Sûreté numérique : un projet de loi riche en vœux pieux

Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, présente au conseil des ministre du 10 mai 2022 un projet de loi « Sécuriser et réguler l’espace numérique ». Celui-ci affiche des ambitions importantes pour protéger les consommateurs, les mineurs et les entreprises afin de garantir le développement d’un numérique de confiance. Mais les modalités techniques et pratiques sont, pour l’heure, peu détaillées. Le risque est donc grand que la loi ne débouche au final que sur une liste de vœux pieux ou de mesures à l’efficacité limitée. Si l’essentiel du projet concerne le grand public, plusieurs mesures sont destinées spécifiquement aux entreprises utilisant les services de cloud. Le projet de loi intègre des transcriptions en droits français des directives européennes récentes DSA et DMA.

Face à l’insécurité numérique, Jean-Noël Barrot veut en effet protéger les citoyens avec un « filtre anti-arnaque », une peine complémentaire de cyber-bannissement des plates-formes des cyber-harceleurs, bloquer les sites pornographiques qui ne respectent pas le contrôle d’âge, punir les fournisseurs de service ne retirant pas sous 24 heures les contenus pédopornographiques signalés (sur le modèle des mesures anti-terroristes), combattre le « poison du débat public » qu’est la désinformation… Le « filtre anti-arnaque » est prévu pour être basé sur un fichier mutualisé de tous les signalements (auprès du ComCyberGend, de la DGCCRF, etc.) et être mis en place au niveau des DNS et des services intégrés aux navigateurs. Ce dispositif suppose donc qu’il y ait déjà des victimes enregistrées avant que la procédure de filtrage ne soit mise en place, ce alors que les arnaques en ligne reposent en général sur des opérations rapides et très ponctuelles. Le dispositif serait contrôlé par une personnalité qualifiée rattachée à la CNIL pour éviter les surblocages.

Beaucoup d’intentions, peu de mesures techniques pratiques

La vérification de l’âge des visiteurs des sites pornographiques part certes d’une bonne intention mais aucun pays, à ce jour, n’a réussi à trouver un système pertinent et efficace à cette fin, le projet de loi ne prévoyant que des généralités non-transcrites en mesures techniques précises, la seule mesure concrète étant un blocage des sites à l’initiative de l’ARCOM. Le ministre et ses conseillers sont conscients que les protections prévues sont contournables (notamment en usant de VPN) mais en pleine conscience, donc en pleine responsabilité et pas par des néophytes, les vraies cibles de la protection. Dernière mesure concernant le grand public : une base de données nationale unique des meublés de tourisme connectée à toutes les plates-formes. Il s’agit de recenser les locations réalisées afin que chaque collectivité puisse contrôler le respect des règles, notamment la limitation à 120 nuitées par an.

Enfin, le projet de loi cherche à protéger les entreprises françaises contre les abus anti-concurrentiels des GAFAM en matière de cloud. Il s’agit notamment d’interdire de facturer les coûts de transferts entre clouds, c’est à dire la bande passante nécessaire à la récupération des données en cas d’arrêt d’un service. Des pratiques commerciales visant à empêcher une entreprise de quitter un prestataire seront également interdites. L’ARCEP sera aussi chargée de prévoir un cadre normatif afin de limiter l’adhérence du SI des entreprises à tel ou tel cloud et faciliter le jeu de la concurrence. Si, pour le IaaS, ce point est sans doute envisageable concrètement, ce sera plus compliqué pour le PaaS et le SaaS.