Elle impose différentes obligations, en particulier aux éditeurs de service, de communication au public en ligne et aux plateformes, au travers desquelles des contenus illicites (haine en ligne, pédopornographie, terrorisme, arnaques…) peuvent être diffusés, comme des obligations de suppression des contenus, de vérification de l’âge des utilisateurs et de restriction de l’accès aux contenus réservés aux adultes, de transparence concernant leurs algorithmes et leurs politiques de modération. Elle comporte également des dispositions relatives à la régulation des jeux à objets numériques monétisables.
Mais la loi vise également d’autres acteurs, tels que les hébergeurs et les fournisseurs de services cloud. Nous proposons, dans cet article, de faire un point plus spécifiquement sur les impacts de la loi pour ces derniers, au regard des exigences nouvelles d’interopérabilité et de réversibilité qui vont impacter directement leur offre de services. Pour veiller à leur intégration et donc à l’efficacité de ces nouvelles règles, d’importantes sanctions sont attachées au non-respect des obligations (dans le même esprit que le RGPD, basées sur le chiffre d’affaires des entités).
La loi dite SREN adapte le droit français au Règlement sur les services numériques (Digital Services Act en anglais – DSA), au Règlement sur les marchés numériques (Digital Markets Act en anglais – DMA) et au Règlement sur la gouvernance des données (Data Governance Act en anglais – DGA).
Les hébergeurs
Au fil de l’évolution du numérique et de ses usages, et en particulier des réseaux sociaux, la LCEN – Loi pour la confiance dans l’économie numérique de 2004 – a connu différents remaniements destinés à renforcer la lutte contre les contenus à caractère violent, haineux, pédopornographique ou terroriste (contenus « odieux ») et favoriser la répression des activités illégales de jeux d’argent. Ainsi, les articles 6 et suivants de la LCEN posent aujourd’hui un principe de coopération des hébergeurs à la lutte contre les contenus odieux. Les hébergeurs doivent ainsi disposer d’un mécanisme de signalement de ces contenus, informer les autorités publiques de leurs signalements et rendre publics les moyens consacrés à la prévention de leur diffusion.
La loi SREN renforce ces obligations, notamment en ce qui concerne les contenus pédopornographiques ainsi que les images d’actes de torture ou de barbarie : les hébergeurs devront les retirer dans les 24 heures après leur signalement par les autorités, sous peine d’un an de prison et 250 000 euros d’amende. Le montant de cette amende peut être porté à 4 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent pour les personnes morales et pour les infractions commises de manière habituelle (articles 4 et 5).
L’article 13 prévoit également que les hébergeurs agissent promptement pour retirer les contenus pornographiques qui leur sont signalés par les personnes qui y sont représentées comme étant diffusés en violation de l’accord de cession de droits conclu par la personne concernée ou pour rendre l’accès à ceux-ci impossible. Les hébergeurs ont également des obligations de conservation des données, de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.
La mise en place d’une procédure interne est indispensable pour les hébergeurs, afin d’organiser la prise en charge et l’examen des demandes d’accès à des données hébergées de la part d’autorités françaises et étrangères et leur permettre d’y répondre de manière appropriée, sans se mettre en infraction à leurs obligations réglementaires (y compris la loi dite de blocage qui interdit la transmission de certaines informations à des autorités étrangères) et/ou contractuelles vis-à-vis de leurs clients (confidentialité, secret professionnel, secret médical…).
Les fournisseurs de services de cloud
S’agissant des fournisseurs de services d’informatique en nuage (ou cloud), la loi encadre certaines pratiques commerciales aujourd’hui répandues sur le marché du cloud qui altèrent la liberté de choix et le jeu de la concurrence lorsqu’une entreprise souhaite changer de fournisseur. Ainsi, sauf pour les services cloud fournis sur mesure ou à des fins d’essai et d’évaluation et pour une durée limitée (Proof of Concept), les fournisseurs de services cloud doivent assurer (article 28) :
- l’interopérabilité de leurs services, dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d’autres fournisseurs de services cloud pour le même type de service ;
- la portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers ceux fournis par d’autres fournisseurs de couvrant le même type de service ;
- la mise à disposition gratuite aux clients et aux fournisseurs de services tiers désignés par ces utilisateurs, à la fois d’interfaces de programmation d’applications nécessaires à la mise en œuvre des obligations d’interopérabilité et de portabilité (voir ci-dessus), et d’informations suffisamment détaillées sur le service cloud concerné pour permettre aux clients ou aux services de fournisseurs tiers de communiquer avec ce service. Un régime d’exception est prévu pour les services correspondant à des ressources informatiques modulables et variables limitées à des éléments d’infrastructure comme les serveurs, les réseaux et les ressources virtuelles nécessaires à l’exploitation de l’infrastructure, sans donner accès ni aux services, ni aux logiciels, ni aux applications d’exploitation qui sont stockés, traités ou déployés sur ces éléments d’infrastructure. Dans ce cas, les fournisseurs de services cloud devront prendre des mesures raisonnables afin de faciliter une équivalence fonctionnelle dans l’utilisation du service de destination, lorsqu’il couvre le même type de fonctionnalités.
Les fournisseurs de services cloud seront soumis aux contrôles de l’Arcep sur ces aspects (article 30). Les sanctions peuvent aller jusqu’à 3 % du chiffre d’affaires mondial hors taxes réalisé au cours du dernier exercice clos et 5 % en cas de réitération du manquement. En outre, la pratique des avoirs ou la facturation de frais de changement de fournisseur et de transfert des données hébergées vers les propres infrastructures du client ou celles d’un fournisseur tiers, autrement dit, la réversibilité, sont encadrées (articles 26 et 27).
Toute conclusion d’un contrat en violation des nouvelles règles relatives aux avoirs est punie d’une amende administrative, dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d’euros pour une personne morale. Le maximum de l’amende encourue est porté à 400 000 euros pour une personne physique et deux millions d’euros pour une personne morale en cas de réitération du manquement, dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
Un décret d’application, ainsi que l’Autorité de régulation des communications électroniques des postes et de la distribution de la presse (l’Arcep), doivent préciser ces obligations.
Par ailleurs et pour des raisons de souveraineté, la loi impose aux administrations de l’État, pour le stockage de données d’une sensibilité particulière – qu’elles soient à caractère personnel ou non, et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle -, de veiller à ce que les fournisseurs de services de cloud mettent en œuvre des critères de sécurité et de protection des données, garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre (article 31).
Il convient de rester, en outre, attentif aux travaux menés, au niveau européen, relatifs à la mise en place d’un schéma de certification européen qui est en cours d’adoption, désigné sous le nom d’EUCC (EU Common Criteria). L’article L. 1111-8 du Code de la santé publique relatif à l’hébergement des données de santé est également modifié (article 32). Enfin, les fournisseurs de services cloud sont également assujettis à des obligations spécifiques de transparence (articles 33 à 35).