B. MESURES EN ATTENTE D'APPLICATION
La plupart des mesures devant encore faire l'objet de décrets d'application devraient voir ces derniers publiés rapidement, mais plusieurs sujets sensibles demeurent en suspens
33 mesures prévues par la loi n° 2024-449 du 21 mai 2024 sont encore en attente de leur décret d'application pour pouvoir être appliquées.
Si la plupart de ces textes d'application ont déjà été rédigés et font actuellement l'objet d'un examen par différentes instances ou par le Conseil d'État, quatre mesures ont pris un retard conséquent, voire font l'objet d'interrogations sur leur opportunité, comme le décret d'application prévu à l'article 26 ou celui prévu à l'article 48, ainsi qu'il est précisé infra.
Un décret en Conseil d'État doit être pris en application des articles 4 et 5 de la loi qui prévoient le retrait des contenus d'images ou de représentations de mineurs présentant un caractère pornographique ou d'images de tortures ou d'actes de barbarie. Le projet de décret a été examiné par l'ARCOM, par le Conseil supérieur des tribunaux administratifs et des cours administratives d'appel (CSTACAA) et devait être examiné par le Conseil d'État au début de l'année 2025. Sa publication devrait donc être imminente.
Un décret simple doit être pris en application de l'article 12 de la loi pour prévoir le contenu et les modalités de présentation du message avertissant l'utilisateur du caractère illégal des comportements représentés dans des contenus à caractère pornographique, simulant la commission d'un crime ou d'un délit. Selon le SGG, le projet de décret a été finalisé et transmis à l'ARCOM pour avis en novembre 2024. Sa publication devrait donc intervenir rapidement.
Un décret en Conseil d'État doit être pris en application de l'article 23 pour fixer les conditions d'admission et de fonctionnement ainsi que l'autorité de gestion de la réserve citoyenne du numérique, ayant pour objet de concourir à la transmission des valeurs de la République, au respect de l'ordre public, à la lutte contre la haine dans l'espace numérique et à des missions d'éducation, d'inclusion et d'amélioration de l'information en ligne. Ce décret est encore en cours de rédaction et des concertations sont en cours pour désigner l'autorité de gestion de la réserve citoyenne du numérique. Le ministère délégué à l'IA et au numérique hésite entre confier ce rôle à la direction générale des entreprises (DGE), rattachée au ministère de l'économie, ou à la délégation interministérielle à la lutte contre le racisme, l'antisémitisme et la haine anti-LGBT (Dilcrah), placée sous l'autorité du Premier ministre. La publication de ce décret devrait par conséquent prendre du retard.
Un décret en Conseil d'État doit être pris en application de l'article 24 de la loi pour fixer les modalités d'application de l'article 12 de la loi n° 2004-575 du 21 juin 2004 notamment la désignation de l'autorité administrative compétente ainsi que le contenu et les modalités de présentation des messages d'avertissement mentionnés aux I et II de l'article 24 de la loi n° 2004-575. Selon le SGG, le décret est en cours de rédaction et des discussions sont toujours en cours pour avoir une liste complète des autorités administratives chargées de recevoir les signalements à désigner. Là aussi, la publication devrait donc prendre du retard.
Un décret en Conseil d'État doit être pris en application de l'article 26 pour définir les modalités d'application du II de l'article L. 442-12 du code du commerce selon lequel un fournisseur de services d'informatique en nuage ne peut octroyer un avoir d'informatique en nuage à une personne exerçant des activités de production, de distribution ou de services que pour une durée limitée.
Selon le Gouvernement, cette mesure pourrait être défavorable aux entités françaises (ou à celles qui souhaiteraient s'installer sur le territoire national) et non à celles installées dans les autres États membres de l'Union européenne. Un approfondissement de la réflexion juridique et économique est donc en cours avant de rédiger le décret. La publication de ce dernier interviendra donc - si elle intervient - avec un retard important.
Un décret simple doit être pris en application de l'article 29 pour prévoir de quelle façon l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) précise les règles et les modalités de mise en oeuvre des exigences essentielles mentionnées au II de l'article 28 de la loi auxquelles les services des fournisseurs de services d'informatique en nuage doivent se conformer. La saisine de l'ARCEP a été réalisée à la fin du mois de novembre 2024. La publication du décret devrait donc intervenir prochainement.
Un décret en Conseil d'État doit être pris en application de l'article 31, lequel porte sur le marché de l'informatique en nuage. Le décret doit arrêter la liste des groupements d'intérêt public comprenant des administrations ou des opérateurs qui, lorsqu'ils ont recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en oeuvre de systèmes ou d'applications informatiques, sont soumis au respect de l'article 31 de la loi.
Il doit également fixer les modalités d'application de l'article 31 de la loi sur la protection des données stratégiques et sensibles sur le marché de l'informatique en nuage, notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données sensibles au sens du I de l'article 31 de la loi.
Le projet de texte a été rédigé et il a été notifié à la Commission européenne le 24 janvier 2025. Il liste les opérateurs de l'État qui devront stocker leurs données sensibles sur des services répondant au référentiel SecNumCloud, règles auxquelles seront également soumises les administrations quand le décret sera publié. Il prévoit en outre que si les offres disponibles en France sont trop chères ou ne conviennent pas aux missions des administrations, alors elles pourront demander une dérogation renouvelable d'un an maximum pour continuer d'utiliser une offre de cloud non souveraine. Le projet de décret liste également les conditions de dérogation à ces règles de stockage des données sensibles quand aucune offre « acceptable » n'est disponible en France. Ces dérogations seront accordées par les ministres responsables du projet et devront être validées par Matignon.
Un décret en Conseil d'État doit être pris en application de l'article 32 de la loi, lequel porte sur les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées. Ce décret doit préciser la nature des prestations d'hébergement mentionnées aux II et III de l'article L. 1111-8 du code de la santé publique. Le texte est en cours de rédaction et doit entrer en vigueur à une date fixée par décret, qui ne peut être postérieure au 1er juillet 2025. La publication de ce décret devrait donc intervenir rapidement et en tout état de cause avant cette date.
Un décret simple doit être pris en application de l'article 33 de la loi. Il doit définir le contenu, les modalités d'application et les délais de mise en oeuvre de l'obligation mentionnée au II dudit article en vertu de laquelle les fournisseurs de services d'informatique en nuage publient des informations sur l'empreinte environnementale de leurs services, notamment en matière d'empreinte carbone, de consommation d'eau et de consommation d'énergie. Les travaux sont en cours avec l'ADEME et les fournisseurs concernés. Ce décret devrait donc être publié rapidement.
Des décrets en Conseil d'État doivent être pris en application des articles 40 et 41 de la loi portant sur les jeux à objets numériques monétisables. Les mesures relevant de la compétence de la direction du budget seront appliquées en un seul paquet ; certaines nécessitent une notification à la Commission européenne, d'autres, des consultations obligatoires dont des consultations des élus locaux et de la filière des jeux et des jeux vidéo et de l'Autorité de régulation des jeux en ligne (ANJ). Les consultations ont été lancées en début d'année. La saisine du Conseil d'État a dû intervenir récemment ou devrait intervenir très prochainement, et il est probable que la publication de ces textes intervienne au second semestre 2025.
Un décret en Conseil d'État doit être pris en application de l'article 42 pour permettre au Pôle d'expertise de la régulation numérique (PEReN) de collecter des données sur les plateformes afin d'identifier leurs risques et à des fins de recherche, comme le prévoit le règlement sur les services numériques (DSA). Le projet de texte a fait l'objet d'un avis de la CNIL en septembre 2024 et a été notifié à la Commission européenne le 30 avril 2025. Ce texte devait être ensuite examiné par le Conseil d'État et sa publication devrait donc intervenir au second semestre 2025.
Un décret en Conseil d'État doit être pris en application de l'article 43 de la loi, sur la question des données d'activité de location de tourisme. Le texte a été finalisé, la CNEN et la CNIL devaient être saisis et une notification à la Commission européenne être effectuée. Sa publication interviendra rapidement à l'issue, vraisemblablement, là encore, au second semestre 2025.
Un décret en Conseil d'État doit être pris en application de l'article 45 de la loi pour déterminer les modalités d'application de l'article L. 115-1 du code de justice administrative sur le contrôle des opérations de traitement de données à caractère personnel effectuées par les juridictions administratives dans l'exercice de leur fonction juridictionnelle. Le Conseil d'État ayant été saisi en janvier 2025, la publication de ce texte devrait intervenir prochainement.
Un décret en Conseil d'État doit être pris en application de l'article 46 pour déterminer les modalités d'application de l'article L. 453-1 du code de l'organisation judiciaire sur le contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions judiciaires et leur ministère public dans l'exercice de leur fonction juridictionnelle. Il doit également fixer les modalités d'application de l'article L. 453-2 du code de l'organisation judiciaire sur les recours formés par toute personne physique ou morale contre une décision de l'autorité de contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions judiciaires et leur ministère public dans l'exercice de leur fonction juridictionnelle, qui lui fait grief. La CNIL devait être consultée sur ce projet de décret puis le Conseil d'État saisi pour une publication vraisemblablement au second semestre 2025.
Un décret en Conseil d'État doit être pris en application de l'article 47 de la loi pour fixer les modalités d'application de l'article L. 111-18 du code des juridictions financières sur le contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions financières dans l'exercice de leur fonction juridictionnelle. Là aussi, la CNIL devait être consultée sur ce projet de décret puis le Conseil d'État saisi pour une publication à brève échéance.
Un décret simple doit être pris en application de l'article 48 pour fixer le seuil de nombre de connexions du territoire français à compter duquel toute plateforme en ligne, qu'elle soit ou non établie sur le territoire français, met en oeuvre des procédures et des moyens humains et technologiques proportionnés permettant, lorsqu'elle a une activité de stockage de contenus, de conserver temporairement les contenus qui lui ont été signalés comme contraires aux dispositions mentionnées au A du IV du de l'article 6 de la loi n° 2004-575 et qu'elle a retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Selon le SGG, ce décret n'a toujours pas été rédigé et faisait encore l'objet d'arbitrages interministériels. Sa publication prendra donc un retard important.
Un décret simple doit être pris en application de l'article 51 de la loi pour dresser la liste des services de l'État membres du réseau national de coordination de la régulation des services numériques. Selon le SGG, ce décret est en cours de finalisation et devrait pouvoir être publié prochainement.
Un décret en Conseil d'État doit être pris en application de l'article 57 de la loi pour doit déterminer les modalités de la procédure d'enregistrement au registre, administré par la CNIL et mentionné à l'article 124-1 de la loi n° 78-17, formée par les personnes qui remplissent les conditions fixées à l'article 18 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022. Là aussi, la CNIL devait être consultée sur ce projet de décret puis le Conseil d'État saisi pour une publication au second semestre 2025.
Un décret en Conseil d'État doit être pris en application de l'article 59 de la loi pour fixer la procédure selon laquelle les engagements par les fournisseurs de plateformes en ligne et de nature à garantir la conformité du service avec les obligations prévues à l'article 124-5 de la loi n° 78-17 sont proposés au président de la CNIL, puis acceptés ou rendus contraignants par celui-ci. Il doit également déterminer les modalités selon lesquelles lorsque la formation restreinte de la CNIL a été saisie et que le manquement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, son président peut également adopter, après une procédure contradictoire, une injonction à caractère provisoire. La saisine du Conseil d'État devait intervenir en janvier 2025, si bien que le texte devrait être publié rapidement.