LOI SREN (N° 2024-449)

[NUMERIQUE - LOI - DSA - DGA - PROTECTION - MINEURS - DONNEES PERSONNELLES - CYBERSECURITE - PLATEFORME NUMERIQUE - CLOUD]

La loi n° 2024-449 du 21 mai 2024 (JORF n°0117 du 22 mai 2024)(dite loi « SREN »), visant à sécuriser et réguler l’espace numérique, permet la mise en œuvre les règlements européens faisant partie du paquet numérique européen.

(JORF n°0117 du 22 mai 2024; Règlement UE 2022/868 (Data Governance Act ou « DGA »); Règlement UE 2022/2065 (Digital Services Act ou « DSA »); Règlement UE 2022/1925 (Digital Markets Act ou « DMA »); Décision du Conseil Constitutionnel n° 2024-866 DC du 17 mai 2024)

Les régulateurs de l’espace numérique tels que la CNIL, l'ARCOM, l'ARCEP, et la DGCCRF sont tenus de coordonner les efforts de protection dans la mise en œuvre de ces textes.   

La loi SREN contribue à la création d'un environnement en ligne plus sûr, transparent et respectueux des droits des utilisateurs, en vue de renforcer la confiance numérique.

Ses principaux objectifs sont notamment les suivants :

- renforcer la sécurité en ligne des utilisateurs;

- renforcer la protection des mineurs en ligne et des citoyens;

- lutter contre la désinformation et les contenus illicites en ligne;

- réguler les actifs numériques;

- renforcer la protection des utilisateurs contre les cybermenaces (e.x. cyberattaques, piratage, et fraudes en ligne);

- renforcer les obligations des entreprises en matière de confidentialité et de sécurité des données personnelles;

- lutter contre les contenus terroristes et pédopornographiques;

- développer l’économie des jeux à objets numériques monétisables et le marché de l’informatique en nuage ("cloud");

- renforcer la confiance et la concurrence dans l’économie de la donnée.

La loi SREN prévoit plusieurs mesures, dont les suivants :

- Extension du champ d'application territorial de la loi n° 78-17 du 6 janvier 1978 (dite «loi informatique et libertés»): La loi SREN s'applique aux traitements de données personnelles par un responsable du traitement ou un sous-traitant établi en dehors de l'Union européenne, lorsque ces traitements sont liés au suivi du comportement des personnes se trouvant au sein de l'Union européenne.

- Obligation des services de très grandes plateformes en ligne de modération, de la confidentialité des échanges, de transparence, de sensibilisation aux risques et de formation en vue de la sécurité et la qualité des contenus en ligne

- Interdiction de présentation de publicités fondées sur le profilage

- Obligation des entreprises de jeux à objets numériques monétisables de s'assurer de l'intégrité, de la fiabilité et de la transparence des opérations de jeu et de la protection des mineurs; d'interdire le jeu aux mineurs; de vérifier au préalable la majorité et l'identité du joueur; et de prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.

- Protection en ligne des mineurs : L’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) dispose de pouvoirs étendu. Elle doit désormais établir et publier, après avis de la Commission nationale de l'informatique et des libertés (CNIL), un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge. L’ARCOM peut exiger des éditeurs et des fournisseurs de services de conduire un audit sur la conformité de ces systèmes. Après une mise en demeure et un contrôle a posteriori par le juge administratif, l’ARCOM peut également ordonner le blocage ou le déréférencement des sites pornographiques qui ne vérifient pas l’âge de leurs utilisateurs. L’ARCOM peut également prononcer, après avis de la CNIL, une sanction qui ne peut excéder 150 000 euros ou 2 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 300 000 euros ou à 4 % du chiffre d'affaires mondial hors taxes, le plus élevé des deux montants étant retenu, en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première sanction est devenue définitive.

- Sanctions pénales : les propos haineux, cyberharcèlement, pédopornographie et autres infractions graves sont passibles de sanctions, telles que le bannissement des réseaux sociaux pour une durée de 6 mois, voire un an en cas de récidive, pour plusieurs infractions précisément listées (Article 131-35-1, I, du Code pénal). L'article 226-8 du code pénal a été modifié pour inclure spécifiquement les deepfakes (Article 226-8-1). Par ailleurs, le non-retrait immédiat des contenus pédopornographiques dans les 24 heures suivant une demande de l'ARCOM est pénalisé par l'article 6-1-1.-I. de la loi du 21 juin 2004, avec une peine d'un an d'emprisonnement et une amende de 250 000 euros.