension locative, où les plateformes sont particulièrement implantées (Paris, Nice, Lyon, Bordeaux, Toulouse, Strasbourg et Montpellier concentrent 25% des offres du marché français), un tel recalibrage pourrait favoriser la mixité sociale, et la vie de quartier en général. Ces différents marchés connaissent une augmentation continue du prix de l'immobilier, tant sur le marché locatif que sur le marché de l'achat. En dix ans, les prix effectifs sur les marchés parisien, bordelais, rennais et strasbourgeois ont augmenté de plus de 40 %257(*).

4.5.2. Impacts sur les personnes en situation de handicap

Aucun impact identifié.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Aucun impact identifié.

4.5.4. Impacts sur la jeunesse

Aucun impact identifié.

4.5.5. Impacts sur les professions réglementées

Aucun impact identifié.

4.6. IMPACTS SUR LES PARTICULIERS

Pour ce qui est des offreurs de meublés non professionnels, le dispositif envisagé permettra une amélioration du contrôle réglementaire par les pouvoirs publics. Il constituera donc une incitation forte à ne pas dépasser la durée légale de location de 120 jours lors de la publication d'annonces, voire entraînera des régularisations autonomes pour d'éventuels contrevenants.

4.7. IMPACTS ENVIRONNEMENTAUX

Pour ce qui est des impacts environnementaux, le dispositif envisagé permettra une diminution significative de la consommation électrique induite par l'utilisation des infrastructures numériques (informatique, stockage, traitement des données). La centralisation des données vers un point d'accès unique réduira le volume d'activité des outils informatiques de traitement et de stockage utilisés au niveau des communes. La diminution des procédures administratives réalisées par les communes et les plateformes aura un impact direct sur la durée d'utilisation des infrastructures numériques utiles à la transmission, au traitement et au contrôle des données relatives aux meublés de tourisme. Bien que la consommation d'énergie d'un ordinateur se révèle être hétérogène (en fonction de ses caractéristiques intrinsèques), les données disponibles suggèrent qu'un ordinateur de bureau tout équipé (imprimante, enceintes, accès à Internet, disque dur) consomme en moyenne annuelle entre 75 kWh (une heure d'utilisation quotidienne) et 730 kWh (dix heures d'utilisation quotidienne)258(*). La diminution du nombre de procédures traitées par les communes et les plateformes aura un impact linéaire direct sur le niveau de consommation d'électricité. Les bénéfices environnementaux seront d'autant plus élevés que le nombre de communes et de plateformes bénéficiaires du dispositif le sera également.

Par ailleurs, il est loisible de considérer259(*) que l'amélioration de la fiabilité et de la quantité de données disponibles sur la location de meublés de tourisme permettra aux collectivités de mieux évaluer l'empreinte écologique de ce type d'hébergement.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été obligatoirement soumises à l'avis du Conseil national de l'évaluation des normes. Ce dernier a émis un avis favorable à l'unanimité sur ce dispositif, lors de sa séance du 6 avril 2023.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Il est prévu, aux termes du III de l'article 26 du présent projet de loi, un différé d'entrée en vigueur de douze mois au maximum à compter de la promulgation de la loi, notamment pour permettre de réaliser les développements informatiques nécessaires à la réalisation de la plateforme de centralisation des données.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans les collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative. Elles se voient donc appliquer le droit commun, dont le code du tourisme, sous réserve de dispositions spécifiques d'adaptation « tenant aux caractéristiques et contraintes particulières de ces collectivités ». Les dispositions du présent article seront applicables à ces collectivités. Il est par ailleurs rappelé qu'en application de l'article L. 661-1 du code de la construction et de l'habitation, sont applicables à ces collectivités les articles L. 631-7 à L. 631-9 du même code, qui déterminent les zones dites de « tension » sur le marché du logement et la procédure d'autorisation de changement d'usage, procédure sur laquelle se fonde la possibilité de mettre en oeuvre l'obligation d'enregistrement des meublés et la communication des informations concernant la location de ces hébergements.

Saint-Barthélemy et Saint-Martin, collectivités régies par l'article 74 de la Constitution, fixent les règles applicables en matière de tourisme, en vertu, respectivement, des dispositions des I de l'article LO 6214-3 et de l'article LO 6314-3 du code général des collectivités territoriales (CGCT). Les dispositions du présent article ne seront donc pas applicables à ces deux collectivités.

Les dispositions statutaires de Saint-Pierre-et-Miquelon, autre collectivité régie par l'article 74 de la Constitution, en particulier celles de l'article LO 6414-1 du CGCT, n'attribuent pas à cette collectivité de compétence en matière de tourisme. Le code du tourisme est y donc applicable sous réserve des dispositions spécifiques d'adaptation. En la matière, l'article L. 362-1 du code du tourisme dispose que « ne sont pas applicables à Saint-Pierre-et-Miquelon les articles [...] L. 324-1 à L. 324-2 ». Cette absence d'application est issue de la codification en 2005, au moment de la création de la partie législative du code du tourisme, des dispositions de l'article 58 de la loi de finances pour 1966 (n° 65-997 du 29 novembre 1965), concernant les meublés de tourisme et non applicable à Saint-Pierre-et-Miquelon (il s'agissait de dispositions antérieures à la départementalisation et non étendues après celle-ci). La réglementation relative aux meublés de tourisme ne s'est ainsi jamais appliquée à cette collectivité260(*) et il en sera de même des dispositions du présent article. Il est précisé par ailleurs que, jusqu'à l'intervention de la loi n° 2022-217 du 21 février 2022 relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale, l'article L. 661-1 du code de la construction et de l'habitation prévoyait la non-application des articles L. 631-7 à L. 631-9 de ce même code à Saint-Pierre-et-Miquelon261(*).

Les collectivités du Pacifique, soit Wallis-et-Futuna, la Polynésie française et la Nouvelle-Calédonie, sont compétentes en matière de tourisme en vertu, respectivement, de l'article 40 du décret n° 57-811 du 22 juillet 1957 relatif aux attributions de l'assemblée territoriale, du conseil territorial et de l'administrateur supérieur des îles Wallis-et-Futuna, dont le 26° attribue cette compétence à la collectivité, ainsi que de l'article 14 de la loi organique n° 2004-192 du 27 février 2004 portant statut d'autonomie de la Polynésie française et de l'article 21 de la loi n° 99-209 organique du 19 mars 1999 relative à la Nouvelle-Calédonie, qui n'énumèrent pas le tourisme comme compétence relevant de l'Etat au sein de ces territoires. Les dispositions du présent article ne seront donc pas applicables à ces collectivités. Par ailleurs, en application de l'article L. 662-1 du code de la construction et de l'habitation, les articles L. 631-7 à L. 631-9 de ce même code ne sont pas applicables à la Polynésie française.

En conséquence, l'article L. 324-2-1 modifié sera applicable aux seules collectivités régies par l'article 73 de la Constitution.

5.2.3. Textes d'application

Un décret en Conseil d'Etat désignera l'organisme chargé de la gestion de la plateforme de centralisation des données et détaillera ses missions. Il précisera par ailleurs la nature, la fréquence et les modalités techniques de transmission et de conservation des informations recueillies auprès des opérateurs numériques en vue de leur communication aux collectivités. Ces paramètres tiendront compte des caractéristiques des communes, de leurs besoins pour effectuer les contrôles de l'application de la réglementation des meublés de tourisme et de la capacité des opérateurs numériques à satisfaire à leurs obligations de transmission. Une mesure décrétale pourra également, le cas échéant, prévoir une entrée en vigueur du dispositif antérieure au différé de douze mois prévu par la loi.

TITRE VI - RENFORCER LA GOUVERNANCE DE LA RÉGULATION NUMÉRIQUE

Article 18 - Coopération du coordinateur pour les services numériques avec le Pôle d'expertise de la régulation numérique

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le règlement sur les services numériques, dit DSA (Digital Services Act), définit à son article 49 les modalités de désignation des autorités compétentes pour assurer son application dans les Etats membres. Ces derniers doivent également désigner, parmi les autorités compétentes, un coordinateur pour les services numériques qui a pour mission d'assurer une surveillance et une exécution efficace du règlement tant au niveau national qu'européen.

En France, le DSA sera appliqué par trois autorités de régulation différentes : l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), la Commission nationale de l'informatique et des libertés (CNIL), et la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF). Cela s'explique par le caractère pluridimensionnel et transversal de cette régulation qui touche l'ensemble des services numériques. Néanmoins, le rôle central de l'ARCOM dans l'application du règlement, chargée de la régulation des contenus, a permis de dégager un large consensus interministériel autour de sa désignation comme coordinateur pour les services numériques. La CNIL et la DGCRF n'ont pas revendiqué ce statut. La désignation de l'ARCOM en tant que coordinateur pour les services numériques et de la CNIL et la DGCCRF comme autorités compétentes sont expressément prévus par l'article 15 du présent projet de loi.

Le coordinateur pour les services numériques aura deux missions principales : (i) une mission de coordination et de synthèse des positions des autorités compétentes française, (ii) une mission d'influence dans les débats européens.

L'ensemble des autorités compétentes et des services de l'Etat affirment que la simple désignation d'un coordinateur pour les services numériques ne permet pas, seule, d'assurer une coordination des acteurs et une exécution efficace du règlement tant au niveau national qu'européen. Afin que le coordinateur puisse bénéficier d'une expertise et de capacités d'analyses techniques sur les enjeux liés aux programmes informatiques, aux traitements algorithmiques ou à l'audit des algorithmes, une précision des modalités selon lesquels il peut s'appuyer sur le Pôle d'Expertise de la Régulation Numérique (PEReN) est apparu nécessaire.

1.2. CADRE CONSTITUTIONNEL

Il apparaît qu'aucune règle ou norme de valeur constitutionnelle ne s'oppose à cette disposition en faveur de l'assistance d'une autorité administrative indépendante par un service d'Etat d'expertise technique.

Le coordinateur est libre de recourir ou non à l'assistance du pôle d'expertise pour la régulation numérique et d'en définir les modalités, ce qui préserve son indépendance d'action et de décision.

1.3. CADRE CONVENTIONNEL

Le DSA précise, en son article 50, les exigences applicables au coordinateur pour les services numériques. Le coordinateur doit ainsi disposer « d'une autonomie suffisante dans la gestion de son budget dans les limites globales du budget » afin qu'il ne soit pas porté atteinte à son indépendance. Les coordinateurs doivent « agi[r] en toute indépendance » et « reste[r] libres de toute influence extérieure, directe ou indirecte, et ne sollicite[r] ni n'accepte[r] aucune instruction d'aucune autre autorité publique ou partie privée ».

Le coordinateur est libre de recourir ou non à l'assistance du pôle d'expertise pour la régulation numérique et d'en définir les modalités, ce qui respecte les exigences fixées par le DSA.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Les missions dévolues par le DSA au coordinateur pour les services numériques nécessitent l'accès à une expertise technique en matière d'analyse de données. Ce besoin s'illustre particulièrement dans les missions d'enquête, de coopération ou d'audit des plateformes au niveau national ou européen.

Dans le cadre de ses fonctions de coordinateur pour les services numériques, l'ARCOM sera amenée à collecter les données des plateformes numériques et les analyser pour s'assurer de la conformité des plateformes au règlement, notamment sur les risques systémiques et les moyens mis en oeuvre pour les atténuer, la protection des mineurs, ou la modération des contenus.

L'ARCOM a aujourd'hui des compétences humaines limitées sur les enjeux liés aux programmes informatiques, aux traitements algorithmiques ou à l'audit des algorithmes. Or, ces compétences conditionnent directement l'influence du coordinateur français au niveau européen et notamment sa capacité à être associé aux réflexions menées par la Commission européenne dans le cadre de l'application du règlement ou être intégré aux enquêtes conjointes centrées les très grandes plateformes. La supervision de ces très grandes plateformes est un axe stratégique sur lequel le coordinateur doit pouvoir se positionner.

Aucune très grande plateforme au sens du DSA n'est aujourd'hui établie en France. Le coordinateur pour les services numériques français ne pourra donc pas naturellement prétendre à participer auprès de la Commission européenne à la mise en oeuvre du règlement auprès de ces acteurs. Or, le contrôle des risques systémiques des grandes plateformes et l'évaluation de leur atténuation est un élément central de cette nouvelle législation européenne, dans la mesure où ces risques systémiques sont les plus critiques pour les droits fondamentaux et la protection de nos démocraties. Pour rappel, ces risques systémiques concernent notamment la diffusion de contenus illégaux, la protection des mineurs, les effets négatifs sur les droits fondamentaux, le « discours civique » et les processus électoraux, ainsi que sur la sécurité publique (notamment via la désinformation).

Toutefois, la Commission européenne a toute liberté pour associer les coordinateurs qu'elle souhaite lors de ces enquêtes stratégiques. Or, le PEReN, service à compétence nationale crée par le décret n° 2020-1102 du 31 août 2020262(*), est un acteur à l'expertise technique établie. Le dispositif d'association de ce pôle au coordinateur pour les services numériques doit permettre de donner la légitimité technique nécessaire au coordinateur pour être associé aux coopérations par la Commission européenne et renforcer son influence au niveau européen.

Le PEReN a mené, depuis près de trois ans, de nombreux projets sur l'audit technique des plateformes numériques263(*). Au regard de ces attentes, le PEReN apparait comme un partenaire naturel du coordinateur. C'est une structure légère qui est habituée aux rôles de coordination transversale et de synthèse de l'ensemble des régulateurs nationaux. Le PEReN dispose aussi de moyens humains conséquents (une vingtaine d'agents scientifiques des données et ingénieurs), qui fonctionnent déjà sur le principe de mutualisation.

L'association formelle du coordinateur pour les services numériques au PEReN permettrait de renforcer les synergies entre les deux acteurs et donner au coordinateur l'appui technique nécessaire à sa stratégie d'influence et de coopération au niveau européen.

2.2. OBJECTIFS POURSUIVIS

L'association facilitée du PEReN au coordinateur pour les services numériques dans le cadre de ses missions a pour objectif de renforcer l'influence de ce dernier au niveau européen et lui permettre d'avoir une expertise technique nécessaire pour se positionner dans l'application coordonnée du DSA aux côtés de la Commission européenne et des coordinateurs des autres Etats membres.

Plus généralement, le dispositif d'association vise à capitaliser sur les compétentes déjà présentes et éprouvées au sein des services de l'Etat pour renforcer les synergies techniques. La promotion des coopérations entre services techniques doit permettre, avec une économie de moyens, d'assurer la progression des compétences techniques numériques et d'éviter l'émiettement de l'expertise entre les services.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

L'application du DSA oblige les Etats membres à désigner un coordinateur pour les services numériques avant février 2024.

Il a été initialement envisagé de procéder à une désignation simple du coordinateur pour les services numériques. Il aurait ensuite été instauré de manière informelle ou par convention des mécanismes de coordination avec les acteurs pertinents pour réaliser ses missions, notamment le PEReN.

Cette option a été finalement écartée car il a été jugé plus pertinent, lors des discussions avec les autorités compétentes et les services ministériels et au vu du consensus, de formaliser, au niveau de la loi, l'association facilitée au PEReN pour le coordinateur pour les services numériques. Il a paru nécessaire de définir le cadre général de cette coopération au niveau législatif pour préciser les principaux piliers de la future convention d'association.

3.2. OPTION RETENUE

Le dispositif retenu est une association souple entre le coordinateur pour les services numériques et le PEReN.

Le coordinateur pour les services numériques peut, pour l'ensemble de ses missions nécessitant une expertise technique en matière d'analyse de données, faire appel au PEReN pour appui technique ou avis. De la même manière, le PEReN peut aussi proposer son appui, ou ses observations au coordinateur pour les services numériques dans le cadre des missions qui lui sont confiées par le DSA.

Pour la mission spécifique de développement de l'expertise et des capacités de l'Union européenne en matière d'évaluation des questions systémiques et émergentes mentionnées à l'article 64 du DSA, le coordinateur veille à associer le PEReN sur l'ensemble des travaux dont il fait partie. En effet, cette mission représente le coeur d'expertise du PEReN où les synergies seront les plus fortes.

Le coordinateur pour les services numériques et le PEReN conclueront une convention qui précisera les modalités de mise en oeuvre de cette association et définira des référents pour assurer la fluidité des travaux.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Un nouvel article 7-1 est créé au sein de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) pour préciser les principes de l'association entre le coordinateur pour les services numériques et le PEReN.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les dispositions introduites au sein de l'article 7-1 de la LCEN définissent des principes d'association souples entre le coordinateur pour les services numériques et le PEReN.

Ces dispositions veillent à assurer une bonne application des missions de coordination et définies par le DSA tout en préservant les exigences applicables aux coordinateurs pour les services numériques.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Néant.

4.2.3. Impacts budgétaires

Aucun impact budgétaire direct n'est relevé.

Néanmoins, un impact budgétaire indirect est envisageable. La mise en oeuvre de la mesure appellera des travaux spécifiques pour le PEReN au sein de sa feuille de route annuelle. Cette nouvelle disposition engendrera donc nécessairement une mobilisation des services et un déploiement approprié des moyens du PEReN.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Le PEReN aura une charge supplémentaire qui pourra être assuré par les effectifs actuels du pôle, sans besoin d'équivalents temps plein supplémentaires.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Des échanges informels ont été réalisés avec l'ARCOM pour adapter le dispositif proposé.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Ces dispositions entrent en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Concernant la Nouvelle-Calédonie, la Polynésie française et les îles Wallis-et-Futuna qui sont soumises au principe de « spécialité législative » (une mention expresse est nécessaire pour que le texte y soit applicable), l'article 57 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, précise que les articles 1 à 8, notamment, sont applicables en Nouvelle Calédonie, en Polynésie française et à Wallis-et-Futuna dans leur rédaction résultant de la loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.. La mesure proposée est donc applicable dans ces territoires, sous réserve de l'ajustement préalable de l'article 57 de la loi précitée qui pourra être réalisé par l'ordonnance prévue à l'article 25 du présent projet de loi.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

L'ARCOM et le PEReN devront conclure, dans les six mois suivant l'entrée en vigueur de la présente loi, une convention définissant les modalités de mise en oeuvre du présent article.

TITRE VII - CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L'EXERCICE DE LEUR FONCTION JURIDICTIONNELLE

Articles 19, 20, 21- Création des autorités de contrôle RGPD pour l'ordre administratif et pour l'ordre judiciaire 

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) est le principal texte européen encadrant la protection des données à caractère personnel264(*). Il impose à chaque Etat membre de prévoir qu'une ou plusieurs autorités indépendantes de contrôle sont chargées de surveiller son application, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union européenne.

Toutefois, le paragraphe 3 de l'article 55 du RGPD dispose que « Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle ».

La mise en conformité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (LIL) avec le RGPD a été effectuée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Cette loi a désigné la Commission nationale de l'informatique et des libertés en tant qu'autorité de contrôle de droit commun. Néanmoins, s'agissant des traitements de données effectuées dans un cadre juridictionnel, le législateur a décidé de ne modifier le droit national qu'a minima. C'est ainsi que le V de l'article 19 de la LIL dispose que « Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions. ».

1.2. CADRE CONSTITUTIONNEL

Dans sa décision n° 2018-765 DC du 12 juin 2018 portant sur la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, le Conseil constitutionnel a globalement jugé conforme à la Constitution le mécanisme de contrôle des traitements de données à caractère personnel institué par la France. Il ne s'est toutefois pas prononcé sur l'absence de mécanisme de contrôle des opérations de traitement de données à caractère personnel effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.

La protection des données à caractère personnel est rattachée par le Conseil constitutionnel au droit au respect de la vie privée, qui découle de l'article 2 de la Déclaration des droits de l'homme et du citoyen. Par ailleurs, l'article 34 de la Constitution confie à la loi le soin de fixer les règles concernant « les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Les mécanismes de protection des données à caractère personnel participent à l'exercice par les citoyens de leurs droits en la matière et relèvent également à ce titre de la compétence du législateur265(*).

En outre, les règles qui ont une incidence sur les conditions d'indépendance et d'impartialité des juridictions relèvent du domaine de la loi266(*). Il s'agit par exemple des règles relatives à la désignation des personnes appelées à y siéger, à la durée de leurs fonctions et à toutes les règles qui sont des garanties de l'indépendance et de la capacité des juges.267(*)

1.3. CADRE CONVENTIONNEL

L'article 8 de la Charte des droits fondamentaux de l'Union européenne consacre le droit à la protection des données à caractère personnel et énonce également les valeurs fondamentales qui y sont associées. Il dispose notamment que toute personne doit avoir le droit d'accéder aux données la concernant et d'en obtenir la rectification. Il précise également que le respect de ce droit doit être soumis au contrôle d'une autorité indépendante.

L'article 55 du RGPD interdit aux autorités de contrôle nationales de contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle. Le considérant 20 du RGPD précise la portée de cette interdiction, motivée par le souci « de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions ». Toutefois, il invite les Etats membres à confier le contrôle de ces opérations de traitement « à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données ».

Par un arrêt C-245/20 du 24 mars 2022, la Cour de justice de l'Union européenne a jugé que l'article 55, paragraphe 3 du RGPD n'a pas entendu soustraire à tout contrôle les opérations de traitement effectuées par les juridictions « dans l'exercice de leur fonction juridictionnelle », mais a seulement exclu que le contrôle de ces opérations soit confié à l'autorité de contrôle de droit commun. Il en résulte donc l'obligation pour les Etats membres de prévoir des mécanismes de contrôle des opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Suite à l'adoption du RGPD, la majorité des États membres de l'Union européenne se sont dotés de mécanismes de contrôle des traitements de données à caractère personnel effectués par leurs juridictions dans l'exercice de leur mission juridictionnelle.

Certains États membres ont fait le choix de mettre en place des mécanismes internes aux juridictions, qui peuvent prendre les formes suivantes :

- Compétence de la juridiction supérieure pour contrôler les traitements de données à caractère personnel réalisés par les juridictions inférieures : c'est par exemple le cas de la Pologne pour certaines de ses juridictions et de la République Tchèque ;

- Compétence d'un juge unique de la juridiction qui effectue le contrôle : c'est notamment le choix effectué par la Lituanie ;

- Compétence d'un panel de trois juges : c'est le cas pour l'Angleterre et le Pays de Galles ;

- Compétence du procureur général près la Cour suprême assisté des délégués à la protection des données personnelles désignés par les juridictions : au Pays-Bas, ce choix a été fait pour le contrôle des traitements effectués par les juridictions judiciaires dans le cadre de leur fonction juridictionnelle ;

- Instauration d'un « comité RGPD », créé spécifiquement pour cette mission et composé de membres desdites juridictions : au Pays-Bas cette option a été retenue pour le contrôle des traitements effectués par les juridictions administratives supérieures dans le cadre de leur fonction juridictionnelle.

D'autres États membres ont, quant à eux, choisi de confier ce contrôle à des organes préexistants, tel que le Conseil supérieur de la magistrature (Portugal, Espagne), ou encore le ministère de la justice (Slovaquie).

Enfin, certains États membres ont prévu un mécanisme de contrôle externe aux juridictions :

- Un contrôle externe et partagé pour contrôler les traitements mis en oeuvre par les juridictions dans le cadre de leur activité juridictionnelle. C'est notamment le cas de la Finlande qui a confié ce pouvoir de contrôle à deux organes constitutionnels : le chancelier de la justice rattaché au Gouvernement et nommé par le Président de la République, et le médiateur du Parlement désigné par le Parlement ;

- Un contrôle externe confié à un nouvel organe ad hoc et structurellement indépendant : c'est le cas du Luxembourg qui a créé l'autorité de contrôle judiciaire, compétente pour contrôler les opérations de traitement de données à caractère personnel effectuées par les juridictions de l'ordre judiciaire et de l'ordre administratif dans l'exercice de leur fonction juridictionnelle.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Depuis l'arrêt C-245/ 20 du 24 mars 2022 rendu par la Cour de justice de l'Union européenne, le paragraphe 3 de l'article 55 du RGPD doit être interprété comme faisant obligation aux États membres de prévoir un mécanisme de contrôle des opérations de traitement effectuées par leurs juridictions dans l'exercice de leur fonction juridictionnelle.

Or, tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent d'une exigence constitutionnelle (article 88-1 de la Constitution).268(*)

Par conséquent, le droit français n'est pas en conformité avec les dispositions du RGPD car il n'instaure aucun mécanisme de contrôle sur ces opérations de traitement. Il s'avère donc nécessaire de modifier le code de l'organisation judiciaire, le code des juridictions financières et le code de justice administrative.

Ces modifications relèvent de la compétence du législateur en application de l'article 34 de la Constitution.

2.2. OBJECTIFS POURSUIVIS

Le Gouvernement souhaite mettre en conformité le droit national avec l'article 55 du RGPD et la jurisprudence de la Cour de justice de l'Union européenne tout en prenant en compte les spécificités du système juridictionnel français. Pour ce faire, il entend confier à la Cour des comptes ainsi qu'aux juridictions suprêmes des ordres judiciaire et administratif le soin de contrôler les opérations de traitement relevant de leurs compétences respectives, dans l'objectif d'instituer un mécanisme de contrôle simple, efficace, et le mieux adapté possible au fonctionnement des juridictions.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

3.1. OPTIONS ENVISAGÉES

Aucun dispositif autre que législatif n'a été envisagé. En effet, la mise en conformité du droit national avec l'article 55 du RGPD et la jurisprudence de la Cour de justice de l'Union européenne suppose d'instituer au sein des ordres de juridictions des mécanismes de contrôle, et ces mécanismes relèvent du domaine de la loi.

Il a été envisagé de confier le contrôle des opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle aux juridictions elles-mêmes. Chaque chef de juridiction aurait procédé au contrôle de ces opérations mises en oeuvre au sein de sa juridiction. Un dispositif alternatif aurait consisté à confier cette mission au chef de la juridiction supérieure.

Cette piste a été écartée car elle aurait pu conduire à de grandes disparités, en l'absence d'autorité centrale à même d'unifier les pratiques. Surtout, les chefs de juridiction étant dans certains cas responsables de traitement au sens du RGPD, il semblerait difficile de leur confier les missions d'une autorité de contrôle.

Un autre dispositif envisagé aurait consisté à confier le contrôle des opérations de traitement aux délégués à la protection des données des juridictions suprêmes de chaque ordre juridictionnel.

Toutefois, ce dispositif a été exclu en raison de l'incompatibilité entre les fonctions de délégué à la protection des données et celles d'autorité de contrôle.

3.2. OPTION RETENUE

Le Gouvernement a donc choisi de confier le contrôle des opérations de traitement effectué par les juridictions dans l'exercice de leur fonction juridictionnelle à la Cour des comptes ainsi qu'aux juridictions suprêmes des ordres judiciaire et administratif : la Cour de cassation et le Conseil d'Etat. Le contrôle sera exercé par une entité au sein de chacune de ces juridictions présentant des garanties d'indépendance suffisantes.

Il s'agit :

- au sein du Conseil d'Etat, d'un de ses membres, élu par l'assemblée générale pour une durée de trois ans, renouvelable une fois ;

- au sein de la Cour de cassation, d'un conseiller désigné par le premier président pour une durée de trois ans, renouvelable une fois ; 

- au sein de la Cour des comptes, d'un de ses magistrats élu par la chambre du conseil pour une durée de trois ans, renouvelable une fois.

Le contrôle exercé ne portera que sur les opérations de traitement réalisées postérieurement à la mise en oeuvre d'un traitement de données à caractère personnel.

L'autorité de contrôle instaurée au sein de la Cour de cassation contrôlera les opérations de traitement effectuées dans l'exercice de leur fonction juridictionnelle, par les juridictions judiciaires et par leur ministère public, ainsi que par le Conseil supérieur de la magistrature dans l'exercice de ses fonctions disciplinaires, en raison des liens qu'entretient cette autorité constitutionnelle indépendante avec l'autorité judiciaire.

L'autorité de contrôle instaurée au sein de la Cour des comptes contrôlera les opérations de traitements de données à caractère personnel effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions régies par le code des juridictions financières et par leur ministère public.

L'autorité de contrôle instaurée au sein du Conseil d'Etat contrôlera les opérations de traitement effectuées dans l'exercice de leur fonction juridictionnelle par le tribunal des conflits et les juridictions administratives, à l'exclusion du Conseil supérieur de la magistrature exerçant ses fonctions disciplinaires, de la Cour des comptes et des autres juridictions régies par le code des juridictions financières et par leur ministère public.

Le projet précise enfin que chaque autorité dispose des ressources humaines, matérielles et techniques nécessaires à l'exercice de ses fonctions, condition de l'effectivité de l'exercice indépendant de ses fonctions par l'autorité de contrôle, à laquelle les textes européens accordent une importance toute particulière.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

L'article 19 du présent projet de loi complète le titre Ier du livre Ier de la partie législative du code de justice administrative par un chapitre V.

L'article 20 du présent projet de loi complète le titre V du livre IV de la partie législative du code de l'organisation judiciaire par un chapitre III.

L'article 21 du présent projet de loi complète le chapitre Ier du titre Ier du livre Ier de la partie législative du code des juridictions financières par une section 6 comprenant un article L. 111-18.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Cette mesure vise à mettre le droit français en conformité avec l'article 55, paragraphe 3 du RGPD, tel qu'interprété par l'arrêt C-245/20 du 24 mars 2022 de la Cour de justice de l'Union européenne.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Néant.

4.2.3. Impacts budgétaires

Néant.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Les présentes dispositions sont de nature à avoir des impacts sur les services administratifs du Conseil d'Etat, de la Cour de cassation et de la Cour des comptes. Ceux-ci ne sont pas quantifiables mais paraissent toutefois limités, compte-tenu du nombre très faible de réclamations qui est attendu.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Cette mesure sera de nature à faciliter l'exercice par les justiciables des droits qu'ils tiennent du RGPD. Ceux-ci pourront en effet former une réclamation devant l'autorité de contrôle des traitements de données à caractère personnel instituée au sein de chaque ordre de juridiction, lorsqu'ils estiment que les droits qu'ils tiennent de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne sont pas respectés.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

L'article 8 de la loi du 6 janvier 1978 prévoit que la CNIL « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. »

Par conséquent, le projet de loi a été soumis à la CNIL qui s'est prononcée par la délibération n° 2023-036 du 20 avril 2023.

Le Conseil supérieur des tribunaux administratifs et des cours administratives d'appel connaît des questions intéressant le fonctionnement et l'organisation des tribunaux administratifs et des cours administratives d'appel dans les conditions prévues à l'article L. 232-3 du code de justice administrative. À ce titre, celui-ci est « consulté sur toute question relative à la compétence, à l'organisation et au fonctionnement des tribunaux administratifs et des cours administratives d'appel ».

Après s'être prononcé sur l'article 2 du projet de loi par un avis du 20 avril 2023, le CSTACAA a pris connaissance des dispositions de l'article 19 de ce même projet qui lui ont été transmises à titre d'information. L'article L. 132-2 du code de justice administrative prévoit que cette Commission supérieure du Conseil d'Etat est consultée par le vice-président du Conseil d'Etat sur les questions intéressant la compétence, l'organisation ou le fonctionnement du Conseil d'Etat.

La CSCE s'est prononcée sur le projet de loi par un avis du 25 avril 2023, après consultation déroulée entre le 21 avril 2023 et le 25 avril 2023.

Le comité social d'administration de proximité placé auprès du premier président de la Cour de cassation est prévu par l'arrêté du 25 avril 2022. Il est compétent pour connaître des questions relatives à la Cour de cassation.

Par conséquent, le comité social d'administration placé auprès du premier président de la Cour de cassation a été consulté le 21 avril 2023.

Le Conseil supérieur de la Cour des comptes (CSC) est consulté « sur toutes les questions relatives à la compétence, à l'organisation et au fonctionnement de la Cour des comptes » (article L. 120-14 du code des juridictions financières) et le Conseil supérieur des chambres régionales des comptes (CSCRC) est « consulté sur toute question relative à l'organisation, au fonctionnement ou à la compétence des chambres régionales » (article L. 220-12 du code des juridictions financières). Le CSC et le CSCRC, consultés de façon dématérialisée le 26 avril 2023, ont rendu un avis favorable sur ces dispositions.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les présentes dispositions entreront en vigueur dès le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy, le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les articles 19, 20 et 21 du projet de loi modifient des dispositions relatives à l'organisation de la justice administrative et à l'organisation judiciaire. Conformément aux lois organiques qui définissent les statuts d'autonomie à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, les dispositions relatives à l'organisation de la justice sont directement applicables. Toutefois, pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Les articles 19, 20 et 21 nécessiteront que les mécanismes insérés dans le code de justice administrative, le code de l'organisation judiciaire et le code des juridictions financières soient précisés par décrets en Conseil d'Etat.

TITRE VIII - ADAPTATIONS DU DROIT NATIONAL

CHAPITRE IER - MESURES D'ADAPTATIONS DE LA LOI N° 2004-575 DU 21 JUIN 2004 POUR LA CONFIANCE DANS L'ÉCONOMIE NUMÉRIQUE

Articles 22, 23, 24 et 25 - Adaptations de la loi pour la confiance dans l'économie numérique

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le cadre législatif européen sur les services numériques repose sur la directive 2000/31 sur le commerce électronique (ci-après « directive e-commerce »)269(*), adoptée en 2000 au niveau européen et transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (ci-après « LCEN »). Pierre angulaire du marché unique des services numériques, cette directive a établi les principes fondateurs encadrant ce marché : le régime de responsabilité limitée des hébergeurs, l'interdiction de surveillance généralisée des contenus et de recherche active et le principe dit « du pays d'origine » qui prévoit que les prestataires de services de la société de l'information doivent se conformer à la législation de leur pays d'établissement.

Néanmoins, depuis 2000, les pratiques techniques, le marché et l'écosystème numérique dans sa globalité, ont considérablement évolué. Plusieurs géants du numérique tels que Facebook (lancé en 2004), YouTube (2005), ou TikTok (2017) ont émergé et comptent aujourd'hui des milliards d'utilisateurs dans le monde (estimations de 2,9 milliards d'utilisateurs mensuels pour Facebook, 2,5 pour YouTube et 1,2 pour TikTok). En parallèle, le nombre de contenus illicites sur internet s'est considérablement accru : dans son étude d'impact sur le DSA, la Commission européenne souligne l'explosion du nombre de signalements d'images pédopornographiques en ligne, passés de 23 000 en 2010 à plus de 725 000 en 2019270(*).

Cette directive e-commerce a donc montré certaines limites, notamment dans la lutte contre la prolifération de contenus illicites. Ainsi, d'autres textes européens sectoriels sont venus la compléter en établissant des règles supplémentaires pour certaines catégories de contenus en ligne tels que les contenus terroristes271(*) ou des contenus de médias audiovisuels relatifs aux plateformes de partage de vidéos272(*), directive transposée en France par l'ordonnance n° 2020-1642 du 21 décembre 2020273(*). En parallèle, la France avait préalablement introduit dans sa législation nationale des dispositions spécifiques visant à une meilleure protection des utilisateurs en ligne, notamment par la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.

Au vu du risque de fragmentation entre les différentes législations nationales, la Commission européenne a présenté en décembre 2020 une proposition de règlement 2022/2065 relatif à un marché intérieur des services numériques également appelé Digital Services Act (DSA), conjointement à sa proposition de règlement Digital Markets Act (DMA - cf. article 27 du présent projet de loi).

Ce règlement européen vise à compléter et approfondir la directive e-commerce, tout en réaffirmant les principes clés de cette dernière qui sont la responsabilité limitée des hébergeurs, l'interdiction d'obligation générale de surveillance et le principe du pays d'origine évoqués supra, afin de renforcer la lutte contre la dissémination des contenus illicites, dangereux ou préjudiciables en ligne tout en évitant les atteintes injustifiées à la liberté d'expression. Pour ce faire, le règlement vient compléter le champ de la directive e-commerce (fournisseurs d'accès à internet (FAI), cache et hébergeurs) en introduisant une nouvelle catégorie de services intermédiaires en ligne, les « plateformes en ligne », ainsi que sa sous-catégorie de « très grandes plateformes en ligne » (plateformes avec plus de 45 millions d'utilisateurs actifs mensuels au sein de l'Union européenne). Ces plateformes devront prendre des mesures efficaces de modération des contenus sur leurs services pour lutter contre la dissémination de contenus illicites et préjudiciables et renforcer la transparence sur leurs pratiques de modération. Ce règlement a été définitivement voté par le Parlement européen en juillet 2022 et approuvé par le Conseil de l'UE le 4 octobre 2022. Il a été publié le 27 octobre 2022274(*) et entrera en application le 17 février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès la mi-2023.

Le DSA est un règlement horizontal d'harmonisation maximale qui prévoit dans son considérant 9 que « les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant du champ d'application du présent règlement, sauf si le présent règlement le prévoit expressément, car cela porterait atteinte à l'application directe et uniforme des règles pleinement harmonisées applicables aux fournisseurs de services intermédiaires conformément aux objectifs du présent règlement », ce qui interdit donc aux Etats membres de prévoir des mesures en droit national qui vont au-delà de ce qu'il prescrit pour le même champ d'application. Il est donc nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le DSA qui poursuivent les mêmes objectifs que ceux du règlement.

Les articles 22 à 25 et 28 à 30 et 33 du présent projet de loi procèdent à des modifications de la loi n° 2004-575 précitée, de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (ci-après « Loi Léotard »), du code électoral, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information (ci-après « Loi infox ») et de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (ci-après « Loi Bichet ») aux fins de la mise en oeuvre en France du DSA et de la mise en cohérence de certaines de ces dispositions avec les termes du règlement. D'autres textes nationaux sont également affectés par ce règlement européen, notamment le code de la consommation (cf. article 26) ainsi que la loi informatiques et libertés275(*) s'agissant du volet données personnelles du règlement (cf. article 32).

1.2. CADRE CONSTITUTIONNEL

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'États qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ».

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent ainsi d'une exigence constitutionnelle.

Les articles 22 à 25 du présent projet de loi ont pour objet principal de tirer les conséquences nécessaires des dispositions du DSA. L'impact des obligations prévues par ce dernier sur l'exercice du droit à la vie privée, sur la liberté d'expression ou encore sur la liberté d'entreprendre, découle directement du règlement européen.

Le DSA accorde néanmoins, sur quelques points, certaines marges de manoeuvre aux Etats membres. Il leur revient notamment de :

- désigner l'autorité ou les autorités compétentes pour la supervision des obligations prévues par le règlement au niveau national, et de désigner parmi ces autorités, une autorité de coordination ;

- clairement définir les missions respectives des autorités compétentes ainsi désignées et de prévoir les modalités de leur coopération ;

- fixer les conditions et procédures spécifiques pour l'exercice des pouvoirs prévus à l'article 51 du DSA.

Le DSA précise en outre que les Etats membres doivent veiller à ce que tout exercice de ces pouvoirs soit soumis à des mesures de sauvegarde appropriées établies dans le droit national applicable en conformité avec la Charte et les principes généraux du droit de l'Union. Plus particulièrement, ces mesures ne sont prises qu'en conformité avec le droit au respect de la vie privée et les droits de la défense, y compris les droits d'être entendu et d'avoir accès au dossier, et le droit à un recours juridictionnel effectif pour toutes les parties affectées.

Les dispositions du présent article qui prévoient les adaptations nécessaires du droit national au DSA ne présentent pas de risque de contrariété avec une règle ou norme de valeur constitutionnelle.

1.3. CADRE CONVENTIONNEL

Les dispositions des articles 22 et suivants du présent projet de loi visent à adapter le cadre national au DSA. Comme souligné au sein de l'item 1.1 supra, ce règlement modifie la directive 2000/31/CE sur le commerce électronique, qui a été transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

S'agissant des articles 22 et suivants du présent projet de loi, la nécessité de légiférer découle directement de l'adoption du DSA.

Tout d'abord, le DSA harmonise pleinement les règles applicables aux services intermédiaires (services de simple transport tels que les fournisseurs d'accès à internet, services de mise en cache tels que les réseaux de diffusion de contenu - mieux connus sous les termes anglais de Content Delivery Network - et hébergeurs tels que les réseaux sociaux) dans le but de garantir un environnement en ligne sûr, prévisible et de confiance, en luttant contre la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d'informations trompeuses ou d'autres contenus peuvent produire. Le règlement précise que les Etats membres ne peuvent pas adopter ou maintenir des règles nationales supplémentaires concernant les matières relevant du champ d'application du règlement sur les services numériques, sauf si le règlement le prévoit expressément.

En conséquence, les dispositions de droit interne prévoyant des règles relevant des objectifs poursuivis par le DSA, dans son champ d'application, doivent être abrogées. Cela concerne en particulier certaines dispositions applicables aux plateformes en ligne prévues par la loi Infox ou insérées dans la loi Léotard ou le code électoral.

Ensuite, le DSA, étant par nature directement applicable dans l'ensemble des Etats membres, diverses dispositions du Chapitre II du Titre Ier de la LCEN issues de transposition de la directive e-commerce, elles-mêmes remplacées par le règlement, doivent être adaptées. Certaines adaptations du droit interne sont également nécessaires pour remplacer les anciennes définitions des prestataires techniques par les nouvelles définitions des services intermédiaires créées par le règlement sur les services numériques.

Enfin, le DSA laisse une certaine marge de manoeuvre aux Etats membres, notamment en matière de gouvernance. Des dispositions nouvelles doivent être créées en droit interne afin de désigner les autorités compétentes pour la mise en oeuvre du règlement, l'autorité chargée de la coordination de la supervision du texte, préciser le champ de compétences et définir le schéma de coopération entre les différentes autorités compétentes ou encore pour détailler les pouvoirs de l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), de la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) et de la Commission nationale de l'informatique et des libertés (CNIL) en vertu du règlement.

Par ailleurs, l'adaptation de la LCEN représente une opportunité pour le législateur de réorganiser le Titre Ier afin d'en améliorer la cohérence, de corriger certaines règles existantes (notamment s'agissant de leur champ d'application) et d'abroger celles qui sont obsolètes.

2.2. OBJECTIFS POURSUIVIS

Les dispositions qui adaptent le droit interne au DSA poursuivent les objectifs de conformité au droit de l'Union européenne, d'harmonisation des règles applicables aux services intermédiaires dans le marché unique européen et de clarté de la loi (abrogation des doublons et réorganisation du Titre Ier de la LCEN).

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

La loi est commandée par une norme supérieure, le DSA.

Néanmoins, comme indiqué au sein de l'item 2.1 supra, le règlement laisse une marge de manoeuvre aux Etats membres s'agissant de la gouvernance et de la répartition des compétences entre les différentes autorités désignées. Plusieurs options ont été envisagées au niveau français pour permettre une répartition efficace et solide juridiquement.

Il a ainsi été envisagé de confier à l'ARCOM et à la DGCCRF le contrôle des mêmes obligations, mais en répartissant les compétences par acteurs ou services, afin d'éviter qu'un même acteur ou service soit contrôlé par deux autorités différentes pour le respect d'une même obligation. La compétence sur un fournisseur donné serait confiée tantôt à l'une tantôt à l'autre selon si l'activité principale du fournisseur était celle d'un service de place de marché (compétence DGCCRF) ou si cette activité de place de marché était uniquement accessoire (compétence ARCOM). Cette répartition de compétence a finalement été abandonnée car le critère d'activité principale ou accessoire apparaissait trop flou pour que la compétence de l'une ou l'autre autorité puisse être clairement établie. Cette difficulté paraissait particulièrement problématique s'agissant de la compétence de la DGCCRF, pour laquelle le mécanisme de sanctions repose sur la création d'infractions pénales, qui ne peuvent être valides que si leur champ est précisément circonscrit. Il a finalement été décidé le schéma suivant :

- La CNIL a une compétence exclusive pour les dispositions relatives à la protection des données à caractère personnel :

· Article 26 § 1 d) (transparence sur les paramètres de ciblage publicitaire) ;

· Article 26 § 3 (interdiction du placement de publicités fondé sur du profilage utilisant des données sensibles) ;

· Article 28 § 3 (interdiction de la présentation de publicités fondées sur du profilage à des mineurs).

- La DGCCRF dispose d'une compétence exclusive pour les articles 30 à 32 spécifiques aux obligations applicables aux places de marché en ligne, ainsi que pour le seul article 25 (interfaces trompeuses) et uniquement lorsque l'interface concerne l'activité de commerce en ligne ;

- L'ARCOM est compétente pour les obligations restantes (article 9, §1 et §5, article 10, §1 et §5, articles 11 à 17, articles 20 à 25 (hors champ de compétence de la DGCCRF), l'article 26, §1 a) à c) et §2, l'article 27 et l'article 28, §1).

En outre, afin de permettre une coopération et un partage d'informations efficace entre les différentes autorités, un mécanisme de coordination souple est proposé via des mécanismes d'avis croisés et d'échanges d'informations.

Enfin, concernant les pouvoirs d'enquête, d'exécution et de sanction de l'ARCOM à l'égard des fournisseurs de services intermédiaires, il est proposé, en l'absence de dispositions existantes équivalentes dans la LCEN ou la loi Léotard, d'insérer de nouvelles dispositions autonomes au sein de la LCEN afin de garantir leur efficacité, leur clarté et leur sécurité juridique.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Le DSA a un effet direct en droit français de sorte que les obligations qui en découlent n'ont pas besoin de transposition législative pour y être applicables. Cependant, il est nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le règlement sur les services numériques qui poursuivent les mêmes objectifs que ceux du règlement.

Pour mémoire, certains éléments de la LCEN, particulièrement à son article 6, sont rendus obsolètes ou incompatibles avec le DSA. De plus, la création de nouvelles définitions dans le règlement implique une modification de l'ordonnancement juridique français ; les définitions de droit français ont donc dû être mises en cohérence avec celles introduites par le règlement.

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est modifiée par les articles 22 à 25 du présent projet de loi.

L'article 22 permet :

- la création de deux articles 1-1 et 1-2 ;

- la modification de l'intitulé du chapitre II du titre Ier, remplacé par l'intitulé : « Les fournisseurs de services intermédiaires» ;

- la création d'une section 1 au chapitre II, intitulée : « Définitions et obligations relatives aux fournisseurs de services intermédiaires » qui comprend les articles 5 à 6 ;

- la création d'un article 5-1 ;

- la modification de l'article 6.

Par l'article 23 :

- est créée une section 2 intitulée : « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques », qui comprend les articles 6-1 à 6 1-5 ainsi que les articles 6-2 et 6-2-1 ;

- les articles 6-1, 6-1-3 et 6-1-5 sont modifiées ;

- l'article 6-2 devient l'article 6-5.

Par l'article 24 :

- est créée une section 3 intitulée : « Dispositions relatives à l'intervention de l'autorité judiciaire », qui comprend les articles 6-3 à 6-5 ;

- les articles 6-3 et 6-4 sont modifiés.

Par l'article 25 :

- est créée une section 4 intitulée : « Coordinateur pour les services numériques et coopération entre les autorités compétentes » qui comprend les articles 7 à 9-2.

- l'article 7 est modifié.

- les articles 7-2, 7-3, 8-1, 9-1, 9-2 sont créés.

A) Abrogation des dispositions non conformes au DSA

Plusieurs alinéas de l'article 6 de la LCEN ont été abrogés, soit parce que les dispositions en vigueur étaient redondantes avec le DSA, soit parce qu'elles allaient au-delà des obligations prévues par le règlement. C'est notamment le cas des dispositions relatives :

- aux conditions dans lesquelles la connaissance des faits litigieux est présumée acquise, dans le cadre du régime de responsabilité des hébergeurs (5 du I de l'article 6), qui vont au-delà du DSA ;

o Ces dispositions permettaient de clarifier les conditions de mise en oeuvre du régime de responsabilité des hébergeurs. Leur abrogation, rendue nécessaire pour une mise en conformité avec le DSA, impose donc une approche plus casuistique du régime de responsabilité des hébergeurs

- à l'interdiction des obligations générales de surveillance (deux premiers alinéas du 7 du I de l'article 6), redondante avec le DSA ;

o Ceci n'entraîne aucun recul, étant donné que cette interdiction est présente dans le DSA (article 8).

- aux obligations de transparence et de mise en place d'un système de signalement (alinéa 4 du 7 du I de l'article 6), redondant avec le DSA ;

o Ceci n'entraîne aucun recul car le DSA prévoit également une obligation de mettre en place un système de signalement (article 16) ainsi que des obligations de transparence.

Par ailleurs, les dispositions relatives au signalement des activités illicites de jeux d'agent (alinéa 5 du 7 du I de l'article 6) ont été abrogées car elles ont été rendues obsolètes par la réforme 2019/2020 sur la régulation des jeux d'argent en ligne, qui prévoit un pouvoir d'intervention direct de l'Autorité Nationale des Jeux sur les opérateurs. Cette abrogation n'a donc pas d'incidence sur les dispositifs existants de régulation des jeux d'argent en ligne.

De plus, il a été jugé nécessaire de conserver temporairement la disposition relative au régime de responsabilité limitée des services d'hébergement dans la loi nationale (les dispositions existantes au 2 et 3 du I de l'article 6 de la LCEN sont ainsi déplacées à un II bis du même article). Cette disposition est redondante avec le DSA, qui prévoit le même régime de responsabilité à son article 6. Etant donné que l'entrée en vigueur de l'article 22 prévue pour le lendemain de la publication de la présente loi (à l'exception du C du III de l'article 22, en tant qu'il concerne la sanction encourue en cas de méconnaissance de l'obligation prévue à l'article 18 du DSA) la conservation de cette disposition permet d'assurer la sécurité juridique des services d'hébergement dans l'intervalle entre l'entrée en vigueur de l'article 22 et l'entrée en application du DSA. Pour éviter toute redondance entre la loi nationale et le DSA, cette disposition sera supprimée au 16 février 2024, au moment de l'entrée en application du DSA (cf. article 36).

B) Alignement des définitions de droit français sur les définitions du droit européen

Plusieurs définitions ont été introduites pour aligner l'ordonnancement juridique des services européens au droit français. La définition des services de la société de l'information, sur laquelle les définitions du DSA s'appuient, a été intégrée à l'article 5, qui est remplacé (sans impact). Cette définition ne couvre pas le même champ que celles prévues à l'article 1er de la LCEN, dont la modification n'est donc pas nécessaire. Ceci permet de garantir que les services concernés par la LCEN sont bien soumis au droit européen applicable aux services de la société de l'information.

Les définitions des services intermédiaires ont également été intégrées au sein de la nouvelle rédaction de l'article 5, pour qu'il apparaisse clairement que les hébergeurs et les services d'accès à internet, définis plus bas, font partie de cette catégorie.

La définition des services d'accès à internet a été introduite au 1 du I de l'article 6 pour des raisons de cohérence juridique : c'est à ce même 1 que renvoient de nombreux textes pour se référer aux fournisseurs d'accès à internet. La définition introduite ici permet de conserver une définition équivalente au même endroit, tout en clarifiant que ces fournisseurs sont des services intermédiaires au sens du DSA, et qu'ils sont donc soumis aux obligations idoines. La définition des hébergeurs est introduite au 2 de cet article pour les mêmes raisons de cohérence vis-à-vis de textes tiers et d'articulation avec le DSA. Les renvois de textes tiers à ces alinéas pour viser les fournisseurs de services d'hébergement et de services d'accès à internet sont donc préservés.

Aux points suivants du nouveau I de l'article 6 ont été intégrées des définitions du DSA (services de moteurs de recherche et services de plateforme en ligne) et du DMA (services de réseau social en ligne) auxquelles il est fait référence ailleurs dans la loi, notamment par d'autres mesures prévues par le présent projet de loi.

C) Réorganisation de la LCEN et ajustement du champ d'application de dispositions en vigueur

En outre, le champ de certaines obligations de la LCEN a été revu pour plus de cohérence : l'obligation d'information sur le tabac, qui bénéficie aux « abonnés », a été restreinte aux seuls services d'accès à internet, cette obligation n'ayant pas de véritable intérêt pour les hébergeurs, qui incidemment ne fournissent généralement pas de services fondés sur l'abonnement.

De même, les obligations issues des alinéas 3 et 4 du 7 du I de l'article 6 (qui n'ont pas été abrogées (cf. A) supra) ont vu leur champ restreint aux services d'hébergement, le signalement de contenus illicites aux autorités n'étant pas pertinent pour les services d'accès à internet. Il en est de même pour l'obligation de fournir aux éditeurs les moyens de remplir leurs obligations de transparence (alinéa 2 du II de l'article 6). Ces abrogations n'ont donc pas d'incidence sur le cadre juridique actuel.

Par ailleurs, à des fins de cohérence et de lisibilité de la loi, il est proposé de déplacer certaines dispositions applicables aux éditeurs de services de communication au public en ligne qui figurent au sein de l'article 6 du Chapitre II de la LCEN, dont l'essentiel des obligations concerne les fournisseurs de services intermédiaires. Ainsi, l'obligation pour les éditeurs de services de communication au public en ligne de mettre à disposition du public certaines informations dans un standard ouvert (le III de l'article 6) est déplacée vers un nouvel article 1-1, inséré au sein du Chapitre Ier intitulé « La communication au public en ligne ». L'exercice du droit de réponse auprès du directeur de la publication d'un éditeur (IV de l'article 6) ainsi que le V de l'article 6 relatif notamment à l'application de dispositions de la loi du 29 juillet 1881 sur la liberté de la presse, sont aussi déplacés vers le nouvel article 1-1. La sanction de la méconnaissance de ces obligations par un éditeur de service de communication au public en ligne, prévue au 2 du VI de l'article 6 est déplacée vers un nouvel article 1-2 de la LCEN. Les dispositions en vigueur applicables aux éditeurs, moyennant quelques ajustements de forme et de cohérence (modification des renvois à des alinéas de l'article 6 de la LCEN renumérotés, cf. infra), restent donc inchangées.

Plusieurs articles de la LCEN, et principalement son article 6, ont de plus été restructurés pour que les obligations applicables aux mêmes acteurs soient regroupées, avec les sanctions associées :

- Les 1, 1bis et les deux derniers alinéas du 7 du I de l'article 6 ainsi que l'article 7 sont déplacés au III de l'article 6, qui regroupe désormais les obligations applicables aux fournisseurs de services d'accès à internet. Un dispositif de sanction des manquements à ces obligations, calqué sur le 1er alinéa du 1 du VI de l'article 6 (abrogé pour des questions de légistique), est ajouté à ce même III ; le deuxième alinéa du 1 du VI est également déplacé au même III pour préciser les modalités de ce dispositif de sanction.

- Les troisième et quatrième alinéas du 7 du I et le 2e alinéa du II sont déplacés au IV, qui regroupe désormais les obligations applicables aux fournisseurs de services d'hébergement. Certaines obligations du quatrième alinéa du 7 du I sont abrogées car elles sont redondantes avec les obligations prévues par le DSA (mise en place d'un mécanisme de signalement, transparence sur les mesures mises en oeuvre pour lutter contre les contenus illicites) ;

- Les 1er et 3ème alinéas du II, relatifs à l'obligation de conservation des données d'identification des internautes, sont déplacés au V, dédié aux obligations applicables aux fournisseurs de services d'accès à internet et d'hébergement. Ce V est complété d'un dispositif de sanction des manquements à ces obligations, calqué sur les deux premiers alinéas du 1 du VI de l'article 6 ;

- L'article 6-5, qui prévoit une obligation pour les plateformes en ligne d'informer les utilisateurs mineurs des risques auxquels ils s'exposent en cas de diffusion de contenus haineux, est déplacé au VII de l'article 6.

D'autres déplacements répondent à des impératifs de cohérence globale. Le 4 du I de l'article 6, relatif à la sanction des signalements abusifs, est déplacé au VIII du même article, le 6 du I qui exclut la qualification de fournisseur de service d'accès à internet ou d'hébergeur pour les producteurs est déplacé au II (soit après les définitions, au I, et avant les obligations, aux III et suivants). Le 8 du I de l'article 6, relatif aux pouvoirs du juge, est déplacé à l'article 6-3, au sein d'une section dédiée au pouvoir judiciaire.

Enfin, l'article 7 de la LCEN étant déplacé et les articles 8 et 9 étant des dispositions codifiées, remplacement sans impact), il est proposé de créer une nouvelle section 4 au Chapitre II intitulée « Coordinateur pour les services numériques et coopération entre les autorités compétentes » et comprenant l'article 7 relatif à la désignation des autorités compétentes pour la mise en oeuvre du règlement sur les services numériques et la désignation de l'autorité de coordination, l'article 7-1 relatif à la coopération entre l'ARCOM et le pôle d'expertise de la régulation numérique (voir article 18), l'article 7-2 relatif à la coopération entre les autorités compétentes au titre du règlement sur les services numériques, l'article 7-3 relatif à la représentation des autorités compétentes au Comité européen des services numériques et à la mission de veille de l'Arcom en matière de risques systémiques et les articles 8-1, 9-1 et 9-2 (nouveaux) relatifs respectivement aux compétences, aux pouvoirs d'enquête et d'exécution et aux pouvoirs de sanction de l'ARCOM en vertu du DSA.

Cette restructuration de l'article 6 conduit à une meilleure cohérence et lisibilité de l'article 6, qui suit désormais une structure prévoyant, dans l'ordre :

- les définitions,

- les obligations des services d'accès à internet et les sanctions associées aux manquements,

- les obligations des hébergeurs et les sanctions associées aux manquements,

- les obligations applicables à la fois aux services d'accès à internet et aux hébergeurs, ainsi que leurs sanctions,

- les obligations applicables aux services de plateforme en ligne,

- les obligations applicables aux réseaux sociaux,

- la sanction pour signalement abusifs.

Les autres déplacements permettent de structurer le chapitre II de la LCEN par thématiques, organisées en sections. Ceci facilite sa clarté et sa lisibilité.

D) Enjeux spécifiques relatifs aux obligations de signalements aux autorités de contenus illicites et les sanctions associées

La majorité des obligations prévues par le DSA sont sanctionnées par une sanction administrative. Néanmoins, conformément à l'article 52 de ce règlement, il a été décidé d'introduire en droit interne, au 3 du IV de l'article 6, une sanction de nature pénale en cas de violation de l'obligation prévue à l'article 18 du règlement précité. Cet article prévoit que les fournisseurs de services d'hébergement ont l'obligation d'informer promptement les autorités publiques des informations dont ils ont connaissance les conduisant à soupçonner qu'une infraction pénale présentant une menace pour la vie ou la sécurité des personnes a été commise, est en train d'être commise ou est susceptible de l'être.

Deux obligations distinctes de signalement des contenus illicites sont déjà prévues dans la LCEN (ancien 7 du I de l'article 6 LCEN276(*) et II de l'article 6-1-3277(*)) mais il a été conclu que les trois régimes pouvaient coexister car ces trois obligations ont des champs d'application distincts, quant aux personnes qui y sont soumises et quant aux contenus concernés.

En outre, afin de maintenir une certaine forme de cohérence dans l'application de ces articles, la sanction pénale pour non-respect de l'article 18, elle aussi introduite au 3 du IV de l'article 6, a été alignée sur celle prévue pour non-respect des deux obligations précitées : un an d'emprisonnement et 250 000 euros d'amende. Un facteur d'aggravation a également été introduit, prévoyant que la sanction pouvait être portée à 6 % du chiffre d'affaires mondial en cas d'infraction commise de manière habituelle afin de s'aligner avec les dispositions prévues par le DSA. Par cohérence avec cette sanction, le II de l'article 6-1-3 de la LCEN a également été amendé afin que le plafond de sanction soit également aligné sur 6% (plutôt qu'un plafond de 4% comme initialement prévu dans le règlement 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne qu'il adapte).

A noter que, contrairement au reste de l'article 6 ainsi réécrit, cette disposition de pure mise en oeuvre du DSA entrera en vigueur en même temps que l'entrée en application du DSA lui-même, au 16 février 2024.

E) Maintien de l'obligation de conservation temporaire des contenus retirés de l'article 6-4

L'article 6-4, qui visait à pré-transposer le DSA et prévoit une Sunset clause au 31 décembre 2023, a été abrogé. Néanmoins, il a été décidé de conserver, au nouveau VI de l'article 6, les dispositions prévues au c) de cet article 6-4 LCEN qui prévoient: c) Lorsqu'ils ont une activité de stockage de contenus, de conserver temporairement les contenus qui leur ont été signalés comme contraires aux dispositions mentionnées audit premier alinéa et qu'ils ont retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ; la durée et les modalités de conservation de ces contenus sont définies par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés ;

Les contenus visés se rapportent aux infractions listées au 7 du I de l'article 6 de la LCEN et de l'article 33 de la loi du 29 juillet 1881, qui ont également été conservées (mais déplacées) au vu de leur nécessité dans le dispositif de lutte contre les sites miroirs prévu à l'article 6-3 de la LCEN.

La conservation temporaire de contenus signalés comme susceptibles de constituer une infraction pénale est nécessaire car elle permet à l'autorité judiciaire d'accéder a posteriori à un contenu supprimé par un service d'hébergement.

En effet, la suppression d'un contenu par un service d'hébergement entraine mécaniquement la disparition des éléments de preuve de commission de l'infraction en supprimant le contenu en lui-même, mais elle fait aussi obstacle à l'identification de l'auteur du contenu, en supprimant les éléments d'identification.

La suppression des contenus signalés comme illicite par les hébergeurs handicaperait la répression, en permettant aux personnes diffusant des contenus illicites d'échapper à leur responsabilité pénale.

Le DSA ne prévoit pas de règle de conservation de certains contenus signalés comme illicites, mais le considérant 34 précise que les législations nationales peuvent prévoir dans le cadre de procédures pénales ou civiles des conditions supplémentaires en ce qui concerne les injonctions d'agir contre les contenus illicites ou de fournir des informations. D'autre part, les règles de conservation des contenus signalés comme illicite ne sont pas incompatibles avec l'injonction de conservation de preuve du règlement e-evidence qui n'est pas encore adopté et qui n'entrera en vigueur que trente mois après sa publication.

f) Modalités de recours devant les juridictions administratives contre les demandes de retrait des contenus à caractère pédopornographique

La loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne a introduit un régime dérogatoire de recours exercés devant le tribunal administratif contre les injonctions de retrait des contenus à caractère terroriste dans des délais particulièrement resserrés (48 heures pour déposer un recours, 72 heures pour statuer ; 10 jours pour faire appel, un mois pour statuer). Le législateur a toutefois omis de préciser que compte tenu de cette urgence, l'audience publique devait se dérouler sans conclusions du rapporteur public. Cette exigence ne découle pas du DSA mais du règlement TCO qui impose l'établissement de voies de recours internes « effectives » attachées à la délivrance d'injonctions de retrait. A la faveur de l'adaptation de la LCEN, il est donc proposé de compléter l'article 6-1-5 d'une disposition prévoyant la dispense précitée.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Certaines règles prévues par la directive restent en substance inchangées, notamment celles sur le régime de responsabilité des services d'hébergement. Toutefois, contrairement à la directive, le règlement est d'harmonisation maximale, ce qui interdit aux Etats membres de prévoir des règles plus spécifiques ou plus contraignantes que celles prévues par le texte.

Certaines dispositions de la loi pour la confiance dans l'économie numérique permettent de préciser les règles édictées par la directive sur le commerce électronique. Ainsi, le 5 du I de l'article 6 précise dans quelles situations un service d'hébergement est présumé avoir connaissance des faits litigieux, ce qui permet de mieux déterminer dans quels cas sa responsabilité peut être engagée vis-à-vis de contenus qu'il héberge. Si ces précisions sont compatibles avec la directive sur le commerce électronique, elles ne le sont toutefois plus avec le règlement sur les services numériques en raison de son niveau d'harmonisation maximal

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

S'agissant des mesures d'adaptation du droit national au DSA, les effets sur les entreprises sont plus directement liés à l'entrée en application du règlement lui-même. Les fournisseurs de services intermédiaires seront soumis à des obligations nouvelles, en particulier pour les services d'hébergement et plus particulièrement pour les fournisseurs de services de plateformes en ligne. Ces obligations ne devraient nullement affecter la compétitivité des entreprises françaises vis-à-vis des autres Etats membres de l'Union, puisqu'elles proviennent d'un règlement européen.

Les coûts directs seront proportionnels à la taille et à l'audience du prestataire de services. Les services supporteraient également des coûts marginaux de conception technique et de maintenance. Les coûts liés aux exigences en matière d'information seront également proportionnels à la taille et à l'audience de l'entreprise. Les coûts les plus importants seraient limités aux très grandes plateformes en ligne. A noter que les obligations visant les plateformes ne sont pas applicables aux micros et petites entreprises, pour lesquelles le coût de la mise en conformité devrait donc être très limité.

4.2.3. Impacts budgétaires

L'étude d'impact de la Commission européenne estime que les coûts engendrés par les inefficacités du système actuel de coopération entre les autorités seront considérablement réduits. Les divers coûts supplémentaires du mécanisme de coopération renforcée seraient supportés au niveau de l'UE.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Augmentation de la charge administrative de l'Arcom

Le projet de loi confie à l'Arcom des responsabilités nouvelles en termes de régulation des services numériques. En effet, l'Arcom n'avait jusqu'alors de compétences que vis-à-vis de certains acteurs visés par le DSA : les services de plateforme de partage de vidéo (définis à l'article 2 de la loi du 30 septembre 1986) et les opérateurs de plateforme en ligne (définis au 1 de l'article L. 111-7 du code de la consommation, abrogé par le présent projet de loi). Son champ de compétence s'étend ainsi à l'ensemble des services intermédiaires (services de simple transport, services de cache et services d'hébergement, y compris les plateformes en ligne).

Surtout, ses compétences sont étendues au regard des obligations dont elle devra superviser le respect. L'Arcom ne devait superviser que les obligations prévues aux articles 58 à 62 de la loi Léotard (en partie abrogées par le présent projet de loi). Elle devra désormais superviser, pour les acteurs listés au paragraphe précédent, le respect des obligations prévues par les articles 9 à 28 du DSA (à l'exception des champs de compétence respectifs de la CNIL et de la DGCCRF).

Ces nouvelles responsabilités impliqueront une augmentation de sa charge administrative. La loi n° 2022-1726 du 30 décembre 2022 de finances pour 2023 a augmenté les plafonds d'emplois de l'Arcom en prévision notamment de son rôle de Coordinateur pour les services numériques, fixant le plafond d'autorisations d'emplois de l'Arcom à 370 ETP. Compte tenu des nouvelles missions et responsabilités qui lui sont confiées par le présent projet de loi, un renforcement de ses effectifs et de ses moyens pourrait encore être nécessaire afin qu'elle puisse mener à bien ses nouvelles missions au titre du DSA, mais également en matière de protection de l'enfance et de mise en oeuvre des sanctions européennes.

Il est toutefois difficile de chiffrer l'ensemble des coûts engendrés par ces nouvelles missions, en l'absence de données précises concernant notamment l'utilisation de ressources humaines, les dépenses opérationnelles (études, consultations, bilans) et de gestion (outils informatiques, etc.). Selon l'étude d'impact de la Commission européenne sur le DSA, les coûts engendrés par les autorités de contrôle devraient fluctuer en fonction des contrôles lancés, les estimations se situant entre 50 000 et 300 000 euros par contrôle/audit. En outre, la Commission estime qu'en termes d'effectifs, les coûts directs varieront de 0,5 ETP à 25 ETP, en fonction de la taille des services établis dans l'État membre.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Les impacts sociaux sont plus directement liés à l'entrée en application du DSA numériques lui-même. Ce règlement introduit une meilleure transparence sur le fonctionnement des services numériques, notamment en ce qui concerne leurs activités de modération et de recommandation des contenus. Les destinataires de ces services pourront contester les décisions prises par les services numériques, et bénéficieront des mesures d'atténuation des risques systémiques qui devront être prises par les très grandes plateformes en ligne, sous le contrôle étroit de la Commission européenne.

La diffusion de contenus illégaux par les plateformes, tels que des contenus pédopornographiques, des contenus terroristes, des discours haineux illégaux, des publicités illégales ciblant des individus ou des contenus portant atteinte aux droits de propriété intellectuelle, engendre des préoccupations sociétales, notamment des risques pour les droits fondamentaux et des risques d'incitation à de nouvelles violences pouvant causer de graves préjudices aux citoyens. En outre, les environnements en ligne très violents peuvent avoir un effet dissuasif sur la liberté d'expression, notamment en cas de prolifération de discours haineux illégaux ou d'autres formes de contenus illégaux. Cet effet dissuasif risquerait, par exemple, d'influencer les droits des individus à la participation politique. Aussi, l'article 22 (tout comme les articles 28 à 30, 33 et 34) favorisera un environnement en ligne plus sûr en limitant la prolifération de ce type de contenus via des mécanismes d'atténuation des risques et de sanctions.

La diffusion de contenus de désinformation, par exemple liée à des questions de santé publique (telles que les pandémies COVID-19 ou la vaccination) peuvent également avoir une incidence négative sur des groupes entiers d'utilisateurs, sur le bien-être physique et mental d'une personne mais également amplifier les préjudices sociétaux, par exemple en pratiquant des discriminations à l'égard de certains groupes d'individus. L'article 22 (tout comme les articles 28 à 30, 33 et 34) a pour impact de limiter la diffusion et l'amplification des contenus trompeurs ou mensongers et donc de limiter les risques évoqués.

Enfin, cet article aura pour impact positif de rétablir un niveau de confiance supérieur des utilisateurs dans l'usage des outils numériques grâce à l'encadrement de l'espace informationnel en ligne.

4.5.2. Impacts sur les personnes en situation de handicap

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment à la diffusion de contenus illicites ou aux effets graves sur le bien-être physique et mental des personnes. Ces mesures devront notamment viser à endiguer les phénomènes de haine en ligne, bien identifiés par les régulateurs européens. Les efforts pour lutter contre les messages de haine ou discriminants, dont les personnes en situation de handicap sont une cible particulière, devraient ainsi permettre une utilisation plus sereine par ces derniers des services des très grandes plateformes en ligne.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques découlant de l'utilisation de leurs services liés notamment aux effets négatifs réels ou prévisibles liés aux violences sexistes. Les discours sexistes et discriminatoires sont en effet des phénomènes répandus, notamment sur les grands réseaux sociaux, et les mesures prises par les très grandes plateformes pour lutter contre ces discours devraient permettre des conditions plus égalitaires d'usage de ces services par les femmes et les hommes.

4.5.4. Impacts sur la jeunesse

Avec l'entrée en vigueur du DSA, les très grandes plateformes en ligne devront prendre des mesures pour atténuer les risques systémiques en matière de protection des mineurs.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Comme développé au sein de l'item 4.5 supra, l'entrée en vigueur du DSA améliorera les droits des internautes vis-à-vis des décisions de modération des contenus qu'ils mettent en ligne, ainsi que leur protection vis-à-vis de contenus illicites ou de désinformation, et devrait donc favoriser une meilleure confiance des particuliers dans les outils numériques.

4.7. IMPACTS ENVIRONNEMENTAUX

L'étude d'impact de la Commission européenne indique que les incidences sur l'environnement devraient être relativement marginales. Des facteurs importants dépendront de l'évolution technologique, des choix commerciaux dans les chaînes de fabrication et de développement, du comportement des consommateurs et de l'incitation, etc. Il est donc difficile d'estimer à ce stade les incidences environnementales.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Les présentes dispositions ne requièrent aucune consultation obligatoire et aucune consultation facultative n'a été conduite.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française, à l'exception de celles relatives à la mise en oeuvre de l'article 18 du règlement DSA, qui entrera en vigueur en même temps que le DSA lui-même, le 17 février 2024. De plus, les dispositions relatives au régime de responsabilité des hébergeurs seront abrogées avec l'entrée en vigueur du DSA, qui prévoit le même régime à son article 6.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy le principe de « spécialité législative » prévaut dans ces territoires et en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25 du présent projet de loi.

Les articles 12, 15, 18, 22 et 24 du projet de loi modifient des dispositions qui sont rendues expressément applicables par la loi à Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, leur application est donc maintenue, sous réserve des ajustements nécessaires à leur application. Les dispositions restantes pourront être rendues applicables en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna par l'ordonnance prévue à l'article 25 du présent projet de loi. 

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale des règlements DSA, DMA et DGA dans ces collectivités, y compris pour celles de leurs dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 25.

5.2.3. Textes d'application

Plusieurs textes d'application seront nécessaires.

S'agissant tout d'abord des mesures existantes qui sont modifiées par le présent projet de loi, l'obligation prévue à l'article 6-5 de la LCEN actuellement en vigueur renvoie à l'article 6-4 et aux seuils prévus par ce dernier. Compte tenu de l'abrogation de l'article 6-4 de la LCEN, il convient de préciser le champ d'application de la disposition en vigueur, qui est déplacée par le présent projet de loi au VII de l'article 6 de la LCEN. Il est donc prévu de prendre un décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de service de plateforme en ligne fournissent certaines informations aux mineurs âgés de moins de quinze ans lors de leur inscription au service.

L'obligation pour les opérateurs de services de plateforme en ligne de conserver temporairement certains contenus qui leur ont été signalés, actuellement prévue au c) du 1° du I de l'article 6-4, est déplacée au VI de l'article 6 de la LCEN tel qu'il résulte du présent projet de loi. Compte tenu de l'abrogation de l'article 6-4 de la LCEN, il est également proposé de prendre un décret simple relatif à la fixation d'un seuil de connexions à partir duquel les fournisseurs de service de plateforme en ligne conservent temporairement les contenus qui leur ont été signalés. En outre, il est prévu de prendre un décret en Conseil d'Etat relatif à la durée et aux modalités de conservation par les fournisseurs de service de plateforme en ligne des contenus signalés.

Ensuite, s'agissant de nouvelles dispositions relatives aux pouvoirs de l'ARCOM au titre du DSA, il est prévu de prendre un décret en Conseil d'Etat relatif à certaines modalités d'application de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique aux éléments suivants :

- Les conditions d'assermentation des agents de l'ARCOM pouvant procéder aux inspections sur place,

- Les conditions dans lesquelles le juge des libertés et de la détention statue sur l'autorisation de la visite des agents de l'ARCOM

- Le régime de saisie des informations par les agents de l'ARCOM lors des inspections.

Il est également prévu de prendre un décret simple relatif aux modalités de saisine de l'autorité judiciaire par l'ARCOM en application du IV et du 2° du V de l'article 9 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique.

Enfin, le nouvel article 7-2 de la LCEN créé par le présent projet de loi prévoit qu'une convention entre les autorités compétentes désignées au titre du DSA précisera les modalités de mise en oeuvre de dudit article.

CHAPITRE II - MODIFICATION DU CODE DE LA CONSOMMATION

Article 26 - Mesures d'adaptation du code de la consommation

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Dans le cadre de ses enquêtes, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) exerce ses contrôles à l'encontre des places de marché en ligne, tous produits et services confondus, au regard du respect à la fois de la règlementation sur la sécurité des produits et des obligations d'informations issues de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Ces enquêtes ont révélé que de nombreux vendeurs tiers utilisant les places de marché de commerce électronique prisées par les internautes en France, proposent une proportion importante de produits non-conformes et présentant très souvent des risques pour les consommateurs. Ainsi, en 2021, 49% des produits contrôlés via des analyses se sont révélés dangereux et 24 % des produits contrôlés, bien que sans danger, ne répondaient pas aux critères de conformité que la réglementation leur imposait.

Le règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (DSA)278(*) vise à responsabiliser les plateformes et à lutter contre les contenus illicites, en vue de protéger les utilisateurs en ligne, notamment, en leur garantissant davantage de transparence et de contrôle sur les systèmes de recommandation et les mesures de modération.

Le règlement DSA renforce, notamment, les obligations spécifiques aux places de marché en ligne, avec :

- Des obligations additionnelles d'identification des vendeurs exerçant une activité sur les places de marché ;

- La vérification (obligation de moyens) de la complétude des informations sur les annonces : les produits difficiles à identifier ou pour lesquels les informations sont lacunaires, y compris en matière de sécurité, ne devraient pas pouvoir être proposés sur les places de marché ;

- L'information des consommateurs en cas d'offre de produit non conforme ou dangereux : les places de marché devront avertir les consommateurs ayant déjà acheté le produit dans les six derniers mois ou, à défaut, publier un avertissement sur leur interface ;

- Enfin, des contrôles aléatoires automatisés sur les annonces, sur la base d'efforts raisonnables, pour vérifier qu'elles ne correspondent pas à des contenus déjà signalés comme illicites sur des bases de données librement accessibles.

Au niveau national, la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique prévoit des obligations pour les opérateurs de plateforme en ligne de se conformer à des obligations générales informatives prévues par le code de la consommation. Ces opérateurs sont actuellement définis à l' article L. 111-7 du code de la consommation comme suit : « est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service ».

Ainsi, constituent des plateformes en ligne au sens de l'article L.111-7 du code de la consommation :

- Les moteurs de recherche ;

- Les places de marché en ligne ;

- Les comparateurs en ligne279(*);

- Les agrégateurs d'actualité280(*).

L' article L. 521-3-1 du code de la consommation permet à l'autorité administrative chargée de la concurrence et de la consommation, lorsque les agents habilités constatent un manquement ou une infraction avec les pouvoirs prévus au livre V du code de la consommation, d'ordonner l'affichage d'un message d'avertissement sur l'interface en ligne hébergeant le contenu illicite ; ou, pour les infractions punies d'au moins deux ans de prison, d'ordonner le déréférencement de l'interface en ligne, la limitation d'accès à cette dernière ou encore le blocage du nom de domaine.

Ces mesures, applicables aux contenus manifestement illicites en ligne, peuvent être mises en oeuvre dans leur rédaction actuelle dans deux hypothèses :

- Lorsque l'auteur de la pratique n'est pas identifiable ;

- Lorsque l'auteur de la pratique n'a pas déféré à une injonction prise sur la base de l' article L. 521-1 du code de la consommation.

1.2. CADRE CONSTITUTIONNEL

Le Conseil constitutionnel ne s'est pas prononcé sur les dispositions existantes relatives aux obligations d'informations prévues au code de la consommation pour les opérateurs de plateformes en ligne. Ces dispositions sont encadrées, d'une part, par le respect de la liberté d'entreprendre (Cons. const. 16 janv. 1982, n° 81-132 DC, et Déclaration des droits de l'homme, art. 4) ; d'autre part, s'agissant de l'article L. 111-7 de ce code, par l'obligation de transposer les directives européennes découlant de l'article 88-1 de la Constitution.

Dans l'hypothèse où le juge constitutionnel examinerait la constitutionnalité de dispositions de droit national prises pour l'application d'un règlement de l'Union européenne, le présent article ne semble en contrariété avec aucune règle ou norme de valeur constitutionnelle.

Concernant l'article L. 521-1-3 du code de la consommation, la constitutionnalité de la mesure a déjà été examinée par le Conseil Constitutionnel au regard des principes de liberté d'expression et de communication et de liberté d'entreprendre, et en a déclaré la rédaction conforme à la Constitution281(*). Le Conseil a en effet retenu que le délai minimum d'exécution (48 heures) de la mesure permettait aux personnes intéressées de contester utilement la décision devant le juge administratif, délai compatible à une saisine par voie de référé. Les modifications apportées ne sont pas de nature à remettre en cause la constitutionnalité du texte dans la mesure où ni les délais d'exécution ni les voies de recours ne sont modifiées.

1.3. CADRE CONVENTIONNEL

Le règlement DSA s'applique sans préjudice des règles européennes de protection des consommateurs, en particulier les actes de l'Union qui sont mentionnés par ce règlement (règlements (UE) 2017/2394 sur la coopération administrative et 2019/1020 sur la surveillance des marchés, directives 93/13/CEE sur les clauses abusives, 2001/95/CE sur la sécurité générale des produits, 2005/29/CE sur les pratiques commerciales déloyales, 2011/83/UE sur les droits des consommateurs et 2013/11/UE sur le règlement extrajudiciaire des litiges).

1.4. ELÉMENTS DE DROIT COMPARÉ

Néant.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Bien que le règlement DSA soit d'application directe, quelques adaptations du code de la consommation sont nécessaires pour rendre les dispositions nationales conformes au droit européen et s'assurer de la pleine effectivité de l'ensemble des dispositions de ce règlement.

Le présent article procède donc à l'adaptation de certaines dispositions du code de la consommation afin de les rendre cohérentes avec la mise en oeuvre du règlement DSA. En premier lieu, les dispositions existantes qui sont applicables aux plateformes en ligne, en particulier aux places de marché numériques utilisées par de nombreux vendeurs, sont révisées afin d'assurer leur conformité au droit de l'Union. La définition d'une « plateforme en ligne », instituée par la loi du 7 octobre 2016 pour une République numérique, est remplacée par la définition prévue à l'article 3, point i), du DSA afin d'éviter toute contrariété. Les obligations de transparence et loyauté des contenus des plateformes en ligne (article L. 111-7 du code de la consommation) sont aménagées dans le respect du droit européen de la consommation.

Les infractions aux articles 25 et 30 à 32 du règlement DSA commises par les fournisseurs de places de marché en ligne sont punies d'une peine de deux ans d'emprisonnement et d'une amende de 300 000 euros, dont le montant peut être porté à 6 % du chiffre d'affaires hors taxe pour une personne morale (article L. 133-1 nouveau code de la consommation).

En cas d'infraction, la juridiction civile peut, à la demande de l'autorité administrative chargée de la concurrence et de la consommation et après que celle-ci en ait avisé le parquet, prendre une mesure d'injonction de mise en conformité assortie d'une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d'affaires mondial hors taxes journalier moyen réalisé au cours du dernier exercice clos (article L. 133-2 nouveau code de la consommation).

Des peines complémentaires d'interdiction d'une activité commerciale sont également prévues (article L. 133-3 nouveau code de la consommation)

Les agents CCRF sont habilités à rechercher et constater les infractions aux articles 25 et 30 à 32 du règlement DSA commises par les fournisseurs de places de marché en ligne (article L. 511-7-1 nouveau du code de la consommation).

Les enquêtes menées par les agents CCRF sont encadrées conformément aux exigences procédurales du règlement DSA. Les agents CCRF peuvent coopérer, dans l'exercice de leurs missions, avec les agents du coordinateur des services numériques (articles L. 512-66 à L. 512-68 nouveaux code de la consommation).

Le pouvoir de la DGCCRF d'enjoindre à une plateforme de suspendre un contenu illicite (article L. 521-3-1, créé par la loi n° 2020-1508 du 3 décembre 2020), qui n'est pas une mesure d'adaptation du DSA, fait l'objet d'adaptations en vue de conforter sa sécurité juridique au regard du règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits. En effet, l'article L. 521-3-1 dans sa rédaction actuelle ne permet de mettre pleinement en oeuvre l'injonction numérique en matière de sécurité des produits.

2.2. OBJECTIFS POURSUIVIS

Les présentes dispositions modifient le code de la consommation afin d'adapter les dispositions nationales au droit européen et s'assurer de la pleine effectivité de l'ensemble des dispositions du règlement DSA.

Par ailleurs, l'article L. 521-3-1 de ce code nécessite d'être complété pour se conformer aux prescriptions du règlement (UE) 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits qui prévoit que les autorités chargées des contrôles, entrant dans le champ d'application du règlement, disposent d'un pouvoir de retrait des contenus illicites « lorsqu'il n'existe pas d'autre moyen de faire cesser un risque grave ».

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Les mesures retenues reposent sur un article unique dédié aux mesures d'adaptation nécessaires du code de consommation avec les dispositions du règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques (DSA).

Elles procèdent principalement à l'adaptation du droit national au droit de l'UE pour donner aux autorités françaises en matière de protection des consommateurs les moyens de conduire des investigations nécessaires à la mise en oeuvre des obligations incombant aux fournisseurs de plateformes en ligne. Cette adaptation permet d'éviter que des règles nationales divergentes du droit de l'UE soient maintenues.

Ainsi, le règlement DSA nécessite de nombreuses mesures d'adaptation en droit national pour y inclure :

- La mise en cohérence avec les définitions et les obligations existantes, dont une part est propre au droit français (loi n°2016-1321 du 7 octobre 2016 pour une République numérique282(*)) tandis que certaines dispositions découlent désormais du droit de l'Union (directive (UE) 2011/83 sur les droits des consommateurs, telle que modifiée par la directive « Omnibus » 2019/2161283(*)) ;

- La définition d'un régime de sanctions ;

- La désignation de la DGCCRF pour le contrôle du bon respect de l'interdiction incombant aux opérateurs de plateformes en ligne de concevoir des « dark patterns » (article 25 du règlement « DSA ») et celui des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») ;

- Une adaptation des pouvoirs d'enquête et de sanction y afférentes.

1) La mise en cohérence avec les définitions et les obligations existantes

Il convient d'adapter le code de la consommation de manière cohérente avec le règlement DSA, alors que la notion de « plateforme en ligne » dans le droit national ne recouvre pas le même périmètre284(*).

Or, le règlement DSA a introduit, à son article 3, une nouvelle définition de la plateforme en ligne (i)285(*) et une nouvelle définition du moteur de recherche en ligne (j)286(*). Par ailleurs, il considère les places de marché en ligne comme des sous-catégories de plateformes en ligne.

Il est donc envisagé de modifier l'article liminaire du code de la consommation afin d'insérer les définitions de « plateforme en ligne » et de « moteur de recherche en ligne » issues du DSA.

Les comparateurs en ligne inclus dans la définition actuelle de l'article L. 111-7 al.9 du code de la consommation ne relèvent pas du champ d'application du règlement DSA car ils ne sont pas définis en tant que fournisseur de service intermédiaire au sens du DSA. Par conséquent, la catégorie des comparateurs en ligne peut être maintenue en droit national et sa définition est insérée dans l'article liminaire du code de la consommation : « Comparateur en ligne : tout service de communication au public en ligne consistant en la fourniture d'informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels ».

Le règlement DSA édicte des mesures d'harmonisation totale auxquelles les Etats membres doivent se conformer strictement, sans possibilité de les adapter ou de les compléter, sauf si cette faculté est expressément prévue par le règlement287(*). Le règlement prévoit que seules peuvent être maintenues les dispositions poursuivant des finalités différentes du règlement DSA ou constituant la transposition des actes juridiques de l'Union européenne, en matière de protection des consommateurs.

Les dispositions nationales relatives à la protection des consommateurs imposant des exigences supplémentaires aux opérateurs visés par le règlement DSA doivent donc être abrogées, à l'exception de celles qui transposent des actes juridiques de l'Union européenne.

L'article 6 de la directive 2011/83/UE288(*) prévoit des obligations d'information concernant les contrats à distance, tout en permettant aux Etats membres d'imposer des exigences supplémentaires (paragraphe 8289(*)), et son article 6 bis, introduit par l'article 4, 5) de la directive 2019/2161290(*), ajoute des exigences spécifiques en matière d'information applicables aux contrats conclus sur des places de marché en ligne, en précisant qu'il « n'empêche pas les États membres d'imposer aux fournisseurs de places de marché en ligne des exigences supplémentaires en matière d'information » (paragraphe 2291(*)).

Certaines dispositions de l'article L. 111-7 du code de la consommation vont aujourd'hui au-delà des exigences prévues par les articles 6 et 6 bis des directives précitées, notamment celle précisée à l'article D. 111-7 imposant aux plateformes (et pas seulement aux places de marché en ligne) de fournir au consommateur une information sur les modalités de référencement et de déréférencement des contenus des biens ou des services proposés ou mis en ligne.

Par conséquent, l'article L. 111-7 est modifié pour que ses dispositions soient rendues conformes au droit européen de la consommation :

- en supprimant la définition d'opérateur de plateforme en ligne issue de la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique prévue au I du L. 111-7 ;

- en conservant les obligations d'information prévues au II de l'article L. 111-7, excepté celles concernant les modalités de référencement et de déréférencement, pour les seuls fournisseurs de place de marché en ligne et de comparateurs en ligne.

L'article L. 111-7-1 actuel du code de la consommation impose à certains opérateurs mentionnés à l'article L. 111-7 des obligations non conformes au règlement DSA. En effet, cet article impose aux opérateurs dont le seuil de connexions mensuelles est au moins égal à cinq millions de visiteurs de diffuser aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté. Ces dispositions ne sont pas similaires à celles de la section 5 du règlement DSA pour les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche. Aussi bien leur champ d'application que les obligations qu'elles prévoient diffèrent. La section 5 du règlement DSA n'impose en effet d'obligations supplémentaires qu'aux plateformes et moteurs de recherche dont le nombre mensuel moyen de destinataires est au moins égal à 45 millions (article 33 du règlement) et non 5 millions. Par conséquent, il est proposé de supprimer l'article L. 111-7-1 pour être en conformité au règlement DSA.

Les dispositions de l'article L. 111-7-3 qui obligent les opérateurs de plateformes en ligne dont l'activité dépasse un seuil défini par décret à réaliser un audit de cybersécurité sont modifiées pour que cette obligation s'applique uniquement aux fournisseurs de plateformes en ligne, de moteurs de recherche en ligne et de comparateurs en ligne.

Enfin, les dispositions de l'article L. 224-42-4 relatif à la possibilité de certifier un service de comparateur en ligne des offres de services de communications électroniques sont modifiées pour tenir compte de l'introduction, à l'article liminaire du code de la consommation, de la définition de ce service.

2) La définition d'un régime de sanctions 

Conformément aux dispositions prévues au règlement DSA, le présent projet de loi prévoit d'introduire un régime de sanctions à l'encontre des fournisseurs de plateforme en ligne, à l'article L.133-1 au code de la consommation. Sont donc introduits une peine d'emprisonnement pouvant aller jusqu'à deux ans et une amende de 300 000 euros d'amende et dont le montant peut être porté à 6 % du chiffre d'affaires mondial (au cours de l'exercice précédent) pour une personne morale.

Ces sanctions peuvent être prises dès lors que le fournisseur de plateforme en ligne ne respecte pas :

- L'interdiction prévue à l'article 25 du règlement DSA faite aux plateformes en ligne de concevoir des « dark patterns », c'est-à-dire une interface en ligne de façon à tromper les consommateurs, à les manipuler ou à altérer ou entraver substantiellement de toute autre façon leur capacité à prendre des décisions libres et éclairées concernant la conclusion de contrats à distance avec des professionnels ;

- Les obligations de traçabilité des professionnels prévues à l'article 30 du règlement DSA ;

- Les obligations de conformité, dès sa conception, de l'interface en ligne prévues à l'article 31 de ce même règlement ;

- Les obligations d'information des consommateurs prévues par l'article 32 de ce règlement.

En outre, le présent projet de loi prévoit la création d'une injonction avec une astreinte journalière en insérant un article L. 133-2 au code de la consommation en cas d'infraction par un fournisseur de plateforme en ligne aux dispositions prévues à l'article L.133-1. Ainsi, la juridiction civile peut, à la demande de l'autorité administrative chargée de la concurrence et de la consommation et après que celle-ci en ait avisé le parquet, enjoindre le fournisseur de plateforme en ligne de se mettre en conformité et il peut assortir son injonction d'une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d'affaires mondial.

Le présent projet de loi prévoit également d'insérer un article L. 133-3 au code de la consommation pour créer un régime de sanctions complémentaires pour les personnes physiques en infraction aux dispositions prévues à l'article L. 133-1, en prévoyant l'interdiction soit d'exercer une fonction publique ou d'exercer l'activité professionnelle dans l'exercice de laquelle l'infraction a été commise, soit d'exercer une profession commerciale ou industrielle, ainsi que de diriger, d'administrer, de gérer ou de contrôler une entreprise commerciale ou industrielle ou une société commerciale.

Le projet de loi prévoit également que les personnes morales puissent être condamnées par des sanctions, temporaires ou définitives, prévues à l' article 131-39 du code pénal, dès lors qu'elles sont déclarées pénalement responsables des délits punis à l'article L. 133-1 du code de la consommation : la dissolution, l'interdiction d'exercer, le placement sous surveillance judiciaire, la fermeture d'établissement, l'exclusion des marchés publics, l'interdiction de procéder à une offre au public de titres financiers ou de faire admettre ses titres financiers aux négociations sur un marché réglementé, l'interdiction d'émettre des chèques, la confiscation, l'affichage de la décision prononcée ou la diffusion de celle-ci soit par voie de presse ou électronique, l'interdiction temporaire de percevoir des aides publiques, etc.

3) La désignation de la DGCCRF pour le contrôle du bon respect des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») ;

Le présent projet de loi insère un article L. 511-7-1 au code de la consommation pour habiliter spécifiquement les agents de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour rechercher et constater les infractions au règlement DSA.

4) Une adaptation des pouvoirs d'enquête et de sanctions afférentes

Le projet de loi insère une nouvelle section 4 au sein du chapitre II du titre Ier du livre V de ce code pour permettre la mise en oeuvre du régime de pouvoir spécifique des agents de la DGCCRF pour rechercher et constater les infractions au règlement DSA.

En particulier, un article L. 512-66 assure que la recherche et la constatation de ces infractions s'effectue en conformité avec les conditions d'indépendance qui sont prévues par les dispositions combinées du paragraphe 4 de l'article 49 et du paragraphe 2 de l'article 50 de ce règlement.

Un article L. 512-67 habilite les agents de la DGCCRF à exercer le pouvoir d'accès aux données de certaines plateformes en vue de veiller à la bonne application du règlement, dans les conditions prévues aux paragraphes 1 à 3 de son article 40.

Un article L. 512-68 au code de la consommation prévoit la coopération, dans l'exercice de leurs missions, entre les agents de la DGCCRF et les agents du coordinateur des services numériques. Ils peuvent se communiquer les informations et documents détenus ou recueillis dans l'exercice de leurs missions respectives.

Le projet de loi introduit en outre, à la section 2 du chapitre Ier du titre III de ce livre, un article L. 531-7 nouveau qui permet de sanctionner certaines entraves à l'enquête, notamment la fourniture d'informations inexactes, l'absence de fourniture d'information et le refus de se soumettre à une opération de visite et de saisie.

Par ailleurs, la rédaction de l'article L. 521-3-1 ne répond pas totalement aux prescriptions du règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits qui prévoit que les autorités chargées des contrôles, entrant dans le champ d'application du règlement, disposent d'un pouvoir de retrait des contenus illicites « lorsqu'il n'existe pas d'autre moyen de faire cesser un risque grave ».

Dans sa rédaction actuelle, l'article L. 521-3-1 du code de la consommation prévoit un champ d'application étendu non seulement aux règles en matière de loyauté et de protection des intérêts économiques des consommateurs, mais aussi aux règles en matière de sécurité des produits.

Cependant, il prévoit dans sa seconde hypothèse de recours que seul le non-respect d'une injonction prise sur le fondement de l'article L. 521-1 permet la mise en oeuvre d'une mesure de blocage. L'article L. 521-1 permet d'adresser à un professionnel une injonction dans le domaine de la loyauté et de la protection économique des consommateurs (par exemple en matière de pratiques commerciales trompeuses). Or, les injonctions en matière de conformité et de sécurité des produits et services sont pour leur part prises sur le fondement des articles L. 521-5 et suivants.

Ainsi, la mesure proposée permettra d'ordonner aux prestataires de services de la société de l'information (PSSI) de bloquer l'interface en ligne d'un professionnel qui continuerait de commercialiser un produit qui a été reconnu dangereux malgré une injonction lui ordonnant de cesser cette pratique.

Par ailleurs, la fourniture de certains services est également susceptible de constituer un risque grave pour la sécurité des consommateurs. En conséquence, il apparait nécessaire d'étendre le champ d'application de l'article L. 521-3-1 du code de la consommation à la sécurité des services.

Il est proposé d'élargir le recours aux mesures de l'article L. 521-3-1 du code de la consommation aux infractions mettant en jeu la santé ou la sécurité des consommateurs, lorsque le professionnel ne s'est pas mis en conformité suite à une injonction de l'administration.

La rédaction proposée réserve ce recours aux cas où le produit ou le service présente ou est susceptible de présenter un danger pour la santé et la sécurité des consommateurs, à l'exclusion de simples non-conformités du produit ou du service qui ne présenteraient pas un tel danger.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

Les mesures envisagées modifient l`article liminaire et les articles L. 111-7, L. 111-7-2, L. 111-7-3 (dans sa rédaction issue de la loi n° 2022-309 du 3 mars 2022), L. 112-8, L. 224-42-4, L. 521-3-1, L. 524-3 et L. 532-5 du code de la consommation.

Les mesures envisagées ajoutent des articles L. 133-1, L. 133-2, L. 133-3, L. 511-7-1, L. 512-66, L. 512-67, L. 512-68, et L.531-7 au code de la consommation.

Les mesures envisagées abrogent l'article L. 111-7-1 du code de la consommation.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les dispositions envisagées ont pour objectif d'adapter les dispositions nationales pour les rendre conformes et permettre la mise en oeuvre en droit national du règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques DSA, en particulier ses articles 25, 30 à 32, 40 ainsi que son chapitre IV.

Les dispositions envisagées sont conformes au règlement 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) 765/2008 et (UE) 305/2011.

Ce règlement prescrit, à son article 14 relatif aux pouvoirs des autorités de surveillance du marché : « le pouvoir, lorsqu'il n'existe pas d'autre moyen efficace pour éliminer un risque grave :

i) d'exiger le retrait du contenu d'une interface en ligne qui mentionne les produits concernés ou d'exiger l'affichage d'une mise en garde explicite des utilisateurs finals lorsque ceux-ci accèdent à une interface en ligne ; ou

ii) lorsqu'une injonction en application du point i) est restée sans suite, d'exiger du prestataire de services de la société de l'information qu'il restreigne l'accès à l'interface en ligne concernée, y compris en demandant à des tiers concernés d'appliquer de telles mesures. »

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Ces mesures ont pour effet de protéger les consommateurs qui bénéficieront d'une meilleure identification des vendeurs tiers par les places de marché et contre la commercialisation de produits non conformes à la réglementation et susceptibles de constituer pour la santé ou la sécurité des consommateurs, du fait de leur utilisation en dépit d'une mesure de suspension de commercialisation ou de retrait du marché.

Elles sont de nature à améliorer la confiance des consommateurs dans leurs actes d'achat en ligne.

4.2.2. Impacts sur les entreprises

Les mesures proposées ne créent aucune obligation nouvelle pour les entreprises, mais elles dotent l'administration de nouveaux pouvoirs pour faire cesser la distribution ou la fourniture en ligne de produits ou services présentant un risque pour la santé ou la sécurité pour les consommateurs. 

Elles auront un impact positif indirect sur les entreprises vertueuses, qui seront moins pénalisées par la concurrence déloyale des opérateurs qui s'exonèrent du respect des règles relatives à la conformité et à la sécurité des produits et services et ne défèrent pas aux injonctions de l'administration en la matière.

4.2.3. Impacts budgétaires

Cette mesure n'aura pas d'impact direct sur les finances de l'Etat et/ou pour les autres personnes publiques.

En revanche, elle impliquera le déploiement de moyens supplémentaires pour mettre en oeuvre ces nouvelles dispositions. La désignation de la DGCCRF comme autorité compétente pour contrôler le respect de l'interdiction incombant aux opérateurs de plateformes en ligne de concevoir des « dark patterns » (article 25 du règlement « DSA »), ainsi que des obligations incombant aux opérateurs de places de marché en ligne (articles 30 à 32 du règlement « DSA ») générera une charge d'enquête supplémentaire dont l'ampleur dépendra de la volumétrie et de la complexité des pratiques détectées et de la taille du marché à surveiller.

Ces nouvelles missions s'inscrivent dans le cadre des orientations stratégiques de la direction dans le domaine de l'économie numérique, dans l'objectif d'assurer un développement loyal de l'économie numérique et la protection économique du consommateur.

A ce titre, la DGCCRF porte, dans le cadre de la préparation du PLF 2024, une demande de créations d'emplois en mesure nouvelle, dont une partie serait précisément destinée à la transition numérique de l'économie française avec, d'une part, le développement du secteur numérique et, d'autre part, le développement des modalités numériques de commerce (plateformes, marchandisation sociale, dématérialisation du commerce).

Ces demandes s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Cette mesure n'aura pas d'impact sur les collectivités territoriales.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Ces mesures nécessitent des moyens supplémentaires en cours de définition pour la Direction générale de la concurrence, de la consommation et de la répression, des fraudes, ce qui lui permettra de mettre en oeuvre ses pouvoirs de manière efficace et mettre un terme à la distribution ou la fourniture de produits ou services présentant un risque pour la santé ou la sécurité des consommateurs (cf. supra 4.2.3).

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Ces mesures sont de nature à favoriser la confiance des consommateurs dans leurs actes d'achat en ligne.

4.5.2. Impacts sur les personnes en situation de handicap

Cette mesure n'aura pas d'impact sur les personnes en situation de handicap.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Cette mesure n'aura pas d'impact sur l'égalité entre les femmes et les hommes.

4.5.4. Impacts sur la jeunesse

Ces mesures apportent une protection supplémentaire pour un public particulièrement enclin aux achats en ligne. En effet, plusieurs études récentes viennent étayer ce constat.

Ainsi, les données de l'enquête sur les Technologies de l'information et de la communication conduite en 2021 par l'INSEE concernant l'achat sur internet selon l'âge montrent qu'en moyenne en 2021, 71,5 % des individus de 15 à 29 ans vivant dans un ménage ordinaire ont réalisé un achat sur internet au cours des trois derniers mois (82,7 % au cours des 12 derniers mois) contre 59,6 % pour l'ensemble de la population (respectivement 69,1 % au cours des 12 derniers mois). A noter que pour la tranche d'âge des 30-44 ans, ce sont 77 % des individus qui ont effectué un achat sur internet au cours des trois derniers mois (86,4 % au cours des 12 derniers mois).

De même, selon l' édition 2022 du Baromètre du Numérique réalisé par le CREDOC pour le Conseil Général de l'Economie (CGE), l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) et l'Agence Nationale de la Cohésion des Territoires (ANCT), « parmi les personnes effectuant des achats en ligne, ce sont les jeunes adultes qui achètent le plus fréquemment : 20 % des 18-24 ans et 19 % des 25-39 ans acheteurs sur internet font des commandes une à deux fois par semaine en ligne, contre 13 % en moyenne dans la population d'acheteurs ». A noter que les 12-17 ans, qui comptent de plus en plus d'acheteurs en ligne, présentent également une fréquence d'achats élevée (16 % achètent une à deux fois par semaine, 38 % tous les mois). Le baromètre précise notamment que « le succès de « l'ultra fast fashion » qui cible très largement les adolescents, et des sites d'achat et revente de produits d'occasion en ligne y contribuent possiblement ».

Enfin, un sondage réalisé par Odoxa sur la génération Z (individus de moins de 25 ans) publié en février 2023 par la Fédération du e-commerce et de la vente à distance (FEVAD) conclut que « le e-commerce continue de remporter l'adhésion d'une très grande majorité de consommateurs (90%) et fait l'unanimité chez la génération Z (97%) qui réalise 40,5% de ses achats habituels sur internet (29,5% pour l'ensemble de la population) ».

4.5.5. Impacts sur les professions réglementées

Cette mesure n'aura pas d'impact sur les professions règlementées.

4.6. IMPACTS SUR LES PARTICULIERS

Ces mesures auront un impact sur les particuliers qui bénéficieront d'une meilleure identification par les places de marché des vendeurs tiers qui exercent leur activité sur les places de marché, ainsi que pour protéger efficacement les particuliers contre la commercialisation de produits ou services non conformes à la réglementation et présentant ou étant susceptible de présenter un caractère dangereux.

4.7. IMPACTS ENVIRONNEMENTAUX

Cette mesure n'aura pas d'impact environnemental.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

La mesure n'est pas soumise à consultations obligatoires et aucune consultation facultative n'a été conduite.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

En application du principe d'assimilation législative, et conformément aux dispositions des articles LO 6413-1, LO 6213-1 et LO 6313-1 du code général des collectivités territoriales, les mesures prévues dans cet article s'appliqueront de plein droit à Saint-Martin, Saint-Pierre-et-Miquelon et Saint-Barthélemy, sans qu'il soit besoin de prévoir une mention expresse d'applicabilité, le droit de la consommation restant une compétence de l'Etat. Aucune mesure d'adaptation n'y est en outre prévue.

En l'absence de mention expresse, les dispositions de l'article 26 ne seront pas applicables à Wallis-et-Futuna.

Concernant la Nouvelle-Calédonie et la Polynésie française, les dispositions d'adaptation au règlement DSA ne s'appliqueront pas, en application des règles de répartition de compétences entre l'Etat et les collectivités concernées conformément aux lois organiques qui les régissent. Celles-ci leur attribuent compétence sur les questions de consommation.

5.2.3. Textes d'application

Les présentes dispositions ne requièrent aucune mesure d'application.

CHAPITRE III - MODIFICATION DU CODE DU COMMERCE

Article 27 - Mesures d'adaptation du code du commerce

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le Règlement (UE) 2022/1925 du parlement européen et du conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828, ou « règlement sur les marchés numériques » (DMA), propose une régulation « ex ante », de prévention, qui vise à remédier aux effets des positions acquises des plateformes numériques structurantes, en imposant aux « contrôleurs d'accès » des obligations et interdictions d'application immédiate (auto-exécutoires).

Ces obligations et interdictions ont été conçues, pour ne pas entraver l'innovation, la compétitivité et la croissance, et pour favoriser l'émergence de nouvelles plateformes concurrentes au niveau européen, au bénéfice de leurs utilisateurs, entreprises, professionnels et consommateurs. Ces obligations et interdictions ont vocation à empêcher les contrôleurs d'accès de mettre en oeuvre des pratiques considérées comme limitant la contestabilité de certains services offerts par ces acteurs ou comme déloyales. De telles pratiques sont considérées comme telles dès lors que i) elles sont susceptibles d'entraver l'innovation et de limiter le choix des utilisateurs professionnels et finaux en affectant durablement le degré de contestabilité d'un service (par création ou renforcement de barrières à l'entrée) ou en empêchant des concurrents d'accéder dans les mêmes conditions à un intrant clé de la plateforme, ii) il existe un déséquilibre entre les droits et les obligations des utilisateurs professionnels conférant à la plateforme un avantage disproportionné par rapport au service fourni. Ainsi, les objectifs promus par le règlement sur les marchés numériques sont la contestabilité et l'équité.

Le champ du règlement sur les marchés numériques est défini par deux concepts. En premier lieu, les « services de plateforme essentiels » (au nombre de dix, listés dans le texte) sont des services identifiés comme constituant des « passerelles » quasi-incontournables entre utilisateurs professionnels et finaux. Il s'agit :

- des services d'intermédiation en ligne (parmi lesquels les places de marché),

- des moteurs de recherche,

- des réseaux sociaux,

- des plateformes de partage de vidéos en ligne,

- des services de communications interpersonnelles non fondées sur la numérotation,

- des systèmes d'exploitation,

- des services d'informatique dans le nuage,

- des services de publicité en ligne,

- des navigateurs,

- des assistants virtuels.

En second lieu, les « contrôleurs d'accès », les fournisseurs de services de plateformes essentiels les plus importants, sont les acteurs présentant cumulativement trois critères : i) une taille qui impacte le marché intérieur (un chiffre d'affaires annuel de 7,5 milliards d'euros dans l'espace économique européen ou une capitalisation boursière annuelle moyenne de 75 milliards d'euros), ii) le contrôle d'un service « passerelle », qui implique annuellement plus de 45 millions d'utilisateurs finaux et 10 000 utilisateurs professionnels, iii) une position bien établie et durable sur le marché intérieur européen (vérification des deux critères précédents sur les trois dernières années).

Le règlement sur les marchés numériques dote la Commission européenne de forts pouvoirs d'enquête, inspirés de ceux prévus dans le Règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en oeuvre des règles de concurrence prévues aux articles 81 et 82 du traité, et de sanctions, pouvant s'élever jusqu'à 10% du chiffre d'affaires annuel mondial du contrôleur d'accès, 20% en cas de réitération (sur une période de huit ans). En cas de non-respect systématique de ses obligations par un contrôleur d'accès (trois constats de non-respect sur une période de huit ans), le règlement sur les marchés numériques prévoit deux pouvoirs exceptionnels : i) la possibilité d'imposer des remèdes structurels (obligation de céder certaines activités par exemple), ii) la possibilité d'interdire provisoirement toute nouvelle acquisition d'entreprise ayant la même activité que celle mise en cause dans les infractions.

La Commission européenne est la seule autorité à pouvoir prendre des décisions sur le fondement du règlement sur les marchés numériques (décisions de désignation des contrôleurs d'accès, de spécification des obligations, de non-respect des obligations, de sanctions...), de manière à garantir l'uniformité, l'harmonisation et la sécurité juridique de la régulation sur l'ensemble du territoire européen.

Comme développé infra, le règlement sur les marchés numériques vient compléter les règles de concurrence existantes de l'Union européenne et nationales, sans limiter la possibilité des autorités compétentes d'intervenir en vertu de ces règles.

Du fait de la proximité et de la complémentarité de leurs actions, il est prévu à l'article 38 du DMA que les autorités de concurrence en charge de l'application de ces règles de droit, l'Autorité de la concurrence et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) sur le territoire national, et la Commission européenne coopèrent et échangent des informations pour analyser les différentes pratiques et décider de leurs interventions respectives pour une plus grande efficacité. Ces échanges devront avoir lieu dans le cadre du Réseau Européen de Concurrence. Concrètement, la mise en oeuvre de ce système de coopération et d'échange d'information impliquera pour ces autorités d'informer la Commission européenne de tout lancement d'enquête concernant un contrôleur d'accès désignés comme tel par la Commission européenne (sur le fondement des règles nationales de concurrence) et d'informer la Commission de tout projet de décision sanctionnant un contrôleur d'accès au moins trente jours avant son adoption.

En outre, le règlement sur les marchés numériques prévoit dans ce même article 38, paragraphe 7, que les autorités de concurrence des États Membres qui le prévoiront dans leur cadre législatif national seront en mesure de conduire, de leur propre initiative, des enquêtes visant à faire des constats relatifs à la conformité des contrôleurs d'accès avec les règles imposées par le règlement sur les marchés numériques. Le cas échéant, elles devront informer la Commission européenne en amont de toute mesure formelle d'investigation. Les résultats de cette investigation devront également lui être transmis. Si la Commission venait à se saisir d'un cas, toute autre autorité en serait automatiquement dé-saisie.

1.2. CADRE CONSTITUTIONNEL

Dans sa décision n° 2022-841 DC du 13 août 2022, le Conseil constitutionnel rappelle que la transposition en droit interne d'une directive de l'Union européenne ou l'adaptation du droit interne à un règlement de l'Union européenne résultent d'une exigence constitutionnelle. Toutefois, ces mesures ne peuvent aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf si le constituant y a consenti. Le Conseil constitutionnel doit donc veiller au respect de cette exigence, mais il n'est pas compétent pour contrôler la conformité à la Constitution de dispositions législatives qui se bornent à tirer les conséquences nécessaires de dispositions inconditionnelles et précises d'une directive ou des dispositions d'un règlement de l'Union européenne.

En l'espèce, les dispositions de l'article 27 consistent pour le législateur français à élargir le système préexistant de la régulation concurrentielle, déjà respectueux des droits fondamentaux des parties, pour l'adapter à l'entrée en vigueur du DMA et permettre à la DGCCRF et à l'ADLC de veiller et contribuer à sa mise en oeuvre effective sur le territoire national.

Sous l'influence du juge constitutionnel, les principes du procès équitable sont transposés dans leur intégralité en droit de la concurrence français. Lorsque les autorités administratives interviennent dans le cadre d'une procédure susceptible d'aboutir au prononcé de sanctions pécuniaires, elles sont soumises à l'ensemble des principes liées aux droits de la défense (principe de la légalité des délits et des peines, principe du contradictoire, délai raisonnable, etc.) et au respect de la séparation des fonctions d'instruction et de décision (indépendance, impartialité etc.).

Ainsi, le Conseil constitutionnel a considéré qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, peut exercer un pouvoir de sanction à condition que la sanction susceptible d'être infligée soit exclusive de toute privation de liberté et que l'exercice du pouvoir de sanction soit assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis292(*). Le Conseil constitutionnel a également précisé que devaient être en particulier respectés le principe de la légalité des délits et des peines ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle293(*).

1.3. CADRE CONVENTIONNEL

Le règlement sur les marchés numériques vient compléter les règles de concurrence existantes de l'Union européenne et nationales. Il vise les pratiques déloyales des contrôleurs d'accès qui ne relèvent pas de ces règles de concurrence existantes et qui ne peuvent pas être couvertes aussi efficacement par ces règles. En particulier, l'application des règles en matière de pratiques anticoncurrentielles i) concerne la situation de marchés spécifiques préalablement définis, les marchés pertinents, ii) implique une intervention des autorités de concurrence après que la pratique restrictive ou abusive s'est produite (ex post) et iii) implique des procédures d'enquête longues pour établir l'existence d'une l'infraction. Le règlement sur les marchés numériques vise à remédier aux conséquences structurelles néfastes des pratiques déloyales de manière préventive (ex ante), sans limiter toutefois la possibilité des autorités compétentes d'intervenir ex post en vertu des règles de concurrences nationales et de l'UE.

Ainsi, le règlement s'applique sans préjudice de l'application : i) des articles 101 et 102 TFUE relatifs aux règles de concurrence applicables aux entreprises, ii) des règles nationales de concurrence interdisant les accords anticoncurrentiels, les décisions d'associations d'entreprises, les pratiques concertées et les abus de position dominante et des règles nationales de concurrence interdisant d'autres formes de comportement unilatéral dans la mesure où elles s'appliquent à des entreprises autres que les contrôleurs d'accès ou reviennent à imposer des obligations supplémentaires aux contrôleurs d'accès ( Livre IV, Titre II du code de commerce et Livre IV, titre IV, Chapitre II du code de commerce), iii) du règlement (CE) nº 139/2004 du Conseil relatif au contrôle des concentrations entre entreprises et des règles nationales relatives au contrôle des concentrations ( Livre IV, Titre III du code de commerce).

Le règlement s'aligne par ailleurs sur d'autres instruments de l'UE, dont la charte des droits fondamentaux de l'UE et la Convention européenne des droits de l'homme, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ou « règlement général sur la protection des données » (RGPD), et l'acquis de l'Union en matière de protection des consommateurs.

En particulier, le règlement sur les marchés numériques vient compléter et s'articuler avec les lois sur la protection des données, certaines obligations imposées aux contrôleurs d'accès encadrant le traitement, la combinaison, l'utilisation des données à caractère personnel, et recourant au recueil du consentement au sens du RGPD (notamment l'article 5 paragraphe 1 du DMA). Le règlement précise également qu'il revient aux contrôleurs d'accès de veiller à ce que le respect des obligations énoncées dans le règlement se fasse en pleine conformité avec les autres dispositions de la législation de l'UE, notamment en matière de protection de la vie privée et des données à caractère personnel ou de protection des consommateurs.

Enfin, le règlement sur les marchés numériques est cohérent avec la régulation sectorielle, européenne et appliqué au niveau national, telle que les règles applicables aux services de communications électroniques issues de la Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen.

1.4. ÉLÉMENTS DE DROIT COMPARÉ

Le règlement sur les marchés numériques est entré en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne, le 10 octobre 2022, et entrera en application complète le 2 mai 2023.

Nous ne disposons pas à ce stade d'éléments permettant utilement de faire un état des lieux comparé de la mise en oeuvre du règlement dans les Etats membres de l'Union européenne.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

2.1. NÉCESSITÉ DE LÉGIFÉRER

Bien que le règlement sur les marchés numériques soit d'application directe, quelques adaptations du code de commerce sont nécessaires afin de s'assurer de la pleine effectivité de l'ensemble de ses dispositions en France. En particulier, il s'agit de s'assurer de l'efficacité du dispositif de coopération et de coordination instauré entre les autorités de concurrence intervenant au niveau national et la Commission européenne, pour la mise en oeuvre du règlement et son articulation avec les règles nationales de concurrence.

Dans cette perspective, il est nécessaire de compléter les dispositions du code de commerce, en introduisant la possibilité pour l'Autorité de la concurrence et pour la DGCCRF de porter assistance à la Commission européenne dans le cadre de la mise en oeuvre par cette dernière des dispositions du règlement.

En outre, le règlement sur les marchés numériques prévoit explicitement, pour le législateur national, la possibilité d'attribuer à ces autorités de concurrence d'ouvrir et de conduire des enquêtes sur des cas éventuels de non-conformité des contrôleurs d'accès désignés par la Commission européenne à leurs obligations sur le territoire national. Le code de commerce doit donc être complété, pour élargir les habilitations respectives de l'Autorité de la concurrence et de la DGCCRF détenues au titre de l'application des règles de concurrence à cette possibilité.

Le code de commerce doit également être complété pour préciser que le ministre de l'Economie est compétent pour solliciter auprès de la Commission européenne, pour la France, l'ouverture d'une enquête de marché prévue par le règlement sur les marchés numériques.

Par ailleurs, il est important d'apporter de la visibilité à certaines dispositions du règlement sur les marchés numériques, au bénéfice des entreprises utilisatrices et des utilisateurs finaux présents sur le territoire national, susceptibles de subir les effets négatifs des comportements des contrôleurs d'accès. C'est le cas des dispositions du règlement (article 27) qui prévoient la possibilité pour ces acteurs de fournir aux autorités de concurrence nationales, l'Autorité de la concurrence et la DGCCRF, des renseignements portant sur tout comportement ou pratique mis en oeuvre par les contrôleurs d'accès et relevant du champ d'application du règlement et qui en précise les modalités.

Les entreprises utilisatrices ou les utilisateurs finaux peuvent, en application du règlement sur les marchés numériques, porter leur litige devant les juridictions nationales afin d'obtenir un dédommagement. Pour des questions de cohérence et d'harmonisation sur le marché intérieur, le règlement prévoit la coopération des juridictions nationales dans sa mise en oeuvre (article 39), avec notamment un système de communication et d'intervention de la Commission dans les procédures, la Commission étant seule en mesure de prononcer des sanctions en ce qui concerne le respect des dispositions du règlement. Compte tenu de la technicité de cette règlementation et de la facilitation de leur coopération obligatoire avec la Commission, la spécialisation des tribunaux chargés de traiter ces litiges est nécessaire, tout comme elle l'est en matière de pratiques restrictives de concurrence, pour les pratiques civilement sanctionnées (D. 442-3 et D. 442-4 du code de commerce), ainsi que pour les litiges civils en matière de pratique anticoncurrentielle (article L. 420-7 du code de commerce).

2.2. OBJECTIFS POURSUIVIS

Les présentes dispositions visent à assurer la pleine effectivité de l'ensemble des dispositions du règlement sur les marchés numériques en France.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Les mesures retenues reposent sur un article unique dédié aux mesures d'adaptation nécessaires du code de commerce avec les dispositions du règlement (UE) 2022/1925 du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique.

Elles procèdent principalement à l'adaptation du droit national au droit de l'Union européenne pour donner aux autorités françaises de concurrence les moyens de conduire des investigations et de coopérer avec la Commission européenne sur les pratiques des contrôleurs d'accès, compte tenu de la nature transfrontière des services de plateforme essentiels que ces acteurs proposent. Cette adaptation participe à éviter que des règles nationales divergentes soient retenues et à éviter la fragmentation de la réglementation.

3.1. LES MESURES DE SPÉCIALISATION DES JURIDICTIONS

L'article 27 vient modifier l'article L. 420-7 du titre II du livre IV du code de commerce.

Les dispositions introduites actualisent la référence au droit européen en substituant les articles 101 et 102 du traité sur le fonctionnement de l'Union européenne aux anciens articles 81 à 83 du traité instituant la communauté européenne, et prévoient que les litiges relatifs à l'application des règles contenues dans le règlement sur les marchés numériques et les litiges dans lesquels ces règles sont invoquées sont attribués aux juridictions spécialisées qui sont déjà en charge du contentieux de la concurrence.

Pour rappel, le siège et le ressort de ces juridictions civiles ou commerciales sont par ailleurs fixés par décret en Conseil d'Etat (articles R. 420-3, R. 420-4 et R. 420-5, D. 442-2 et D. 442-3 du code de commerce). Il s'agit, en application de ces articles, des tribunaux judiciaires et des tribunaux de commerce (ou tribunaux mixtes de commerce) de Marseille, Bordeaux, Lille, Fort-de-France, Lyon, Nancy, Paris et Rennes. La compétence de ces juridictions spécialisées englobe, pour chacune, le ressort de plusieurs cours d'appel, et distingue selon que les personnes visées par la cause sont ou non commerçants ou artisans pour attribuer compétence à des tribunaux judiciaires ou des tribunaux de commerce, suivant le même découpage territorial.

3.2. LES MESURES DE DÉSIGNATION DES AUTORITÉS NATIONALES COMPÉTENTES

L'article 27 vient modifier le titre V du code de commerce, en le complétant d'un article L. 450-11.

Ces dispositions précisent que l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités conformément aux dispositions de l'article L. 450-1 sont les autorités nationales chargées de faire appliquer les règles visées à l'article 1er, paragraphe 6 du règlement sur les marchés numériques. Ces règles sont les articles 101 et 102 du TFUE et les règles de concurrence nationales.

3.3. LES MESURES D'HABILITATION DES AUTORITÉS NATIONALES COMPÉTENTES ET DU MINISTRE

L'article 27 vient modifier le titre V du code de commerce, en le complétant d'un article L. 450-12.

Premièrement, les dispositions introduites actualisent la référence au droit européen en substituant les articles 101 à 103 du traité sur le fonctionnement de l'Union européenne aux anciens articles 81 à 83 du traité instituant la Communauté européenne, ainsi que les articles 107 et 108 du traité sur le fonctionnement de l'Union européenne aux anciens articles 87 à 88 du traité instituant la Communauté européenne.

Deuxièmement, il est inscrit dans le présent article que le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités, et l'Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus par les articles du livre IV du code de commerce pour mettre en oeuvre certaines dispositions du règlement sur les marchés numériques, en substance :

- pour les missions d'assistance à la Commission européenne prévues par le règlement et en particulier le pouvoir de mener des auditions et de recueillir des déclarations (article 22 paragraphe 2), le pouvoir d'effectuer des inspections (article 23 paragraphes 3, 4, et 7 à 10) et la conduite d'enquête de marché (article 38, paragraphe 6),

- pour l'ouverture et la conduite d'investigation sur un cas de non-respect éventuel des obligations imposées aux contrôleurs d'accès, obligations prévues par les articles 5, 6 et 7 du règlement, en application de l'article 38 paragraphe 7 de celui-ci. A ce titre, en application directe des dispositions du règlement sur les marchés numériques, le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités, et l'Autorité de la concurrence doivent informer la Commission européenne préalablement à la première mesure d'enquête formelle sur un cas de non-respect éventuel des articles 5, 6 et 7 du règlement et transmettre à la Commission européenne les résultats de ces enquêtes.

L'article 27 crée, dans le chapitre II du titre VI du livre IV du code de commerce, un article L. 462-9-2.

Ces dispositions précisent que l'Autorité de la concurrence d'une part, et le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités d'autre part, sont les autorités compétentes pour recevoir, en application des dispositions du l'article 27 du règlement, les renseignements en provenance de tiers concernant toute pratique ou tout comportement des contrôleurs d'accès relevant du champ d'application du règlement. Dans ce cadre, en application directe des dispositions de l'article 27 du règlement, l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires habilités, ont toute latitude en ce qui concerne les mesures appropriées et ne sont pas tenues de donner suite aux renseignements reçus. Lorsque, à partir des faits invoqués dans les renseignements reçus, ces autorités déterminent qu'il peut y avoir un cas de non-respect du règlement, ils transmettent ces informations à la Commission européenne.

L'article 27 vient modifier le titre IX du livre IV du code de commerce, en modifiant l'article L. 490-9.

Ces dispositions précisent que le ministre chargé de l'économie ou son représentant est habilité à adresser à la Commission européenne une demande d'ouverture d'enquête de marché en application de l'article 41 du règlement sur les marchés numériques.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les mesures envisagées vont permettre aux autorités françaises en charge de l'application du droit de la concurrence (l'Autorité de la concurrence et le ministre chargé de l'économie et les fonctionnaires habilités) d'élargir leurs compétences actuelles et d'assurer la coopération avec la Commission européenne dans la mise en oeuvre du règlement 2022/1925 du Parlement et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et dans le respect des exigences contenues dans ce règlement.

4.1. IMPACTS JURIDIQUES

4.1.1. Impacts sur l'ordre juridique interne

L'adaptation est opérée principalement via des compléments et modifications apportés à des articles existants du code de commerce et des créations d'articles :

- L'article L. 420-7 est complété,

- Les articles L. 450-11 et L. 450-12 sont créés,

- L'article L. 462-9 est modifié,

- L'article L. 462-9-2 est créé.

- L'article L. 490-9 est modifié.

4.1.2. Articulation avec le droit international et le droit de l'Union européenne

Les présentes dispositions visent à assurer la pleine effectivité de l'ensemble des dispositions du règlement sur les marchés numériques en France. Le règlement s'articule quant à lui avec les règles de concurrence existantes de l'Union européenne et nationales (cf. supra, 1.3.) et avec d'autres textes européens (RGPD notamment).

Le considérant 12 du DMA précise que le règlement s'applique sans préjudice des règles qui découlent d'autres actes du droit de l'Union européenne régissant certains aspects de la fourniture de services couverts par le présent règlement, en particulier les règlements (UE) 2016/679 et (UE) 2019/1150 du Parlement européen et du Conseil et le règlement relatif à un marché intérieur des services numériques, les directives 2002/58/CE, 2005/29/CE, 2010/13/UE, (UE) 2015/2366, (UE) 2019/790 et (UE) 2019/882 du Parlement européen et du Conseil et la directive 93/13/CEE du Conseil, ainsi que les règles nationales visant à mettre en oeuvre ou à transposer ces actes juridiques de l'Union européenne.

4.2. IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1. Impacts macroéconomiques

Néant.

4.2.2. Impacts sur les entreprises

Les nouveaux dispositifs exigeront la coopération des entreprises qui font l'objet d'une enquête, mais ne devraient pas entraîner des coûts supplémentaires importants, ces entreprises étant déjà susceptibles de faire l'objet d'investigation au titre des règlementations nationales, notamment de concurrence (pratiques anticoncurrentielles, pratiques restrictives de concurrence).

En évitant la fragmentation de la réglementation, les dispositifs assurent une meilleure protection des entreprises utilisatrices dépendantes des contrôleurs d'accès, et limitent les coûts de mise en conformité pour ces derniers. Ils contribueront au développement, y compris au-delà des frontières, des jeunes et petites entreprises pour atteindre de nouveaux marchés et de proposer des produits de meilleure qualité et plus diversifiés à des prix plus compétitifs et, le cas échéant, de devenir des concurrents des acteurs établis dans le secteur numérique.

4.2.3. Impacts budgétaires

Cette mesure n'aura pas d'impact significatif direct sur les finances de l'Etat et/ou pour les autres personnes publiques.

En revanche, elle impliquera le déploiement de moyens supplémentaires pour les autorités nationales de concurrence (Autorité de la concurrence et la DGCCRF), s'agissant notamment des missions d'assistance à la Commission européenne prévues par le règlement et des enquêtes, conduites de leur propre initiative, visant à faire des constats relatifs à la conformité des contrôleurs d'accès avec les règles imposées par ce règlement.

Afin d'accompagner cette extension d'activité, mais aussi d'assurer une veille sur l'activité des plateformes numériques, des renforts d'effectifs sont nécessaires. Ces demandes de mesures nouvelles - en cours de calibrage - s'inscrivent dans le cadre des négociations budgétaires qui s'ouvrent avec la direction du budget et seront sujettes aux arbitrages en PLF.

4.3. IMPACTS SUR LES COLLECTIVITÉS TERRITORIALES

Néant.

4.4. IMPACTS SUR LES SERVICES ADMINISTRATIFS

Ces nouveaux dispositifs répliquent des compétences d'enquêtes et des modalités de coopération déjà existantes au titre du droit de la concurrence. Ils en élargissent cependant le champ pour les services administratifs concernés que sont l'Autorité de la concurrence et la DGCCRF. En effet, la Commission européenne, seule autorité habilitée à constater et sanctionner les infractions au DMA commises par les contrôleurs d'accès, s'appuiera sur les autorités de concurrence nationales au sens de l'article 1 paragraphe 6 du DMA (Autorité de la concurrence et DGCCRF) pour veiller au bon fonctionnement des marchés sur leur territoire et aux comportements et pratiques des contrôleurs d'accès susceptibles d'entrer dans le champ du DMA, et pour, dans le cadre de la coopération instaurée, coordonner leurs interventions respectives pour garantir l'efficacité et l'effectivité de la régulation mise en place. Cette activité supplémentaire se traduira par des besoins de renforts en ETP, en cours de définition (cf. supra point 4.2.3). Ils nécessiteront potentiellement un ajustement lorsque la régulation prévue par le DMA sera effective (la mise en conformité des contrôleurs d'accès devant s'effectuer dans les six mois après leur désignation en tant que tels, un calendrier prévisionnel prévoit cette période entre août 2023 et août 2024).

Concernant les pouvoirs judiciaires, ces dispositifs impliquent de confier aux huit juridictions spécialisées, qui sont déjà en charge du contentieux de la concurrence, les litiges relatifs à l'application des règles contenues dans le règlement (UE) 2022/1925. La juridiction d'appel centralisée à la cour d'appel de Paris, préalablement instituée par l'article L. 420-7 du code de commerce, prendra naturellement en charge les appels concernant ces nouveaux litiges.

4.5. IMPACTS SOCIAUX

4.5.1. Impacts sur la société

Néant.

4.5.2. Impacts sur les personnes en situation de handicap

Néant.

4.5.3. Impacts sur l'égalité entre les femmes et les hommes

Néant.

4.5.4. Impacts sur la jeunesse

Néant.

4.5.5. Impacts sur les professions réglementées

Néant.

4.6. IMPACTS SUR LES PARTICULIERS

Néant.

4.7. IMPACTS ENVIRONNEMENTAUX

Néant.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

5.1. CONSULTATIONS MENÉES

Aucune consultation obligatoire n'est nécessaire et aucune consultation facultative n'a été réalisée.

Une consultation des cours d'appel compétentes sur le ressort des tribunaux judiciaires concernés par la modification de l'article L. 420-7 du code de commerce a été engagée par la direction des services judiciaires du Ministère de la Justice.

5.2. MODALITÉS D'APPLICATION

5.2.1. Application dans le temps

Les dispositions entreront en vigueur le lendemain de la date de publication de la loi au Journal Officiel de la République française.

5.2.2. Application dans l'espace

Le dispositif s'applique de plein droit en France métropolitaine et dans collectivités relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion et Mayotte), régies par le principe de l'identité législative.

Dans les collectivités de Saint-Pierre-et-Miquelon, de Saint-Martin et de Saint-Barthélemy le principe de « spécialité législative » prévaut dans ces territoires et, en vertu de celui-ci, les lois et règlements n'y sont normalement applicables que sur mention expresse. Toutefois, les statuts de Saint-Barthélemy, de Saint-Martin et de Saint-Pierre-et-Miquelon, les soumettent à un régime d'assimilation législative qui prévoit un principe d'application de plein droit des lois et règlements sauf dans le domaine de leurs compétences. Il n'y a donc pas lieu de prévoir une mention particulière d'applicabilité pour les présentes dispositions. Toutefois, des adaptations pourront être prévues par l'ordonnance mentionnée à l'article 25 du présent projet de loi.

En outre, s'agissant des collectivités de Saint-Barthélemy et de Saint-Pierre-et-Miquelon, qui ne sont pas des régions ultrapériphériques (RUP) mais sont dotées du régime des pays et territoires d'outre-mer (PTOM) au sens du droit de l'Union européenne, les règlements européens ne s'y appliquent pas de plein droit. Dès lors, l'application intégrale du DMA dans ces collectivités, y compris pour celles de ses dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35 du présent projet de loi.

En l'absence de mention expresse, les dispositions de l'article 27 ne seront pas applicables à Wallis-et-Futuna. Concernant la Nouvelle-Calédonie et la Polynésie française, les modifications apportées au code de commerce par l'article 27 concernent des dispositions qui ne sont pas applicables dans ces territoires.

Pour ces trois collectivités du Pacifique, qui ont le statut de PTOM, les règlements européens n'ont pas vocation à s'appliquer de plein droit. Dès lors, l'application intégrale du DMA dans ces collectivités, y compris pour celles de ses dispositions auxquelles il n'est pas renvoyé expressément dans le présent projet de loi, nécessitera une transposition avec les adaptations nécessaires dans le cadre de l'habilitation à légiférer par ordonnance prévue à l'article 35.

5.2.3. Textes d'application

Les présentes dispositions n'appellent aucune mesure d'application.

CHAPITRES IV, V, VI, VIII ET IX

Articles 28, 29, 30, 33, 34 : Mesures d'adaptations de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, du code électoral, de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques, de la loi n° 2017-261 du 1er mars 2017 visant à préserver l'éthique du sport, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles et du code pénal

1. ÉTAT DES LIEUX

1.1. CADRE GÉNÉRAL

Le cadre législatif européen sur les services numériques repose sur la directive 2000/31 sur le commerce électronique (ci-après « directive e-commerce »), adoptée en 2000 au niveau européen et transposée en France par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (ci-après « LCEN »). Pierre angulaire du marché unique des services numériques, cette directive a établi les principes fondateurs encadrant ce marché : le régime de responsabilité limitée des hébergeurs, l'interdiction de surveillance généralisée des contenus et de recherche active et le principe dit « du pays d'origine » qui prévoit que les prestataires de services de la société de l'information doivent se conformer à la législation de leur pays d'établissement.

Néanmoins, depuis 2000 les pratiques, les techniques, le marché et l'écosystème numérique dans sa globalité a considérablement évolué. Plusieurs géants du numérique tels que Facebook (lancé en 2004), YouTube (2005), ou TikTok (2017) ont émergé et compte aujourd'hui des milliards d'utilisateurs dans le monde. En parallèle, le nombre de contenus illicites sur internet s'est considérablement accru : dans son étude d'impact sur le règlement sur les services numériques la Commission européenne souligne l'explosion du nombre de signalements d'images pédopornographiques en ligne, passés de 23 000 en 2010 à plus de 725 000 en 2019.294(*)

Cette directive e-commerce a donc montré certaines limites, notamment dans la lutte contre la prolifération de contenus illicites, aussi d'autres textes européens sectoriels sont venus la compléter en établissant des règles supplémentaires pour certaines catégories de contenus en ligne tels que les contenus terroristes295(*) ou des contenus de médias audiovisuels relatifs aux plateformes de partage de vidéos296(*), transposée en France par l'ordonnance n° 2020-1642 du 21 décembre 2020. En parallèle, la France avait préalablement introduit dans sa législation nationale des dispositions spécifiques visant à une meilleure protection des utilisateurs en ligne, notamment par la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.

Au vu du risque de fragmentation entre les différentes législations nationales, la Commission européenne a présenté en décembre 2020 une proposition de règlement 2022/2065 relatif à un marché intérieur des services numériques (« règlement sur les services numériques » ci-après) également appelé Digital Services Act (DSA), conjointement à sa proposition de règlement Digital Markets Act (ci-après « règlement sur les marchés numériques » - voir article 17).

Ce règlement européen vise à compléter et approfondir la directive e-commerce, tout en réaffirmant les principes clés de cette dernière, afin de créer un espace numérique plus sûr et renforcer la lutte contre la dissémination des contenus illicites, dangereux ou préjudiciables en ligne et éviter les atteintes injustifiées à la liberté d'expression. Pour ce faire, le règlement vient compléter le champ de la directive e-commerce (FAI, cache et hébergeurs) en introduisant une nouvelle catégorie de services intermédiaires en ligne, les « plateformes en ligne », ainsi que sa sous-catégorie de « très grandes plateformes en ligne » (plus de 45 millions d'utilisateurs actifs mensuels au sein de l'Union européenne). Ces plateformes devront prendre des mesures efficaces de modération des contenus sur leurs services pour lutter contre la dissémination de contenus illicites et préjudiciables et renforcer la transparence sur leurs pratiques de modération. Ce règlement a été définitivement voté par le Parlement européen en juillet 2022 et approuvé par le Conseil de l'UE le 4 octobre 2022. Il a été publié le 27 octobre 2022 et entrera en application le 17 février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès la mi-2023.

Le règlement sur les services numériques est un règlement horizontal d'harmonisation totale qui prévoit dans son considérant 9 que « les États membres ne devraient pas adopter ou maintenir des exigences nationales supplémentaires concernant les matières relevant du champ d'application du présent règlement, sauf si le présent règlement le prévoit expressément, car cela porterait atteinte à l'application directe et uniforme des règles pleinement harmonisées applicables aux fournisseurs de services intermédiaires conformément aux objectifs du présent règlement », ce qui interdit donc aux Etats membres de prévoir des mesures en droit national qui vont au-delà de ce qu'il prescrit pour le même champ d'application. Il est donc nécessaire d'adapter le droit national à ce texte, en supprimant toutes les dispositions visant des acteurs ciblés par le règlement sur les services numériques qui poursuivent les mêmes objectifs que ceux du règlement.

Les articles 15 à 24 de la présente loi procèdent à des modifications de la LCEN, de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (ci-après « Loi Léotard »), du Code électoral, de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information (ci-après « Loi infox ») et de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (ci-après « Loi Bichet ») aux fins de la mise en oeuvre en France du règlement sur les services numériques et de la mise en cohérence de certaines de ces dispositions avec les termes du règlement. D'autres textes nationaux sont également affectés par ce règlement européen, notamment le code de la consommation sur la partie « consommation » du règlement sur les services numériques (voir article 16) ainsi que la loi informatiques et libertés s'agissant du volet données personnelles du règlement (voir article 22).

1.2. CADRE CONSTITUTIONNEL

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'États qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ».

Tant la transposition en droit interne d'une directive de l'Union européenne que le respect d'un règlement de l'Union européenne, lorsqu'une loi a pour objet d'y adapter le droit interne, résultent ainsi d'une exigence constitutionnelle.

Les articles 28 à 30 et 33 à 34 du présent projet de loi ont pour objet principal de tirer les conséquences nécessaires des dispositions du DSA. L'impact des obligations prévues par ce dernier sur l'exercice du droit à la vie privée, sur la liberté d'expression ou encore sur la liberté d'entreprendre, découle directement du règlement européen.

Le DSA accorde néanmoins, sur quelques points, certaines marges de manoeuvre aux Etats membres. Il leur revient notamment de :

- désigner l'autorité ou les autorités compétentes pour la supervision des obligations prévues par le règlement au niveau national, et de désigner parmi ces autorités, une autorité de coordination ;

- clairement définir les missions respect