Loi régulant le numérique (Sren) adoptée : les dispositions qui intéressent les collectivités territoriales
Après quelques péripéties liées à sa compatibilité avec le droit communautaire, le projet de loi visant à sécuriser et réguler l’espace numérique (Sren) a été définitivement adopté le 10 avril 2024 par le Parlement. Il devra encore franchir l'étape du Conseil constitutionnel mais les dispositions qui intéressent les collectivités, ici récapitulées, sont peu susceptibles d'être concernées.
Le projet de loi visant à sécuriser et réguler l’espace numérique (Sren) a été définitivement adopté mercredi 10 avril 2024, après un ultime vote de l'Assemblée nationale, par 134 députés, 75 députés issus des rangs de La France insoumise (LFI), du Parti socialiste (PS) et du Rassemblement national (RN) ayant voté contre. Marina Ferrari, secrétaire d'État chargée du numérique, s'est félicitée d'un texte "attendu par des millions de nos concitoyens qui aspirent à évoluer dans un espace numérique plus sûr et plus protecteur". Cyberharcèlement, filtre anti-arnaque, lutte contre la haine en ligne, vérification de la majorité pour accéder aux sites pornographiques… le texte a un périmètre très large même si la portée de certaines dispositions a été amoindrie pour se mettre en conformité avec le cadre européen (voir notre article du 27 mars). Le texte devra en outre franchir l'étape du Conseil constitutionnel, les députés LFI et RN ayant annoncé saisir les juges de la rue Montpensier. En ligne de mire, la légalité de l'article créant le délit d'outrage en ligne réintégré par la commission mixte paritaire.
Les collectivités territoriales ne sont mentionnées en tant que telles qu'à deux reprises dans le texte adopté. Plusieurs dispositions les concernent cependant directement ou indirectement. En voici la liste.
Identité numérique
L'État se fixe pour objectif, "qu'au 1er janvier 2027 100% des Français puissent avoir accès à une identité numérique gratuite". L'identité numérique reste cependant facultative et les moyens pour atteindre l'objectif sont renvoyés à un rapport sur "les actions et les modifications législatives nécessaires pour mettre en œuvre cette généralisation".
Partage sécurisé des données administratives
Le texte prévoit la création d'un service "agrégeant l'accès à l'ensemble des services publics nationaux et locaux, incluant les organismes de sécurité sociale et les organismes en charge des droits et des prestations sociales, et sécurisant la communication efficace des données entre administrations, organismes et collectivités territoriales". Ce service doit "simplifier" la réalisation de démarches administratives en faisant appel, notamment, à l'identité numérique régalienne du ministère de l'Intérieur.
Cloud souverain requis pour héberger les données sensibles
À l'initiative des parlementaires, un article prévoit que les administrations de l'État et les GIP traitant des données sensibles ont l'obligation d'utiliser un service d'informatique en nuage protecteur des données personnelles et non soumis aux lois d'États tiers situés en dehors de l'Union européenne. Les données concernées sont celles protégées par des secrets ainsi que les données relatives à la sauvegarde de la sécurité nationale, au maintien de l'ordre public, à la protection de la santé et de la vie des personnes. La liste des entités concernées et les critères de sécurité des solutions seront précisés par décret. Ces dispositions s'appliquent explicitement au Heath Data Hub critiqué pour avoir choisi une solution Microsoft.
Interopérabilité des plateformes cloud
La loi comporte plusieurs mesures pour lutter contre l'oligopole des fournisseurs de cloud américains : encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud (avoirs commerciaux), obligation pour les services d'informatique en nuage d'être interopérables pour faciliter le changement de prestataire... Ces obligations visent les fournisseurs de services cloud français et extra-européens. Cependant, après désignation par arrêté, des prestataires basés dans un autre pays européen pourront aussi être concernés.
L'Arcep devient l'autorité chargée de faire appliquer cette nouvelle réglementation.
Bannissement des réseaux sociaux
Les personnes condamnées pour haine en ligne, cyberharcèlement ou d'autres infractions graves pourront être bannis des réseaux sociaux par un juge pendant 6 mois, un an en cas de récidive. Les parlementaires ont étendu cette peine à d'autres catégories de délits, notamment aux personnes ayant menacé des élus.
Ce volet a été complété lors des débats par la création d'un délit d'outrage en ligne, réprimant la diffusion de contenus injurieux, discriminatoires ou harcelants. Le texte s'élargit également aux deepfakes ou hypertrucages réalisés à l'aide d'une intelligence artificielle.
Expérimentation des jeux à objets numériques
Les jeux numériques fondés sur les technologies émergentes du Web 3 (jeux à objets numériques monétisables- Jonum) bénéficient d'un cadre expérimental pour trois ans, supprimant l'habilitation à légiférer par ordonnance prévue par le gouvernement. Ces Jonum, jeux en ligne à la croisée entre les jeux d’argent et de hasard et les jeux vidéo, seront régulés par un décret en Conseil d'État. Les associations d’élus donneront leur avis sur le projet de décret, les villes accueillant des casinos ayant manifesté des inquiétudes sur cette disposition.
Accès aux données des plateformes de location saisonnières
Le code du tourisme est modifié pour permettre à l'ensemble des communes et EPCI d'accéder aux données des plateformes de location saisonnières comme AirBnB et ainsi vérifier les durées maximales de location autorisées. Un intermédiaire est créé entre les plateformes en ligne et les communes pour gérer ces connecteurs et créer un système d'alerte. Le dispositif sera précisé par décret.
La régulation numérique tricolore adaptée aux textes européens
Au titre du Digital Service Act européen (DSA), l'Arcom est désignée en tant que "coordinateur des services numériques" en France. La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) devient l’autorité chargée de contrôler le respect des obligations des fournisseurs de places de marché (market places). La Cnil est pour sa part compétente pour vérifier le respect par les plateformes en matière de profilage publicitaire.
S'agissant du Digital Market Act (DMA), l’Autorité de la concurrence et le ministère de l’économie pourront investiguer les pratiques des "contrôleurs d’accès", dans le cadre du "réseau européen de concurrence". L'adaptation du droit français au Data Act est traitée, avec de nouvelles compétences pour l'Arcep et la Cnil.
Enfin, un réseau national de coordination de la régulation des services numériques est créé. Il associera les autorités indépendantes (Arcom, Arcep, Cnil...) et les principaux services de l'État (DGCCRF, Pharos, le site gouvernemental qui permet de signaler des contenus et des comportements en lignes illicites...) et sera chargé de partager des informations et de collaborer dans le champ des régulations du numérique.