Loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique

La loi s'inspire notamment des recommandations de trois rapports parlementaires sur l'industrie pornographique et sur la souveraineté numérique. Elle résulte également des règlements européens sur les services numériques (DSA) et sur les marchés numériques (DMA).

Elle a été modifiée par le Parlement, qui a tenu compte, lors de la commission mixte paritaire, des deux avis circonstanciés adressés par la Commission européenne au gouvernement demandant que le texte soit mis en conformité avec le droit européen. 

La loi confie à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) le soin d'établir un référentiel fixant les exigences techniques minimales auxquelles devront se conformer les systèmes de vérification d’âge des sites pornographiques, sous peine de lourdes amendes. Ce référentiel a été publié le 11 octobre 2024. Comme le prévoit la loi et depuis le 11 janvier 2025, normalement aucun contenu pornographique ne peut plus être affiché sur l'écran de tels sites tant que la majorité de l'utilisateur (18 ans) n'a pas été contrôlé par un système robuste et protecteur en "double anonymat". 

Désormais, l'Arcom peut également, après mise en demeure, ordonner :

• le blocage des sites pornographiques qui ne contrôlent pas l'âge de leurs utilisateurs pour deux ans maximum ;
• leur déréférencement des moteurs de recherche sous 48 heures. 

Le juge administratif peut être saisi a posteriori. L'intervention du juge judiciaire, comme le prévoyait une loi du 30 juillet 2020, n'est plus nécessaire.

Ces nouvelles mesures visent les sites basés en France et hors Europe. Elles ont été étendues, conformément à la possibilité ouverte par la loi, par un arrêté du 26 février 2025 publié le 6 mars 2025, à 17 premiers sites pornographiques situés dans l'Union européenne, en particulier Pornhub, Youporn, XHamster. Ces sites doivent d'ici le 6 juin 2025 empêcher leur accès aux mineurs, sous le contrôle de l’Arcom. 

En outre, la loi impose aux hébergeurs de retirer dans les 24 heures les contenus pédopornographiques qui leur sont signalés par la police et la gendarmerie, sous peine de lourdes sanctions pénales.

Les producteurs de vidéos pornographiques doivent dorénavant systématiquement afficher un message d’avertissement avant et pendant la diffusion de contenus comportant la simulation d’un viol ou d'un inceste. Les actrices et acteurs ayant tourné des vidéos pornographiques peuvent obtenir leur retrait sur internet, lorsque ces vidéos sont diffusées en violation des clauses de leur contrat. Conformément aux recommandations du Haut Conseil pour l'égalité (HCE), la loi permet à la plateforme Pharos, à titre expérimental, d'ordonner le retrait sous 24 heures, le blocage ou le déréférencement sans délai des images d'actes de torture ou de barbarie.  

La loi prévoit la mise en place d'un filtre de cybersécurité anti-arnaque à destination du grand public. Un message d’alerte avertira les personnes lorsqu’après avoir reçu un SMS ou un courriel frauduleux, elles s’apprêtent à se diriger vers un site malveillant. Ce message renverra vers un site officiel de l’État. Le dispositif, qui doit encore être précisé par décret, vise à protéger les citoyens contre les tentatives d’accès frauduleux à leurs coordonnées personnelles ou bancaires. 

Le texte renforce, par ailleurs, les sanctions pour les personnes condamnées pour haine en ligne, cyber-harcèlement ou d'autres infractions graves (pédopornographie, proxénétisme...). Le juge peut dorénavant prononcer à leur encontre une peine complémentaire de suspension ou "peine de bannissement" des réseaux sociaux pour six mois (voire un an en cas de récidive). Le réseau social qui ne bloquerait pas le compte suspendu encourra une amende de 75 000 euros. À l'initiative des parlementaires, cette peine a été élargie à d'autres infractions (dérives sectaires, entraves à l'avortement, menaces contre les élus...) et peut être prononcée comme alternative aux poursuites.

La publication en ligne d’hypertrucages ou deepfake (vidéos, images et autres contenus, notamment à caractère sexuel, visant à nuire générés par intelligence artificielle - IA) est mieux réprimée.

La loi modifie le code de l'éducation pour imposer une sensibilisation des collégiens aux dérives liées aux contenus générés par l'IA ainsi qu'une information des parents en début d'année scolaire sur les dangers d'une exposition précoce et non encadrée des enfants aux écrans et des risques liés à internet. Les étudiants, pour leur part, doivent être sensibilisés aux cyberviolences sexistes et sexuelles. Une réserve citoyenne du numérique, comme réserve thématique de la réserve civique, est instaurée. Un décret est attendu pour préciser son fonctionnement.

Contre la désinformation de médias étrangers frappés par des sanctions européennes (tels que Sputnik ou Russia Today France), l'Arcom peut enjoindre désormais à de nouveaux opérateurs de stopper sous 72 heures la diffusion sur internet d'une chaîne de "propagande" étrangère. Le 19 mars 2025, elle a pris une telle injonction et demandé à la société Eutelsat de cesser la diffusion des chaînes russes STS et Kanal 5. L'Arcom peut, de plus, ordonner le blocage du site concerné et infliger une amende pouvant aller jusqu'à 4% du chiffre d'affaires de l'opérateur ou 250 000 euros.

Pour réduire la dépendance des entreprises aux fournisseurs d'informatique en nuage ou cloud, marché aujourd’hui concentré dans les mains de trois entreprises numériques américaines (Amazon, Microsoft et Google), la loi comporte plusieurs mesures qui doivent encore être précisées par décret : encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud (avoirs commerciaux), obligation pour les services cloud d'être interopérables... L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) est chargée de cette réglementation.

Ces nouvelles mesures visent les fournisseurs de services cloud situés en France et hors Europe. Toutefois après désignation par arrêté, des prestataires basés dans un autre pays européen pourront aussi être concernés.

Sur initiative des parlementaires, de nouvelles dispositions concernent le stockage sur le cloud privé des données stratégiques et sensibles des administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, face aux risques que font peser les législations non-européennes.

Dans le but de mieux réguler les locations touristiques, un intermédiaire est créé entre les plateformes en ligne comme Airbnb et les communes. L'API meublés sera généralisée, afin de centraliser toutes les données nécessaires et faire respecter la réglementation limitant la location de résidences principales. Un système d'alerte est prévu. Un décret doit encore intervenir.

Alors que le gouvernement souhaitait légiférer par ordonnance sur les jeux numériques fondés sur les technologies émergentes du Web 3 (jeux à objets numériques monétisables - Jonum), la loi, sur amendements des parlementaires, introduit un cadre expérimental pour trois ans. Les Jonum, qui sont un nouveau type de jeux en ligne, à la croisée entre les jeux d’argent et de hasard et les jeux vidéo, sont encadrés, en raison des risques qu'ils représentent (addiction, blanchiment d'argent...). Un décret est attendu.

La loi adapte le droit français pour que puissent s'appliquer le règlement sur les services numériques (Digital Services Act- DSA) et le règlement sur les marchés numériques (Digital Markets Act- DMA). Ces deux textes européens imposent aux géants du numérique de nouvelles obligations.

Au titre du DSA, l'Arcom est désignée en tant que "coordinateur des services numériques" en France. La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) devient l’autorité chargée de contrôler le respect des obligations des fournisseurs de places de marché (market places). La Commission nationale de l'informatique et des libertés (CNIL) devient compétente pour vérifier le respect par les plateformes des limitations posées en matière de profilage publicitaire (interdiction pour les mineurs ou à partir de données sensibles).

S'agissant du DMA, l’Autorité de la concurrence et le ministère de l’économie peuvent désormais investiguer, recevoir des renseignements et coopérer avec la Commission européenne sur les pratiques des contrôleurs d’accès, dans le cadre du "réseau européen de concurrence".

L'adaptation du droit français au Data Governance Act est traitée, avec de nouvelles compétences pour l’Arcep et la CNIL.

La loi instaure enfin un réseau national de coordination de la régulation des services numériques. Composé de l’ensemble des autorités administratives compétentes (Arcom, CNIL, Arcep ...) et des principaux services de l’État (DGCCRF, Direction interministérielle du numérique...), il est chargé de partager des informations et de collaborer dans le champ des régulations du numérique.